Elevar los privilegios de VMware Engine

Los privilegios de VMware Engine de Google Cloud proporcionan a los usuarios de vCenter los privilegios que necesitan para realizar operaciones normales. Algunas funciones administrativas requieren privilegios adicionales en el vCenter de la nube privada.

Google Cloud VMware Engine ahora está integrado con la consola de Google Cloud , pero la integración no proporciona la función Privilegio de elevación. Para llevar a cabo estas tareas, puedes usar una cuenta de usuario de soluciones para hacer lo siguiente:

  • Configurar fuentes de identidad
  • Gestionar usuarios
  • Eliminar un grupo de puertos distribuidos
  • Crear cuentas de servicio

Cuentas de usuario de soluciones

Es posible que algunas herramientas y productos que se usen con tu nube privada requieran que un usuario tenga privilegios de administrador en vSphere. Cuando creas una nube privada, VMware Engine también crea cuentas de usuario con privilegios de administrador que puedes usar para las herramientas y los productos de terceros. Se crean varias cuentas de usuario de la solución para gestionar diferentes aplicaciones. Con una cuenta de usuario de solución específica, puede auditar las acciones realizadas por cada aplicación. En este documento se ofrecen directrices para gestionar estas cuentas de usuario de soluciones en vSphere.

Estos son algunos ejemplos de herramientas y productos que requieren privilegios de administrador durante la configuración:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Antes de empezar

Antes de iniciar sesión en una herramienta o un producto de terceros con una cuenta de usuario de la solución, confirma que la herramienta o el producto requieren privilegios de administrador. Si la herramienta o el producto requieren privilegios que ya proporciona Cloud-Owner-Role, crea un usuario y añádelo a Cloud-Owner-Group.

Puede usar cualquiera de los siguientes IDs de usuario de soluciones integradas:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Obtener la contraseña de un usuario de la solución

Para obtener la contraseña de un usuario de la solución, sigue estos pasos.

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Haz los cambios siguientes:

  • PRIVATE_CLOUD_NAME: la nube privada de esta solicitud
  • PROJECT_ID: el proyecto de esta solicitud
  • USERNAME_ID: uno de los IDs de usuario de la solución
  • ZONE: la zona de la nube privada

API

En la API REST, haz una solicitud GET al método showVcenterCredentials y proporciona el ID de usuario de la solución:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Haz los cambios siguientes:

  • PROJECT_ID: el proyecto de esta solicitud
  • ZONE: la zona de la nube privada
  • PRIVATE_CLOUD_NAME: la nube privada de esta solicitud
  • USERNAME_ID: uno de los IDs de usuario de la solución

Cambiar la contraseña de un usuario de la solución

Para cambiar la contraseña de un usuario de una solución, sigue estos pasos.

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Haz los cambios siguientes:

  • PRIVATE_CLOUD_NAME: la nube privada de esta solicitud
  • PROJECT_ID: el proyecto de esta solicitud
  • USERNAME_ID: uno de los IDs de usuario de la solución
  • ZONE: la zona de la nube privada

API

En la API REST, haz una solicitud POST al método resetVcenterCredentials y proporciona el ID de usuario de la solución en el cuerpo de la solicitud:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Haz los cambios siguientes:

  • PROJECT_ID: el proyecto de esta solicitud
  • ZONE: la zona de la nube privada
  • USERNAME_ID: uno de los IDs de usuario de la solución

Acciones prohibidas

Cuando VMware Engine detecta alguna de las siguientes acciones prohibidas, revierte los cambios para asegurarse de que el servicio no se interrumpa.

Acciones de clúster

No se pueden realizar las siguientes acciones en el clúster:

  • Eliminar un clúster de vCenter
  • Cambiar la alta disponibilidad (HA) de vSphere en un clúster
  • Añadir un host al clúster desde vCenter
  • Quitar un host del clúster desde vCenter
  • Cambiar vSphere Distributed Resource Scheduler (DRS) en un clúster
  • Crear centros de datos en VMware Engine

Acciones del anfitrión

No se permiten las siguientes acciones del anfitrión:

  • Añadir o eliminar almacenes de datos en un host ESXi. Puedes montar un almacén de datos de recuperación ante desastres temporal, pero no se aplicarán los acuerdos de nivel de servicio.
  • Desinstalar el agente de vCenter del host
  • Modificar la configuración del host
  • Hacer cambios en los perfiles de anfitrión
  • Poner un host en modo de mantenimiento

Acciones de red

Las siguientes acciones de red están prohibidas en vCenter Server:

  • Eliminar el conmutador virtual distribuido (DVS) predeterminado en una nube privada
  • Eliminar un host del DVS predeterminado
  • Importar cualquier ajuste de DVS
  • Reconfigurar cualquier ajuste de DVS
  • Actualizar cualquier DVS
  • Eliminar el grupo de puertos de gestión
  • Editar el grupo de puertos de gestión

Las siguientes acciones de red están prohibidas en NSX Manager:

  • Añadir un nuevo nodo de NSX Edge
  • Cambiar un nodo NSX Edge

Acciones de roles y permisos

No se pueden llevar a cabo las siguientes acciones de roles y permisos:

  • Modificar o eliminar el permiso de cualquier objeto de gestión
  • Modificar o eliminar cualquier rol predeterminado
  • Aumentar los privilegios de un rol a un nivel superior al del rol Propietario de Cloud
  • Añadir usuarios y grupos al grupo Administrador en vCenter
  • Añadir usuarios y grupos de Active Directory al grupo Administrador en vCenter

Otras acciones

Además, están prohibidas las siguientes acciones:

  • Para quitar licencias predeterminadas, sigue estos pasos:
    • Servidor de vCenter
    • Nodos ESXi
    • NSX
    • HCX
  • Modificar o eliminar el grupo de recursos de gestión.
  • Clonar VMs de gestión.
  • Asignar una red de gestión a una máquina virtual de carga de trabajo.
  • Usar una dirección IP del intervalo de direcciones IP internas de gestión para una máquina virtual de carga de trabajo.
  • Cambiar el nombre del centro de datos.
  • Cambiar el nombre del clúster.
  • Configurar el reenvío de syslog mediante la interfaz de gestión de vCenter Server Appliance (VAMI).
  • Configurar el reenvío de syslog en hosts ESXi directamente mediante la interfaz de usuario de vCenter. En su lugar, usa el portal de VMware Engine o la CLI de Google Cloud para configurar el reenvío de syslog en vCenter Server o en hosts ESXi.
  • Unir tu instancia de vCenter de Private Cloud a un dominio de Active Directory.
  • Restablecer las credenciales de inicio de sesión de vCenter o NSX mediante herramientas de VMware, llamadas a la API o dispositivos de gestión (gestor de vCenter o NSX). Te recordamos que puedes recuperar o restablecer las credenciales generadas, incluidas las actualizaciones de contraseñas, desde la página de detalles de la nube privada en el portal de VMware Engine.
  • Cambiar los intervalos de recogida de estadísticas o los niveles de estadísticas en vSphere Client.

Siguientes pasos