Eleva i privilegi di VMware Engine

I privilegi di Google Cloud VMware Engine concedono agli utenti di vCenter i privilegi necessari per eseguire le operazioni normali. Alcune funzioni amministrative richiedono privilegi aggiuntivi in vCenter del cloud privato.

Google Cloud VMware Engine ora è integrato con la console Google Cloud , ma l'integrazione non fornisce la funzionalità Eleva privilegio. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:

  • Configurare le origini identità
  • Eseguire la gestione degli utenti
  • Eliminare un gruppo di porte distribuito
  • Creazione di account di servizio

Account utente della soluzione

Alcuni strumenti e prodotti utilizzati con il tuo cloud privato potrebbero richiedere che un utente disponga di privilegi amministrativi in vSphere. Quando crei un cloud privato, VMware Engine crea anche account utente con privilegi amministrativi che puoi utilizzare per strumenti e prodotti di terze parti. Vengono creati più account utente della soluzione per gestire diverse applicazioni. Utilizzando un account utente della soluzione specifico, puoi controllare le azioni eseguite da ogni applicazione. Questo documento fornisce indicazioni sulla gestione di questi account utente della soluzione in vSphere.

Ecco alcuni esempi di strumenti e prodotti che richiedono privilegi amministrativi durante la configurazione:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Prima di iniziare

Prima di accedere a uno strumento o prodotto di terze parti con un account utente della soluzione, verifica che lo strumento o il prodotto richieda privilegi amministrativi. Se lo strumento o il prodotto richiede privilegi già forniti da Cloud-Owner-Role, crea un nuovo utente e aggiungilo a Cloud-Owner-Group.

Puoi utilizzare uno dei seguenti ID utente della soluzione integrata:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Ottenere una password utente della soluzione

Per ottenere la password di un utente della soluzione, segui questi passaggi.

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • PROJECT_ID: il progetto per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, invia una richiesta GET al metodo showVcenterCredentials e fornisci l'ID utente della soluzione:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • ZONE: la zona del cloud privato
  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione

Reimpostare la password dell'utente della soluzione

Per reimpostare la password di un utente della soluzione, segui questi passaggi.

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • PROJECT_ID: il progetto per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, effettua una richiesta POST al metodo resetVcenterCredentials e fornisci l'ID utente della soluzione nel corpo della richiesta:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • ZONE: la zona del cloud privato
  • USERNAME_ID: uno degli ID utente della soluzione

Azioni vietate

Quando VMware Engine rileva una delle seguenti azioni vietate, VMware Engine ripristina le modifiche per garantire che il servizio rimanga ininterrotto.

Azioni del cluster

Le seguenti azioni del cluster sono vietate:

  • Rimozione di un cluster da vCenter
  • Modifica dell'alta disponibilità (HA) di vSphere su un cluster
  • Aggiunta di un host al cluster da vCenter
  • Rimozione di un host dal cluster da vCenter
  • Modifica di vSphere Distributed Resource Scheduler (DRS) su un cluster
  • Creazione di nuovi data center in VMware Engine

Azioni dell'host

Le seguenti azioni dell'host sono vietate:

  • Aggiunta o rimozione di datastore su un host ESXi. Puoi montare un datastore di ripristino di emergenza temporaneo, ma i contratti di servizio non verranno applicati.
  • Disinstallazione dell'agente vCenter dall'host
  • Modifica della configurazione host
  • Apportare modifiche ai profili degli host
  • Inserimento di un host in modalità di manutenzione

Azioni di rete

Le seguenti azioni di rete sono vietate in vCenter Server:

  • Eliminazione del distributed virtual switch (DVS) predefinito in un cloud privato
  • Rimozione di un host dal DVS predefinito
  • Importazione di qualsiasi impostazione DVS
  • Riconfigurazione di qualsiasi impostazione DVS
  • Eseguire l'upgrade di qualsiasi DVS
  • Eliminazione del gruppo di porte di gestione
  • Modificare il gruppo di porte di gestione

Le seguenti azioni di rete sono vietate in NSX Manager:

  • Aggiunta di un nuovo nodo NSX Edge
  • Modificare un nodo NSX Edge esistente

Azioni di ruoli e autorizzazioni

Le seguenti azioni relative a ruoli e autorizzazioni sono vietate:

  • Modifica o eliminazione dell'autorizzazione per qualsiasi oggetto di gestione
  • Modifica o rimozione di eventuali ruoli predefiniti
  • Aumenta i privilegi di un ruolo a un livello superiore a quello di Cloud-Proprietario-Role
  • Aggiunta di utenti e gruppi al gruppo Amministratore su vCenter
  • Aggiunta di utenti e gruppi di Active Directory al gruppo Amministratore su vCenter

Altre azioni

Sono inoltre vietate le seguenti azioni:

  • Rimozione di eventuali licenze predefinite:
    • vCenter Server
    • Nodi ESXi
    • NSX
    • HCX
  • Modifica o eliminazione del pool di risorse di gestione.
  • Clonazione delle VM di gestione.
  • Assegnazione di una rete di gestione a una VM del workload.
  • Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni di gestione per una VM del workload.
  • Ridenominazione del data center.
  • Ridenominazione del cluster in corso…
  • Configurazione dell'inoltro di syslog utilizzando l'interfaccia di gestione di vCenter Server Appliance (VAMI).
  • Configurazione dell'inoltro di syslog sugli host ESXi direttamente utilizzando l'interfaccia utente di vCenter. Utilizza invece il portale VMware Engine o Google Cloud CLI per configurare l'inoltro di syslog per vCenter Server o host ESXi.
  • Unire vCenter del tuo cloud privato a un dominio Active Directory.
  • Reimpostazione delle credenziali di accesso a vCenter o NSX utilizzando gli strumenti VMware, le chiamate API o le appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti della password, dalla pagina dei dettagli del cloud privato nel portale VMware Engine.
  • Modifica degli intervalli di raccolta delle statistiche o dei livelli delle statistiche in vSphere Client.

Passaggi successivi