提升 VMware Engine 權限

Google Cloud VMware Engine 權限可授予 vCenter 使用者執行一般作業所需的權限。部分管理功能需要私有雲 vCenter 的額外權限。

Google Cloud VMware Engine 現已與 Google Cloud 控制台整合,但這項整合功能不提供「提升權限」功能。如要執行這些工作,您可以使用解決方案使用者帳戶:

  • 設定識別資訊來源
  • 執行使用者管理
  • 刪除分散式通訊埠群組
  • 建立服務帳戶

解決方案使用者帳戶

使用私有雲時,部分工具和產品可能需要使用者具備 vSphere 管理員權限。建立私有雲時,VMware Engine 也會建立具備管理員權限的使用者帳戶,供您用於第三方工具和產品。建立多個解決方案使用者帳戶,用來管理不同應用程式。使用特定解決方案使用者帳戶,即可稽核每個應用程式執行的動作。本文將說明如何在 vSphere 中管理這些解決方案使用者帳戶。

以下列舉一些在設定時需要管理員權限的工具和產品:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

事前準備

使用解決方案使用者帳戶登入第三方工具或產品前,請先確認該工具或產品是否需要管理員權限。如果工具或產品需要 權限,而 Cloud-Owner-Role 已提供這些權限,請建立新使用者,然後將使用者加入 Cloud-Owner-Group

您可以使用下列任何內建解決方案使用者 ID:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

取得解決方案使用者密碼

如要取得解決方案使用者密碼,請按照下列步驟操作。

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

更改下列內容:

  • PRIVATE_CLOUD_NAME:此要求的 Private Cloud
  • PROJECT_ID:這項要求所屬的專案
  • USERNAME_ID:解決方案使用者 ID 之一
  • ZONE:Private Cloud 的可用區

API

在 REST API 中,向 showVcenterCredentials 方法發出 GET 要求,並提供解決方案使用者 ID:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

更改下列內容:

  • PROJECT_ID:這項要求所屬的專案
  • ZONE:Private Cloud 的可用區
  • PRIVATE_CLOUD_NAME:此要求的 Private Cloud
  • USERNAME_ID:解決方案使用者 ID 之一

重設解決方案使用者密碼

如要重設解決方案使用者密碼,請按照下列步驟操作。

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

更改下列內容:

  • PRIVATE_CLOUD_NAME:此要求的 Private Cloud
  • PROJECT_ID:這項要求所屬的專案
  • USERNAME_ID:解決方案使用者 ID 之一
  • ZONE:Private Cloud 的可用區

API

在 REST API 中,向 resetVcenterCredentials 方法發出 POST 要求,並在要求主體中提供解決方案使用者 ID:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

更改下列內容:

  • PROJECT_ID:這項要求所屬的專案
  • ZONE:Private Cloud 的可用區
  • USERNAME_ID:解決方案使用者 ID 之一

禁止執行的動作

如果 VMware Engine 偵測到下列任何禁止動作,就會還原變更,確保服務不受影響。

叢集動作

禁止的叢集動作如下:

  • 從 vCenter 移除叢集
  • 變更叢集上的 vSphere 高可用性 (HA)
  • 從 vCenter 將主機新增至叢集
  • 從 vCenter 移除叢集中的主機
  • 變更叢集上的 vSphere Distributed Resource Scheduler (DRS)
  • 在 VMware Engine 中建立新的資料中心

主辦人動作

禁止下列主辦人動作:

  • 在 ESXi 主機上新增或移除資料存放區;您可以掛接暫時的災難復原資料存放區,但服務水準協議不適用
  • 從主機解除安裝 vCenter 代理程式
  • 修改主機設定
  • 變更主辦人個人資料
  • 將主機設為維護模式

網路動作

vCenter Server 禁止下列網路動作:

  • 刪除私有雲中的預設分散式虛擬交換器 (DVS)
  • 從預設 DVS 移除主機
  • 匯入任何 DVS 設定
  • 重新設定任何 DVS 設定
  • 升級任何 DVS
  • 刪除管理連接埠群組
  • 編輯管理連接埠群組

NSX Manager 禁止下列網路動作:

  • 新增 NSX Edge 節點
  • 變更現有的 NSX Edge 節點

角色和權限動作

禁止下列角色和權限動作:

  • 修改或刪除任何管理物件的權限
  • 修改或移除任何預設角色
  • 將角色的權限提高至高於 Cloud-Owner-Role
  • 將使用者和群組新增至 vCenter 的管理員群組
  • 將任何 Active Directory 使用者和群組新增至 vCenter 的管理員群組

其他動作

此外,我們也禁止下列行為:

  • 移除任何預設授權:
    • vCenter Server
    • ESXi 節點
    • NSX
    • HCX
  • 修改或刪除管理資源集區。
  • 複製管理 VM。
  • 將管理網路指派給工作負載 VM。
  • 為工作負載 VM 使用管理內部 IP 位址範圍內的 IP 位址。
  • 重新命名資料中心。
  • 重新命名叢集。
  • 使用 vCenter Server Appliance Management Interface (VAMI) 設定系統記錄轉送。
  • 直接使用 vCenter 使用者介面,在 ESXi 主機上設定系統記錄轉送功能。請改用 VMware Engine 入口網站或 Google Cloud CLI,為 vCenter Server 或 ESXi 主機設定系統記錄轉送。
  • 將私有雲 vCenter 加入 Active Directory 網域。
  • 使用 VMware 工具、API 呼叫或管理設備 (vCenter/NSX 管理員) 重設 vCenter 或 NSX 登入憑證。提醒您,您可以從 VMware Engine 入口網站的私有雲詳細資料頁面擷取或重設產生的憑證,包括更新密碼。
  • 在 vSphere Client 中變更統計資料收集間隔或統計資料層級。

後續步驟