Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הדרישות של vSphere

‫Google Distributed Cloud פועל במתחם שלכם בסביבת vSphere. במסמך הזה מפורטות הדרישות לסביבת vSphere.

הדף הזה מיועד לאדמינים ולארכיטקטים שמגדירים פתרונות IT וארכיטקטורת מערכות בהתאם לאסטרטגיה של החברה, ויוצרים ומנהלים מדיניות שקשורה להרשאות משתמשים. מידע נוסף על תפקידים נפוצים ומשימות לדוגמה שאנחנו מתייחסים אליהם בתוכן זמין במאמר תפקידים נפוצים של משתמשים ומשימות ב-GKE. Google Cloud

תאימות גרסאות

הדרישות של vSphere משתנות בהתאם לגרסה של Google Distributed Cloud שבה אתם משתמשים. מידע נוסף זמין במטריצת התאימות של הגרסאות שנתמכות באופן מלא.

גרסאות נתמכות

‫vSphere היא תוכנה לווירטואליזציה של שרתים מבית VMware. ‏vSphere כוללת את ESXi ואת vCenter Server.

‫Google Distributed Cloud תומך בגרסאות הבאות של ESXi ושל vCenter Server

‫7.0 Update 2 ועדכונים מאוחרים יותר של גרסה 7.0
עדכונים מגרסה 8.0 ואילך

מומלץ להשתמש בגרסה 8.0, בגרסה 7.0 עדכון 3 או בעדכון מאוחר יותר של גרסה 7.0.

אם רוצים ליצור תמונות מצב של נפח CSI, צריך להשתמש באחת מהגרסאות הבאות:

‫7.0 Update 3 או עדכון מאוחר יותר של גרסה 7.0
גרסה 8.0 או עדכון מאוחר יותר של גרסה 8.0

דרישות לגבי רישיונות

צריך אחד מהרישיונות הבאים:

רישיון vSphere Enterprise Plus. בנוסף לרישיון הזה, אתם צריכים מינוי תמיכה בתוקף.
רישיון vSphere Standard. בנוסף לרישיון הזה, אתם צריכים מינוי תמיכה בתוקף. עם הרישיון הזה, אי אפשר להפעיל קבוצות למניעת זיקה. בנוסף, אי אפשר לציין מאגר משאבים משלכם. חובה להשתמש במאגר ברירת המחדל של המשאבים.

דרישות חומרה

‫Google Distributed Cloud פועל על קבוצה של מארחים פיזיים שמריצים את ה-hypervisor של VMware ESXi. מידע על דרישות החומרה של ESXi זמין במאמר ESXi Hardware Requirements.

בסביבות ייצור, מומלץ מאוד:

מפעילים את VMware Distributed Resource Scheduler (DRS).
צריכים להיות לפחות ארבעה מארחי ESXi שזמינים למכונות ה-VM באשכול.
אם אתם מתכננים לפרוס אשכולות Anthos ב-VMware באשכולות vSphere שונים או במאגרי משאבים שונים באותו מרכז נתונים של vSphere, אתם צריכים להפעיל תעבורת Network File Copy (NFC) בין מארחי ESXi כדי לאפשר שיתוף של תבניות מערכת הפעלה.
מגדירים את antiAffinityGroups.enabled לערך true בקובצי התצורה של האשכול.

אם מגדירים את antiAffinityGroups.enabled ל-true, ‏ Google Distributed Cloud יוצר כללי אנטי-אפיניות של DRS לצמתי האשכול, וכתוצאה מכך הם מתפרסים על פני לפחות שלושה מארחי ESXi פיזיים. למרות שכללי ה-DRS מחייבים שצמתי האשכול יתפרסו על פני שלושה מארחי ESXi, אנחנו ממליצים מאוד שיהיו לכם לפחות ארבעה מארחי ESXi זמינים. כך מונעים מצב שבו מאבדים את מישור הבקרה של האשכול. לדוגמה, נניח שיש לכם רק שלושה מארחי ESXi, וצומת מישור הבקרה של אשכול האדמין נמצא במארח ESXi שנכשל. כלל ה-DRS ימנע את ההצבה של צומת מישור הבקרה באחד משני מארחי ה-ESXi שנותרו.

לצורך הערכה והוכחת היתכנות, אפשר להגדיר את antiAffinityGroups.enabled ל-false ולהשתמש רק במארח ESXi אחד. מידע נוסף מופיע במאמר בנושא הגדרת תשתית מינימלית.

הרשאות בחשבון משתמש ב-vCenter

כדי להגדיר סביבת vSphere, אדמין ארגוני יכול להשתמש בחשבון משתמש ב-vCenter עם תפקיד האדמין ב-vCenter Server. לתפקיד הזה מוקצית גישה מלאה לכל האובייקטים ב-vSphere.

אחרי שמגדירים את סביבת vSphere, אדמין של אשכול יכול ליצור אשכולות אדמין ואשכולות משתמשים. לאדמין של האשכול לא צריך להיות את כל ההרשאות שניתנות בתפקיד האדמין של vCenter Server.

כשמנהל אשכול או מפתח יוצרים אשכול, הם מספקים חשבון משתמש ב-vCenter בקובץ תצורה של פרטי הכניסה. מומלץ להקצות לחשבון המשתמש ב-vCenter שמופיע בקובץ ההגדרות של פרטי הכניסה תפקידים בהתאמה אישית עם הרשאות מינימליות שנדרשות ליצירה ולניהול של אשכול.

אדמין בארגון יכול לבחור באחת משתי גישות שונות:

ליצור כמה תפקידים עם רמות שונות של הרשאות. לאחר מכן יוצרים הרשאות שמקצות את התפקידים המוגבלים האלה למשתמש או לקבוצה באובייקטים ספציפיים של vSphere.
יוצרים תפקיד אחד עם כל ההרשאות הנדרשות. לאחר מכן יוצרים הרשאה גלובלית שמקצה את התפקיד הזה למשתמש או לקבוצה מסוימים בכל האובייקטים בהיררכיות של vSphere.

אנחנו ממליצים על הגישה הראשונה, כי היא מגבילה את הגישה ומגבירה את האבטחה של סביבת vCenter Server. מידע נוסף זמין במאמרים בנושא שימוש בתפקידים להקצאת הרשאות ושיטות מומלצות לשימוש בתפקידים ובהרשאות.

מידע על השימוש בגישה השנייה זמין במאמר בנושא יצירת הרשאה גלובלית אחת.

בטבלה הבאה מוצגים ארבעה תפקידים בהתאמה אישית שאדמין בארגון יכול ליצור. לאחר מכן האדמין יכול להשתמש בתפקידים המותאמים אישית כדי להקצות הרשאות לאובייקטים ספציפיים ב-vSphere:

תפקיד בהתאמה אישית	הרשאות	Objects	האם להעביר את ההגדרה לאובייקטים צאצאים?
ClusterEditor	‫System.Read System.View System.Anonymous Host.Inventory.Modify cluster	cluster	כן
SessionValidator	‫System.Read ‫System.View ‫System.Anonymous ‫Sessions.Validate session ‫Cns.Searchable ‫Profile-driven storage.Profile-driven storage view	שרת vCenter הבסיסי	לא
ReadOnly	System.Read System.View System.Anonymous	data center network	כן
Anthos	הרשאות בתפקיד ב-Anthos	datastore resource pool VM folder network	כן

הרשאות בתפקיד בהתאמה אישית ב-Anthos

צפייה בהרשאות בתפקיד בהתאמה אישית ב-Anthos.

קטגוריה	הרשאות
Cloud Native Store	זמין בחיפוש
Datastore	הקצאת מרחב עיון במאגר הנתונים הגדרת מאגר הנתונים פעולות ברמה נמוכה בקבצים הסרת הקובץ עדכון קבצים של מכונה וירטואלית עדכון המטא-נתונים של המכונה הווירטואלית
פעולות קריפטוגרפיות	גישה ישירה
תיקייה	יצירת תיקייה מחיקת התיקייה העברת תיקייה שינוי השם של התיקייה
מלאי שטחי פרסום במארח	שינוי אשכול
תיוג ב-vSphere	יצירת תג vSphere מחיקת תג vSphere הקצאה או ביטול הקצאה של תג vSphere הקצאה או ביטול הקצאה של תג vSphere לאובייקט (vSphere 7)
אימונים	אימות השיחה שנקבעה
רשת	הקצאת רשת
משאב	יישום ההמלצה הקצאת מכונה וירטואלית למאגר משאבים העברת מכונה וירטואלית כשהיא כבויה העברה של מכונה וירטואלית מופעלת שאילתת vMotion
תצוגות אחסון	הצגה
מערכת	אנונימי קריאה הצגה
Tasks	יצירת משימה עדכון המשימה
vApp	ייבוא הגדרת אפליקציה ב-vApp הגדרת מופע של vApp
מכונה וירטואלית	Configuration הוספת דיסק קיים הוספת דיסק חדש הוספה או הסרה של מכשיר הגדרה מתקדמת שינוי מספר ליבות ה-CPU שינוי המשאב הגדרת managedBy הפעלה או השבתה של מעקב אחר שינויים בדיסק קבלת הרשאה לשימוש בדיסק הצגת הגדרות החיבור הרחבת דיסק וירטואלי הגדרת התקן USB של המארח. משנים את הזיכרון. שינוי הגדרות המכשיר שאילתה על תאימות של סבילות לשגיאות שאילתה לגבי קבצים שלא בבעלותכם מגדירים את Raw Device. טעינה מחדש מנתיב הסרת דיסק שנה שם איפוס פרטי האורח הגדרת הערה משנים את ההגדרות. שינוי המיקום של קובץ ההחלפה. החלפת מצב של הורה של הסתעפות שדרוג התאימות של המכונה הווירטואלית פעולות אורח שינוי הכינוי של פעולת האורח שאילתה של כינוי פעולה לאורח שינויים בפעולות של משתמשים אורחים הפעלת תוכנית פעולות לאורחים שאילתות לגבי פעולות של אורחים אינטראקציה הוספת תשובה לשאלה פעולת גיבוי במכונה וירטואלית הגדרת מדיה של תקליטורים הגדרת מדיה של תקליטונים אינטראקציה עם המסוף שליחת צילום מסך ביצוע דה-פרגמנטציה לכל הדיסקים חיבור המכשיר גרירה ושחרור ניהול מערכת הפעלה של אורח באמצעות VIX API החדרת קודי סריקה של מכשירי ממשק אנושי (HID) ב-USB השהיה או ביטול ההשהיה ביצוע פעולות של איפוס נתונים או הקטנה כיבוי הפעלה הקלטת סשן במכונה וירטואלית הפעלה חוזרת של סשן במכונה וירטואלית איפוס המשך של סבילות לתקלות השעה השעיית סבילות לתקלות בדיקת מעבר לגיבוי (failover) הפעלה מחדש של בדיקה ב-VM המשני השבתת סבילות לשגיאות הפעלת סבילות לתקלות התקנה של VMware Tools מלאי יצירה מתוך פריט קיים יצירת משאב חדש העברה הרשמה הסרה בטל רישום הקצאת הרשאות אישור גישה לדיסק אפשר לגשת לקבצים הרשאת גישה לקריאה בלבד לדיסק הרשאה להורדת מכונה וירטואלית הרשאה להעלות קבצים של מכונות וירטואליות שכפול תבנית שכפול מכונה וירטואלית יצירת תבנית ממכונה וירטואלית התאמה אישית של האורח. פריסת תבנית סימון כתבנית סימון כמכונה וירטואלית שינוי הגדרות ההתאמה האישית קידום דיסקים קריאת מפרטים של התאמה אישית הגדרת שירות אישור קבלת ההתראות התרת שליחת בקשות לשרת כדי לבדוק אם יש התראות על אירועים גלובליים ניהול הגדרות השירות שינוי הגדרת השירות הגדרות שירות של שאילתות קריאת הגדרת השירות ניהול תמונות מצב יצירת קובץ snapshot הסרת תמונת מצב שינוי השם של תמונת המצב חזרה לתמונת מצב רפליקציה ב-vSphere הגדרת שכפול ניהול הרפליקציה מעקב אחר שכפול

יצירה של תפקידים והרשאות בהתאמה אישית

אדמין בארגון יכול להשתמש בכלי govc של שורת הפקודה כדי ליצור תפקידים והרשאות בהתאמה אישית.

למנהל חשבון ארגוני צריך להיות חשבון ב-vCenter Server עם הרשאות מספיקות ליצירת תפקידים והרשאות. לדוגמה, חשבון עם תפקיד אדמין יתאים.

לפני שמריצים את govc, מגדירים כמה משתני סביבה:

מגדירים את GOVC_URL לכתובת ה-URL של המופע של vCenter Server.
מגדירים את GOVC_USERNAME לשם המשתמש בחשבון vCenter Server של האדמין בארגון.
מגדירים את GOVC_PASSWORD לסיסמה של חשבון vCenter Server של האדמין בארגון.

לדוגמה:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

יצירת תפקידים מותאמים אישית

יוצרים את התפקידים בהתאמה אישית ClusterEditor,‏ SessionValidator ו-ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

מציגים את הפקודה ליצירת תפקיד בהתאמה אישית ב-Anthos.

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

יצירת הרשאה שמעניקה את התפקיד ClusterEditor

הרשאה מקבלת צמד (משתמש, תפקיד) ומשייכת אותו לאובייקט. כשמקצים הרשאה לאובייקט, אפשר לציין אם ההרשאה תועבר לאובייקטים צאצאים. ב-govc, מגדירים את הדגל --propagate לערך true או false. ערך ברירת המחדל הוא false.

יוצרים הרשאה שמעניקה למשתמש את התפקיד ClusterEditor באובייקט של אשכול. ההרשאה הזו מועברת לכל אובייקטי הצאצא של אובייקט האשכול:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

מחליפים את מה שכתוב בשדות הבאים:

‫ACCOUNT: חשבון המשתמש ב-vCenter Server שמקבל את התפקיד
‫CLUSTER_PATH: הנתיב של האשכול בהיררכיית האובייקטים של vSphere

לדוגמה, הפקודה הבאה יוצרת הרשאה שמשייכת את הצמד (bob@vsphere.local, ClusterEditor עם my-dc/host/my-cluster. ההרשאה מועברת לכל אובייקטי הצאצא של my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

יצירת הרשאות נוספות

בקטע הזה יש דוגמאות ליצירת הרשאות נוספות. מחליפים את נתיבי האובייקטים לדוגמה לפי הצורך בסביבה שלכם.

יוצרים הרשאה שמעניקה את התפקיד SessionValidator לחשבון באובייקט הבסיסי של vCenter Server. ההרשאה הזו לא מועברת לאובייקטים משניים:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

יוצרים הרשאות שמעניקות לחשבון את התפקיד ReadOnly באובייקט של מרכז נתונים ובאובייקט של רשת. ההרשאות האלה מועברות לאובייקטים צאצאים:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

יוצרים הרשאות שמעניקות את תפקיד Anthos לחשבון בארבעה אובייקטים: מאגר נתונים, תיקיית מכונה וירטואלית, מאגר משאבים ורשת. הרשאות האלה מועברות לאובייקטים צאצאים:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

יצירת הרשאה גלובלית אחת

בקטע הזה מוצגת חלופה ליצירה של כמה תפקידים וכמה הרשאות. אנחנו לא ממליצים על הגישה הזו כי היא מעניקה קבוצה גדולה של הרשאות לכל האובייקטים בהיררכיות של vSphere.

אם עדיין לא יצרתם תפקיד בהתאמה אישית ב-Anthos, צריך ליצור אותו עכשיו.

יוצרים הרשאה גלובלית אחת:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true