Berechtigungen für VMware Engine ausweiten

Mit Google Cloud VMware Engine-Berechtigungen erhalten vCenter-Nutzer die Berechtigungen, die sie für normale Vorgänge benötigen. Einige Verwaltungsfunktionen erfordern zusätzliche Berechtigungen im Private Cloud-vCenter.

Google Cloud VMware Engine ist jetzt in die Google Cloud Google Cloud Console eingebunden, bietet aber nicht die Funktion Berechtigung ausweiten. Für diese Aufgaben können Sie ein Lösungsnutzerkonto verwenden, um Folgendes zu tun:

  • Identitätsquellen konfigurieren
  • Nutzerverwaltung durchführen
  • Verteilte Portgruppe löschen
  • Dienstkonten erstellen

Lösungsnutzerkonten

Einige Tools und Produkte, die mit Ihrer privaten Cloud verwendet werden, erfordern unter Umständen einen Nutzer mit Administratorberechtigungen in vSphere. Wenn Sie eine private Cloud erstellen, erstellt VMware Engine auch Nutzerkonten mit Administratorberechtigungen, die Sie mit Tools und Produkten von Drittanbietern verwenden können. Es werden mehrere Lösungsnutzerkonten zum Verwalten verschiedener Anwendungen erstellt. Mit einem bestimmten Lösungsnutzerkonto können Sie die Aktionen prüfen, die von jeder Anwendung ausgeführt werden. Dieses Dokument enthält Anleitungen zum Verwalten dieser Lösungsnutzerkonten in vSphere.

Hier finden Sie einige Beispiele für Tools und Produkte, für die während der Einrichtung Administratorberechtigungen erforderlich sind:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Logo: Zerto

Hinweis

Bevor Sie sich mit einem Lösungsnutzerkonto bei einem Drittanbieter-Tool oder -Produkt anmelden, prüfen Sie, ob das Tool oder das Produkt Administratorberechtigungen erfordert. Wenn für das Tool oder Produkt Berechtigungen erforderlich sind, die bereits durch Cloud-Owner-Role bereitgestellt werden, erstellen Sie einen neuen Nutzer und fügen Sie den Nutzer zu Cloud-Owner-Group hinzu.

Sie können eine der folgenden integrierten Lösungsnutzer-IDs verwenden:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Passwort für Lösungsnutzer abrufen

So rufen Sie ein Passwort für einen Lösungsnutzer ab:

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Ersetzen Sie Folgendes:

  • PRIVATE_CLOUD_NAME: die private Cloud für diese Anfrage
  • PROJECT_ID: das Projekt für diese Anfrage
  • USERNAME_ID: eine der Lösungsnutzer-IDs
  • ZONE: die Zone der privaten Cloud

API

Senden Sie in der REST API eine GET-Anfrage an die Methode showVcenterCredentials und geben Sie die Lösungsnutzer-ID an:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: das Projekt für diese Anfrage
  • ZONE: die Zone der privaten Cloud
  • PRIVATE_CLOUD_NAME: die private Cloud für diese Anfrage
  • USERNAME_ID: eine der Lösungsnutzer-IDs

Passwort für Lösungsnutzer zurücksetzen

So setzen Sie das Passwort für einen Lösungsnutzer zurück:

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Ersetzen Sie Folgendes:

  • PRIVATE_CLOUD_NAME: die private Cloud für diese Anfrage
  • PROJECT_ID: das Projekt für diese Anfrage
  • USERNAME_ID: eine der Lösungsnutzer-IDs
  • ZONE: die Zone der privaten Cloud

API

Senden Sie in der REST API eine POST-Anfrage an die Methode resetVcenterCredentials und geben Sie die Lösungsnutzer-ID im Anfragetext an:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: das Projekt für diese Anfrage
  • ZONE: die Zone der privaten Cloud
  • USERNAME_ID: eine der Lösungsnutzer-IDs

Unzulässige Aktionen

Wenn VMware Engine eine der folgenden unzulässigen Aktionen erkennt, macht VMware Engine die Änderungen rückgängig, damit der Dienst nach Möglichkeit nicht unterbrochen wird. Wenn Sie eine unzulässige Aktion ausführen, kann es passieren, dass Sie nicht mehr auf die private Cloud zugreifen können. Bestimmte Aktionen wie das Löschen von Verwaltungs-VMs sind nicht rückgängig zu machen. In solchen Fällen empfiehlt der VMware Engine-Support möglicherweise die Notfallwiederherstellung oder das Erstellen einer neuen privaten Cloud, um Ihre Arbeitslast-VMs aus der Sicherung wiederherzustellen.

Clusteraktionen

Die folgenden Clusteraktionen sind nicht zulässig:

  • Cluster aus vCenter entfernen
  • vSphere Hochverfügbarkeit (HA) für einen Cluster ändern
  • Host aus vCenter zum Cluster hinzufügen
  • Host aus dem Cluster aus vCenter entfernen
  • vSphere Distributed Resource Scheduler (DRS) in einem Cluster ändern
  • Neue Rechenzentren in VMware Engine erstellen

Hostaktionen

Die folgenden Hostaktionen sind nicht zulässig:

  • Datenspeicher auf einem ESXi-Host hinzufügen oder entfernen. Sie können einen temporären Notfallwiederherstellungs-Datenspeicher einbinden, aber SLAs gelten nicht.
  • vCenter-Agent vom Host deinstallieren
  • Hostkonfiguration ändern
  • Änderungen an den Hostprofilen vornehmen
  • Host im Wartungsmodus einrichten

Netzwerkaktionen

Die folgenden Netzwerkaktionen sind in vCenter Server nicht zulässig:

  • Standardmäßigen verteilten virtuellen Switch (DVS) in einer privaten Cloud löschen
  • Host aus dem Standard-DVS entfernen
  • DVS-Einstellungen importieren
  • DVS-Einstellungen neu konfigurieren
  • DVS aktualisieren
  • Portgruppe der Verwaltung löschen
  • Portgruppe der Verwaltung bearbeiten

Die folgenden Netzwerkaktionen sind in NSX Manager nicht zulässig:

  • Neuen NSX-Edge-Knoten hinzufügen
  • Vorhandenen NSX-Edge-Knoten ändern

Aktionen von Rollen und Berechtigungen

Die folgenden Rollen- und Berechtigungsaktionen sind nicht zulässig:

  • Berechtigung zum Verwalten oder Löschen von Verwaltungsobjekten
  • Standardrollen ändern oder entfernen
  • Die Berechtigungen einer Rolle auf einen höheren Wert erhöhen als die Rolle „Cloud-Inhaber“
  • Nutzer und Gruppen zur Administratorgruppe in vCenter hinzufügen
  • Active Directory-Nutzer und -Gruppen zur Administratorgruppe in vCenter hinzufügen

Weitere Aktionen

Außerdem sind die folgenden Aktionen nicht unzulässig:

  • Standardlizenzen entfernen:
    • vCenter-Server
    • ESXi-Knoten
    • NSX
    • HCX
  • Ressourcenpool der Verwaltung ändern oder löschen
  • Verwaltungs-VMs klonen
  • Verwaltungs-VMs löschen
  • NSX-T-Edge-VMs löschen
  • Verwaltungsnetzwerk zu einer Arbeitslast-VM zuweisen
  • Eine IP-Adresse im internen IP-Adressbereich der Verwaltung für eine Arbeitslast-VM verwenden
  • Rechenzentrum umbenennen
  • Cluster umbenennen
  • Das Konfigurieren der Syslog-Weiterleitung mit dem TLS-Protokoll wird nicht unterstützt und ist eine unzulässige Aktion.
  • Syslog-Weiterleitungsregeln mithilfe des vCenter Server Appliance Management Interface (VAMI) konfigurieren
  • Syslog-Weiterleitung direkt auf ESXi-Hosts über die vCenter-Benutzeroberfläche konfigurieren Verwenden Sie stattdessen das VMware Engine-Portal oder die Google Cloud CLI, um die Syslog-Weiterleitung für vCenter Server oder ESXi-Hosts zu konfigurieren.
  • vCenter in Ihrer privaten Cloud mit einer Active Directory-Domain verknüpfen
  • vCenter- oder NSX-Anmeldedaten mithilfe von VMware-Tools, API-Aufrufen oder Management Appliances (vCenter/NSX Manager) zurücksetzen Zur Erinnerung: Sie können generierte Anmeldedaten, einschließlich Passwortaktualisierungen, auf der Seite mit den Details zur privaten Cloud im VMware Engine-Portal abrufen oder zurücksetzen.
  • Statistikebenen oder Intervalle für die Statistikerfassung im vSphere-Client ändern

Nächste Schritte