Aumentare i privilegi di VMware Engine

I privilegi di Google Cloud VMware Engine forniscono agli utenti di vCenter i privilegi necessari per eseguire le normali operazioni. Alcune funzioni amministrative richiedono privilegi aggiuntivi in vCenter del cloud privato.

Google Cloud VMware Engine è ora integrato con la Google Cloud console ma l' integrazione non fornisce la funzionalità Aumenta privilegio. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:

  • Configurare le origini identità
  • Eseguire la gestione degli utenti
  • Eliminare un gruppo di porte distribuite
  • Creare account di servizio

Account utente della soluzione

Alcuni strumenti e prodotti utilizzati con il cloud privato potrebbero richiedere che un utente disponga di privilegi amministrativi in vSphere. Quando crei un cloud privato, VMware Engine crea anche account utente con privilegi amministrativi che puoi utilizzare per gli strumenti e i prodotti di terze parti. Vengono creati più account utente della soluzione per la gestione di diverse applicazioni. Utilizzando un account utente della soluzione specifico, puoi controllare le azioni eseguite da ogni applicazione. Questo documento fornisce indicazioni sulla gestione di questi account utente della soluzione in vSphere.

Ecco alcuni esempi di strumenti e prodotti che richiedono privilegi amministrativi durante la configurazione:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Prima di iniziare

Prima di accedere a uno strumento o a un prodotto di terze parti con un account utente della soluzione, verifica che lo strumento o il prodotto richieda privilegi amministrativi. Se lo strumento o il prodotto richiede privilegi già forniti da Cloud-Owner-Role, allora crea un nuovo utente e aggiungilo a Cloud-Owner-Group.

Puoi utilizzare uno dei seguenti ID utente della soluzione integrati:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Recuperare la password di un utente della soluzione

Per recuperare la password di un utente della soluzione:

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • PROJECT_ID: il progetto per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, invia una richiesta GET al metodo showVcenterCredentials e fornisci l'ID utente della soluzione:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • ZONE: la zona del cloud privato
  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione

Reimpostare la password di un utente della soluzione

Per reimpostare la password di un utente della soluzione:

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • PROJECT_ID: il progetto per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, invia una richiesta POST al metodo resetVcenterCredentials e fornisci l'ID utente della soluzione nel corpo della richiesta:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • ZONE: la zona del cloud privato
  • USERNAME_ID: uno degli ID utente della soluzione

Azioni vietate

Quando VMware Engine rileva una delle seguenti azioni vietate, ripristina le modifiche per garantire che il servizio rimanga ininterrotto, ove possibile. L'esecuzione di un'azione vietata può rendere inaccessibile il cloud privato. Alcune azioni, come l'eliminazione delle VM di gestione, sono irreversibili. In questi scenari, l'assistenza di VMware Engine potrebbe consigliare ripristino di emergenza o la creazione di un nuovo cloud privato per recuperare le VM dei carichi di lavoro dal backup.

Azioni del cluster

Le seguenti azioni del cluster sono vietate:

  • Rimozione di un cluster da vCenter
  • Modifica dell'alta affidabilità (HA) di vSphere su un cluster
  • Aggiunta di un host al cluster da vCenter
  • Rimozione di un host dal cluster da vCenter
  • Modifica di vSphere Distributed Resource Scheduler (DRS) su un cluster
  • Creazione di nuovi data center in VMware Engine

Azioni dell'host

Le seguenti azioni dell'host sono vietate:

  • Aggiunta o rimozione di datastore su un host ESXi; puoi montare un datastore di ripristino di emergenza temporaneo, ma gli SLA non verranno applicati
  • Disinstallazione dell'agente vCenter dall'host
  • Modifica della configurazione dell'host
  • Apportare modifiche ai profili host
  • Attivazione della modalità di manutenzione di un host

Azioni di rete

Le seguenti azioni di rete sono vietate in vCenter Server:

  • Eliminazione del virtual switch distribuito (DVS) predefinito in un cloud privato
  • Rimozione di un host dal DVS predefinito
  • Importazione di qualsiasi impostazione DVS
  • Riconfigurazione di qualsiasi impostazione DVS
  • Upgrade di qualsiasi DVS
  • Eliminazione del gruppo di porte di gestione
  • Modifica del gruppo di porte di gestione

Le seguenti azioni di rete sono vietate in NSX Manager:

  • Aggiunta di un nuovo nodo NSX Edge
  • Modifica di un nodo NSX Edge esistente

Azioni di ruoli e autorizzazioni

Le seguenti azioni di ruoli e autorizzazioni sono vietate:

  • Modifica o eliminazione dell'autorizzazione per qualsiasi oggetto di gestione
  • Modifica o rimozione di qualsiasi ruolo predefinito
  • Aumento dei privilegi di un ruolo a un livello superiore a quello di Cloud-Proprietario-Role
  • Aggiunta di utenti e gruppi al gruppo Amministratori in vCenter
  • Aggiunta di utenti e gruppi di Active Directory al gruppo Amministratori in vCenter

Altre azioni

Inoltre, le seguenti azioni sono vietate:

  • Rimozione di qualsiasi licenza predefinita:
    • vCenter Server
    • Nodi ESXi
    • NSX
    • HCX
  • Modifica o eliminazione del pool di risorse di gestione.
  • Clonazione delle VM di gestione.
  • Eliminazione di qualsiasi VM di gestione.
  • Eliminazione di qualsiasi VM NSX-T Edge.
  • Assegnazione di una rete di gestione a una VM dei carichi di lavoro.
  • Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni di gestione per una VM dei carichi di lavoro.
  • Rinominare il data center.
  • Rinominare il cluster.
  • La configurazione dell'inoltro Syslog utilizzando il protocollo TLS non è supportata ed è un'azione vietata.
  • Configurazione dell'inoltro Syslog utilizzando l'interfaccia di gestione dell'appliance vCenter Server (VAMI).
  • Configurazione dell'inoltro Syslog direttamente sugli host ESXi utilizzando l'interfaccia utente di vCenter. Utilizza invece il portale VMware Engine o la Google Cloud CLI per configurare l'inoltro Syslog per vCenter Server o gli host ESXi.
  • Unione di vCenter del cloud privato a un dominio Active Directory.
  • Reimpostazione delle credenziali di accesso di vCenter o NSX utilizzando gli strumenti VMware, le chiamate API o le appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti delle password, dalla pagina dei dettagli del cloud privato in VMware Engine.
  • Modifica degli intervalli di raccolta delle statistiche o dei livelli di statistiche in vSphere Client.

Passaggi successivi