הרחבת ההרשאות ב-VMware Engine

הרשאות ב-Google Cloud VMware Engine מאפשרות למשתמשי vCenter לבצע פעולות רגילות. חלק מהפונקציות האדמיניסטרטיביות דורשות הרשאות נוספות ב-vCenter של הענן הפרטי.

‫Google Cloud VMware Engine משולב עכשיו במסוף Google Cloud , אבל השילוב לא מספק את התכונה העלאת הרשאות. כדי לבצע את המשימות האלה, אתם יכולים להשתמש בחשבון משתמש של פתרון כדי:

• הגדרה של מקורות זהות
• ביצוע ניהול משתמשים
• מחיקה של קבוצת יציאות מבוזרת
• יצירת חשבונות שירות

חשבונות משתמשים בפתרון

יכול להיות שבחלק מהכלים והמוצרים שבהם אתם משתמשים בענן הפרטי תצטרכו להגדיר למשתמש הרשאות אדמין ב-vSphere. כשיוצרים ענן פרטי,‏ VMware Engine יוצר גם חשבונות משתמשים עם הרשאות אדמין שאפשר להשתמש בהם בכלים ובמוצרים של צד שלישי. נוצרים כמה חשבונות משתמשים בפתרון לניהול אפליקציות שונות. באמצעות חשבון משתמש ספציפי של הפתרון, אפשר לבדוק את הפעולות שבוצעו על ידי כל אפליקציה. במאמר הזה מוסבר איך לנהל את חשבונות המשתמשים של הפתרון ב-vSphere.

הנה כמה דוגמאות לכלים ולמוצרים שדורשים הרשאות אדמין במהלך ההגדרה:

• ‫VMware Site Recovery Manager (SRM)
• VMware Cloud Director
• Zerto

לפני שמתחילים

לפני שנכנסים לכלי או למוצר של צד שלישי באמצעות חשבון משתמש של פתרון, צריך לוודא שהכלי או המוצר דורשים הרשאות אדמין. אם הכלי או המוצר דורשים הרשאות שכבר מסופקות על ידי Cloud-Owner-Role, צריך ליצור משתמש חדש ולהוסיף אותו ל-Cloud-Owner-Group.

אפשר להשתמש בכל אחד ממזהי המשתמשים המובנים הבאים של הפתרון:

• solution-user-01@gve.local
• solution-user-02@gve.local
• solution-user-03@gve.local
• solution-user-04@gve.local
• solution-user-05@gve.local

קבלת סיסמה של משתמש בפתרון

כדי לקבל סיסמה של משתמש בפתרון, פועלים לפי השלבים הבאים.

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

איפוס סיסמת משתמש בפתרון

כדי לאפס את הסיסמה של משתמש בפתרון:

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

פעולות אסורות

כש-VMware Engine מזהה אחת מהפעולות האסורות הבאות, הוא מבטל את השינויים כדי לוודא שהשירות ימשיך לפעול ללא הפרעות, בכל מקרה שאפשר. ביצוע פעולה אסורה עלול לגרום לכך שלא תהיה גישה לענן הפרטי. פעולות מסוימות, כמו מחיקת מכונות וירטואליות לניהול, הן בלתי הפיכות. בתרחישים כאלה, התמיכה של VMware Engine עשויה להמליץ על תוכנית התאוששות מאסון (DR) או על יצירת ענן פרטי חדש כדי לשחזר את המכונות הווירטואליות של עומס העבודה מגיבוי.

פעולות באשכול

אסור לבצע את הפעולות הבאות באשכול:

• הסרת מקבץ מ-vCenter
• שינוי הזמינות הגבוהה (HA) של vSphere באשכול
• הוספת מארח לאשכול מ-vCenter
• הסרת מארח מהאשכול מ-vCenter
• שינוי של vSphere Distributed Resource Scheduler ‏ (DRS) באשכול
• יצירת מרכזי נתונים חדשים ב-VMware Engine
• שיתוף מאגרי נתונים של vSAN בין שני אשכולות או יותר

פעולות של המארח

חל איסור על המארחים לבצע את הפעולות הבאות:

• הוספה או הסרה של מאגרי נתונים במארח ESXi. אפשר לצרף מאגר נתונים זמני לתוכנית התאוששות מאסון (DR), אבל לא יחולו הסכמי רמת שירות (SLA)
• הסרת ההתקנה של סוכן vCenter מהמארח
• שינוי ההגדרות של המארח
• ביצוע שינויים בפרופילים של המארחים
• העברת מארח למצב תחזוקה

פעולות ברשת

אסור לבצע את פעולות הרשת הבאות ב-vCenter Server:

• מחיקת מתג וירטואלי מבוזר (DVS) שמוגדר כברירת מחדל בענן פרטי
• הסרת מארח מ-DVS שמוגדר כברירת מחדל
• ייבוא של כל הגדרת DVS
• הגדרה מחדש של הגדרות DVS
• שדרוג של כל מערכת DVS
• מחיקת קבוצת היציאות לניהול
• עריכת קבוצת היציאות לניהול

אסור לבצע את פעולות הרשת הבאות ב-NSX Manager:

• הוספת צומת NSX Edge חדש
• שינוי של צומת NSX Edge קיים

פעולות של תפקידים והרשאות

חל איסור על הפעולות הבאות שקשורות לתפקידים ולהרשאות:

• שינוי או מחיקה של הרשאה לאובייקטים לניהול
• שינוי או הסרה של תפקידי ברירת מחדל
• הגדלת ההרשאות של תפקיד לרמה גבוהה יותר מזו של Cloud-Owner-Role
• הוספת משתמשים וקבוצות לקבוצת האדמינים ב-vCenter
• הוספת משתמשים וקבוצות של Active Directory לקבוצת האדמינים ב-vCenter

פעולות אחרות

בנוסף, חל איסור על הפעולות הבאות:

• הסרת רישיונות שמוגדרים כברירת מחדל:
  • vCenter Server
  • צמתים של ESXi
  • NSX
  • HCX
• שינוי או מחיקה של מאגר משאבי הניהול.
• שיבוט של מכונות וירטואליות לניהול.
• מחיקת מכונות וירטואליות לניהול.
• מחיקת כל מכונות ה-VM של NSX-T Edge.
• הקצאת רשת ניהול למכונה וירטואלית של עומס עבודה.
• שימוש בכתובת IP בטווח כתובות ה-IP הפנימיות לניהול של מכונה וירטואלית של עומס עבודה.
• שינוי השם של מרכז הנתונים.
• שינוי השם של האשכול.
• הגדרת העברה של Syslog באמצעות פרוטוקול TLS לא נתמכת והיא פעולה אסורה.
• הגדרה של העברת syslog באמצעות ממשק הניהול של vCenter Server Appliance ‏ (VAMI).
• הגדרה של העברת syslog ישירות במארחי ESXi באמצעות ממשק המשתמש של vCenter. במקום זאת, אפשר להשתמש בפורטל VMware Engine או ב-Google Cloud CLI כדי להגדיר העברה של syslog ל-vCenter Server או למארחי ESXi.
• צירוף vCenter בענן הפרטי לדומיין Active Directory.
• איפוס פרטי הכניסה ל-vCenter או ל-NSX באמצעות כלי VMware, קריאות ל-API או מכשירי ניהול (vCenter/NSX manager). תזכורת: אתם יכולים לאחזר או לאפס את פרטי הכניסה שנוצרו, כולל עדכוני סיסמה, בדף הפרטים של הענן הפרטי בפורטל VMware Engine.
• שינוי מרווחי איסוף הנתונים הסטטיסטיים או רמות הנתונים הסטטיסטיים ב-vSphere Client.

המאמרים הבאים

• איך מגדירים מקורות זהות ב-vCenter