VMware Engine の権限の昇格

Google Cloud VMware Engine の権限は、通常の操作を行うために必要な権限を vCenter ユーザーに付与します。一部の管理機能には、プライベート クラウド vCenter の追加の権限が必要になります。

Google Cloud VMware Engine は Google Cloud コンソールと統合されましたが、この統合には権限昇格機能はありません。これらのタスクを実行するには、ソリューション ユーザー アカウントを使用して、次のことを行います。

  • ID ソースを構成する
  • ユーザー管理を行う
  • 分散ポートグループを削除する
  • サービス アカウントを作成する

ソリューション ユーザー アカウント

プライベート クラウドで使用する一部のツールやプロダクトは、vSphere の管理者権限を必要とします。プライベート クラウドを作成すると、サードパーティ ツールやプロダクトで使用できる管理者権限のあるユーザー アカウントも VMware エンジンによって作成されます。さまざまなアプリケーションを管理するために、複数のソリューション ユーザー アカウントが作成されます。特定のソリューション ユーザー アカウントを使用して、各アプリケーションによって実行されたアクションを監査できます。このドキュメントでは、vSphere でこれらのソリューション ユーザー アカウントを管理するためのガイダンスを示します。

セットアップ中に管理者権限を必要とするツールやプロダクトの例を次に示します。

  • VMware Site Recovery Manager(SRM)
  • VMware Cloud Director
  • Zerto

始める前に

ソリューション ユーザー アカウントでサードパーティ ツールまたはプロダクトにログインする前に、そのツールまたはプロダクトに管理者権限が必要であることを確認してください。そのツールまたはプロダクトに、Cloud-Owner-Role によって付与される権限が必要な場合は、代わりに新しいユーザーを作成して Cloud-Owner-Group に追加します。

次のいずれかの組み込みソリューション ユーザー ID を使用できます。

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

ソリューション ユーザーのパスワードを取得する

ソリューション ユーザーのパスワードを取得する手順は次のとおりです。

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

以下のように置き換えます。

  • PRIVATE_CLOUD_NAME: このリクエストのプライベート クラウド
  • PROJECT_ID: このリクエストのプロジェクト
  • USERNAME_ID: いずれかのソリューション ユーザー ID
  • ZONE: プライベート クラウドのゾーン

API

REST API では、showVcenterCredentials メソッドに対して GET リクエストを行い、ソリューション ユーザー ID を指定します。

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

以下のように置き換えます。

  • PROJECT_ID: このリクエストのプロジェクト
  • ZONE: プライベート クラウドのゾーン
  • PRIVATE_CLOUD_NAME: このリクエストのプライベート クラウド
  • USERNAME_ID: いずれかのソリューション ユーザー ID

ソリューション ユーザーのパスワードを再設定する

ソリューション ユーザーのパスワードをリセットする手順は次のとおりです。

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

以下のように置き換えます。

  • PRIVATE_CLOUD_NAME: このリクエストのプライベート クラウド
  • PROJECT_ID: このリクエストのプロジェクト
  • USERNAME_ID: いずれかのソリューション ユーザー ID
  • ZONE: プライベート クラウドのゾーン

API

REST API では、resetVcenterCredentials メソッドに対して POST リクエストを行い、リクエスト本文にソリューション ユーザー ID を指定します。

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

以下のように置き換えます。

  • PROJECT_ID: このリクエストのプロジェクト
  • ZONE: プライベート クラウドのゾーン
  • USERNAME_ID: いずれかのソリューション ユーザー ID

禁止されている操作

VMware Engine によって禁止された操作のいずれかが検出されると、サービスを中断させることなく変更は元に戻されます。

クラスタ操作

次のクラスタ アクションは禁止されています。

  • vCenter からクラスタを削除する。
  • クラスタの vSphere High Availability(HA)を変更する。
  • vCenter のクラスタにホストを追加する。
  • vCenter のクラスタからホストを削除する。
  • クラスタの vSphere Distributed Resource Scheduler(DRS)を変更する。

ホスト操作

次のホスト アクションは禁止されています。

  • ESXi ホストでデータストアを追加または削除する場合、一時的な障害復旧データストアをマウントできるが、SLA は適用されない。
  • ホストから vCenter エージェントをアンインストールする。
  • ホスト構成を変更する。
  • ホスト プロファイルに対する変更を行う。
  • ホストをメンテナンス モードにする。

ネットワーク操作

次のネットワーク操作は、vCenter Server で禁止されています。

  • プライベート クラウド内のデフォルトの分散仮想スイッチ(DVS)を削除する。
  • デフォルトの DVS からホストを削除する。
  • DVS 設定をインポートする。
  • DVS 設定を再構成する。
  • DVS をアップグレードする。
  • 管理ポートグループを削除する。
  • 管理ポートグループを編集する。

次のネットワーク操作は、NSX-T Manager で禁止されています。

  • 新しい NSX-T Edge ノードを追加する。
  • 既存の NSX-T Edge ノードを変更する。

ロールと権限の操作

ロールと権限に対する次の操作は禁止されています。

  • 管理オブジェクトに対する権限を変更または削除する。
  • デフォルトのロールを変更または削除する。
  • ロールの権限を Cloud-Owner-Role よりも高い権限にする。
  • vCenter の管理者グループにユーザーとグループを追加する。
  • Active Directory のユーザーとグループを vCenter の管理者グループに追加する。

メール通知アラートを設定する

プライベート クラウド構成の変更について VMware Engine からユーザーに通知するように設定できます。連絡先を追加する手順は次のとおりです。

  1. Google Cloud コンソールで、[重要な連絡先] ページに移動します。

    重要な連絡先に移動します。

  2. プロジェクト選択プルダウンで、連絡先を追加する組織、フォルダ、またはプロジェクトを選択します。

  3. [連絡先に追加] をクリックします。

  4. [メール] フィールドと [メールの確認] フィールドに、連絡先のメールアドレスを入力します。

  5. [通知のカテゴリ] プルダウン メニューから、通知を受け取る連絡先の通知カテゴリを選択します。通知カテゴリと推奨される連絡先のリストについては、このページの連絡先を特定するをご覧ください。

  6. [保存] をクリックします。

その他の操作

次の操作も禁止されています。

  • 以下のデフォルト ライセンスを削除する。
    • vCenter Server
    • ESXi ノード
    • NSX-T
    • HCX
  • 管理リソースプールを変更または削除する。
  • 管理 VM のクローンを作成する。
  • ワークロード VM に管理ネットワークを割り当てる。
  • ワークロード VM に対して管理内部 IP アドレス範囲の IP アドレスを使用する。
  • データセンターの名前を変更する。
  • クラスタの名前を変更する。
  • vCenter Server Appliance Management Interface(VAMI)を使用して Syslog 転送を構成する。
  • vCenter ユーザー インターフェースを使用して、直接に ESXi ホスト上で Syslog 転送を構成する。代わりに、VMware Engine ポータルまたは Google Cloud CLI を使用して、vCenter Server または ESXi ホストの syslog 転送を構成する。
  • プライベート クラウド vCenter を Active Directory ドメインに参加させる。
  • VMware ツール、API 呼び出し、管理アプライアンス(vCenter/NSX Manager)のいずれかを使用して、vCenter または NSX-T のログイン認証情報をリセットする。なお、VMware Engine ポータルのプライベート クラウドの詳細ページから、パスワードの更新を含めて、生成された認証情報を取得またはリセットできます。
  • vSphere Client で統計情報の収集間隔またはレベルを変更する。

次のステップ