VMware Engine 권한 승격
Google Cloud VMware Engine 권한은 vCenter 사용자가 일반 작업을 수행하는 데 필요한 권한을 부여합니다. 일부 관리 기능을 사용하려면 프라이빗 클라우드 vCenter에서 추가 권한이 필요합니다.
이제 Google Cloud VMware Engine이 Google Cloud 콘솔과 통합되었지만 통합에서 권한 승격 기능을 제공하지 않습니다. 이러한 태스크를 수행하려면 솔루션 사용자 계정을 사용하여 다음을 수행하면 됩니다.
- ID 소스 구성
- 사용자 관리 수행
- 분산 포트 그룹 삭제
- 서비스 계정 만들기
솔루션 사용자 계정
프라이빗 클라우드에서 사용되는 도구 및 제품을 사용하려면 사용자가 vSphere에서 관리자 권한이 필요할 수 있습니다. 프라이빗 클라우드를 만들면 VMware Engine에서는 타사 도구 및 제품에 사용할 수 있는 관리자 권한이 있는 사용자 계정도 만듭니다. 여러 애플리케이션을 관리하기 위해 여러 솔루션 사용자 계정이 생성됩니다. 특정 솔루션 사용자 계정을 사용하여 각 애플리케이션에서 실행된 작업을 감사할 수 있습니다. 이 문서에서는 vSphere의 솔루션 사용자 계정을 관리하는 방법에 대한 안내를 제공합니다.
다음은 설정 중에 관리 권한이 필요한 도구 및 제품의 몇 가지 예시입니다.
- VMware Site Recovery Manager(SRM)
- VMware Cloud Director
- Zerto
시작하기 전에
솔루션 사용자 계정으로 타사 도구 또는 제품에 로그인하기 전에 도구 또는 제품에 관리 권한이 필요한지 확인합니다. 도구 또는 제품에 이미 Cloud-Owner-Role
에서 제공한 권한이 필요한 경우 새 사용자를 생성하고 사용자를 Cloud-Owner-Group
으로 변경합니다.
다음과 같은 기본 제공 솔루션 사용자 ID를 사용할 수 있습니다.
solution-user-01@gve.local
solution-user-02@gve.local
solution-user-03@gve.local
solution-user-04@gve.local
solution-user-05@gve.local
솔루션 사용자 비밀번호 가져오기
솔루션 사용자 비밀번호를 가져오려면 다음 단계를 수행합니다.
gcloud
gcloud vmware private-clouds vcenter credentials describe \ --private-cloud=PRIVATE_CLOUD_NAME \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
다음을 바꿉니다.
PRIVATE_CLOUD_NAME
: 이 요청의 프라이빗 클라우드PROJECT_ID
: 이 요청의 프로젝트입니다.USERNAME_ID
: 솔루션 사용자 ID 중 하나ZONE
: 프라이빗 클라우드 영역
API
REST API에서 GET
요청을 showVcenterCredentials
메서드로 보내고 솔루션 사용자 ID를 제공합니다.
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID
다음을 바꿉니다.
PROJECT_ID
: 이 요청의 프로젝트입니다.ZONE
: 프라이빗 클라우드 영역PRIVATE_CLOUD_NAME
: 이 요청의 프라이빗 클라우드USERNAME_ID
: 솔루션 사용자 ID 중 하나
솔루션 사용자 비밀번호 재설정
솔루션 사용자 비밀번호를 재설정하려면 다음 단계를 수행합니다.
gcloud
gcloud vmware private-clouds vcenter credentials reset \ --private-cloud=PRIVATE_CLOUD_NAME \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
다음을 바꿉니다.
PRIVATE_CLOUD_NAME
: 이 요청의 프라이빗 클라우드PROJECT_ID
: 이 요청의 프로젝트입니다.USERNAME_ID
: 솔루션 사용자 ID 중 하나ZONE
: 프라이빗 클라우드 영역
API
REST API에서 POST
요청을 resetVcenterCredentials
메서드로 보내고 요청 본문에 솔루션 사용자 ID를 제공합니다.
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials { "username": :"USERNAME_ID" }
다음을 바꿉니다.
PROJECT_ID
: 이 요청의 프로젝트입니다.ZONE
: 프라이빗 클라우드 영역USERNAME_ID
: 솔루션 사용자 ID 중 하나
금지된 작업
VMware Engine에서 다음과 같은 금지된 작업을 감지하면 서비스가 중단 없이 유지되도록 VMware Engine이 변경 사항을 되돌립니다.
클러스터 작업
다음 클러스터 작업은 금지됩니다.
- vCenter에서 클러스터 삭제
- 클러스터에서 vSphere 고가용성(HA) 변경
- vCenter에서 클러스터에 호스트 추가
- vCenter의 클러스터에서 호스트 삭제
- 클러스터에서 vSphere Distributed Resource Scheduler(DRS) 변경
호스팅 작업
다음 호스트 작업은 금지됩니다.
- ESXi 호스트에서 데이터 스토어를 추가 또는 삭제. 임시 재해 복구 데이터 스토어를 마운트할 수 있지만 SLA는 적용되지 않습니다.
- 호스트에서 vCenter 에이전트 제거
- 호스트 구성 수정
- 호스트 프로필 변경
- 호스트를 유지보수 모드로 전환
네트워크 작업
vCenter Server에서 금지되는 네트워크 작업은 다음과 같습니다.
- 프라이빗 클라우드에서 기본 분산 가상 스위치(DVS) 삭제
- 기본 DVS에서 호스트 삭제
- DVS 설정 가져오기
- 모든 DVS 설정 재구성
- 모든 DVS 업그레이드
- 관리 포트 그룹 삭제
- 관리 포트 그룹 수정
NSX-T Manager에서 금지되는 네트워크 작업은 다음과 같습니다.
- 새 NSX-T Edge 노드 추가
- 기존 NSX-T Edge 노드 변경
역할 및 권한 작업
다음 역할 및 권한 작업은 금지됩니다.
- 모든 관리 객체에 대한 권한 수정 또는 삭제
- 기본 역할 수정 또는 삭제
- 역할 권한을 Cloud-Owner-Role보다 높게 올리기
- vCenter의 관리자 그룹에 사용자 및 그룹 추가
- vCenter의 관리자 그룹에 Active Directory 사용자 및 그룹 추가
이메일 알림 설정하기
VMware Engine이 프라이빗 클라우드 구성 변경사항을 사용자에게 알리도록 설정할 수 있습니다. 연락처를 추가하려면 다음을 수행합니다.
Google Cloud 콘솔에서 필수 연락처 페이지로 이동합니다.
필수 연락처로 이동합니다.
프로젝트 선택 드롭다운에서 연락처를 추가할 조직, 폴더 또는 프로젝트를 선택합니다.
연락처 추가를 클릭합니다.
이메일 및 이메일 확인 필드에 연락처의 이메일 주소를 입력합니다.
알림 카테고리 드롭다운 메뉴에서 연락처에 알림을 제공하려는 알림 카테고리를 선택합니다. 알림 카테고리 및 권장 연락처 목록을 보려면 이 페이지에서 연락처 식별을 참조하세요.
저장을 클릭합니다.
기타 작업
다음 작업은 추가로 금지됩니다.
- 기본 라이선스 삭제:
- vCenter Server
- ESXi 노드
- NSX-T
- HCX
- 관리 리소스 풀 수정 또는 삭제
- 관리 VM 클론
- 워크로드 VM에 관리 네트워크 할당
- 워크로드 VM의 관리 내부 IP 주소 범위에서 IP 주소 사용
- 데이터 센터 이름 변경
- 클러스터 이름 변경
- vCenter Server Appliance 관리 인터페이스(VAMI)를 사용하여 syslog 전달 구성
- vCenter 사용자 인터페이스를 사용하여 ESXi 호스트에서 직접 syslog 전달 구성. 대신 VMware Engine 포털이나 Google Cloud CLI를 사용하여 vCenter Server 또는 ESXi 호스트의 syslog 전달을 구성합니다.
- 프라이빗 클라우드 vCenter를 Active Directory 도메인에 조인
- VMware 도구, API 호출, 관리 어플라이언스(vCenter/NSX Manager)를 사용하여 vCenter 또는 NSX-T 로그인 사용자 인증 정보 재설정. 다시 말하지만 VMware Engine 포털의 프라이빗 클라우드 세부정보 페이지에서 비밀번호 업데이트 등 생성된 사용자 인증 정보를 검색하거나 재설정할 수 있습니다.
- vSphere 클라이언트에서 통계 수집 간격 또는 통계 수준 변경
다음 단계
- vCenter ID 소스 설정 방법 알아보기