Eleva los privilegios de VMware Engine

Los privilegios de Google Cloud VMware Engine brindan a los usuarios de vCenter los privilegios que necesitan para realizar operaciones normales. Algunas funciones administrativas requieren privilegios adicionales en el vCenter de nube privada.

Google Cloud VMware Engine ahora está integrado en la consola de Google Cloud, pero no proporciona la función Privilegio elevado. Para realizar estas tareas, puedes usar una cuenta de usuario de solución para lo siguiente:

  • Configura las fuentes de identidad
  • Cómo realizar la administración de usuarios
  • Borrar un grupo de puertos distribuido
  • Crea cuentas de servicio

Cuentas de usuario de solución

Algunas herramientas y productos que se usan con tu nube privada pueden requerir que un usuario tenga privilegios administrativos en vSphere. Cuando creas una nube privada, VMware Engine también crea cuentas de usuario con privilegios administrativos que puedes usar con las herramientas y los productos de terceros. En este documento, se proporciona orientación para administrar estas cuentas de usuario de solución en vSphere.

Estos son algunos ejemplos de herramientas y productos que requieren privilegios administrativos durante la configuración:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Antes de comenzar

Antes de acceder a una herramienta o un producto de terceros con una cuenta de usuario de solución, confirma que la herramienta o el producto requieren privilegios administrativos. Si la herramienta o el producto requieren privilegios que ya proporciona Cloud-Owner-Role, crea un usuario nuevo y agrégalo a Cloud-Owner-Group.

Puedes usar cualquiera de los siguientes IDs de usuario de soluciones integradas:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Obtén una contraseña de usuario de solución

Para obtener una contraseña de usuario de la solución, sigue estos pasos.

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --username=USERNAME_ID \
  --location=ZONE

Reemplaza lo siguiente:

  • PRIVATE_CLOUD_NAME: Es la nube privada para esto. solicitud
  • USERNAME_ID: uno de los IDs de usuario de la solución
  • ZONE: Es la zona de la nube privada.

API

En la API de REST, realiza una solicitud GET al método showVcenterCredentials y proporciona el ID de usuario de la solución:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Reemplaza lo siguiente:

  • PROJECT_ID: Es el proyecto para esta solicitud.
  • PRIVATE_CLOUD_NAME: Es la nube privada para esto. solicitud
  • ZONE: Es la zona de la nube privada.
  • USERNAME_ID: uno de los IDs de usuario de la solución

Restablecer la contraseña de usuario de la solución

Para restablecer una contraseña de usuario de solución, sigue estos pasos.

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Reemplaza lo siguiente:

  • PRIVATE_CLOUD_NAME: Es la nube privada para esto. solicitud
  • PROJECT_ID: Es el proyecto para esta solicitud.
  • USERNAME_ID: uno de los IDs de usuario de la solución
  • ZONE: Es la zona de la nube privada.

API

En la API de REST, realiza una solicitud POST al resetVcenterCredentials. y proporciona el ID de usuario de la solución en el cuerpo de la solicitud:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el proyecto para esta solicitud.
  • ZONE: Es la zona de la nube privada.
  • USERNAME_ID: uno de los IDs de usuario de la solución

Acciones prohibidas

Cuando VMware Engine detecta cualquiera de las siguientes acciones prohibidas, revierte los cambios para garantizar que el servicio permanezca sin interrupciones.

Acciones del clúster

Las siguientes acciones de clúster están prohibidas:

  • Quita un clúster de vCenter
  • Cambia la alta disponibilidad (HA) de vSphere en un clúster
  • Agrega un host al clúster desde vCenter
  • Quita un host del clúster de vCenter
  • Cambia el programador de recursos distribuidos (DRS) de vSphere en un clúster

Acciones del host

Las siguientes acciones de host están prohibidas:

  • Agregar o quitar almacenes de datos en un host de ESXi puedes activar almacén de datos de recuperación ante desastres, pero no se aplicarán los ANS
  • Desinstala el agente de vCenter desde el host
  • Modifica la configuración del host
  • Realiza cambios en los perfiles del host
  • Coloca un host en modo de mantenimiento

Acciones de la red

Las siguientes acciones de red están prohibidas en el servidor de vCenter:

  • Borra el interruptor virtual distribuido (DVS) predeterminado en una nube privada
  • Quita un host del DVS predeterminado
  • Importa cualquier parámetro de configuración de DVS
  • Reconfigurar cualquier parámetro de configuración del DVS
  • Actualiza cualquier DVS
  • Borra el grupo de puertos de administración
  • Edita el grupo de puertos de administración

Las siguientes acciones de red están prohibidas en NSX-T Manager:

  • Agrega un nodo de NSX-T Edge nuevo
  • Cambia un nodo de NSX-T Edge existente

Acciones de funciones y permisos

Las siguientes acciones de funciones y permisos están prohibidas:

  • Modifica o borra permisos de cualquier objeto de administración
  • Modifica o quita cualquier función predeterminada
  • Aumenta los privilegios de un rol para que sean más altos que Cloud-propietario-Role.
  • Agrega usuarios y grupos al grupo de administradores en vCenter
  • Agrega cualquier usuario y grupo de Active Directory al grupo del administrador en vCenter

Otras acciones

Tampoco se permiten las siguientes acciones:

  • Quita cualquier licencia predeterminada:
    • vCenter Server
    • Nodos de ESXi
    • NSX-T
    • HCX
  • Modifica o borra el grupo de recursos de administración.
  • Clona VM de administración.
  • Asigna una red de administración a una VM de carga de trabajo.
  • Usa una dirección IP en el rango de direcciones IP internas de administración para una carga de trabajo y la VM.
  • Cambio de nombre del centro de datos
  • Cambiar el nombre del clúster.
  • Configura el reenvío de syslog con la interfaz de administración de dispositivos de servidor (VAMI) de vCenter.
  • Configurar el reenvío de syslog en hosts ESXi directamente con el usuario de vCenter interfaz de usuario. En su lugar, usa el portal de VMware Engine o Google Cloud CLI para configurar el reenvío de syslog para vCenter Server o hosts ESXi.
  • Une tu vCenter de nube privada a un dominio de Active Directory.
  • Restablecer las credenciales de acceso de vCenter o NSX-T con las herramientas de VMware, las llamadas a la API o de administración (vCenter/NSX Manager). Como recordatorio, puedes recuperar o restablecer credenciales generadas incluidas las actualizaciones de contraseñas, desde la página de detalles de la nube privada en el portal de VMware Engine.
  • Cambiar los intervalos de recopilación de estadísticas o los niveles de estadísticas en el cliente de vSphere.

¿Qué sigue?