升级 VMware Engine 权限

Google Cloud VMware Engine 权限授予 vCenter 用户执行正常操作所需的权限。在私有云 vCenter 中,一些管理功能需要额外的权限。

Google Cloud VMware Engine 现已与 Google Cloud 控制台集成,但该集成不提供提升权限功能。如需执行这些任务,您可以使用解决方案用户账号执行以下操作:

  • 配置身份源
  • 执行用户管理
  • 删除分布式端口组
  • 创建服务账号

解决方案用户账号

与您的私有云搭配使用的一些工具和产品可能需要用户在 vSphere 中拥有管理员权限。创建私有云时,VMware Engine 还会创建具有管理员权限的用户账号,以便用于第三方工具和产品。创建多个解决方案用户账号,用于管理不同的应用。使用特定的解决方案用户账号,您可以审核每个应用执行的操作。本文档提供了有关在 vSphere 中管理这些解决方案用户账号的指导。

以下是在设置过程中需要管理员权限的工具和产品的示例:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

准备工作

在使用解决方案用户账号登录第三方工具或产品之前,请确认相关工具或产品是否需要管理员权限。如果工具或产品需要 Cloud-Owner-Role 提供的权限,则创建新用户并将该用户改为添加到 Cloud-Owner-Group

您可以使用以下任意内置解决方案用户 ID:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

获取解决方案用户密码

如需获取解决方案用户密码,请按以下步骤操作。

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

替换以下内容:

  • PRIVATE_CLOUD_NAME:此请求的私有云
  • PROJECT_ID:此请求的项目
  • USERNAME_ID:解决方案用户 ID 之一
  • ZONE:私有云的可用区

API

在 REST API 中,向 showVcenterCredentials 方法发出 GET 请求,并提供解决方案用户 ID:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

替换以下内容:

  • PROJECT_ID:此请求的项目
  • ZONE:私有云的可用区
  • PRIVATE_CLOUD_NAME:此请求的私有云
  • USERNAME_ID:解决方案用户 ID 之一

重置解决方案用户密码

如需重置解决方案用户密码,请按以下步骤操作。

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

替换以下内容:

  • PRIVATE_CLOUD_NAME:此请求的私有云
  • PROJECT_ID:此请求的项目
  • USERNAME_ID:解决方案用户 ID 之一
  • ZONE:私有云的可用区

API

在 REST API 中,向 resetVcenterCredentials 方法发出 POST 请求,并在请求正文中提供解决方案用户 ID:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

替换以下内容:

  • PROJECT_ID:此请求的项目
  • ZONE:私有云的可用区
  • USERNAME_ID:解决方案用户 ID 之一

禁止执行的操作

当 VMware Engine 检测到以下任何禁止执行的操作时,VMware Engine 会还原更改,以确保服务不会中断。

集群操作

以下集群操作会被禁止:

  • 从 vCenter 中移除集群
  • 在集群上更改 vSphere 高可用性 (HA)
  • 通过 vCenter 向集群添加主机
  • 通过 vCenter 从集群中移除主机
  • 在集群上更改 vSphere 分布式资源调度器 (DRS)
  • 在 VMware Engine 中创建新的数据中心

主持人可执行的操作

以下主机操作会被禁止:

  • 在 ESXi 主机上添加或移除数据存储区;您可以装载临时灾难恢复数据存储区,但 SLA 不适用
  • 从主机卸载 vCenter 代理
  • 修改主机配置
  • 对主机配置文件进行任何更改
  • 将主机置于维护模式

网络操作

vCenter 服务器禁止以下网络操作:

  • 删除私有云中默认的分布式虚拟交换机 (DVS)
  • 从默认的 DVS 中移除主机
  • 导入任何 DVS 设置
  • 重新配置任何 DVS 设置
  • 升级任何 DVS
  • 删除管理端口组
  • 修改管理端口组

NSX Manager 禁止以下网络操作:

  • 添加新的 NSX Edge 节点
  • 更改现有 NSX Edge 节点

角色和权限操作

以下角色和权限操作会被禁止:

  • 修改或删除对任何管理对象的权限
  • 修改或移除任何默认角色
  • 提升角色的权限使其高于 Cloud-Owner-Role
  • 将用户和群组添加到 vCenter 上的管理员群组
  • 将任何 Active Directory 用户和群组添加到 vCenter 上的管理员群组

其他操作

以下操作也会被禁止:

  • 移除任意默认许可:
    • vCenter 服务器
    • ESXi 节点
    • NSX
    • HCX
  • 修改或删除管理资源池。
  • 克隆管理虚拟机。
  • 为工作负载虚拟机分配管理网络。
  • 使用工作负载虚拟机的管理内部 IP 地址范围中的 IP 地址。
  • 重命名数据中心。
  • 重命名集群。
  • 使用 vCenter 服务器设备管理接口 (VAMI) 配置 syslog 转发。
  • 使用 vCenter 界面直接在 ESXi 主机上配置 syslog 转发。请改用 VMware Engine 门户或 Google Cloud CLI 为 vCenter Server 或 ESXi 主机配置 syslog 转发。
  • 将您的私有云 vCenter 加入 Active Directory 网域。
  • 使用 VMware 工具、API 调用或管理设备(vCenter/NSX 管理器)重置 vCenter 或 NSX 登录凭据。谨此提醒,您可以从 VMware Engine 门户中的私有云详情页面检索或重置生成的凭据,包括密码更新。
  • 在 vSphere 客户端中更改统计信息收集间隔或统计信息级别。

后续步骤