提升 VMware Engine 權限

Google Cloud VMware Engine 權限可讓 vCenter 使用者取得執行一般作業所需的權限。某些管理功能需要在私有雲 vCenter 中取得額外權限。

Google Cloud VMware Engine 現已與 Google Cloud 控制台整合,但整合作業不會提供 Elevate 權限功能。如要執行這些工作,您可以使用解決方案使用者帳戶執行下列操作:

  • 設定識別資訊來源
  • 執行使用者管理
  • 刪除分散式通訊埠群組
  • 建立服務帳戶

解決方案使用者帳戶

使用私有雲時,某些工具和產品可能需要使用者具備 vSphere 管理員權限。建立私有雲時,VMware Engine 也會建立具備管理員權限的使用者帳戶,供您用於第三方工具和產品。建立多個解決方案使用者帳戶,用於管理不同的應用程式。您可以使用特定解決方案使用者帳戶,審查各個應用程式執行的動作。本文將說明如何在 vSphere 中管理這些解決方案使用者帳戶。

以下列舉一些在設定期間需要管理員權限的工具和產品:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

事前準備

使用解決方案使用者帳戶登入第三方工具或產品前,請確認該工具或產品是否需要管理員權限。如果工具或產品需要 Cloud-Owner-Role 已提供的權限,請建立新使用者,然後將使用者新增至 Cloud-Owner-Group

您可以使用下列任何內建解決方案使用者 ID:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

取得解決方案使用者密碼

如要取得解決方案使用者密碼,請按照下列步驟操作。

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

更改下列內容:

  • PRIVATE_CLOUD_NAME:此要求的私有雲
  • PROJECT_ID:這項要求的專案
  • USERNAME_ID:解決方案使用者 ID 之一
  • ZONE:私有雲的可用區

API

在 REST API 中,向 showVcenterCredentials 方法提出 GET 要求,並提供解決方案使用者 ID:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

更改下列內容:

  • PROJECT_ID:這項要求的專案
  • ZONE:私有雲的可用區
  • PRIVATE_CLOUD_NAME:此要求的私有雲
  • USERNAME_ID:解決方案使用者 ID 之一

重設解決方案使用者密碼

如要重設解決方案使用者密碼,請按照下列步驟操作。

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

更改下列內容:

  • PRIVATE_CLOUD_NAME:此要求的私有雲
  • PROJECT_ID:這項要求的專案
  • USERNAME_ID:解決方案使用者 ID 之一
  • ZONE:私有雲的可用區

API

在 REST API 中,對 resetVcenterCredentials 方法提出 POST 要求,並在要求主體中提供解決方案使用者 ID:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

更改下列內容:

  • PROJECT_ID:這項要求的專案
  • ZONE:私有雲的可用區
  • USERNAME_ID:解決方案使用者 ID 之一

禁止的動作

當 VMware Engine 偵測到下列任何禁止的動作時,就會還原變更,確保服務不中斷。

叢集動作

以下叢集動作遭禁止:

  • 從 vCenter 中移除叢集
  • 變更叢集中的 vSphere 高可用性 (HA)
  • 從 vCenter 將主機新增至叢集
  • 透過 vCenter 從叢集中移除主機
  • 變更叢集中的 vSphere Distributed Resource Scheduler (DRS)
  • 在 VMware Engine 中建立新的資料中心

主辦人動作

以下主機動作遭禁止:

  • 在 ESXi 主機上新增或移除資料儲存庫;您可以掛載臨時的災難復原資料儲存庫,但不會套用服務水準協議
  • 從主機解除安裝 vCenter 代理程式
  • 修改主機設定
  • 變更主辦人檔案
  • 將主機置於維護模式

網路動作

下列網路動作在 vCenter Server 中禁止:

  • 刪除私有雲中的預設分散式虛擬切換器 (DVS)
  • 從預設 DVS 中移除主機
  • 匯入任何 DVS 設定
  • 重新設定任何 DVS 設定
  • 升級任何 DVS
  • 刪除管理 portgroup
  • 編輯管理端口群組

NSX-T Manager 禁止下列網路動作:

  • 新增 NSX-T Edge 節點
  • 變更現有的 NSX-T Edge 節點

角色和權限動作

禁止下列角色和權限動作:

  • 修改或刪除任何管理物件的權限
  • 修改或移除任何預設角色
  • 將角色權限提高至高於 Cloud-Owner-Role
  • 將使用者和群組新增至 vCenter 的管理員群組
  • 將任何 Active Directory 使用者和群組新增至 vCenter 的管理員群組

其他動作

此外,我們也禁止下列行為:

  • 移除所有預設授權:
    • vCenter 伺服器
    • ESXi 節點
    • NSX-T
    • HCX
  • 修改或刪除管理資源集區。
  • 複製管理 VM。
  • 將管理網路指派給工作負載 VM。
  • 使用工作負載 VM 管理內部 IP 位址範圍中的 IP 位址。
  • 重新命名資料中心。
  • 重新命名叢集。
  • 使用 vCenter Server 應用程式管理介面 (VAMI) 設定 syslog 轉送。
  • 直接使用 vCenter 使用者介面,在 ESXi 主機上設定 syslog 轉送。請改用 VMware Engine 入口網站或 Google Cloud CLI 為 vCenter Server 或 ESXi 主機設定 syslog 轉送功能。
  • 將私有雲 vCenter 加入 Active Directory 網域。
  • 使用 VMware 工具、API 呼叫或管理設備 (vCenter/NSX manager) 重設 vCenter 或 NSX-T 登入憑證。提醒您,您可以在 VMware Engine 入口網站的私有雲詳細資料頁面中,擷取或重設產生的憑證,包括更新密碼。
  • 在 vSphere Client 中變更統計資料收集間隔或統計資料層級。

後續步驟