Eine optionale Möglichkeit, vSphere IaaS control plane-Operatoren Berechtigungen zuzuweisen, einschließlich Personen, die für den Betrieb von Supervisor- und TKG-Dienst-Clustern verantwortlich sind, besteht darin, eine dedizierte vSphere Benutzergruppe und -rolle speziell für solche Operatoren zu erstellen.

Informationen zur Plattformoperatoren-Gruppe und -Rolle

Als Best Practice für die Sicherheit sollten Sie die Zuweisung der vSphere-Administratorrolle an Plattformoperatoren vermeiden, da diese Rolle mehr Berechtigungen gewährt, als für den Betrieb von TKG-Dienst-Clustern erforderlich sind. Nach dem Prinzip der „geringstmöglichen Berechtigungen“ können Sie eine dedizierte Benutzergruppe, ein Dienstkonto (Benutzer) und eine benutzerdefinierte Rolle für die Verwendung mit Plattformoperatoren erstellen und der Benutzergruppe dann benutzerdefinierte Rollenberechtigungen für vSphere-Objekte erteilen.
Hinweis: Sie müssen bei vCenter Server als vSphere-Administrator angemeldet sein, um alle Aufgaben in diesem Thema durchführen zu können.
Hinweis: vSphere Gruppen- und Rollennamen sind benutzerdefinierte Zeichenfolgen. Bei den hier angegebenen Namen handelt es sich um Beispiele, die Sie entsprechend Ihren Sicherheits- und Geschäftsanforderungen übernehmen, anpassen oder ändern können.
Warnung: Sie müssen die hier bereitgestellten Beispielrollenberechtigungen im Zusammenhang mit Ihren Sicherheits- und Geschäftsanforderungen bewerten, die Rolle testen, um Konformität zu gewährleisten, und sie entsprechend anpassen. Möglicherweise sind nicht alle hier verwendeten Berechtigungen für Ihre Anforderungen geeignet, und Sie benötigen möglicherweise zusätzliche Berechtigungen. Eine vollständige Liste der vSphere-Berechtigungen und -Sicherheitsüberlegungen finden Sie in der Dokumentation zur vSphere-Sicherheit.

Teil 1: Erstellen einer Plattformoperatoren-Gruppe und eines -Benutzers

Erstellen Sie in vCenter oder einem AD/LDAP-System, das in vCenter integriert ist, die Plattformoperatoren-Gruppe und ein anfängliches Benutzerkonto.
  1. Melden Sie sich über den vSphere-Client als Administrator bei vCenter Server an.
  2. Gehen Sie zu Verwaltung > Single Sign On > Benutzer und Gruppen.
  3. Wählen Sie die Registerkarte Gruppen aus.
  4. Klicken Sie auf Hinzufügen und erstellen Sie eine neue Gruppe:
    • Name: platform-operators-group
    • Beschreibung: Gruppenkonto für Kubernetes-Operatoren von Supervisor- und TKG-Dienstclustern
    • Klicken Sie auf Hinzufügen.
  5. Wählen Sie die Registerkarte Benutzer aus.
  6. Klicken Sie auf Hinzufügen und erstellen Sie zu Testzwecken einen neuen Benutzer.
    • Name: platform-operator-00
    • Kennwort: Geben Sie ein sicheres Kennwort ein, das den Anforderungen entspricht.
    • Klicken Sie auf Hinzufügen.
  7. Wählen Sie die Registerkarte Gruppen aus.
  8. Fügen Sie der Gruppe den neuen Benutzer hinzu.
    • Wählen Sie die Gruppe platform-operators-group aus.
    • Klicken Sie auf Mitglieder hinzufügen.
    • Wählen Sie vsphere.local aus.
    • Suchen Sie nach dem Benutzernamen platform-operator-00.
    • Wählen Sie diesen Benutzer aus und klicken Sie auf Hinzufügen.
    • Klicken Sie auf Speichern.

Teil 2: Hinzufügen der Plattformoperatoren-Gruppe zur Dienstanbieter-Benutzergruppe

Fügen Sie die neue Plattformoperatoren-Gruppe zur Dienstanbieter-Benutzergruppe hinzu. Auf diese Weise haben Mitglieder der Plattformoperatoren-Gruppe die Möglichkeit, vSphere-Namespaces auf dem Bildschirm vCenter Bestand > Hosts und Cluster anzuzeigen.

  1. Gehen Sie zu Verwaltung > Single Sign On > Benutzer und Gruppen.
  2. Wählen Sie die Registerkarte Gruppen aus.
  3. Suchen Sie die Gruppe ServiceProviderUsers.
  4. Bearbeiten Sie die Gruppe ServiceProviderUsers und fügen Sie die platform-operators-group als Mitglied hinzu.
  5. Klicken Sie auf Speichern.

Teil 3: Erstellen der Plattformoperatoren-Rolle

Erstellen Sie eine benutzerdefinierte vCenter SSO-Rolle für Plattformoperatoren.
Hinweis: Die Rolle umfasst alle erforderlichen Berechtigungen zum Bereitstellen und Betreiben von Supervisor und TKG-Dienst-Clustern, einschließlich der Verwaltung von Inhaltsbibliotheken. Möglicherweise müssen Sie die dieser Rolle zugewiesenen Berechtigungen basierend auf Ihrem Geschäft und Ihren Sicherheitsanforderungen anpassen. Darüber hinaus müssen Sie die Rolle testen, um sicherzustellen, dass sie Ihre Anforderungen erfüllt.
  1. Navigieren Sie mithilfe von vSphere Client zu Verwaltung > Zugriffssteuerung > Rollen.
  2. Wählen Sie Neu aus und erstellen Sie eine neue Rolle namens platform-operators-role.
  3. Definieren Sie die folgenden Berechtigungen für diese Rolle.
  4. Klicken Sie anschließend auf Speichern.
    - Alarms
  - Acknowledge alarm &
  - Create alarm &
  - Disable alarm action on entity &
  - Modify alarm &
  - Remove alarm &
  - Set alarm status &
- Certificate Authority
  - Create/Delete (below Admins priv) &
- Certificate Management
  - Create/Delete (below Admins priv) &
- Cns
  - Searchable * &
- Compute Policy
  - Create and Delete Compute Policy &
- Content Library
  - Add library item &
  - Check in a template &
  - Check out a template &
  - Create local library &
  - Create subscribed library &
  - Delete library item &
  - Delete local library &
  - Delete subscribed library &
  - Download files &
  - Evict library item &
  - Evict subscribed library &
  - Import storage &
  - Probe subscription information &
  - Read storage &
  - Sync library item &
  - Sync subscribed library &
  - Type introspection &
  - Update configuration settings &
  - Update library &
  - Update library item &
  - Update local library &
  - Update subscribed library &
  - View configuration settings &
- Datastore
  - Allocate space * & $
  - Browse datastore * &
  - Configure datastore &
  - Low level file operations * &
  - Remove file &
  - Rename datastore &
  - Update virtual machine files &
  - Update virtual machine metadata &
- Extension
  - Register extension &
  - Unregister extension &
  - Update extension &
- Folder
  - Create folder &
  - Delete folder &
  - Move folder &
  - Rename folder &
- Global
  - Cancel task &
  - Disable methods * &
  - Enable methods * &
  - Global tag &
  - Health &
  - Licenses * &
  - Log event &
  - Manage custom attributes &
  - Service managers &
  - Set custom attribute &
  - System tag &
- Host
  - Configuration
    - Network configuration $
- Host profile
  - View &
- Hybrid Linked Mode
  - Manage &
- Namespaces
  - Modify cluster-wide configuration
  - Modify cluster-wide namespace self-service configuration
  - Modify namespace configuration
- Network
  - Assign network * & $
- Resource
  - Apply recommendation &
  - Assign vApp to resource pool * &
  - Assign virtual machine to resource pool &
  - Create resource pool &
  - Modify resource pool &
  - Move resource pool &
  - Query vMotion &
  - Remove resource pool &
  - Rename resource pool &
- Scheduled task
  - Create tasks &
  - Modify task &
  - Remove task &
  - Run task &
- Sessions
  - Message * &
  - Validate session * &
- VM storage policies
  - View VM storage policies *
- Storage views
  - View &
- Supervisor Services
  - Manage Supervisor Services
- Trusted Infrastructure administrator
  - Manage Trusted Infrastructure Hosts &
- vApp
  - Add virtual machine &
  - Assign resource pool &
  - Assign vApp &
  - Clone &
  - Create &
  - Delete &
  - Export &
  - Import * $
  - Move &
  - Power off &
  - Power on &
  - Rename &
  - Suspend &
  - Unregister &
  - View OVF environment &
  - vApp application configuration &
  - vApp instance configuration &
  - vApp managedBy configuration &
  - vApp resource configuration &
- Virtual machine
  - Change Configuration
    - Acquire disk lease &
    - Add existing disk * & $
    - Add new disk * &
    - Add or remove device * &
    - Advanced configuration * & $
    - Change CPU count * &
    - Change Memory * &
    - Change Settings * &
    - Change Swapfile placement &
    - Change Resource &
    - Configure Host USB device &
    - Configure Raw device * &
    - Configure managedBy &
    - Display connection settings &
    - Extend virtual disk * &
    - Modify device settings * &
    - Query Fault Tolerance compatibility &
    - Query unowned files &
    - Reload from path &
    - Remove disk * &
    - Rename &
    - Reset guest information &
    - Set annotation &
    - Toggle disk change tracking * &
    - Upgrade virtual machine compatibility &
  - Edit Inventory
    - Create from existing * &
    - Create new &
    - Move &
    - Remove * &
    - Register &
    - Unregister &
  - Guest operations
    - Guest operation alias modification &
    - Guest operation alias query &
    - Guest operation modifications &
    - Guest operation program execution &
    - Guest operation queries &
  - Interaction
    - Answer question &
    - Backup operation on virtual machine &
    - Configure CD media &
    - Configure floppy media &
    - Connect devices &
    - Console interaction &
    - Create screenshot &
    - Defragment all disks &
    - Drag and drop &
    - Guest operating system management by VIX API &
    - Inject USB HID scan codes &
    - Install VMware Tools &
    - Pause or Unpause &
    - Power off * &
    - Power on * &
    - Reset &
    - Suspend &
  - Provisioning
    - Allow disk access &
    - Allow file access &
    - Allow read-only disk access * &
    - Allow virtual machine download * &
    - Allow virtual machine files upload &
    - Clone template &
    - Clone virtual machine &
    - Create template from virtual machine &
    - Customize guest &
    - Deploy template * &
    - Mark as template &
    - Mark as virtual machine &
    - Modify customization specification &
    - Promote disks &
    - Read customization specifications &
  - Service configuration
    - Allow notifications &
    - Allow polling of global event notifications &
    - Manage service configurations &
    - Modify service configuration &
    - Query service configurations &
    - Read service configuration &
  - Snapshot management
    - Create snapshot * &
    - Remove snapshot * &
    - Rename snapshot &
    - Revert to snapshot &
  - vSphere Replication
    - Configure replication &
    - Manage replication &
    - Monitor replication &
- Virtual Machine Classes
  - Manage Virtual Machine Classes
- vSan
  - Cluster &
    - ShallowRekey &
- vService
  - Create dependency &
  - Destroy dependency &
  - Reconfigure dependency configuration &
  - Update dependency &
- vSphere Tagging
  - Assign or Unassign vSphere Tag &
  - Assign or Unassign vSphere Tag on Object &
  - Create vSphere Tag &
  - Create vSphere Tag Category &
  - Delete vSphere Tag &
  - Delete vSphere Tag Category &
  - Edit vSphere Tag &
  - Edit vSphere Tag Category &
  - Modify UsedBy Field For Category &
  - Modify UsedBy Field For Tag &

Teil 4: Zuweisen von vCenter-Objektberechtigungen zur Plattformoperatoren-Gruppe und -Rolle

Weisen Sie der Plattformoperatoren-Gruppe Berechtigungen für die vCenter-Objekte zu, die Supervisor und TKG-Dienst-Cluster verwenden.
  1. Wählen Sie in vCenter die Ansicht Bestandsliste aus.
  2. Klicken Sie für jedes der unten aufgeführten vCenter-Objekte mit der rechten Maustaste auf das Objekt und wählen Sie Berechtigung hinzufügen aus.
  3. Wählen Sie als Benutzer/Gruppe die Gruppe platform-operators-group aus.
  4. Wählen Sie als Rolle die Rolle platform-operators-group-role aus.
  5. Für einige Objekte müssen Sie wie angegeben An untergeordnete Objekte weitergeben auswählen.
  • Hosts und Cluster
    • Das Root-vCenter-Serverobjekt.
    • Das Datencenter sowie alle Host- und Clusterordner, vom Datencenter-Objekt bis zum Cluster, der die TKG-Bereitstellung verwaltet.
    • Der vCenter-Zielcluster, in dem der Supervisor und An untergeordnete Objekte weitergeben aktiviert ist (für die ESXi-Hosts usw.).
    • Zielressourcenpools, für die An untergeordnete Objekte weitergeben aktiviert ist.
  • VMs und Vorlagen
    • Das Datencenterobjekt auf oberster Ebene, bei dem An untergeordnete Objekte weitergeben aktiviert ist.
    • Alternativ für mehr Granularität die Ziel-VM und die Vorlagenordner mit aktivierter Option An untergeordnete Objekte weitergeben.
  • Speicher
    • Das Datencenterobjekt auf oberster Ebene, bei dem An untergeordnete Objekte weitergeben aktiviert ist.
    • Alternativ das freigegebene Datenspeicherobjekt (z. B. vsanDatastore) ohne aktivierte Option An untergeordnete Objekte weitergeben oder einzelne Datenspeicher und alle Speicherordner vom Datencenterobjekt bis zu den Datenspeichern, die für TKG-Bereitstellungen verwendet werden, mit aktivierter Option An untergeordnete Objekte weitergeben.
  • Netzwerke
    • Das Datencenterobjekt auf oberster Ebene, bei dem An untergeordnete Objekte weitergeben aktiviert ist.
    • Alternativ können einzelne Netzwerke, Distributed Switches und verteilte Portgruppen verwendet werden, denen Cluster zugewiesen werden.

Teil 5: Zuordnen der Plattformoperatoren-Gruppe und -Rolle

Weisen Sie der Plattformoperatoren-Gruppe und -Rolle Berechtigungen zu.

  1. Navigieren Sie mit dem vSphere Client zu Administration > Zugriffssteuerung > Globale Berechtigung > Berechtigung hinzufügen.
  2. Fügen Sie die Plattformoperatoren-Rolle zur Plattformoperatoren-Gruppe hinzu.
    • Klicken Sie auf Hinzufügen.
    • Wählen Sie als Domäne vsphere.local aus.
    • Geben Sie als Benutzer/Gruppe die Gruppe platform-operators-group ein.
    • Wählen Sie als Rolle die Rolle platform-operators-role aus.
    • Aktivieren Sie das Kontrollkästchen An untergeordnete Objekte weitergeben.
    • Klicken Sie auf OK, um die Gruppe mit den Berechtigungen der Inhaltsbibliothek zu aktualisieren.
  3. Fügen Sie die Rolle vSphere Kubernetes-Manager zur Plattformoperatoren-Gruppe hinzu.
    • Klicken Sie auf Hinzufügen.
    • Wählen Sie als Domäne vsphere.local aus.
    • Geben Sie als Benutzer/Gruppe die Gruppe platform-operators-group ein.
    • Wählen Sie als Rolle die Rolle vSphere Kubernetes Manager aus.
    • Aktivieren Sie das Kontrollkästchen An untergeordnete Objekte weitergeben.
    • Klicken Sie auf OK, um die Gruppe mit den Berechtigungen der Inhaltsbibliothek zu aktualisieren.

Teil 6: Validieren der Plattformoperatoren-Gruppe und -Rolle

Testen Sie die neue Plattformoperatoren-Gruppe und -Rolle. Sie müssen sicherstellen, dass die Gruppe und die Rolle Ihre Sicherheits- und Geschäftsanforderungen erfüllen und entsprechend anpassen.
  1. Melden Sie sich mithilfe des vSphere Client mit dem Benutzerkonto platform-operator-00 bei vCenter Server an.
  2. Stellen Sie sicher, dass Sie über Lesezugriff auf vSphere-Objekte verfügen, einschließlich Hosts und Cluster, VMs und Vorlagen, Speicher und Netzwerk.
  3. Stellen Sie sicher, dass Sie eine Inhaltsbibliothek erstellen und konfigurieren können. Weitere Informationen finden Sie unter Verwalten von Kubernetes-Versionen für TKG-Dienst-Cluster.
  4. Stellen Sie sicher, dass Sie einen vSphere-Namespace erstellen und konfigurieren können. Dazu gehören das Hinzufügen von Benutzern, das Zuordnen der Inhaltsbibliothek und das Zuweisen einer Speicherrichtlinie. Weitere Informationen finden Sie unter Konfigurieren von vSphere-Namespaces für das Hosting von TKG-Dienst-Clustern.
  5. Stellen Sie sicher, dass Sie sich mit dem Kubernetes-CLI-Tools für vSphere bei Supervisor anmelden können. Weitere Informationen finden Sie unter Herstellen einer Verbindung zu TKG-Dienst-Clustern mithilfe der vCenter SSO-Authentifizierung.
  6. Stellen Sie sicher, dass Sie einen TKG-Cluster auf Supervisor mithilfe von Kubectl bereitstellen können. Weitere Informationen finden Sie unter Workflow zum Bereitstellen von TKG-Clustern auf mithilfe von Kubectl.
  7. Stellen Sie sicher, dass Sie sich mithilfe von Kubectl auf Supervisor beim TKG-Cluster anmelden können. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem TKG-Dienst-Cluster als vCenter Single Sign-On-Benutzer mit Kubectl.
  8. Stellen Sie sicher, dass Sie Arbeitslasten im TKG-Cluster auf Supervisor bereitstellen können. Weitere Informationen finden Sie unter Bereitstellen von Arbeitslasten auf TKG-Dienst-Clustern.
  9. Stellen Sie sicher, dass Sie verschiedene operative Aufgaben für den TKG-Cluster auf Supervisor durchführen können. Weitere Informationen finden Sie unter Betreiben von TKG-Dienstclustern.
  10. Stellen Sie mithilfe des vSphere Client sicher, dass Sie den auf Supervisor bereitgestellten TKG-Cluster im vSphere-Namespace anzeigen können.
  11. Stellen Sie mithilfe des vSphere Client sicher, dass Sie Supervisor- und TKG-Clusterobjekte überwachen können.
  12. Führen Sie einen Negativtest durch, um sicherzustellen, dass Sie bestimmte Aufgaben, die für vSphere Administratoren reserviert sind, nicht ausführen können. Beispielsweise sollten Sie keine neue vSphere-Speicherrichtlinie oder ein vSphere-Netzwerk erstellen können. Sie sollten auch nicht in der Lage sein, das Arbeitslastmanagement zu deaktivieren.
  13. Passen Sie die Rollenberechtigungen entsprechend an, um Ihre Sicherheits- und Geschäftsanforderungen zu erfüllen.