Crear un grupo y una función dedicados para los operadores de plataforma

Una forma opcional de asignar permisos a los operadores de vSphere IaaS control plane, incluidas las personas responsables de operar clústeres de Supervisor y Servicio TKG, es crear una función y un grupo de usuarios de vSphere dedicados para los operadores.

Acerca de la función y del grupo de operadores de plataforma

Como práctica recomendada de seguridad, evite asignar la función de administrador de vSphere a los operadores de plataforma, ya que concede más privilegios de los necesarios para operar clústeres de Servicio TKG. Según el principio de privilegio mínimo, puede crear un grupo de usuarios dedicado, una cuenta de servicio (usuario) y una función personalizada para que utilicen los operadores de plataforma, y otorgar permisos de función personalizada al grupo de usuarios para objetos de vSphere.

Nota: Debe iniciar sesión en vCenter Server como administrador de vSphere para realizar todas las tareas de este tema.

Nota: Los nombres de grupo y funciones de vSphere son cadenas definidas por el usuario. Los nombres que se brindan aquí son ejemplos que puede adoptar, ajustar o cambiar según sus necesidades de seguridad y negocio.

Advertencia: Debe evaluar los permisos de función de ejemplo brindados aquí en el contexto de los requisitos empresariales y de seguridad, probar la función para garantizar la conformidad y realizar los ajustes correspondientes. No todos los permisos que se utilizan aquí pueden ser adecuados para sus necesidades y es posible que necesite permisos adicionales. Consulte la documentación de Seguridad de vSphere para obtener una lista completa de los permisos y las consideraciones de seguridad.

Parte 1: crear un usuario y un grupo de operadores de plataforma

En vCenter, o un sistema de AD/LDAP integrado con vCenter, cree el grupo de operadores de plataforma y una cuenta de usuario inicial.

Inicie sesión en vCenter Server como administrador mediante vSphere Client.
Vaya a Administración > Single Sign On > Usuarios y grupos.
Seleccione la pestaña Grupos.
Haga clic en Agregar y cree un nuevo grupo:
- Nombre: platform-operators-group
- Descripción: Cuenta de grupo para Kubernetes Operators de clústeres de servicio TKG y Supervisor
- Haga clic en Agregar
Seleccione la pestaña Usuarios.
Haga clic en Agregar y cree un nuevo usuario para fines de prueba.
- Nombre: platform-operator-00
- Contraseña: introduzca una contraseña segura que cumpla los requisitos
- Haga clic en Agregar
Seleccione la pestaña Grupos.
Agregue el nuevo usuario al grupo.
- Seleccione el grupo platform-operators-group.
- Haga clic en Agregar miembros.
- Seleccione vsphere.local.
- Busque el nombre de usuario platform-operator-00.
- Seleccione el usuario y haga clic en Agregar.
- Haga clic en Guardar.

Parte 2: agregar el grupo de operadores de plataforma al grupo de usuarios del proveedor de servicios

Agregue el grupo de operadores de plataforma al grupo de usuarios del proveedor de servicios. Al hacerlo, los miembros del grupo de operadores de plataforma podrán ver espacios de nombres de vSphere en la pantalla de vCenter Inventario > Hosts y clústeres.

Vaya a Administración > Single Sign On > Usuarios y grupos.
Seleccione la pestaña Grupos.
Busque el grupo ServiceProviderUsers.
Edite el grupo ServiceProviderUsers y agregue platform-operators-group como miembro.
Haga clic en Guardar.

Parte 3: crear la función de operadores de plataforma

Cree una función de vCenter SSO personalizada para los operadores de plataforma.

Nota: La función incluye todos los permisos necesarios para aprovisionar y operar clústeres de Supervisor y de Servicio TKG, incluida la administración de bibliotecas de contenido. Es posible que deba ajustar los permisos asignados a esta función según sus requisitos empresariales y de seguridad. Además, debe probar la función para asegurarse de que cumple con sus requisitos.

Con vSphere Client, vaya a Administración > Control de acceso > Funciones.
Seleccione Nuevo y cree un nuevo nombre de función platform-operators-role.
Defina los siguientes privilegios para esta función.

Cuando termine, haga clic en Guardar.

- Alarms
  - Acknowledge alarm &
  - Create alarm &
  - Disable alarm action on entity &
  - Modify alarm &
  - Remove alarm &
  - Set alarm status &
- Certificate Authority
  - Create/Delete (below Admins priv) &
- Certificate Management
  - Create/Delete (below Admins priv) &
- Cns
  - Searchable * &
- Compute Policy
  - Create and Delete Compute Policy &
- Content Library
  - Add library item &
  - Check in a template &
  - Check out a template &
  - Create local library &
  - Create subscribed library &
  - Delete library item &
  - Delete local library &
  - Delete subscribed library &
  - Download files &
  - Evict library item &
  - Evict subscribed library &
  - Import storage &
  - Probe subscription information &
  - Read storage &
  - Sync library item &
  - Sync subscribed library &
  - Type introspection &
  - Update configuration settings &
  - Update library &
  - Update library item &
  - Update local library &
  - Update subscribed library &
  - View configuration settings &
- Datastore
  - Allocate space * & $
  - Browse datastore * &
  - Configure datastore &
  - Low level file operations * &
  - Remove file &
  - Rename datastore &
  - Update virtual machine files &
  - Update virtual machine metadata &
- Extension
  - Register extension &
  - Unregister extension &
  - Update extension &
- Folder
  - Create folder &
  - Delete folder &
  - Move folder &
  - Rename folder &
- Global
  - Cancel task &
  - Disable methods * &
  - Enable methods * &
  - Global tag &
  - Health &
  - Licenses * &
  - Log event &
  - Manage custom attributes &
  - Service managers &
  - Set custom attribute &
  - System tag &
- Host
  - Configuration
    - Network configuration $
- Host profile
  - View &
- Hybrid Linked Mode
  - Manage &
- Namespaces
  - Modify cluster-wide configuration
  - Modify cluster-wide namespace self-service configuration
  - Modify namespace configuration
- Network
  - Assign network * & $
- Resource
  - Apply recommendation &
  - Assign vApp to resource pool * &
  - Assign virtual machine to resource pool &
  - Create resource pool &
  - Modify resource pool &
  - Move resource pool &
  - Query vMotion &
  - Remove resource pool &
  - Rename resource pool &
- Scheduled task
  - Create tasks &
  - Modify task &
  - Remove task &
  - Run task &
- Sessions
  - Message * &
  - Validate session * &
- VM storage policies
  - View VM storage policies *
- Storage views
  - View &
- Supervisor Services
  - Manage Supervisor Services
- Trusted Infrastructure administrator
  - Manage Trusted Infrastructure Hosts &
- vApp
  - Add virtual machine &
  - Assign resource pool &
  - Assign vApp &
  - Clone &
  - Create &
  - Delete &
  - Export &
  - Import * $
  - Move &
  - Power off &
  - Power on &
  - Rename &
  - Suspend &
  - Unregister &
  - View OVF environment &
  - vApp application configuration &
  - vApp instance configuration &
  - vApp managedBy configuration &
  - vApp resource configuration &
- Virtual machine
  - Change Configuration
    - Acquire disk lease &
    - Add existing disk * & $
    - Add new disk * &
    - Add or remove device * &
    - Advanced configuration * & $
    - Change CPU count * &
    - Change Memory * &
    - Change Settings * &
    - Change Swapfile placement &
    - Change Resource &
    - Configure Host USB device &
    - Configure Raw device * &
    - Configure managedBy &
    - Display connection settings &
    - Extend virtual disk * &
    - Modify device settings * &
    - Query Fault Tolerance compatibility &
    - Query unowned files &
    - Reload from path &
    - Remove disk * &
    - Rename &
    - Reset guest information &
    - Set annotation &
    - Toggle disk change tracking * &
    - Upgrade virtual machine compatibility &
  - Edit Inventory
    - Create from existing * &
    - Create new &
    - Move &
    - Remove * &
    - Register &
    - Unregister &
  - Guest operations
    - Guest operation alias modification &
    - Guest operation alias query &
    - Guest operation modifications &
    - Guest operation program execution &
    - Guest operation queries &
  - Interaction
    - Answer question &
    - Backup operation on virtual machine &
    - Configure CD media &
    - Configure floppy media &
    - Connect devices &
    - Console interaction &
    - Create screenshot &
    - Defragment all disks &
    - Drag and drop &
    - Guest operating system management by VIX API &
    - Inject USB HID scan codes &
    - Install VMware Tools &
    - Pause or Unpause &
    - Power off * &
    - Power on * &
    - Reset &
    - Suspend &
  - Provisioning
    - Allow disk access &
    - Allow file access &
    - Allow read-only disk access * &
    - Allow virtual machine download * &
    - Allow virtual machine files upload &
    - Clone template &
    - Clone virtual machine &
    - Create template from virtual machine &
    - Customize guest &
    - Deploy template * &
    - Mark as template &
    - Mark as virtual machine &
    - Modify customization specification &
    - Promote disks &
    - Read customization specifications &
  - Service configuration
    - Allow notifications &
    - Allow polling of global event notifications &
    - Manage service configurations &
    - Modify service configuration &
    - Query service configurations &
    - Read service configuration &
  - Snapshot management
    - Create snapshot * &
    - Remove snapshot * &
    - Rename snapshot &
    - Revert to snapshot &
  - vSphere Replication
    - Configure replication &
    - Manage replication &
    - Monitor replication &
- Virtual Machine Classes
  - Manage Virtual Machine Classes
- vSan
  - Cluster &
    - ShallowRekey &
- vService
  - Create dependency &
  - Destroy dependency &
  - Reconfigure dependency configuration &
  - Update dependency &
- vSphere Tagging
  - Assign or Unassign vSphere Tag &
  - Assign or Unassign vSphere Tag on Object &
  - Create vSphere Tag &
  - Create vSphere Tag Category &
  - Delete vSphere Tag &
  - Delete vSphere Tag Category &
  - Edit vSphere Tag &
  - Edit vSphere Tag Category &
  - Modify UsedBy Field For Category &
  - Modify UsedBy Field For Tag &

Parte 4: asignar permisos de objeto de vCenter a la función y el grupo de operadores de plataforma

Asigne permisos al grupo de operadores de plataforma para los objetos de vCenter que utilizan clústeres de Supervisory de Servicio TKG.

En vCenter, seleccione la vista Inventario.
Para cada uno de los objetos de vCenter enumerados a continuación, haga clic con el botón secundario en el objeto y seleccione Agregar permiso.
Para Usuario/Grupo, seleccione el grupo platform-operators-group.
Para Función, seleccione la función platform-operators-group-role.
Para algunos objetos, deberá seleccionar Propagar a objetos secundarios, como se indica.

Hosts y clústeres
- El objeto raíz de vCenter Server.
- El centro de datos y todas las carpetas Host y Clúster desde el objeto Centro de datos hasta el clúster que administra la implementación de TKG.
- El clúster de vCenter de destino donde se habilitó el Supervisor, con la opción Propagar a objetos secundarios habilitada (para los hosts ESXi, etc.).
- Los grupos de recursos de destino con la opción Propagar a objetos secundarios habilitada.
Máquinas virtuales y plantillas
- El objeto Centro de datos de nivel superior, con la opción Propagar a objetos secundarios habilitada.
- Como alternativa, para afinar la granularidad, las carpetas Máquina virtual y Plantilla de destino con la opción Propagar a objetos secundarios habilitada.
Almacenamiento
- El objeto Centro de datos de nivel superior, con la opción Propagar a objetos secundarios habilitada.
- De forma alternativa, el objeto Almacén de datos compartido (por ejemplo, vsanDatastore) sin la opción Propagar a objetos secundarios habilitada, o almacenes de datos individuales y todas las carpetas de almacenamiento, desde el objeto Centro de datos hasta los almacenes de datos que se utilizarán para las implementaciones de TKG, con la opción Propagar a objetos secundarios habilitada.
Redes
- El objeto Centro de datos de nivel superior, con la opción Propagar a objetos secundarios habilitada.
- Como alternativa, las redes individuales, los conmutadores distribuidos y los grupos de puertos distribuidos a los que se asignarán clústeres.

Parte 5: asociar la función y el grupo de operadores de plataforma

Asigne permisos a la función y al grupo de operadores de plataforma.

Con vSphere Client, vaya a Administración > Control de acceso > Permiso global > Agregar permiso.
Agregue la función de operadores de plataforma al grupo de operadores de plataforma.
- Haga clic en Agregar.
- Para Dominio, seleccione vsphere.local.
- Para Usuario/Grupo, introduzca el grupo platform-operators-group.
- Para la Función, seleccione la función platform-operators-role.
- Seleccione la casilla de verificación Propagar a objetos secundarios.
- Haga clic en ACEPTAR para actualizar el grupo con los permisos de la función.
Agregue la función Administrador de Kubernetes de vSphere al grupo de operadores de plataforma.
- Haga clic en Agregar.
- Para Dominio, seleccione vsphere.local.
- Para Usuario/Grupo, introduzca el grupo platform-operators-group.
- Para Función, seleccione la función Administrador de Kubernetes de vSphere.
- Seleccione la casilla de verificación Propagar a objetos secundarios.
- Haga clic en ACEPTAR para actualizar el grupo con los permisos de la función.

Parte 6: validar la función y el grupo de operadores de plataforma

Pruebe la función y el grupo de operadores nuevos de plataforma. Debe asegurarse de que el grupo y la función cumplan con los requisitos empresariales y de seguridad, y realizar los ajustes correspondientes.

Con vSphere Client, inicie sesión en vCenter Server con la cuenta de usuario de platform-operator-00.
Compruebe que tiene acceso de lectura a los objetos de vSphere, incluidos hosts y clústeres, máquinas virtuales y plantillas, almacenamiento y redes.
Compruebe que puede crear y configurar una biblioteca de contenido. Consulte Administrar las versiones de Kubernetes para clústeres de Servicio TKG.
Compruebe que puede crear y configurar una instancia de espacio de nombres de vSphere, incluida la adición de usuarios, la asociación de la biblioteca de contenido y la asignación de directivas de almacenamiento. Consulte Configurar espacios de nombres de vSphere para alojar clústeres de Servicio TKG.
Compruebe que puede iniciar sesión en Supervisor con Herramientas de la CLI de Kubernetes para vSphere. Consulte Conectarse a clústeres de Servicio TKG mediante la autenticación de vCenter SSO.
Compruebe que puede aprovisionar un clúster de TKG en Supervisor con Kubectl. Consulte Flujo de trabajo para aprovisionar clústeres de TKG mediante Kubectl.
Compruebe que puede iniciar sesión en el clúster de TKG en Supervisor con Kubectl. Consulte Conectarse a un clúster de Servicio TKG como usuario de vCenter Single Sign-On con Kubectl.
Compruebe que puede implementar cargas de trabajo en el clúster de TKG en Supervisor. Consulte Implementar cargas de trabajo en clústeres de Servicio TKG.
Compruebe que puede realizar diferentes tareas operativas para el clúster de TKG en Supervisor. Consulte Operar clústeres del servicio de TKG.
Con vSphere Client, compruebe que puede ver el clúster de TKG aprovisionado en Supervisor en espacio de nombres de vSphere.
Con vSphere Client, compruebe que puede supervisar Supervisor y objetos de clúster de TKG.
Realice una prueba negativa para asegurarse de que no puede realizar ciertas tareas reservadas para administradores de vSphere. Por ejemplo, no debería poder crear una nueva directiva de almacenamiento de vSphere o redes de vSphere. Tampoco debe poder deshabilitar la administración de cargas de trabajo.
Ajuste los permisos de función según corresponda para cumplir con sus requisitos empresariales y de seguridad .