Une manière facultative d'attribuer des autorisations aux opérateurs vSphere IaaS control plane, y compris aux personnes responsables de l'exploitation du Superviseur et des clusters Service TKG, consiste à créer un groupe d'utilisateurs vSphere dédié et un rôle spécifiquement pour ces opérateurs.
À propos du groupe et du rôle d'opérateurs de plate-forme
En matière de sécurité, il est recommandé d'éviter d'attribuer le rôle Administrateur vSphere aux opérateurs de plate-forme, car ce rôle accorde plus de privilèges que nécessaire pour faire fonctionner des clusters sur le
Service TKG. Selon le principe du moindre privilège, vous pouvez créer un groupe d'utilisateurs dédié, un compte de service (utilisateur) et un rôle personnalisé à utiliser par les opérateurs de plate-forme, puis octroyer au groupe d'utilisateurs des autorisations de rôle personnalisé sur des objets vSphere.
Note : Vous devez être connecté à
vCenter Server en tant qu'administrateur vSphere pour effectuer toutes les tâches de cette rubrique.
Note : Les noms de groupe et de rôle vSphere sont des chaînes définies par l'utilisateur. Les noms fournis ici sont des exemples que vous pouvez adopter, ajuster ou modifier selon vos exigences de sécurité et des objectifs de votre entreprise.
Avertissement : Vous devez évaluer les exemples d'autorisations de rôle fournis ici par rapport à vos exigences de sécurité et aux objectifs de votre entreprise, tester le rôle pour assurer la conformité et l'ajuster en conséquence. Toutes les autorisations utilisées ici ne conviennent pas forcément à vos besoins et vous pouvez avoir besoin d'autorisations supplémentaires. Reportez-vous à la
documentation Sécurité vSphere pour obtenir la liste complète des autorisations de vSphere et des considérations de sécurité.
Étape 1 : Créer un groupe d'opérateurs de plate-forme et un utilisateur
Dans vCenter ou un système AD/LDAP intégré à vCenter, créez le groupe d'opérateurs de plate-forme et un compte d'utilisateur initial.
- Connectez-vous à vCenter Server en tant qu'administrateur en utilisant vSphere Client.
- Accédez à .
- Sélectionnez l'onglet Groupes.
- Cliquez sur Ajouter et créez un groupe :
- Nom : platform-operators-group
- Description : Compte de groupe pour les opérateurs Kubernetes du superviseur et des clusters TKG sur le superviseur
- Cliquez sur Ajouter
- Sélectionnez l'onglet Utilisateurs.
- Cliquez sur Ajouter et créez un utilisateur à des fins de test.
- Nom : platform-operator-00
- Mot de passe : entrez un mot de passe fort répondant aux exigences
- Cliquez sur Ajouter
- Sélectionnez l'onglet Groupes.
- Ajoutez le nouvel utilisateur au groupe.
- Sélectionnez le groupe platform-operators-group.
- Cliquez sur Ajouter des membres.
- Sélectionnez vsphere.local.
- Recherchez le nom d'utilisateur platform-operator-00.
- Sélectionnez cet utilisateur et cliquez sur Ajouter.
- Cliquez sur Enregistrer.
Étape 2 : Ajouter le groupe d'opérateurs de plate-forme au groupe d'utilisateurs du fournisseur de services
Ajoutez le groupe d'opérateurs de plate-forme au groupe d'utilisateurs du fournisseur de services. Cela donnera aux membres du groupe d'opérateurs de plate-forme la possibilité d'afficher les Espaces de noms vSphere sur l'écran de vCenter.
- Accédez à .
- Sélectionnez l'onglet Groupes.
- Recherchez le groupe ServiceProviderUsers.
- Modifiez le groupe ServiceProviderUsers et ajoutez platform-operators-group en tant que membre.
- Cliquez sur Enregistrer.
Étape 3 : Créer le rôle d'opérateurs de plate-forme
Créez un rôle vCenter SSO personnalisé pour les opérateurs de plate-forme.
Note : Ce rôle inclut toutes les autorisations nécessaires pour provisionner et utiliser le
Superviseur et les clusters
Service TKG, y compris pour l'administration des bibliothèques de contenu. Vous devrez peut-être ajuster les autorisations attribuées à ce rôle en fonction des exigences de sécurité et des objectifs de votre entreprise. En outre, vous devez tester le rôle pour vous assurer qu'il répond à vos exigences.
- À l'aide de la vSphere Client, accédez à .
- Sélectionnez Nouveau et créez un nom de rôle platform-operators-role.
- Définissez les privilèges suivants pour ce rôle.
- Lorsque vous avez terminé, cliquez sur Enregistrer.
- Alarms - Acknowledge alarm & - Create alarm & - Disable alarm action on entity & - Modify alarm & - Remove alarm & - Set alarm status & - Certificate Authority - Create/Delete (below Admins priv) & - Certificate Management - Create/Delete (below Admins priv) & - Cns - Searchable * & - Compute Policy - Create and Delete Compute Policy & - Content Library - Add library item & - Check in a template & - Check out a template & - Create local library & - Create subscribed library & - Delete library item & - Delete local library & - Delete subscribed library & - Download files & - Evict library item & - Evict subscribed library & - Import storage & - Probe subscription information & - Read storage & - Sync library item & - Sync subscribed library & - Type introspection & - Update configuration settings & - Update library & - Update library item & - Update local library & - Update subscribed library & - View configuration settings & - Datastore - Allocate space * & $ - Browse datastore * & - Configure datastore & - Low level file operations * & - Remove file & - Rename datastore & - Update virtual machine files & - Update virtual machine metadata & - Extension - Register extension & - Unregister extension & - Update extension & - Folder - Create folder & - Delete folder & - Move folder & - Rename folder & - Global - Cancel task & - Disable methods * & - Enable methods * & - Global tag & - Health & - Licenses * & - Log event & - Manage custom attributes & - Service managers & - Set custom attribute & - System tag & - Host - Configuration - Network configuration $ - Host profile - View & - Hybrid Linked Mode - Manage & - Namespaces - Modify cluster-wide configuration - Modify cluster-wide namespace self-service configuration - Modify namespace configuration - Network - Assign network * & $ - Resource - Apply recommendation & - Assign vApp to resource pool * & - Assign virtual machine to resource pool & - Create resource pool & - Modify resource pool & - Move resource pool & - Query vMotion & - Remove resource pool & - Rename resource pool & - Scheduled task - Create tasks & - Modify task & - Remove task & - Run task & - Sessions - Message * & - Validate session * & - VM storage policies - View VM storage policies * - Storage views - View & - Supervisor Services - Manage Supervisor Services - Trusted Infrastructure administrator - Manage Trusted Infrastructure Hosts & - vApp - Add virtual machine & - Assign resource pool & - Assign vApp & - Clone & - Create & - Delete & - Export & - Import * $ - Move & - Power off & - Power on & - Rename & - Suspend & - Unregister & - View OVF environment & - vApp application configuration & - vApp instance configuration & - vApp managedBy configuration & - vApp resource configuration & - Virtual machine - Change Configuration - Acquire disk lease & - Add existing disk * & $ - Add new disk * & - Add or remove device * & - Advanced configuration * & $ - Change CPU count * & - Change Memory * & - Change Settings * & - Change Swapfile placement & - Change Resource & - Configure Host USB device & - Configure Raw device * & - Configure managedBy & - Display connection settings & - Extend virtual disk * & - Modify device settings * & - Query Fault Tolerance compatibility & - Query unowned files & - Reload from path & - Remove disk * & - Rename & - Reset guest information & - Set annotation & - Toggle disk change tracking * & - Upgrade virtual machine compatibility & - Edit Inventory - Create from existing * & - Create new & - Move & - Remove * & - Register & - Unregister & - Guest operations - Guest operation alias modification & - Guest operation alias query & - Guest operation modifications & - Guest operation program execution & - Guest operation queries & - Interaction - Answer question & - Backup operation on virtual machine & - Configure CD media & - Configure floppy media & - Connect devices & - Console interaction & - Create screenshot & - Defragment all disks & - Drag and drop & - Guest operating system management by VIX API & - Inject USB HID scan codes & - Install VMware Tools & - Pause or Unpause & - Power off * & - Power on * & - Reset & - Suspend & - Provisioning - Allow disk access & - Allow file access & - Allow read-only disk access * & - Allow virtual machine download * & - Allow virtual machine files upload & - Clone template & - Clone virtual machine & - Create template from virtual machine & - Customize guest & - Deploy template * & - Mark as template & - Mark as virtual machine & - Modify customization specification & - Promote disks & - Read customization specifications & - Service configuration - Allow notifications & - Allow polling of global event notifications & - Manage service configurations & - Modify service configuration & - Query service configurations & - Read service configuration & - Snapshot management - Create snapshot * & - Remove snapshot * & - Rename snapshot & - Revert to snapshot & - vSphere Replication - Configure replication & - Manage replication & - Monitor replication & - Virtual Machine Classes - Manage Virtual Machine Classes - vSan - Cluster & - ShallowRekey & - vService - Create dependency & - Destroy dependency & - Reconfigure dependency configuration & - Update dependency & - vSphere Tagging - Assign or Unassign vSphere Tag & - Assign or Unassign vSphere Tag on Object & - Create vSphere Tag & - Create vSphere Tag Category & - Delete vSphere Tag & - Delete vSphere Tag Category & - Edit vSphere Tag & - Edit vSphere Tag Category & - Modify UsedBy Field For Category & - Modify UsedBy Field For Tag &
Étape 4 : Attribuer des autorisations d'objets vCenter au groupe et au rôle d'opérateurs de plate-forme
Attribuez des autorisations au groupe d'opérateurs de plate-forme pour les objets vCenter que le
Superviseur et les clusters
Service TKG utilisent.
- Dans vCenter, sélectionnez la vue .
- Pour chacun des objets vCenter répertoriés ci-dessous, cliquez avec le bouton droit sur l'objet et sélectionnez Ajouter des autorisations.
- Pour Utilisateur/Groupe, sélectionnez le groupe platform-operators-group.
- Pour Rôle, sélectionnez le rôle platform-operators-group-role.
- Pour certains objets, vous devrez sélectionner Propager aux enfants comme indiqué.
- Hôtes et clusters
- L'objet vCenter Server racine.
- Le centre de données et tous les dossiers Hôte et Cluster, de l'objet Centre de données jusqu'au cluster qui gère le déploiement TKG.
- Cluster vCenter cible sur lequel Superviseur est activé avec l'option Propager aux enfants activée (pour les hôtes ESXi, etc.).
- Pools de ressources cibles avec l'option Propager aux enfants activée.
- VM et modèles
- Objet de centre de données de niveau supérieur, avec l'option Propager aux enfants activée.
- Pour une granularité plus précise, dossiers de machine virtuelle et de modèle cibles, avec l'optionPropager aux enfants activée.
- Stockage
- Objet de centre de données de niveau supérieur, avec l'option Propager aux enfants activée.
- Ou l'objet de banque de données partagé (tel que vsanDatastore) sans l'option Propager aux enfants activée, ou des banques de données individuelles et tous les dossiers de stockage, de l'objet Centre de données jusqu'aux banques de données qui seront utilisées pour les déploiements TKG, avec l'option Propager aux enfants activée.
- Mise en réseau
- Objet de centre de données de niveau supérieur, avec l'option Propager aux enfants activée.
- Ou des réseaux individuels, des commutateurs Distributed Switch et des groupes de ports distribués auxquels des clusters seront attribués.
Étape 5 : Associer le groupe et le rôle d'opérateurs de plate-forme
Attribuez des autorisations au groupe et au rôle d'opérateurs de plate-forme.
- À l'aide de vSphere Client, accédez à .
- Ajoutez le rôle d'opérateurs de plate-forme au groupe d'opérateurs de plate-forme.
- Cliquez sur Ajouter.
- Pour Domaine, sélectionnez vsphere.local.
- Pour Utilisateur/Groupe, entrez le groupe platform-operators-group.
- Pour Rôle, sélectionnez le rôle platform-operators-role.
- Cochez la case Propager vers les enfants.
- Cliquez sur OK pour mettre à jour le groupe avec les autorisations de rôle.
- Ajoutez le rôle de gestionnaire vSphere Kubernetes au groupe d'opérateurs de plate-forme.
- Cliquez sur Ajouter.
- Pour Domaine, sélectionnez vsphere.local.
- Pour Utilisateur/Groupe, entrez le groupe platform-operators-group.
- Pour Rôle, sélectionnez le rôle Gestionnaire vSphere Kubernetes.
- Cochez la case Propager vers les enfants.
- Cliquez sur OK pour mettre à jour le groupe avec les autorisations de rôle.
Étape 6 : Valider le groupe et le rôle d'opérateurs de plate-forme
Testez les nouveaux groupes et le rôle d'opérateurs de plate-forme. Vous devez vous assurer que le groupe et le rôle répondent à vos exigences de sécurité et aux objectifs de votre entreprise, et les ajuster en conséquence.
- À l'aide de vSphere Client, connectez-vous à vCenter Server avec le compte d'utilisateur platform-operator-00.
- Vérifiez que vous disposez d'un accès en lecture aux objets vSphere, notamment les hôtes et les clusters, les machines virtuelles et les modèles, le stockage et la mise en réseau.
- Vérifiez que vous pouvez créer et configurer une bibliothèque de contenu. Reportez-vous à la section Administration des versions de Kubernetes pour les clusters Service TKG.
- Vérifiez que vous pouvez créer et configurer un Espace de noms vSphere, notamment pour l'ajout d'utilisateurs, l'association de la bibliothèque de contenu et l'attribution d'une stratégie de stockage. Reportez-vous à la section Configuration de Espaces de noms vSphere pour l'hébergement de clusters Service TKG.
- Vérifiez que vous pouvez vous connecter au Superviseur à l'aide des Outils de l'interface de ligne de commande Kubernetes pour vSphere . Reportez-vous à la section Connexion à des clusters Service TKG à l'aide de l'authentification vCenter SSO.
- Vérifiez que vous pouvez provisionner un cluster TKG sur le Superviseur à l'aide de Kubectl. Reportez-vous à la section Workflow de provisionnement de clusters TKG à l'aide de Kubectl.
- Vérifiez que vous pouvez vous connecter au cluster TKG sur le Superviseur à l'aide de Kubectl. Reportez-vous à la section Se connecter à un cluster Service TKG en tant qu'utilisateur vCenter Single Sign-On avec Kubectl.
- Vérifiez que vous pouvez déployer des charges de travail vers le cluster TKG sur le Superviseur. Reportez-vous à la section Déploiement de charges de travail sur des clusters Service TKG.
- Vérifiez que vous pouvez effectuer diverses tâches opérationnelles pour le cluster TKG sur le Superviseur. Reportez-vous à la section Exploiter les clusters de services TKG.
- À l'aide de vSphere Client, vérifiez que vous pouvez afficher le cluster TKG provisionné sur le Superviseur dans l'Espace de noms vSphere.
- À l'aide de vSphere Client, vérifiez que vous pouvez surveiller le Superviseur et les objets de cluster TKG.
- Effectuez un test négatif pour vous assurer que vous ne pouvez pas effectuer certaines tâches réservées aux administrateurs vSphere. Par exemple, vous ne devez pas être en mesure de créer une stratégie de stockage vSphere ou une mise en réseau vSphere. Vous ne devez pas non plus être en mesure de désactiver la gestion de la charge de travail.
- Ajustez les autorisations de rôle en conséquence pour répondre à vos exigences de sécurité et aux objectifs de votre entreprise.
