Un modo facoltativo per assegnare le autorizzazioni agli operatori di vSphere IaaS control plane, incluse le persone responsabili dei Supervisore operativi e dei cluster Servizio TKG, consiste nel creare un gruppo di utenti e un ruolo di vSphere dedicati per tali operatori.
Informazioni sul gruppo e il ruolo di operatori della piattaforma
Per motivi di sicurezza, è consigliabile evitare di assegnare il ruolo di amministratore di vSphere agli operatori della piattaforma perché questo ruolo concede più privilegi di quelli necessari per utilizzare i cluster
Servizio TKG. In base al principio del privilegio minimo, è possibile creare un gruppo di utenti dedicato, un account di servizio (utente) e un ruolo personalizzato che possano essere utilizzati dagli operatori della piattaforma, quindi concedere al gruppo di utenti autorizzazioni di ruolo personalizzate per gli oggetti vSphere.
Nota: È necessario effettuare l'accesso a
vCenter Server come amministratore di vSphere per eseguire tutte le attività descritte in questo argomento.
Nota: I nomi dei gruppi e dei ruoli vSphere sono stringhe definite dall'utente. I nomi forniti qui sono esempi che è possibile adottare, modificare o adeguare in base alle esigenze aziendali e di sicurezza.
Avviso: È necessario valutare le autorizzazioni del ruolo di esempio fornite qui nel contesto dei requisiti aziendali e di sicurezza, testare il ruolo per garantirne la conformità ed effettuare le dovute modifiche. Non tutte le autorizzazioni utilizzate qui potrebbero essere adatte alle proprie esigenze, pertanto potrebbero essere necessarie autorizzazioni aggiuntive. Fare riferimento alla
Documentazione sulla sicurezza di vSphere per l'elenco completo delle autorizzazioni di vSphere e consultare le considerazioni sulla sicurezza.
Parte 1: creazione di un utente e un gruppo di operatori della piattaforma
In vCenter o in un sistema AD/LDAP integrato con vCenter, creare il gruppo di operatori della piattaforma e un account utente iniziale.
- Accedere a vCenter Server come amministratore utilizzando vSphere Client.
- Passare a .
- Selezionare la scheda Gruppi.
- Fare clic su Aggiungi e creare un nuovo gruppo:
- Nome: platform-operators-group
- Descrizione: Account di gruppo per gli operatori Kubernetes del supervisore e dei cluster TKG Service
- Fare clic su Aggiungi
- Selezionare la scheda Utenti.
- Fare clic su Aggiungi e creare un nuovo utente a scopo di test.
- Nome: platform-operator-00
- Password: inserire una password forte che soddisfi i requisiti
- Fare clic su Aggiungi
- Selezionare la scheda Gruppi.
- Aggiungere il nuovo utente al gruppo.
- Selezionare il gruppo platform-operators-group.
- Fare clic su Aggiungi membri .
- Selezionare vsphere.local.
- Cercare il nome utente platform-operator-00.
- Selezionare un utente e fare clic su Aggiungi.
- Fare clic su Salva.
Parte 2: aggiunta del gruppo di operatori della piattaforma al gruppo di utenti del provider di servizi
Aggiungere il gruppo di operatori della piattaforma al gruppo di utenti del provider di servizi. In questo modo, i membri del gruppo di operatori della piattaforma potranno visualizzare gli Spazi dei nomi vSphere nella schermata di vCenter.
- Passare a .
- Selezionare la scheda Gruppi.
- Individuare il gruppo ServiceProviderUsers.
- Modificare il gruppo ServiceProviderUsers e aggiungere come membro vplatform-operators-group.
- Fare clic su Salva.
Parte 3: creazione del ruolo di operatori della piattaforma
Creare un ruolo SSO di vCenter personalizzato per gli operatori della piattaforma.
Nota: Il ruolo include tutte le autorizzazioni necessarie per eseguire il provisioning e utilizzare il
Supervisore e i cluster
Servizio TKG, nonché gestire le librerie di contenuti. Potrebbe essere necessario modificare le autorizzazioni assegnate a questo ruolo in base ai propri requisiti aziendali e di sicurezza. È inoltre necessario testare il ruolo per assicurarsi che soddisfi i propri requisiti.
- Utilizzando vSphere Client, passare a .
- Selezionare Nuovo e creare un nuovo nome per il ruolo platform-operators-role.
- Definire i privilegi seguenti per questo ruolo.
- Al termine dell'operazione, fare clic su Salva.
- Alarms - Acknowledge alarm & - Create alarm & - Disable alarm action on entity & - Modify alarm & - Remove alarm & - Set alarm status & - Certificate Authority - Create/Delete (below Admins priv) & - Certificate Management - Create/Delete (below Admins priv) & - Cns - Searchable * & - Compute Policy - Create and Delete Compute Policy & - Content Library - Add library item & - Check in a template & - Check out a template & - Create local library & - Create subscribed library & - Delete library item & - Delete local library & - Delete subscribed library & - Download files & - Evict library item & - Evict subscribed library & - Import storage & - Probe subscription information & - Read storage & - Sync library item & - Sync subscribed library & - Type introspection & - Update configuration settings & - Update library & - Update library item & - Update local library & - Update subscribed library & - View configuration settings & - Datastore - Allocate space * & $ - Browse datastore * & - Configure datastore & - Low level file operations * & - Remove file & - Rename datastore & - Update virtual machine files & - Update virtual machine metadata & - Extension - Register extension & - Unregister extension & - Update extension & - Folder - Create folder & - Delete folder & - Move folder & - Rename folder & - Global - Cancel task & - Disable methods * & - Enable methods * & - Global tag & - Health & - Licenses * & - Log event & - Manage custom attributes & - Service managers & - Set custom attribute & - System tag & - Host - Configuration - Network configuration $ - Host profile - View & - Hybrid Linked Mode - Manage & - Namespaces - Modify cluster-wide configuration - Modify cluster-wide namespace self-service configuration - Modify namespace configuration - Network - Assign network * & $ - Resource - Apply recommendation & - Assign vApp to resource pool * & - Assign virtual machine to resource pool & - Create resource pool & - Modify resource pool & - Move resource pool & - Query vMotion & - Remove resource pool & - Rename resource pool & - Scheduled task - Create tasks & - Modify task & - Remove task & - Run task & - Sessions - Message * & - Validate session * & - VM storage policies - View VM storage policies * - Storage views - View & - Supervisor Services - Manage Supervisor Services - Trusted Infrastructure administrator - Manage Trusted Infrastructure Hosts & - vApp - Add virtual machine & - Assign resource pool & - Assign vApp & - Clone & - Create & - Delete & - Export & - Import * $ - Move & - Power off & - Power on & - Rename & - Suspend & - Unregister & - View OVF environment & - vApp application configuration & - vApp instance configuration & - vApp managedBy configuration & - vApp resource configuration & - Virtual machine - Change Configuration - Acquire disk lease & - Add existing disk * & $ - Add new disk * & - Add or remove device * & - Advanced configuration * & $ - Change CPU count * & - Change Memory * & - Change Settings * & - Change Swapfile placement & - Change Resource & - Configure Host USB device & - Configure Raw device * & - Configure managedBy & - Display connection settings & - Extend virtual disk * & - Modify device settings * & - Query Fault Tolerance compatibility & - Query unowned files & - Reload from path & - Remove disk * & - Rename & - Reset guest information & - Set annotation & - Toggle disk change tracking * & - Upgrade virtual machine compatibility & - Edit Inventory - Create from existing * & - Create new & - Move & - Remove * & - Register & - Unregister & - Guest operations - Guest operation alias modification & - Guest operation alias query & - Guest operation modifications & - Guest operation program execution & - Guest operation queries & - Interaction - Answer question & - Backup operation on virtual machine & - Configure CD media & - Configure floppy media & - Connect devices & - Console interaction & - Create screenshot & - Defragment all disks & - Drag and drop & - Guest operating system management by VIX API & - Inject USB HID scan codes & - Install VMware Tools & - Pause or Unpause & - Power off * & - Power on * & - Reset & - Suspend & - Provisioning - Allow disk access & - Allow file access & - Allow read-only disk access * & - Allow virtual machine download * & - Allow virtual machine files upload & - Clone template & - Clone virtual machine & - Create template from virtual machine & - Customize guest & - Deploy template * & - Mark as template & - Mark as virtual machine & - Modify customization specification & - Promote disks & - Read customization specifications & - Service configuration - Allow notifications & - Allow polling of global event notifications & - Manage service configurations & - Modify service configuration & - Query service configurations & - Read service configuration & - Snapshot management - Create snapshot * & - Remove snapshot * & - Rename snapshot & - Revert to snapshot & - vSphere Replication - Configure replication & - Manage replication & - Monitor replication & - Virtual Machine Classes - Manage Virtual Machine Classes - vSan - Cluster & - ShallowRekey & - vService - Create dependency & - Destroy dependency & - Reconfigure dependency configuration & - Update dependency & - vSphere Tagging - Assign or Unassign vSphere Tag & - Assign or Unassign vSphere Tag on Object & - Create vSphere Tag & - Create vSphere Tag Category & - Delete vSphere Tag & - Delete vSphere Tag Category & - Edit vSphere Tag & - Edit vSphere Tag Category & - Modify UsedBy Field For Category & - Modify UsedBy Field For Tag &
Parte 4: assegnazione delle autorizzazioni degli oggetti vCenter al gruppo e al ruolo di operatori della piattaforma
Assegnare al gruppo di operatori della piattaforma le autorizzazioni per gli oggetti vCenter utilizzati dal
Supervisore e dai cluster
Servizio TKG.
- In vCenter selezionare la visualizzazione .
- Per ciascuno degli oggetti vCenter elencati di seguito, fare clic con il pulsante destro del mouse sull'oggetto e selezionare Aggiungi autorizzazione.
- In Utente/Gruppo, selezionare il gruppo platform-operators-group.
- In Ruolo, selezionare il ruolo platform-operators-group-role.
- Per alcuni oggetti sarà necessario selezionare Propaga agli elementi secondari, come indicato.
- Host e cluster
- L'oggetto vCenter Server root.
- Il data center e tutte le cartelle Host e cluster, dall'oggetto Data center in basso al cluster che gestisce la distribuzione TKG.
- Il cluster vCenter di destinazione in cui è abilitato Supervisore, con Propaga agli elementi secondari abilitato (per gli host ESXi, ecc.).
- I pool di risorse di destinazione con Propaga agli elementi secondari sono abilitati.
- Macchine virtuali e modelli
- Oggetto data center di livello superiore con Propaga agli elementi secondari abilitato.
- In alternativa, per una maggiore granularità, le cartelle della macchina virtuale e del modello di destinazione con Propaga agli elementi secondari abilitati.
- Storage
- Oggetto data center di livello superiore con Propaga agli elementi secondari abilitato.
- In alternativa, l'oggetto Datastore condiviso (ad esempio vsanDatastore) senza Propaga agli elementi secondari abilitato o a singoli datastore e a tutte le cartelle di storage, dall'oggetto Data center ai datastore che verranno utilizzati per le distribuzioni TKG, con Propaga agli elementi secondari abilitato.
- Rete
- Oggetto data center di livello superiore con Propaga agli elementi secondari abilitato.
- In alternativa, a singole reti, commutatori distribuiti e gruppi di porte distribuiti a cui verranno assegnati i cluster.
Parte 5: associazione del ruolo e del gruppo di operatori della piattaforma
Assegnare le autorizzazioni al ruolo e al gruppo di operatori della piattaforma.
- Utilizzando vSphere Client, passare a .
- Aggiungere il ruolo di operatori della piattaforma al gruppo di operatori della piattaforma.
- Fare clic su Aggiungi.
- Per Dominio, selezionare vsphere.local.
- In Utente/Gruppo, immettere il gruppo platform-operators-group.
- In Ruolo, selezionare il ruolo platform-operators-role.
- Selezionare la casella di controllo Propaga agli elementi secondari.
- Fare clic su OK per aggiornare il gruppo con le autorizzazioni del ruolo.
- Aggiungere il ruolo vSphere Kubernetes Manager al gruppo di operatori della piattaforma.
- Fare clic su Aggiungi.
- Per Dominio, selezionare vsphere.local.
- In Utente/Gruppo, immettere il gruppo platform-operators-group.
- Per Ruolo, selezionare il ruolo vSphere Kubernetes Manager.
- Selezionare la casella di controllo Propaga agli elementi secondari.
- Fare clic su OK per aggiornare il gruppo con le autorizzazioni del ruolo.
Parte 6: convalida del ruolo e del gruppo di operatori della piattaforma
Testare il nuovo ruolo e il nuovo gruppo di operatori della piattaforma. È necessario assicurarsi che il gruppo e il ruolo soddisfino i propri requisiti di sicurezza e aziendali e adeguarsi di conseguenza.
- Utilizzando vSphere Client, accedere a vCenter Server tramite l'account utente platform-operator-00.
- Verificare di disporre dell'accesso in lettura agli oggetti vSphere, inclusi gli host e i cluster, le macchine virtuali e i modelli, lo storage e la rete.
- Verificare che sia possibile creare e configurare una libreria di contenuti. Vedere Amministrazione delle versioni di Kubernetes per i cluster Servizio TKG.
- Verificare che sia possibile creare e configurare uno Spazio dei nomi vSphere, inclusa l'aggiunta di utenti, l'associazione della libreria di contenuti e l'assegnazione di criteri di storage. Vedere Configurazione di Spazi dei nomi vSphere per l'hosting di cluster Servizio TKG.
- Verificare che sia possibile accedere al Supervisore utilizzando Strumenti CLI Kubernetes di vSphere. Vedere Connessione ai cluster Servizio TKG tramite l'autenticazione SSO di vCenter.
- Verificare che sia possibile eseguire il provisioning di un cluster TKG nel Supervisore utilizzando Kubectl. Vedere Workflow per il provisioning dei cluster TKG utilizzando Kubectl.
- Verificare che sia possibile accedere al cluster TKG nel Supervisore utilizzando Kubectl. Vedere Connessione a un cluster Servizio TKG come utente di vCenter Single Sign-On con kubectl.
- Verificare che sia possibile distribuire i carichi di lavoro nel cluster TKG nel Supervisore. Vedere Distribuzione dei carichi di lavoro nei cluster Servizio TKG.
- Verificare che sia possibile eseguire varie attività operative per il cluster TKG nel Supervisore. Vedere Funzionamento dei cluster TKG Service.
- Utilizzando il vSphere Client, verificare che sia possibile visualizzare il cluster TKG di cui è stato eseguito il provisioning nel Supervisore nello Spazio dei nomi vSphere.
- Utilizzando il vSphere Client, verificare che sia possibile monitorare gli oggetti cluster Supervisore e TKG.
- Eseguire un test negativo per assicurarsi che non sia possibile effettuare determinate attività riservate agli amministratori di vSphere. Ad esempio, non dovrebbe essere possibile creare un nuovo criterio di storage vSphere o una nuova rete vSphere. Inoltre, non dovrebbe essere possibile disabilitare la funzionalità Gestione carico di lavoro.
- Modificare le autorizzazioni dei ruoli di conseguenza per soddisfare i propri requisiti aziendali e di sicurezza.
