スーパーバイザー および TKG サービス クラスタの運用に責任を負う担当者などの vSphere IaaS control plane オペレータに権限を割り当てる方法の 1 つは、専用の vSphere ユーザー グループと、そのようなオペレータ専用のロールを作成することです。
プラットフォーム オペレータ グループおよびロールについて
セキュリティ上のベスト プラクティスとして、vSphere 管理者ロールをプラットフォーム オペレータに割り当てないようにすることを推奨します。管理者ロールは、
TKG サービス クラスタを操作するために必要な権限よりも多くの権限が付与されるためです。最小限の権限の原則に従って、プラットフォーム オペレータが使用する専用のユーザー グループ、サービス(ユーザー)アカウント、カスタム ロールを作成してから、そのユーザー グループに vSphere オブジェクトに対するカスタム ロール権限を付与することができます。
注: このトピックのすべてのタスクを実行するには、vSphere 管理者として
vCenter Server にログインする必要があります。
注: vSphere グループ名およびロール名は、ユーザー定義の文字列です。ここに記載されている名前は例であり、実際のセキュリティおよびビジネスのニーズに応じて採用、調整、または変更できます。
注意: ここで提供されているロール権限の例は、実際のセキュリティ要件とビジネス要件のコンテキストで評価し、ロールが確実にコンプライアンスを満たしているか確認して、必要に応じて調整する必要があります。ここで使用されているすべての権限がニーズに適合するとは限りません。また、追加の権限が必要になる場合もあります。vSphere の権限とセキュリティに関する考慮事項の完全なリストについては、
vSphere セキュリティのドキュメントを参照してください。
パート 1:プラットフォーム オペレータ グループとユーザーの作成
vCenter Server、または vCenter Server と統合された AD/LDAP システムで、プラットフォーム オペレータ グループと初期ユーザー アカウントを作成します。
- vSphere Client を使用して vCenter Server に管理者としてログインします。
- の順に移動します。
- [グループ] タブを選択します。
- [追加] をクリックし、新しいグループを作成します。
- 名前:platform-operators-group
- 説明:スーパーバイザーおよび TKG サービス クラスタの Kubernetes オペレータ用グループ アカウント
- [追加] をクリックします。
- [ユーザー] タブを選択します。
- [追加] をクリックし、テスト用の新しいユーザーを作成します。
- 名前:platform-operator-00
- パスワード:要件を満たす強力なパスワードを入力します
- [[追加]] をクリックします。
- [グループ] タブを選択します。
- 新しいユーザーをグループに追加します。
- グループ platform-operators-group を選択します。
- [メンバーの追加] をクリックします。
- [vsphere.local] を選択します。
- ユーザー名 platform-operator-00 を検索します。
- このユーザーを選択し、[追加] をクリックします。
- [保存] をクリックします。
パート 2:サービス プロバイダ ユーザー グループへのプラットフォーム オペレータ グループの追加
サービス プロバイダ ユーザー グループにプラットフォーム オペレータ グループを追加します。これにより、プラットフォーム オペレータ グループのメンバーは、vCenter Server の 画面で vSphere 名前空間 を表示できるようになります。
- の順に移動します。
- [グループ] タブを選択します。
- [ServiceProviderUsers] グループを見つけます。
- [ServiceProviderUsers] グループを編集し、[platform-operators-group] のメンバーとして追加します。
- [保存] をクリックします。
パート 3:プラットフォーム オペレータ ロールの作成
プラットフォーム オペレータ用のカスタム vCenter SSO ロールを作成します。
注: このロールには、
スーパーバイザー および
TKG サービス クラスタをプロビジョニングし、コンテンツ ライブラリの管理を含めて運用するために必要なすべての権限が含まれています。ビジネス要件とセキュリティ要件に基づいて、このロールに割り当てられている権限の調整が必要になる場合があります。また、ロールが要件を満たしていることを確認するために、ロールをテストする必要があります。
- vSphere Client を使用して、 の順に移動します。
- [新規] を選択し、新しいロール名 platform-operators-role を作成します。
- このロールに対して次の権限を定義します。
- 完了したら、[保存] をクリックします。
- Alarms - Acknowledge alarm & - Create alarm & - Disable alarm action on entity & - Modify alarm & - Remove alarm & - Set alarm status & - Certificate Authority - Create/Delete (below Admins priv) & - Certificate Management - Create/Delete (below Admins priv) & - Cns - Searchable * & - Compute Policy - Create and Delete Compute Policy & - Content Library - Add library item & - Check in a template & - Check out a template & - Create local library & - Create subscribed library & - Delete library item & - Delete local library & - Delete subscribed library & - Download files & - Evict library item & - Evict subscribed library & - Import storage & - Probe subscription information & - Read storage & - Sync library item & - Sync subscribed library & - Type introspection & - Update configuration settings & - Update library & - Update library item & - Update local library & - Update subscribed library & - View configuration settings & - Datastore - Allocate space * & $ - Browse datastore * & - Configure datastore & - Low level file operations * & - Remove file & - Rename datastore & - Update virtual machine files & - Update virtual machine metadata & - Extension - Register extension & - Unregister extension & - Update extension & - Folder - Create folder & - Delete folder & - Move folder & - Rename folder & - Global - Cancel task & - Disable methods * & - Enable methods * & - Global tag & - Health & - Licenses * & - Log event & - Manage custom attributes & - Service managers & - Set custom attribute & - System tag & - Host - Configuration - Network configuration $ - Host profile - View & - Hybrid Linked Mode - Manage & - Namespaces - Modify cluster-wide configuration - Modify cluster-wide namespace self-service configuration - Modify namespace configuration - Network - Assign network * & $ - Resource - Apply recommendation & - Assign vApp to resource pool * & - Assign virtual machine to resource pool & - Create resource pool & - Modify resource pool & - Move resource pool & - Query vMotion & - Remove resource pool & - Rename resource pool & - Scheduled task - Create tasks & - Modify task & - Remove task & - Run task & - Sessions - Message * & - Validate session * & - VM storage policies - View VM storage policies * - Storage views - View & - Supervisor Services - Manage Supervisor Services - Trusted Infrastructure administrator - Manage Trusted Infrastructure Hosts & - vApp - Add virtual machine & - Assign resource pool & - Assign vApp & - Clone & - Create & - Delete & - Export & - Import * $ - Move & - Power off & - Power on & - Rename & - Suspend & - Unregister & - View OVF environment & - vApp application configuration & - vApp instance configuration & - vApp managedBy configuration & - vApp resource configuration & - Virtual machine - Change Configuration - Acquire disk lease & - Add existing disk * & $ - Add new disk * & - Add or remove device * & - Advanced configuration * & $ - Change CPU count * & - Change Memory * & - Change Settings * & - Change Swapfile placement & - Change Resource & - Configure Host USB device & - Configure Raw device * & - Configure managedBy & - Display connection settings & - Extend virtual disk * & - Modify device settings * & - Query Fault Tolerance compatibility & - Query unowned files & - Reload from path & - Remove disk * & - Rename & - Reset guest information & - Set annotation & - Toggle disk change tracking * & - Upgrade virtual machine compatibility & - Edit Inventory - Create from existing * & - Create new & - Move & - Remove * & - Register & - Unregister & - Guest operations - Guest operation alias modification & - Guest operation alias query & - Guest operation modifications & - Guest operation program execution & - Guest operation queries & - Interaction - Answer question & - Backup operation on virtual machine & - Configure CD media & - Configure floppy media & - Connect devices & - Console interaction & - Create screenshot & - Defragment all disks & - Drag and drop & - Guest operating system management by VIX API & - Inject USB HID scan codes & - Install VMware Tools & - Pause or Unpause & - Power off * & - Power on * & - Reset & - Suspend & - Provisioning - Allow disk access & - Allow file access & - Allow read-only disk access * & - Allow virtual machine download * & - Allow virtual machine files upload & - Clone template & - Clone virtual machine & - Create template from virtual machine & - Customize guest & - Deploy template * & - Mark as template & - Mark as virtual machine & - Modify customization specification & - Promote disks & - Read customization specifications & - Service configuration - Allow notifications & - Allow polling of global event notifications & - Manage service configurations & - Modify service configuration & - Query service configurations & - Read service configuration & - Snapshot management - Create snapshot * & - Remove snapshot * & - Rename snapshot & - Revert to snapshot & - vSphere Replication - Configure replication & - Manage replication & - Monitor replication & - Virtual Machine Classes - Manage Virtual Machine Classes - vSan - Cluster & - ShallowRekey & - vService - Create dependency & - Destroy dependency & - Reconfigure dependency configuration & - Update dependency & - vSphere Tagging - Assign or Unassign vSphere Tag & - Assign or Unassign vSphere Tag on Object & - Create vSphere Tag & - Create vSphere Tag Category & - Delete vSphere Tag & - Delete vSphere Tag Category & - Edit vSphere Tag & - Edit vSphere Tag Category & - Modify UsedBy Field For Category & - Modify UsedBy Field For Tag &
パート 4:プラットフォーム オペレータ グループおよびロールへの vCenter Server オブジェクト権限の割り当て
スーパーバイザー および
TKG サービス クラスタが使用する vCenter Server オブジェクトに対する権限をプラットフォーム オペレータ グループに割り当てます。
- vCenter Server で、 ビューを選択します。
- 次のリストにある各 vCenter Server オブジェクトについて、オブジェクトを右クリックし、[権限の追加] を選択します。
- [ユーザー/グループ] で、グループ [platform-operators-group] を選択します。
- [ロール] で、ロール [platform-operators-group-role] を選択します。
- 一部のオブジェクトでは、[子に伝播] を選択する必要があります。
- [ホストおよびクラスタ]
- ルート vCenter Server オブジェクト。
- データセンター オブジェクトから始まり TKG デプロイを管理するクラスタに至るまでの、データセンターおよびすべてのホストおよびクラスタ フォルダ。
- [子に伝播] が有効になっている、スーパーバイザー が有効なターゲット vCenter Server クラスタ(ESXi ホストの場合など)。
- [子に伝播] が有効になっているターゲット リソース プール。
- [仮想マシンおよびテンプレート]
- [子に伝播] が有効になっている最上位のデータセンター オブジェクト。
- または、より細かく設定する場合、[子に伝播] が有効になっているターゲット仮想マシンおよびテンプレート フォルダ。
- [ストレージ]
- [子に伝播] が有効になっている最上位のデータセンター オブジェクト。
- または、[子に伝播] が有効になっていない共有データストア オブジェクト(vsanDatastore など)、または [子に伝播] が有効になっている、個々のデータストアおよびすべてのストレージ フォルダ(データセンター オブジェクトから始まり TKG のデプロイに使用されるデータストアに至るまで)。
- [ネットワーク]
- [子に伝播] が有効になっている最上位のデータセンター オブジェクト。
- または、クラスタの割り当て先となる個々のネットワーク、分散スイッチ、分散ポート グループ。
パート 5:プラットフォーム オペレータ グループとロールの関連付け
プラットフォーム オペレータ グループとロールに権限を割り当てます。
- vSphere Client を使用して、 の順に移動します。
- プラットフォーム オペレータ グループにプラットフォーム オペレータ ロールを追加します。
- [追加] をクリックします。
- [ドメイン] で、[vsphere.local] を選択します。
- [ユーザー/グループ] に、グループ [platform-operators-group] を入力します。
- [ロール] で、ロール [platform-operators-role] を選択します。
- [子へ伝達] チェック ボックスをオンにします。
- [OK] をクリックして、グループのロール権限を更新します。
- プラットフォーム オペレータ グループに vSphere Kubernetes マネージャ ロールを追加します。
- [追加] をクリックします。
- [ドメイン] で、[vsphere.local] を選択します。
- [ユーザー/グループ] に、グループ [platform-operators-group] を入力します。
- [ロール] で、[vSphere Kubernetes マネージャ] ロールを選択します。
- [子へ伝達] チェック ボックスをオンにします。
- [OK] をクリックして、グループのロール権限を更新します。
パート 6:プラットフォーム オペレータ グループとロールの検証
新しいプラットフォーム オペレータ グループとロールをテストします。グループとロールがセキュリティ要件とビジネス要件を満たしていることを確認し、必要に応じて調整する必要があります。
- vSphere Client を使用して、[platform-operator-00] ユーザー アカウントで vCenter Server にログインします。
- ホストおよびクラスタ、仮想マシンおよびテンプレート、ストレージ、ネットワークなどの vSphere オブジェクトに対する読み取りアクセス権があることを確認します。
- コンテンツ ライブラリを作成および構成できることを確認します。TKG サービス クラスタ用 Kubernetes リリースの管理を参照してください。
- vSphere 名前空間 を作成可能で、ユーザーの追加、コンテンツ ライブラリの関連付け、ストレージ ポリシーの割り当てなどの構成ができることを確認します。TKG サービス クラスタをホストするための vSphere 名前空間 の構成を参照してください。
- vSphere 向け Kubernetes CLI Tools を使用して スーパーバイザー にログインできることを確認します。vCenter SSO 認証を使用した TKG サービス クラスタへの接続を参照してください。
- Kubectl を使用して スーパーバイザー に TKG クラスタをプロビジョニングできることを確認します。Kubectl を使用して TKG クラスタをプロビジョニングするためのワークフローを参照してください。
- Kubectl を使用して スーパーバイザー 上の TKG クラスタにログインできることを確認します。Kubectl を使用した vCenter Single Sign-On ユーザーとしての TKG サービス クラスタへの接続を参照してください。
- スーパーバイザー 上の TKG クラスタにワークロードをデプロイできることを確認します。TKG サービス クラスタへのワークロードのデプロイを参照してください。
- スーパーバイザー 上の TKG クラスタに対してさまざまな操作タスクを実行できることを確認します。TKG サービス クラスタの操作を参照してください。
- vSphere Client を使用して、vSphere 名前空間 内で スーパーバイザー にプロビジョニングされた TKG クラスタを表示できることを確認します。
- vSphere Client を使用して、スーパーバイザー および TKG クラスタ オブジェクトを監視できることを確認します。
- ネガティブ テストを実行して、vSphere 管理者用に予約された特定のタスクを実行できないことを確認します。たとえば、新しい vSphere ストレージ ポリシーや vSphere ネットワークの作成はできないようにします。また、ワークロード管理を無効にすることもできないようにします。
- セキュリティ要件およびビジネス要件を満たすように、ロールの権限を適切に調整します。
