vSphere IaaS control plane 營運人員 (包括負責操作 主管TKG 服務 叢集的人員) 指派權限的一種可選方式是,專門為這些營運人員建立專用的 vSphere 使用者群組和角色。

關於平台營運人員群組和角色

安全性最佳做法是,您可能需要避免將 vSphere 管理員角色指派給平台營運人員,因為此角色授與的權限多於操作 TKG 服務 叢集所需的權限。按照最小權限原則,您可以建立專用使用者群組、服務 (使用者) 帳戶和自訂角色以供平台營運人員使用,然後授與使用者群組對 vSphere 物件的自訂角色權限。
備註: 您需要以 vSphere 管理員身分登入 vCenter Server,才能執行本主題中的所有工作。
備註: vSphere 群組名稱和角色名稱是使用者定義的字串。此處提供的名稱僅為範例,您可以根據安全性和業務需求進行採用、調整或變更。
警告: 您必須根據安全性和業務需求評估此處提供的範例角色權限,測試角色以確保合規性,並相應地進行調整。此處使用的權限可能並非全部符合您的需求,您可能還需要其他權限。如需有關 vSphere 權限和安全考量事項的完整清單,請參閱 vSphere 安全性說明文件。

第 1 部分:建立平台營運人員群組和使用者

在 vCenter 或與 vCenter 整合的 AD/LDAP 系統中,請建立平台營運人員群組和初始使用者帳戶。
  1. 使用 vSphere Client 以管理員身分登入 vCenter Server
  2. 移至管理 > Single Sign On > 使用者和群組
  3. 選取群組索引標籤。
  4. 按一下新增並建立新群組:
    • 名稱:platform-operators-group
    • 說明:用於主管和 TKG 服務叢集的 Kubernetes Operator 的群組帳戶
    • 按一下新增
  5. 選取使用者索引標籤。
  6. 按一下新增並建立一個新使用者用於進行測試。
    • 名稱:platform-operator-00
    • 密碼:輸入符合要求的強式密碼
    • 按一下新增
  7. 選取群組索引標籤。
  8. 將該新使用者新增到群組。
    • 選取群組 platform-operators-group
    • 按一下新增成員
    • 選取 vsphere.local
    • 搜尋使用者名稱 platform-operator-00
    • 選取此使用者,然後按一下新增
    • 按一下儲存

第 2 部分:將平台營運人員群組新增至服務提供者使用者群組

將平台營運人員群組新增至服務提供者使用者群組這樣一來,平台營運人員群組的成員能夠在 vCenter 的詳細目錄 > 主機和叢集畫面中檢視 vSphere 命名空間

  1. 移至管理 > Single Sign On > 使用者和群組
  2. 選取群組索引標籤。
  3. 找到 ServiceProviderUsers 群組。
  4. 編輯 ServiceProviderUsers 群組,並將其新增為 platform-operators-group 的成員。
  5. 按一下儲存

第 3 部分:建立平台營運人員角色

為平台營運人員建立自訂 vCenter SSO 角色。
備註: 此角色包含佈建和操作 主管 以及 TKG 服務 叢集所需的所有必要權限,包括管理內容程式庫。 您可能需要根據業務和安全性需求調整指派給此角色的權限。此外,還必須測試此角色以確保其符合您的需求。
  1. 使用 vSphere Client,移至管理 > 存取控制 > 角色
  2. 選取新增,然後建立名為 platform-operators-role 的新角色。
  3. 為此角色定義以下權限。
  4. 完成後,按一下儲存
    - Alarms
      - Acknowledge alarm &
      - Create alarm &
      - Disable alarm action on entity &
      - Modify alarm &
      - Remove alarm &
      - Set alarm status &
    - Certificate Authority
      - Create/Delete (below Admins priv) &
    - Certificate Management
      - Create/Delete (below Admins priv) &
    - Cns
      - Searchable * &
    - Compute Policy
      - Create and Delete Compute Policy &
    - Content Library
      - Add library item &
      - Check in a template &
      - Check out a template &
      - Create local library &
      - Create subscribed library &
      - Delete library item &
      - Delete local library &
      - Delete subscribed library &
      - Download files &
      - Evict library item &
      - Evict subscribed library &
      - Import storage &
      - Probe subscription information &
      - Read storage &
      - Sync library item &
      - Sync subscribed library &
      - Type introspection &
      - Update configuration settings &
      - Update library &
      - Update library item &
      - Update local library &
      - Update subscribed library &
      - View configuration settings &
    - Datastore
      - Allocate space * & $
      - Browse datastore * &
      - Configure datastore &
      - Low level file operations * &
      - Remove file &
      - Rename datastore &
      - Update virtual machine files &
      - Update virtual machine metadata &
    - Extension
      - Register extension &
      - Unregister extension &
      - Update extension &
    - Folder
      - Create folder &
      - Delete folder &
      - Move folder &
      - Rename folder &
    - Global
      - Cancel task &
      - Disable methods * &
      - Enable methods * &
      - Global tag &
      - Health &
      - Licenses * &
      - Log event &
      - Manage custom attributes &
      - Service managers &
      - Set custom attribute &
      - System tag &
    - Host
      - Configuration
        - Network configuration $
    - Host profile
      - View &
    - Hybrid Linked Mode
      - Manage &
    - Namespaces
      - Modify cluster-wide configuration
      - Modify cluster-wide namespace self-service configuration
      - Modify namespace configuration
    - Network
      - Assign network * & $
    - Resource
      - Apply recommendation &
      - Assign vApp to resource pool * &
      - Assign virtual machine to resource pool &
      - Create resource pool &
      - Modify resource pool &
      - Move resource pool &
      - Query vMotion &
      - Remove resource pool &
      - Rename resource pool &
    - Scheduled task
      - Create tasks &
      - Modify task &
      - Remove task &
      - Run task &
    - Sessions
      - Message * &
      - Validate session * &
    - VM storage policies
      - View VM storage policies *
    - Storage views
      - View &
    - Supervisor Services
      - Manage Supervisor Services
    - Trusted Infrastructure administrator
      - Manage Trusted Infrastructure Hosts &
    - vApp
      - Add virtual machine &
      - Assign resource pool &
      - Assign vApp &
      - Clone &
      - Create &
      - Delete &
      - Export &
      - Import * $
      - Move &
      - Power off &
      - Power on &
      - Rename &
      - Suspend &
      - Unregister &
      - View OVF environment &
      - vApp application configuration &
      - vApp instance configuration &
      - vApp managedBy configuration &
      - vApp resource configuration &
    - Virtual machine
      - Change Configuration
        - Acquire disk lease &
        - Add existing disk * & $
        - Add new disk * &
        - Add or remove device * &
        - Advanced configuration * & $
        - Change CPU count * &
        - Change Memory * &
        - Change Settings * &
        - Change Swapfile placement &
        - Change Resource &
        - Configure Host USB device &
        - Configure Raw device * &
        - Configure managedBy &
        - Display connection settings &
        - Extend virtual disk * &
        - Modify device settings * &
        - Query Fault Tolerance compatibility &
        - Query unowned files &
        - Reload from path &
        - Remove disk * &
        - Rename &
        - Reset guest information &
        - Set annotation &
        - Toggle disk change tracking * &
        - Upgrade virtual machine compatibility &
      - Edit Inventory
        - Create from existing * &
        - Create new &
        - Move &
        - Remove * &
        - Register &
        - Unregister &
      - Guest operations
        - Guest operation alias modification &
        - Guest operation alias query &
        - Guest operation modifications &
        - Guest operation program execution &
        - Guest operation queries &
      - Interaction
        - Answer question &
        - Backup operation on virtual machine &
        - Configure CD media &
        - Configure floppy media &
        - Connect devices &
        - Console interaction &
        - Create screenshot &
        - Defragment all disks &
        - Drag and drop &
        - Guest operating system management by VIX API &
        - Inject USB HID scan codes &
        - Install VMware Tools &
        - Pause or Unpause &
        - Power off * &
        - Power on * &
        - Reset &
        - Suspend &
      - Provisioning
        - Allow disk access &
        - Allow file access &
        - Allow read-only disk access * &
        - Allow virtual machine download * &
        - Allow virtual machine files upload &
        - Clone template &
        - Clone virtual machine &
        - Create template from virtual machine &
        - Customize guest &
        - Deploy template * &
        - Mark as template &
        - Mark as virtual machine &
        - Modify customization specification &
        - Promote disks &
        - Read customization specifications &
      - Service configuration
        - Allow notifications &
        - Allow polling of global event notifications &
        - Manage service configurations &
        - Modify service configuration &
        - Query service configurations &
        - Read service configuration &
      - Snapshot management
        - Create snapshot * &
        - Remove snapshot * &
        - Rename snapshot &
        - Revert to snapshot &
      - vSphere Replication
        - Configure replication &
        - Manage replication &
        - Monitor replication &
    - Virtual Machine Classes
      - Manage Virtual Machine Classes
    - vSan
      - Cluster &
        - ShallowRekey &
    - vService
      - Create dependency &
      - Destroy dependency &
      - Reconfigure dependency configuration &
      - Update dependency &
    - vSphere Tagging
      - Assign or Unassign vSphere Tag &
      - Assign or Unassign vSphere Tag on Object &
      - Create vSphere Tag &
      - Create vSphere Tag Category &
      - Delete vSphere Tag &
      - Delete vSphere Tag Category &
      - Edit vSphere Tag &
      - Edit vSphere Tag Category &
      - Modify UsedBy Field For Category &
      - Modify UsedBy Field For Tag &

第 4 部分:為平台營運人員群組和角色指派 vCenter 物件權限

為平台營運人員群組指派對 主管TKG 服務 叢集使用的 vCenter 物件的權限。
  1. 在 vCenter 中,選取詳細目錄視圖。
  2. 對於下面列出的每個 vCenter 物件,在這些物件上按一下滑鼠右鍵,然後選取新增權限
  3. 對於 [使用者/群組],選取 platform-operators-group 群組。
  4. 對於 [角色],選取 platform-operators-group-role 角色。
  5. 對於某些物件,您將需要選取散佈到子系 (如圖所示)。
  • 主機和叢集
    • 根 vCenter Server 物件。
    • 資料中心以及所有主機和叢集資料夾,從資料中心物件向下到管理 TKG 部署的叢集。
    • 啟用了 主管 且啟用了散佈到子系 (對於 ESXi 主機等) 的目標 vCenter 叢集。
    • 啟用了散佈到子系的目標資源集區。
  • 虛擬機器和範本
    • 啟用了散佈到子系的頂層資料中心物件。
    • 或者,對於更精細的細微度,則是啟用了散佈到子系的目標虛擬機器和範本資料夾。
  • 儲存區
    • 啟用了散佈到子系的頂層資料中心物件。
    • 或者,未啟用散佈到子系的共用資料存放區物件 (如 vsanDatastore),或者啟用了散佈到子系的個別資料存放區和所有儲存區資料夾,從資料中心物件向下到將用於 TKG 部署的資料存放區。
  • 網路
    • 啟用了散佈到子系的頂層資料中心物件。
    • 或者,將向其指派叢集的各個網路、分散式交換器和分散式連接埠群組。

第 5 部分:關聯平台營運人員群組和角色

為平台營運人員群組和角色指派權限。

  1. 使用 vSphere Client,移至管理 > 存取控制 > 全域權限 > 新增權限
  2. 將平台營運人員角色新增至平台營運人員群組。
    • 按一下新增
    • 對於 [網域],選取 vsphere.local
    • 對於 [使用者/群組],輸入 platform-operators-group 群組。
    • 對於 [角色],選取 platform-operators-role 角色。
    • 選取散佈到子系核取方塊。
    • 按一下確定以使用角色權限更新群組。
  3. 將 vSphere Kubernetes 管理員角色新增至平台營運人員群組。
    • 按一下新增
    • 對於 [網域],選取 vsphere.local
    • 對於 [使用者/群組],輸入 platform-operators-group 群組。
    • 對於 [角色],選取 vSphere Kubernetes 管理員角色。
    • 選取散佈到子系核取方塊。
    • 按一下確定以使用角色權限更新群組。

第 6 部分:驗證平台營運人員群組和角色

測試新的平台營運人員群組和角色。您必須確保群組和角色滿足自己的安全性和業務需求,並相應地進行調整。
  1. vSphere Client 中,使用 platform-operator-00 使用者帳戶登入 vCenter Server
  2. 驗證您是否具有 vSphere 物件 (包括主機和叢集、虛擬機器和範本、儲存區和網路) 的讀取存取權。
  3. 驗證您是否可以建立和設定內容程式庫。請參閱管理用於 TKG 服務 叢集的 Kubernetes 版本
  4. 驗證您是否可以建立和設定 vSphere 命名空間,包括新增使用者、關聯內容程式庫和指派儲存區原則。請參閱設定 vSphere 命名空間 以便託管 TKG 服務 叢集
  5. 驗證您是否可以使用 vSphere 適用的 Kubernetes CLI 工具 登入 主管。請參閱使用 vCenter SSO 驗證連線至 TKG 服務 叢集
  6. 驗證您是否可以使用 Kubectl 在 主管 上佈建 TKG 叢集。請參閱使用 Kubectl 佈建 TKG 叢集的工作流程
  7. 驗證您是否可以使用 Kubectl 登入 主管 上的 TKG 叢集。請參閱使用 Kubectl 以 vCenter Single Sign-On 使用者身分連線到 TKG 服務 叢集
  8. 驗證您是否可以將工作負載部署到 主管 上的 TKG 叢集。請參閱在 TKG 服務 叢集上部署工作負載
  9. 驗證您是否可以對 主管 上的 TKG 叢集執行各種操作工作。請參閱運作 TKG 服務叢集
  10. 使用 vSphere Client,驗證您是否可以在 vSphere 命名空間 中檢視在 主管 上佈建的 TKG 叢集。
  11. 使用 vSphere Client,驗證您是否可以監控 主管 和 TKG 叢集物件。
  12. 執行負向測試以確保您無法執行為 vSphere 管理員保留的某些工作。例如,您應該不能建立新的 vSphere 儲存區原則或 vSphere 網路。此外,還應該不能停用工作負載管理。
  13. 相應地調整角色權限,以滿足您的安全性和業務需求。