為 vSphere IaaS control plane 營運人員 (包括負責操作 主管 和 TKG 服務 叢集的人員) 指派權限的一種可選方式是,專門為這些營運人員建立專用的 vSphere 使用者群組和角色。
關於平台營運人員群組和角色
安全性最佳做法是,您可能需要避免將 vSphere 管理員角色指派給平台營運人員,因為此角色授與的權限多於操作
TKG 服務 叢集所需的權限。按照最小權限原則,您可以建立專用使用者群組、服務 (使用者) 帳戶和自訂角色以供平台營運人員使用,然後授與使用者群組對 vSphere 物件的自訂角色權限。
備註: 您需要以 vSphere 管理員身分登入
vCenter Server,才能執行本主題中的所有工作。
備註: vSphere 群組名稱和角色名稱是使用者定義的字串。此處提供的名稱僅為範例,您可以根據安全性和業務需求進行採用、調整或變更。
警告: 您必須根據安全性和業務需求評估此處提供的範例角色權限,測試角色以確保合規性,並相應地進行調整。此處使用的權限可能並非全部符合您的需求,您可能還需要其他權限。如需有關 vSphere 權限和安全考量事項的完整清單,請參閱
vSphere 安全性說明文件。
第 1 部分:建立平台營運人員群組和使用者
在 vCenter 或與 vCenter 整合的 AD/LDAP 系統中,請建立平台營運人員群組和初始使用者帳戶。
- 使用 vSphere Client 以管理員身分登入 vCenter Server。
- 移至。
- 選取群組索引標籤。
- 按一下新增並建立新群組:
- 名稱:platform-operators-group
- 說明:用於主管和 TKG 服務叢集的 Kubernetes Operator 的群組帳戶
- 按一下新增
- 選取使用者索引標籤。
- 按一下新增並建立一個新使用者用於進行測試。
- 名稱:platform-operator-00
- 密碼:輸入符合要求的強式密碼
- 按一下新增
- 選取群組索引標籤。
- 將該新使用者新增到群組。
- 選取群組 platform-operators-group。
- 按一下新增成員。
- 選取 vsphere.local。
- 搜尋使用者名稱 platform-operator-00。
- 選取此使用者,然後按一下新增。
- 按一下儲存。
第 2 部分:將平台營運人員群組新增至服務提供者使用者群組
將平台營運人員群組新增至服務提供者使用者群組這樣一來,平台營運人員群組的成員能夠在 vCenter 的畫面中檢視 vSphere 命名空間。
- 移至。
- 選取群組索引標籤。
- 找到 ServiceProviderUsers 群組。
- 編輯 ServiceProviderUsers 群組,並將其新增為 platform-operators-group 的成員。
- 按一下儲存。
第 3 部分:建立平台營運人員角色
為平台營運人員建立自訂 vCenter SSO 角色。
備註: 此角色包含佈建和操作
主管 以及
TKG 服務 叢集所需的所有必要權限,包括管理內容程式庫。 您可能需要根據業務和安全性需求調整指派給此角色的權限。此外,還必須測試此角色以確保其符合您的需求。
- 使用 vSphere Client,移至。
- 選取新增,然後建立名為 platform-operators-role 的新角色。
- 為此角色定義以下權限。
- 完成後,按一下儲存。
- Alarms - Acknowledge alarm & - Create alarm & - Disable alarm action on entity & - Modify alarm & - Remove alarm & - Set alarm status & - Certificate Authority - Create/Delete (below Admins priv) & - Certificate Management - Create/Delete (below Admins priv) & - Cns - Searchable * & - Compute Policy - Create and Delete Compute Policy & - Content Library - Add library item & - Check in a template & - Check out a template & - Create local library & - Create subscribed library & - Delete library item & - Delete local library & - Delete subscribed library & - Download files & - Evict library item & - Evict subscribed library & - Import storage & - Probe subscription information & - Read storage & - Sync library item & - Sync subscribed library & - Type introspection & - Update configuration settings & - Update library & - Update library item & - Update local library & - Update subscribed library & - View configuration settings & - Datastore - Allocate space * & $ - Browse datastore * & - Configure datastore & - Low level file operations * & - Remove file & - Rename datastore & - Update virtual machine files & - Update virtual machine metadata & - Extension - Register extension & - Unregister extension & - Update extension & - Folder - Create folder & - Delete folder & - Move folder & - Rename folder & - Global - Cancel task & - Disable methods * & - Enable methods * & - Global tag & - Health & - Licenses * & - Log event & - Manage custom attributes & - Service managers & - Set custom attribute & - System tag & - Host - Configuration - Network configuration $ - Host profile - View & - Hybrid Linked Mode - Manage & - Namespaces - Modify cluster-wide configuration - Modify cluster-wide namespace self-service configuration - Modify namespace configuration - Network - Assign network * & $ - Resource - Apply recommendation & - Assign vApp to resource pool * & - Assign virtual machine to resource pool & - Create resource pool & - Modify resource pool & - Move resource pool & - Query vMotion & - Remove resource pool & - Rename resource pool & - Scheduled task - Create tasks & - Modify task & - Remove task & - Run task & - Sessions - Message * & - Validate session * & - VM storage policies - View VM storage policies * - Storage views - View & - Supervisor Services - Manage Supervisor Services - Trusted Infrastructure administrator - Manage Trusted Infrastructure Hosts & - vApp - Add virtual machine & - Assign resource pool & - Assign vApp & - Clone & - Create & - Delete & - Export & - Import * $ - Move & - Power off & - Power on & - Rename & - Suspend & - Unregister & - View OVF environment & - vApp application configuration & - vApp instance configuration & - vApp managedBy configuration & - vApp resource configuration & - Virtual machine - Change Configuration - Acquire disk lease & - Add existing disk * & $ - Add new disk * & - Add or remove device * & - Advanced configuration * & $ - Change CPU count * & - Change Memory * & - Change Settings * & - Change Swapfile placement & - Change Resource & - Configure Host USB device & - Configure Raw device * & - Configure managedBy & - Display connection settings & - Extend virtual disk * & - Modify device settings * & - Query Fault Tolerance compatibility & - Query unowned files & - Reload from path & - Remove disk * & - Rename & - Reset guest information & - Set annotation & - Toggle disk change tracking * & - Upgrade virtual machine compatibility & - Edit Inventory - Create from existing * & - Create new & - Move & - Remove * & - Register & - Unregister & - Guest operations - Guest operation alias modification & - Guest operation alias query & - Guest operation modifications & - Guest operation program execution & - Guest operation queries & - Interaction - Answer question & - Backup operation on virtual machine & - Configure CD media & - Configure floppy media & - Connect devices & - Console interaction & - Create screenshot & - Defragment all disks & - Drag and drop & - Guest operating system management by VIX API & - Inject USB HID scan codes & - Install VMware Tools & - Pause or Unpause & - Power off * & - Power on * & - Reset & - Suspend & - Provisioning - Allow disk access & - Allow file access & - Allow read-only disk access * & - Allow virtual machine download * & - Allow virtual machine files upload & - Clone template & - Clone virtual machine & - Create template from virtual machine & - Customize guest & - Deploy template * & - Mark as template & - Mark as virtual machine & - Modify customization specification & - Promote disks & - Read customization specifications & - Service configuration - Allow notifications & - Allow polling of global event notifications & - Manage service configurations & - Modify service configuration & - Query service configurations & - Read service configuration & - Snapshot management - Create snapshot * & - Remove snapshot * & - Rename snapshot & - Revert to snapshot & - vSphere Replication - Configure replication & - Manage replication & - Monitor replication & - Virtual Machine Classes - Manage Virtual Machine Classes - vSan - Cluster & - ShallowRekey & - vService - Create dependency & - Destroy dependency & - Reconfigure dependency configuration & - Update dependency & - vSphere Tagging - Assign or Unassign vSphere Tag & - Assign or Unassign vSphere Tag on Object & - Create vSphere Tag & - Create vSphere Tag Category & - Delete vSphere Tag & - Delete vSphere Tag Category & - Edit vSphere Tag & - Edit vSphere Tag Category & - Modify UsedBy Field For Category & - Modify UsedBy Field For Tag &
第 4 部分:為平台營運人員群組和角色指派 vCenter 物件權限
為平台營運人員群組指派對
主管 和
TKG 服務 叢集使用的 vCenter 物件的權限。
- 在 vCenter 中,選取視圖。
- 對於下面列出的每個 vCenter 物件,在這些物件上按一下滑鼠右鍵,然後選取新增權限。
- 對於 [使用者/群組],選取 platform-operators-group 群組。
- 對於 [角色],選取 platform-operators-group-role 角色。
- 對於某些物件,您將需要選取散佈到子系 (如圖所示)。
- 主機和叢集
- 根 vCenter Server 物件。
- 資料中心以及所有主機和叢集資料夾,從資料中心物件向下到管理 TKG 部署的叢集。
- 啟用了 主管 且啟用了散佈到子系 (對於 ESXi 主機等) 的目標 vCenter 叢集。
- 啟用了散佈到子系的目標資源集區。
- 虛擬機器和範本
- 啟用了散佈到子系的頂層資料中心物件。
- 或者,對於更精細的細微度,則是啟用了散佈到子系的目標虛擬機器和範本資料夾。
- 儲存區
- 啟用了散佈到子系的頂層資料中心物件。
- 或者,未啟用散佈到子系的共用資料存放區物件 (如 vsanDatastore),或者啟用了散佈到子系的個別資料存放區和所有儲存區資料夾,從資料中心物件向下到將用於 TKG 部署的資料存放區。
- 網路
- 啟用了散佈到子系的頂層資料中心物件。
- 或者,將向其指派叢集的各個網路、分散式交換器和分散式連接埠群組。
第 5 部分:關聯平台營運人員群組和角色
為平台營運人員群組和角色指派權限。
- 使用 vSphere Client,移至。
- 將平台營運人員角色新增至平台營運人員群組。
- 按一下新增。
- 對於 [網域],選取 vsphere.local。
- 對於 [使用者/群組],輸入 platform-operators-group 群組。
- 對於 [角色],選取 platform-operators-role 角色。
- 選取散佈到子系核取方塊。
- 按一下確定以使用角色權限更新群組。
- 將 vSphere Kubernetes 管理員角色新增至平台營運人員群組。
- 按一下新增。
- 對於 [網域],選取 vsphere.local。
- 對於 [使用者/群組],輸入 platform-operators-group 群組。
- 對於 [角色],選取 vSphere Kubernetes 管理員角色。
- 選取散佈到子系核取方塊。
- 按一下確定以使用角色權限更新群組。
第 6 部分:驗證平台營運人員群組和角色
測試新的平台營運人員群組和角色。您必須確保群組和角色滿足自己的安全性和業務需求,並相應地進行調整。
- 在 vSphere Client 中,使用 platform-operator-00 使用者帳戶登入 vCenter Server。
- 驗證您是否具有 vSphere 物件 (包括主機和叢集、虛擬機器和範本、儲存區和網路) 的讀取存取權。
- 驗證您是否可以建立和設定內容程式庫。請參閱管理用於 TKG 服務 叢集的 Kubernetes 版本。
- 驗證您是否可以建立和設定 vSphere 命名空間,包括新增使用者、關聯內容程式庫和指派儲存區原則。請參閱設定 vSphere 命名空間 以便託管 TKG 服務 叢集。
- 驗證您是否可以使用 vSphere 適用的 Kubernetes CLI 工具 登入 主管。請參閱使用 vCenter SSO 驗證連線至 TKG 服務 叢集。
- 驗證您是否可以使用 Kubectl 在 主管 上佈建 TKG 叢集。請參閱使用 Kubectl 佈建 TKG 叢集的工作流程。
- 驗證您是否可以使用 Kubectl 登入 主管 上的 TKG 叢集。請參閱使用 Kubectl 以 vCenter Single Sign-On 使用者身分連線到 TKG 服務 叢集。
- 驗證您是否可以將工作負載部署到 主管 上的 TKG 叢集。請參閱在 TKG 服務 叢集上部署工作負載。
- 驗證您是否可以對 主管 上的 TKG 叢集執行各種操作工作。請參閱運作 TKG 服務叢集。
- 使用 vSphere Client,驗證您是否可以在 vSphere 命名空間 中檢視在 主管 上佈建的 TKG 叢集。
- 使用 vSphere Client,驗證您是否可以監控 主管 和 TKG 叢集物件。
- 執行負向測試以確保您無法執行為 vSphere 管理員保留的某些工作。例如,您應該不能建立新的 vSphere 儲存區原則或 vSphere 網路。此外,還應該不能停用工作負載管理。
- 相應地調整角色權限,以滿足您的安全性和業務需求。
