Oracle Cloud Infrastructure-Dokumentation

Voraussetzungsprüfungen für das Deployment von Management Gateway ausführen

Hinweis

Spezifische Voraussetzungen für die Konfiguration des Managementgateways im High Availability-Modus finden Sie unter Voraussetzungen für High Availability von Management Gateway ausführen.

Oracle Cloud Infrastructure für Management Gateway einrichten

Management Gateway und Management Agent verwenden den Management Agent-Service von Oracle Cloud Infrastructure (OCI). Bevor Sie Management Gateway installieren, müssen Sie die Anweisungen zum Einrichten der Oracle Cloud Infrastructure-Umgebung zur Verwendung des Management Agent-Service ausführen. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure für Management Agent Service einrichten.

Allgemeine Voraussetzungen für das Deployment von Management Gateway

Stellen Sie vor dem Deployment von Management Gateway sicher, dass die folgenden Voraussetzungen erfüllt sind:

Oracle Cloud Infrastructure-Anforderungen

Unterstützte Betriebssysteme

Tabelle 7-1: Unterstützte Betriebssysteme

Betriebssystem Version

Oracle Linux

6 (64 Bit), 7 (64 Bit), 8 (64 Bit), 9 (64 Bit)

Red Hat Enterprise Linux

6 (64 Bit), 7 (64 Bit), 8 (64 Bit)
Windows Server 2022 (64 Bit), 2019 (64 Bit), 2016 (64 Bit), 2012 R2 (64 Bit)

Betriebssystemanforderungen

  • Mindestanforderung für Datenträger: 300 MB Speicherplatz und weitere 100 MB für den Download der Management Gateway-Software.

    Außerdem ist Speicherplatz für das Schreiben von gepufferten Nachrichten auf den Datenträger erforderlich. Dieser Bereich muss über mindestens 1 GB freien Speicherplatz verfügen.

  • Ein Benutzer mit sudo-Berechtigungen, der für die Installation der Management Gateway-Software auf dem Host verantwortlich ist.

  • Vor der Installation der Management Gateway-Software muss Java Development Kit (JDK) oder Java Runtime Environment (JRE) auf dem Host installiert werden.

    Stellen Sie sicher, dass Sie JDK oder JRE Version 1.8u281 oder höher heruntergeladen und installiert haben, bevor Sie den Installationsprozess der Management Gateway-Software starten. Siehe Java-Downloads.

  • Management Gateway erfordert einen dedizierten Host. Wenn Management Agent bereits auf dem Host installiert ist, installieren Sie Management Gateway auf einem anderen, dedizierten Host.

  • Stellen Sie sicher, dass für /tmp das Kennzeichen noexec nicht gesetzt ist, wenn Sie es mounten.

Netzwerkvoraussetzungen

  • Wenn Ihr Netzwerksetup eine Firewall enthält, stellen Sie sicher, dass die HTTPS-Kommunikation (Port 443) von dem Host, auf dem das Management Gateway bereitgestellt wird, zu den entsprechenden Oracle Cloud Infrastructure-Domains zulässig ist. Die relevante Domain ist von der Realm abhängig. Beispiel: Management-Agents in der kommerziellen Realm OC1 von Oracle Cloud Infrastructure müssen eine Verbindung zur Domain *.oraclecloud.com herstellen.

    Oracle Cloud Infrastructure wird in Regionen gehostet. Regionen sind in Realms gruppiert. Ihr Mandant befindet sich in einer einzelnen Realm und hat Zugriff auf alle Regionen, die zu dieser Realm gehören. Sie können nicht auf Regionen zugreifen, die sich nicht in Ihrer Realm befinden. Derzeit verfügt Oracle Cloud Infrastructure über mehrere Realms. Weitere Informationen zu Regionen und Realms finden Sie unter Regionen und Availability-Domains.

    Jedes Gateway gehört zu einem bestimmten OCI-Compartment. Alle Agents, die über ein Gateway verbunden sind, müssen sich in demselben Compartment wie dieses Gateway befinden.

    Sie können die Konnektivität mit dem Data Center mit einem beliebigen Netzwerkkonnektivitätstool prüfen.

    Informationen zu den IP-Adressbereichen für Services, die in Oracle Cloud Infrastructure bereitgestellt sind, finden Sie unter IP-Adressbereiche.

    In der folgenden Beispieltabelle sind die Ports aufgeführt, die für die Kommunikation geöffnet sein müssen.
    Richtung Port Protokoll Grund

    Management Gateway-Host nach extern

    443

    HTTPS

    Kommunikation mit Oracle Cloud Infrastructure-Services.

Zertifikate für Management Gateway konfigurieren

Ab Management Agent-Version 221019.0021 und Management Gateway-Version 221019.0021.1667404647 erfordert die Kommunikation zwischen Agent, Gateway und OCI Zertifikate. Die Zertifikate und andere erforderliche Entitys werden automatisch erstellt, aber bestimmte OCI-Policys müssen dafür eingerichtet werden.

Es stehen zwei Optionen zur Verfügung:

Automatische Zertifikatserstellung (empfohlen)

Dies ist die empfohlene Methode zum Erstellen von Zertifikaten.

Wenn der Parameter GatewayCertOcid nicht in der Antwortdatei festgelegt ist, versucht das Management Gateway, die erforderlichen Zertifikate und andere erforderliche Entitys automatisch zu erstellen.

Wenn das Managementgateway im High-Availability-Modus konfiguriert ist und sich der Load Balancer und das Managementgateway in verschiedenen Domains befinden, finden Sie weitere Informationen unter High Availability von Advanced Configuration Management Gateway.

Erforderliche dynamische Gruppen:

Sie müssen dynamische Gruppen in der Identitätsdomain default erstellen. Weitere Informationen finden Sie unter Themen für Identitätsdomains.

  1. Erstellen Sie Credential_Dynamic_Group mit der folgenden Regel: 

    ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

  2. Erstellen Sie Management_Gateway_Dynamic_Group mit der folgenden Regel: 

    ALL {resource.type='managementagent', resource.compartment.id='<>'}
Hinweis

Die Compartment-ID ist eine OCID.

Erforderliche Policys: 


Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE vaults in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE keys in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE certificate-authorities in compartment <> where  any{request.permission='CERTIFICATE_AUTHORITY_CREATE', request.permission='CERTIFICATE_AUTHORITY_INSPECT', request.permission='CERTIFICATE_AUTHORITY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE leaf-certificates in compartment <> where  any{request.permission='CERTIFICATE_CREATE', request.permission='CERTIFICATE_INSPECT', request.permission ='CERTIFICATE_UPDATE', request.permission='CERTIFICATE_READ'}

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE vaults in compartment <> where any{request.permission='VAULT_CREATE', request.permission='VAULT_INSPECT', request.permission='VAULT_READ', request.permission='VAULT_CREATE_KEY', request.permission='VAULT_IMPORT_KEY', request.permission='VAULT_CREATE_SECRET'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE keys in compartment <> where any{request.permission='KEY_CREATE', request.permission='KEY_INSPECT', request.permission='KEY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE key-delegate in compartment <> 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group TO MANAGE leaf-certificates in compartment <> where all{request.permission='CERTIFICATE_DELETE', target.leaf-certificate.name=request.principal.id}

Wenn die dynamischen Gruppen zuvor in den Nicht-Standarddomains erstellt wurden, müssen sich alle Policys ändern.

Um die Policys in die Nicht-Standardidentitätsdomain zu ändern, ändern Sie alle oben genannten Policys mit der folgenden Syntax.

Allow DYNAMIC-GROUP <Domain Name>/Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP <Domain Name>/Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Hinweis

Sie können die Management Gateway Quickstart OCI Marketplace-Anwendung installieren, um die dynamischen Gruppen und Policys automatisch zu installieren und die Zertifikate für Management Gateway zu verwalten.

Manuelle Zertifikatverwaltung

Zertifikate können manuell eingerichtet werden. Der Administrator kann über die OCI-Konsole ein Zertifikat erstellen. Danach geben Sie die OCID dieses Zertifikats in der Antwortdatei mit dem Parameter GatewayCertOcid an.

Informationen zum Erstellen eines Zertifikats finden Sie unter Überblick über Certificate.htm.

Erforderliche dynamische Gruppen:

  1. Erstellen Sie Credential_Dynamic_Group mit der folgenden Regel: 

    ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

  2. Erstellen Sie Management_Gateway_Dynamic_Group mit der folgenden Regel: 

    ALL {resource.type='managementagent', resource.compartment.id='<>'}
Hinweis

Die Compartment-ID ist eine OCID.

Erforderliche Policys: 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>
Hinweis

Policys gelten pro Compartment. Für das Gateway und alle damit verbundenen Agents muss dasselbe Compartment verwendet werden.

Management-Agents auf Compute-Instanzen aktivieren

Wenn Sie eine Compute-Instanz verwenden, können Sie das Management Agent-Plug-in über die Oracle Cloud Agent-Funktionen aktivieren.

Bevor Sie fortfahren, bestätigen Sie, dass Sie die Voraussetzungen erfüllt haben. Weitere Informationen finden Sie unter Voraussetzungsprüfungen für das Deployment von Management-Agents auf Compute-Instanzen ausführen.

Management Agents aktivieren

Management-Agents können mit der OCI-Konsole oder der Compute-API aktiviert werden.
Hinweis

Das Management Agent-Plug-in auf Compute-Instanzen wird auf der virtuellen Java-Maschine (JVM) ausgeführt. Ab März 2023 wird das Management Agent-Plug-in mit einer Java Runtime (JRE) bereitgestellt.

Die Java-Laufzeit wird im Rahmen des Management Agent-Upgradeprozesses immer auf dem neuesten Stand gehalten, um neu erkannte Sicherheitslücken zu beheben. Nachdem Sie das Management Agent-Plug-in aktiviert haben, müssen Sie die neueste Version der Management Agent-Plug-in-Software ausführen, indem Sie automatische Upgrades aktivieren oder den Upgradevorgang regelmäßig manuell aufrufen. Weitere Informationen finden Sie unter Management-Agents auf Compute-Instanzen aktualisieren.

Management-Agents mit der Konsole aktivieren

So bestätigen Sie, ob das Management Agent-Plug-in für eine Instanz aktiviert ist:
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Compute. Klicken Sie unter Compute auf Instanzen.
  2. Klicken Sie auf die gewünschte Instanz.
  3. Klicken Sie auf die Registerkarte Oracle Cloud Agent.

    Die Liste der Plug-ins wird angezeigt.

  4. Schalten Sie den Schalter Aktiviert für das Management Agent-Plug-in um.

Weitere Informationen finden Sie unter Plug-ins mit der Konsole verwalten.

Management-Agents mit der Compute-API aktivieren

Informationen zur Verwendung der API finden Sie unter REST-APIs.

Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).

Verwenden Sie die folgenden API-Vorgänge, um den Management Agent als Oracle Cloud Agent-Plug-in zu verwalten:

  • LaunchInstance: Aktiviert oder deaktiviert Plug-ins oder stoppt alle Plug-ins, wenn Sie eine Instanz erstellen.

  • UpdateInstance: Aktiviert oder deaktiviert einzelne Plug-ins und stoppt oder startet alle Plug-ins für eine vorhandene Instanz.

Nachfolgend ist ein Extrakt aus dem Java-Beispiel aus den API-Vorgängen LaunchInstance oder UpdateInstance aufgeführt, mit dem der Benutzer den Management Agent beim Starten oder Aktualisieren der Compute-Instanz aktivieren kann: 
... 
    .agentConfig(LaunchInstanceAgentConfigDetails.builder()
			.isMonitoringDisabled(false)
			.isManagementDisabled(true)
			.areAllPluginsDisabled(false)
			.pluginsConfig(new ArrayList<>(Arrays.asList(InstanceAgentPluginConfigDetails.builder()
					.name("Management Agent")   
					.desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build())
...

Dabei gibt .name("Management Agent") an, dass der Vorgang für das Management Agent-Plug-in gilt, und .desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build()) gibt an, dass der Management Agent aktiviert werden soll.

Weitere Informationen finden Sie unter Plug-ins mit der API verwalten.

Oracle Cloud Agent mit Management Gateway konfigurieren

So konfigurieren Sie Management Gateway für einen Management Agent, der auf einer Oracle Cloud Compute-Instanz aktiviert ist:

  1. Aktualisieren Sie die Datei emd.properties.
    1. Gehen Sie zur Datei emd.properties, normalerweise an folgendem Speicherort:
      /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/emd.properties
    2. Fügen Sie am Ende der Datei die folgenden 3 Einträge hinzu:
      GatewayServerHost=<gateway host>
GatewayServerPort=<gateway port>
GatewayServerCredentialTimeout=30s
  2. Wenn das Management Gateway als Nächstes mit einem Proxybenutzernamen und -kennwort konfiguriert ist, müssen Sie die Management Gateway-Zugangsdaten für den Management Agent vordefinieren.
    1. Mit dem folgenden Befehl können Sie den Inhalt der Datei /tmp/cred.json anzeigen. 
      cat /tmp/cred.json |sudo -u oracle-cloud-agent /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/bin/credential_mgmt.sh -o upsertCredentials -s Agent
    2. Ersetzen Sie in der Datei /tmp/cred.json die folgenden Werte durch die tatsächlichen Management Agent-Zugangsdaten für Ihre Umgebung:
      • OCID im folgenden Format: agent.ocid1.managementagent.oc1.phx.unique-id
      • Beispielbenutzername
      • Beispiel-Passwort
        {"source":"agent.ocid1.managementagent.oc1.phx.unique-id",
"name":"ManagementAgent-Proxy",
"type":"ProxyCreds",
"description":"Proxy Credentials",
"properties":[
{"name":"ProxyUser","value":"example-username"},
{"name":"ProxyPassword","value":"example-password"}]}
  3. Geben Sie den folgenden Befehl ein, um Oracle Cloud Agent neu zu starten:
    systemctl restart oracle-cloud-agent