Documentación de Oracle Cloud Infrastructure

Instalación del dispositivo de gestión de soluciones VMware

Instale el dispositivo VMware Solution Management Appliance.

Antes de instalar Management Appliance, debe tener lo siguiente:
Después de crear un SDDC y configurar el gateway de servicios, cree los usuarios del sistema vCenter y, a continuación, almacene las credenciales de los usuarios como secreto de OCI Vault. Management Appliance requiere acceso a las credenciales de los siguientes tipos de usuarios para realizar determinadas operaciones:
  • Administrador de vSphere: usuario vSphere con privilegios administrativos. Este tipo de usuario se utiliza para registrar y anular el registro del plugin vSphere durante el aprovisionamiento y la terminación del dispositivo de gestión. También se utiliza para volver a registrar el plugin vSphere cuando se actualiza Management Appliance con una nueva versión. Utilice el usuario administrator@vsphere.local creado durante el aprovisionamiento del SDDC.
  • Usuario del sistema OCVS: usuario vSphere con privilegios de solo lectura que se utiliza para acceder a las métricas del host ESXi. Utilice vCenter para crear un usuario dedicado denominado ocvssystem@vsphere.local.
  • Usuario administrador de NSX: usuario que realiza operaciones NSX cuando Management Appliance agrega un nuevo host ESXi. Utilice el usuario admin de NXS creado durante el aprovisionamiento del SDDC.

Los usuarios administradores de vSphere y NSX ya se han creado para todos los SDDC y ya debe tener sus credenciales. El usuario del sistema OCVS se debe crear manualmente, como se describe a continuación.

Registre los OCID de los secretos del almacén porque se utilizan en el siguiente paso para la configuración de la política de seguridad para las siguientes variables:

  • <administrator_secret_ocid>
  • <ocvssystem_secret_ocid>
  • <nsx_admin_secret_ocid>

Configuración de un gateway de servicio

El acceso al gateway de servicio es necesario para que Management Appliance pueda acceder a los servicios de OCI durante la operación. Permite al dispositivo informar su estado a OCI, exportar métricas, leer/actualizar recursos de SDDC y realizar otras operaciones.

Es posible que ya tenga un gateway de servicio. Siga estos pasos para verificar que el gateway de servicio esté configurado correctamente:

  1. Abra la red virtual en la nube (VCN) asociada al SDDC y vaya a la sección Gateways.
  2. Desplácese hasta la sección Gateways de servicio y compruebe si existen gateways de servicio.
  3. Si existen uno o más gateways de servicio, compruebe la columna Servicios para ver si algún gateway está definido en "Todos los Servicios de Oracle Services Network". Observe el nombre de ese gateway de servicio.
  4. Si no existen gateways de servicio o ninguno incluye "Todos los servicios de <region-id> en Oracle Services Network", cree uno nuevo:
    1. Seleccione Create Service Gateway.
    2. Introduzca un nombre, por ejemplo, "Service Gateway 1" o "SGW".
    3. Seleccione un compartimento. Se recomienda utilizar el mismo compartimento que el SDDC o la VCN, pero esto puede variar según la configuración.
    4. En la lista Servicios, seleccione "Todos los servicios de <region-id> en Oracle Services Network".
    5. Seleccione Create Service Gateway.
  5. En la VCN, abra la sección Subredes y busque la subred en la que residen los hosts del cluster de gestión ESXi. Normalmente tiene el prefijo "Subred-", pero la nomenclatura puede ser diferente.
  6. Abra los detalles de la subred y localice la tabla de rutas asociada.
  7. Abra los detalles de Tabla de rutas.
  8. Vaya a la sección Reglas de ruta.
  9. En la tabla de reglas de ruta, verifique que existe una regla con la siguiente configuración:
    • Tipo de destino: gateway de servicio
    • Destino: Todos los servicios de Oracle Services Network
  10. Si dicha regla no existe, agregue una:
    1. Seleccione Agregar reglas de rutas.
    2. Defina Target Type en "Service Gateway".
    3. Configure Destination Service (Servicio de destino) en "All Services in Oracle Services Network".
    4. Seleccione el gateway de servicio de destino que anotó en el paso 3 o que creó en el paso 4. También puede que tenga que seleccionar el compartimento en el que reside.
    5. Introduzca una descripción del campo. Por ejemplo, "Acceso a todos los servicios de OCI desde la subred del host ESXi".
    6. Seleccione Agregar reglas de rutas.

Crear usuarios del sistema vCenter

En esta sección, puede crear el usuario ocvssystem@vsphere.local y, a continuación, configurarlo.
  1. Inicie sesión en vSphere. En la consola de OCI, vaya a la página de detalles del SDDC y seleccione el enlace cliente vSphere. Conéctese con el usuario Administrator@vsphere.local (o cualquier otro usuario con privilegios).
  2. Cree el usuario siguiendo estos pasos:
    1. En Administración, vaya a Usuarios y grupos y, a continuación, seleccione Inicio de sesión único.
    2. En Usuarios y grupos, seleccione el separador Usuarios.
    3. Seleccione el dominio vsphere.local y, a continuación, Agregar.
    4. En el cuadro de diálogo Add User (Agregar usuario), introduzca la información de Username (Nombre de usuario), Password (Contraseña) y Confirm password (Confirmar contraseña). La descripción es opcional, pero le recomendamos que especifique la finalidad de este usuario.
  3. Para crear el rol de usuario, siga estos pasos:
    Nota

    Si ya tiene un rol que desea utilizar, puede omitir este paso.
    1. En Administración, vaya a Roles y, a continuación, seleccione Control de acceso.
    2. Seleccione el proveedor de rol VSPHERE.LOCAL y, a continuación, seleccione Nuevo.
    3. En el panel Nuevo rol, proporcione el nombre de rol. La descripción es opcional, pero le recomendamos que especifique la finalidad de este rol.
    4. En la tabla Permisos, asigne los privilegios necesarios en función de la versión vCenter:
      • Servidor 7 de vCenter:
        • Categoría: Sesiones → Privilegio: Validar sesión
      • Servidor 8 de vCenter:
        • Categoría: Sesiones → Privilegio: Validar sesión
        • Categoría: Host → Grupo: Estadísticas → Privilegio: Consulta

      Debe seleccionar Propagar a secundarios para que este permiso se propague correctamente a los recursos de host ESXi.

  4. Cree el permiso Global (asigne el rol al usuario) siguiendo estos pasos:
    1. En Administración, vaya a Control de acceso y, a continuación, seleccione Permisos globales.
    2. Seleccione el proveedor de permisos VSPHERE.LOCAL y, a continuación, seleccione Agregar.
    3. En Agregar permiso | Raíz de permiso global, seleccione el dominio vsphere.local, el usuario y el rol que ha creado.

      Debe seleccionar Propagar a secundarios para que este permiso se propague correctamente a los recursos de host ESXi.

  5. Pruebe el nuevo usuario. Desconéctese del cliente vSphere. Utilice el nuevo usuario ocvssystem@vsphere.local para conectarse a vSphere. En vCenter Inventory, verifique que puede seleccionar un host ESXi. En el separador Supervisión, verifique que puede ver las métricas del host ESXi.
  6. Cierre sesión en vSphere.

Crear secretos de almacén con credenciales de usuario

Al crear un secreto, seleccione la opción Generación manual de secretos en Clave de cifrado.

Seleccione Texto sin formato en Plantilla de tipo secreto. Consulte Gestión de secretos de almacén para obtener instrucciones.

Los secretos deben contener el nombre de usuario y la contraseña en formato JSON:

  • Secreto del usuario administrator:
    {
  "username":"administrator@vsphere.local",
  "password":"<password>"
}
  • Secreto de usuario ocvssystem:
    {
  "username":"ocvssystem@vsphere.local",
  "password":"<password>"
}
  • Secreto nsx_admin:
    {
  "username":"admin",
  "password":"<password>"
}

Si ha asignado al usuario del sistema ocvss un nombre diferente al que se muestra aquí, utilice el nombre que ha creado en el campo username.

Recuerde los OCID de los secretos de Vault porque se utilizan en el siguiente paso para la configuración de la política de seguridad para las siguientes variables:

<administrator_secret_ocid>

<ocvssystem_secret_ocid>

<nsx_admin_secret_ocid>

Creación de un grupo dinámico y políticas de IAM

  1. Obtenga la siguiente información. Cada valor se representa en los siguientes pasos con una variable correspondiente, como se muestra en la tabla:
    Variable Valor
    <sddc_compartment_name> Nombre del compartimento del SDDC.
    <sddc_compartment_ocid> OCID del compartimento del SDDC.
    <administrator_secret_ocid> OCID del secreto de usuario administrador.
    <ocvssystem_secret_ocid> OCID del secreto de usuario del sistema ocvss.
    <nsx_administrator_secret_secret_ocid> OCID del secreto de usuario nsx_admin.
  2. Utilice la siguiente sentencia para crear un grupo dinámico. Sustituya <sddc_compartment_ocid> por el OCID real del compartimento que ha obtenido en los pasos anteriores. Consulte Creación de un grupo dinámico para obtener más información. 
    Any {resource.type = 'managementagent', resource.compartment.id='<sddc_compartment_ocid>', instance.compartment.id = '<sddc_compartment_ocid>'}

    Observe el nombre del grupo dinámico para utilizarlo en el siguiente paso.

  3. Utilice las siguientes sentencias para crear permisos para el grupo dinámico. Sustituya <resource_principal_dynamic_group_name> y <instance_principal_dynamic_group_name> por el nombre del grupo dinámico que ha creado en los pasos anteriores. Sustituya <sddc_compartment_name> por la información real correspondiente que ha obtenido en los pasos anteriores. Estos permisos los utiliza el usuario del sistema de Management Appliance.
    Importante

    Cree las políticas en el compartimento raíz (compartimento de nivel de arrendamiento).

    Si el asunto de la política (usuario, grupo, grupo dinámico) está en un dominio de identidad no por defecto, agregue un prefijo al asunto con el nombre de dominio. Los sujetos del dominio por defecto no necesitan un prefijo. Para obtener más información, consulte la sección sobre sujetos para obtener más información.

    Allow dynamic-group <resource_principal_dynamic_group_name> to read compartments in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read tag-namespaces in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read instances in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read compute-capacity-reservations in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read vnics in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read vnic-attachments in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read subnets in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to {SDDC_INSPECT, SDDC_DATASTORE_INSPECT, SDDC_DATASTORE_CLUSTER_INSPECT, SDDC_MANAGEMENT_APPLIANCE_INSPECT, SDDC_READ, SDDC_DATASTORE_READ, SDDC_DATASTORE_CLUSTER_READ, SDDC_MANAGEMENT_APPLIANCE_READ, SDDC_MANAGEMENT_APPLIANCE_UPDATE} in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to manage sddc-management-appliance-internal in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read volume-family in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read keys in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read secret-family in tenancy where any {target.secret.id='<administrator_secret_ocid>', target.secret.id='<ocvssystem_secret_ocid>', target.secret.id='<nsx_admin_secret_ocid>'}
Allow dynamic-group <instance_principal_dynamic_group_name> to use metrics in compartment <sddc_compartment_name> where target.metrics.namespace='oci_computeagent'
  4. Para configurar permisos para el usuario que crea el dispositivo de gestión, utilice las siguientes políticas.

    Si su administrador tiene derechos de acceso a todos los recursos del arrendamiento, puede omitir este paso.

    Si aún necesita administrar estos permisos, asumimos que tiene un grupo al que pertenece su usuario administrador y tiene que otorgar los permisos a continuación a ese grupo. Sustituya <user_group_name> por el nombre del grupo de usuarios y sustituya <sddc_compartment_name> por el nombre del compartimento.

    Allow group <user_group_name> to manage instance-family in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage virtual-network-family in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage management-agents in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage management-agent-install-keys in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage sddc in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage tag-namespaces in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage tags in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage volume-family in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage vaults in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage secret-family in compartment <sddc_compartment_name>
    Nota

    Si coloca SDDC y Management Appliance en el compartimento raíz (arrendamiento), debe utilizar el filtro "en arrendamiento" para las políticas en lugar de in "compartment <sddc_compartment_name>".

Instalación del dispositivo mediante la consola

  1. Seleccione un compartimento y, a continuación, seleccione el SDDC.
  2. En Recursos, seleccione Dispositivo de gestión.
  3. Seleccione Crear dispositivo de gestión.
    Se abre el panel Crear dispositivo de gestión.
  4. Introduzca la siguiente información:
    • Nombre de instancia informática: introduzca un nombre para la instancia informática que se ha creado en el arrendamiento para alojar Management Appliance.
    • Ingesta de métricas a OCI: permite la transmisión de métricas de Management Appliance al servicio OCI Logging.
    • vSphere secreto de almacén de usuario administrador: introduzca el OCID del secreto de almacén que ha creado antes para el usuario administrador.
    • Secreto de almacén de usuario administrador de NSX: introduzca el secreto de almacén de un usuario con privilegios administrativos de NSX completos. Management Appliance utiliza este usuario para operaciones NXS al agregar hosts ESXi. Cuando ya no sea necesario, puede desactivar el acceso a las credenciales de este usuario desactivando o eliminando el secreto de almacén correspondiente. Este usuario se crea al crear el SDDC.
Cuando se crea el dispositivo, se muestran las siguientes actualizaciones de estado en la página de detalles del dispositivo de gestión:
  • Estado: Activo
  • Detalles de estado: correcto

Compruebe el plugin vSphere

  1. En la página de detalles de Management Appliance, junto a Detalles de estado, seleccione Ver detalles.
  2. Vea las siguientes actualizaciones de estado para verificar la conectividad:
    • Conectividad vSphere: saludable
    • vSphere conectividad de administración: en buen estado
    • vSphere Registro de plugin de interfaz de usuario: correcto