Documentación de Oracle Cloud Infrastructure

Tareas necesarias para desplegar Management Gateway

Nota

Para conocer los requisitos específicos al configurar el gateway de gestión en modo de alta disponibilidad, consulte Realización de requisitos para alta disponibilidad del gateway de gestión.

Configuración de Oracle Cloud Infrastructure para Management Gateway

Management Gateway y Management Agent utilizan el servicio Management Agent de Oracle Cloud Infrastructure (OCI). Antes de instalar Management Gateway, debe completar las instrucciones para configurar el entorno de Oracle Cloud Infrastructure para utilizar el servicio Management Agent. Para obtener más información, consulte Configuración de Oracle Cloud Infrastructure para el servicio del agente de gestión.

Requisitos genéricos para desplegar Management Gateway

Antes de desplegar Management Gateway, asegúrese de que se cumplen los siguientes requisitos:

Requisitos de Oracle Cloud Infrastructure

Sistemas operativos soportados

Tabla 7-1 Sistemas operativos soportados

Sistema operativo Versión

Oracle Linux

6 (64 bits), 7 (64 bits), 8 (64 bits), 9 (64 bits)

Red Hat Enterprise Linux

6 (64 bits), 7 (64 bits), 8 (64 bits)
Windows Server 2022 (64 bits), 2019 (64 bits), 2016 (64 bits), 2012 R2 (64 bits)

Requisitos del sistema operativo

  • Requisito mínimo de disco: 300 Mb de espacio libre en disco y 100 Mb adicionales para la descarga de software de Management Gateway.

    También requiere espacio en disco para escribir mensajes en buffer en el disco. Esta área debe tener al menos 1 GB de espacio libre en disco.

  • Un usuario con privilegios sudo responsable de instalar el software de Management Gateway en el host.

  • Java Development Kit (JDK) o Java Runtime Environment (JRE) se deben instalar en el host antes de instalar el software de Management Gateway.

    Asegúrese de haber descargado e instalado JDK o JRE versión 1.8u281 o superior antes de iniciar el proceso de instalación del software de Management Gateway. Consulte Descargas de Java.

  • Management Gateway necesita un host dedicado. Si Management Agent ya está instalado en el host, instale Management Gateway en otro host, dedicado a él.

  • Asegúrese de que /tmp no tenga el indicador noexec definido si lo está montando.

Requisitos de red

  • Si la configuración de red tiene un firewall, asegúrese de que se permita la comunicación HTTPS (puerto 443) desde el host en el que se despliega Management Gateway en los dominios adecuados de Oracle Cloud Infrastructure. El dominio relevante dependerá del dominio. Por ejemplo, las instancias de Management Agent que utilicen el dominio comercial de Oracle Cloud Infrastructure OC1 deberán conectarse al dominio *.oraclecloud.com.

    Oracle Cloud Infrastructure se aloja en regiones. Las regiones se agrupan en dominios. Su arrendamiento está en un único dominio y puede acceder a todas las regiones que pertenecen a dicho dominio. No puede acceder a regiones que no estén en su dominio. Actualmente, Oracle Cloud Infrastructure tiene varios dominios. Para obtener más información sobre las regiones y los dominios, consulte Regiones y dominios de disponibilidad.

    Cada gateway pertenece a un compartimento de OCI específico. Todos los agentes que se conecten a través de un gateway deben estar en el mismo compartimento que ese gateway.

    Puede utilizar cualquier herramienta de conectividad de red disponible para verificar la conectividad con el centro de datos.

    Para obtener información sobre los rangos de direcciones IP para los servicios que se despliegan en Oracle Cloud Infrastructure, consulte Rangos de direcciones IP.

    En la siguiente tabla de ejemplo se muestran los puertos que deben estar abiertos para la comunicación.
    Sentido Puerto Protocolo Motivo

    Host de Management Gateway a externo

    443

    HTTPS

    Comunicación con los servicios de Oracle Cloud Infrastructure.

Configurar certificados para gateway de gestión

A partir de la versión 221019.0021 del agente de gestión y la versión 221019.0021.1667404647 del gateway de gestión, la comunicación entre el agente, el gateway y OCI requiere certificados. Los certificados y otras entidades necesarias se crearán automáticamente, pero es necesario configurar determinadas políticas de OCI para que esto funcione.

Hay dos opciones disponibles:

Creación automática de certificados (recomendada)

Éste es el método recomendado para crear certificados.

Si el parámetro GatewayCertOcid no está definido en el archivo de respuesta, Management Gateway intenta crear automáticamente los certificados necesarios y otras entidades necesarias.

Si el gateway de gestión está configurado en modo de alta disponibilidad y el equilibrador de carga y el gateway de gestión están en dominios diferentes, consulte Alta disponibilidad del gateway de gestión de configuración avanzada para obtener más información.

Grupos dinámicos necesarios:

Debe crear grupos dinámicos en el dominio de identidad default. Consulte Asuntos de dominios de identidad para obtener más información.

  1. Cree Credential_Dynamic_Group con la siguiente regla: 

    ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

  2. Cree Management_Gateway_Dynamic_Group con la siguiente regla: 

    ALL {resource.type='managementagent', resource.compartment.id='<>'}
Nota

El ID de compartimento es un OCID.

Políticas necesarias: 


Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE vaults in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE keys in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE certificate-authorities in compartment <> where  any{request.permission='CERTIFICATE_AUTHORITY_CREATE', request.permission='CERTIFICATE_AUTHORITY_INSPECT', request.permission='CERTIFICATE_AUTHORITY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE leaf-certificates in compartment <> where  any{request.permission='CERTIFICATE_CREATE', request.permission='CERTIFICATE_INSPECT', request.permission ='CERTIFICATE_UPDATE', request.permission='CERTIFICATE_READ'}

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE vaults in compartment <> where any{request.permission='VAULT_CREATE', request.permission='VAULT_INSPECT', request.permission='VAULT_READ', request.permission='VAULT_CREATE_KEY', request.permission='VAULT_IMPORT_KEY', request.permission='VAULT_CREATE_SECRET'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE keys in compartment <> where any{request.permission='KEY_CREATE', request.permission='KEY_INSPECT', request.permission='KEY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE key-delegate in compartment <> 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group TO MANAGE leaf-certificates in compartment <> where all{request.permission='CERTIFICATE_DELETE', target.leaf-certificate.name=request.principal.id}

Si los grupos dinámicos se crearon previamente en los dominios que no son por defecto, todas las políticas deben cambiar.

Para cambiar las políticas al dominio de identidad no por defecto, modifique todas las políticas anteriores mediante la siguiente sintaxis.

Allow DYNAMIC-GROUP <Domain Name>/Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP <Domain Name>/Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Nota

Puede instalar la aplicación de inicio rápido de OCI Marketplace de Management Gateway para instalar automáticamente los grupos dinámicos, las políticas y gestionar los certificados para Management Gateway.

Gestión manual de certificados

Es posible configurar certificados manualmente. El administrador puede crear un certificado mediante la consola de OCI. Posteriormente, especifique el OCID de ese certificado en el archivo de respuesta mediante el parámetro GatewayCertOcid.

Para obtener información sobre la creación de un certificado, consulte Visión general de Certificate.htm.

Grupos Dinámicos Necesarios:

  1. Cree Credential_Dynamic_Group con la siguiente regla: 

    ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

  2. Cree Management_Gateway_Dynamic_Group con la siguiente regla: 

    ALL {resource.type='managementagent', resource.compartment.id='<>'}
Nota

El ID de compartimento es un OCID.

Políticas necesarias: 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>
Nota

Las políticas son por compartimento. Se debe utilizar el mismo compartimento para el gateway y todos los agentes que se conecten a él.

Activación de instancias de Management Agent en instancias informáticas

Al utilizar una instancia informática, puede utilizar las capacidades de Oracle Cloud Agent para activar el plugin de Management Agent.

Antes de continuar, confirme que ha completado los requisitos previos. Para obtener más información, consulte Tareas necesarias para desplegar instancias de Management Agent en instancias informáticas.

Activar Management Agent

Las instancias de Management Agent se pueden activar mediante la consola de OCI o la API de Compute.
Nota

El plugin de Management Agent en instancias informáticas se ejecuta en la máquina virtual de Java (JVM). A partir de marzo de 2023, el plugin de Management Agent se despliega con un tiempo de ejecución de Java Runtime (JRE).

El tiempo de ejecución de Java Runtime siempre se mantiene actualizado como parte del proceso de actualización del agente de gestión para abordar las vulnerabilidades de seguridad recién descubiertas. Después de activar el plugin de Management Agent, es importante ejecutar la última versión del software del plugin de Management Agent activando actualizaciones automáticas o invocando manualmente la operación de cambio de versión periódicamente. Para obtener más información, consulte Cambio de versión de instancias de Management Agent en instancias informáticas.

Activación de instancias de Management Agent mediante la consola

Para confirmar si el plugin de Management Agent está activado para una instancia:
  1. Abra el menú de navegación y haga clic en Recursos informáticos. En Recursos informáticos, haga clic en Instancias.
  2. Haga clic en la instancia en la que esté interesado.
  3. Haga clic en el separador Oracle Cloud Agent.

    Se muestra la lista de plugins.

  4. Alterne el conmutador Activado para el plugin de Management Agent.

Para obtener más información, consulte Gestión de plugins mediante la consola.

Activación de instancias de Management Agent mediante la API de Compute

Para obtener información sobre el uso de la API, consulte API de REST.

Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Utilice las siguientes operaciones de API para gestionar Management Agent como plugin de Oracle Cloud Agent:

  • LaunchInstance: activa o desactiva plugins o para todos los plugins al crear una instancia.

  • UpdateInstance: activa o desactiva plugins individuales, y para o inicia todos los plugins para una instancia existente.

A continuación, se muestra un extracto de la muestra de Java que se encuentra en las operaciones de API LaunchInstance o UpdateInstance, que permite al usuario activar Management Agent durante el inicio o la actualización de la instancia informática, respectivamente: 
... 
    .agentConfig(LaunchInstanceAgentConfigDetails.builder()
			.isMonitoringDisabled(false)
			.isManagementDisabled(true)
			.areAllPluginsDisabled(false)
			.pluginsConfig(new ArrayList<>(Arrays.asList(InstanceAgentPluginConfigDetails.builder()
					.name("Management Agent")   
					.desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build())
...

Donde .name("Management Agent") indica que es para el plugin de Management Agent y .desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build()) indica que se active Management Agent.

Para obtener más información, consulte Gestión de plugins mediante la API.

Configuración de Oracle Cloud Agent con Management Gateway

Para configurar Management Gateway para un agente de gestión activado en una instancia de Oracle Cloud Compute:

  1. Actualice el archivo emd.properties.
    1. Vaya al archivo emd.properties, normalmente en la siguiente ubicación:
      /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/emd.properties
    2. Al final del archivo, agregue las siguientes 3 entradas:
      GatewayServerHost=<gateway host>
GatewayServerPort=<gateway port>
GatewayServerCredentialTimeout=30s
  2. A continuación, si Management Gateway está configurado con un nombre de usuario y una contraseña de proxy, debe introducir las credenciales de Management Gateway en Management Agent.
    1. Utilice el siguiente comando para ver el contenido del archivo /tmp/cred.json. 
      cat /tmp/cred.json |sudo -u oracle-cloud-agent /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/bin/credential_mgmt.sh -o upsertCredentials -s Agent
    2. En el archivo /tmp/cred.json, sustituya los siguientes valores por las credenciales reales de Management Agent para su entorno:
      • OCID con el siguiente formato: agent.ocid1.managementagent.oc1.phx.unique-id
      • ejemplo-usuario
      • ejemplo-contraseña
        {"source":"agent.ocid1.managementagent.oc1.phx.unique-id",
"name":"ManagementAgent-Proxy",
"type":"ProxyCreds",
"description":"Proxy Credentials",
"properties":[
{"name":"ProxyUser","value":"example-username"},
{"name":"ProxyPassword","value":"example-password"}]}
  3. Introduzca el siguiente comando para reiniciar el agente de Oracle Cloud:
    systemctl restart oracle-cloud-agent