Tareas necesarias para desplegar Management Gateway

Nota

Para conocer los requisitos específicos al configurar el gateway de gestión en modo de alta disponibilidad, consulte Realización de requisitos para alta disponibilidad del gateway de gestión.

Configuración de Oracle Cloud Infrastructure para Management Gateway

Management Gateway y Management Agent utilizan el servicio Management Agent de Oracle Cloud Infrastructure (OCI). Antes de instalar Management Gateway, debe completar las instrucciones para configurar el entorno de Oracle Cloud Infrastructure para utilizar el servicio Management Agent. Para obtener más información, consulte Configuración de Oracle Cloud Infrastructure para el servicio del agente de gestión.

Requisitos genéricos para desplegar Management Gateway

Antes de desplegar Management Gateway, asegúrese de que se cumplen los siguientes requisitos:

Requisitos de Oracle Cloud Infrastructure
Sistemas operativos soportados
Requisitos del sistema operativo
Requisitos de red

Requisitos de Oracle Cloud Infrastructure

Debe confirmar que ya ha configurado el entorno de Oracle Cloud Infrastructure correctamente, como se describe en Configuración de Oracle Cloud Infrastructure para el servicio del agente de gestión.

Sistemas operativos soportados

Tabla 7-1 Sistemas operativos soportados

Sistema operativo	Versión
Oracle Linux	6 (64 bits), 7 (64 bits), 8 (64 bits), 9 (64 bits)
Red Hat Enterprise Linux	6 (64 bits), 7 (64 bits), 8 (64 bits)

Requisitos del sistema operativo

Requisito mínimo de disco: 300 Mb de espacio libre en disco y 100 Mb adicionales para la descarga de software de Management Gateway.

También requiere espacio en disco para escribir mensajes en buffer en el disco. Esta área debe tener al menos 1 GB de espacio libre en disco.
Un usuario con privilegios sudo responsable de instalar el software de Management Gateway en el host.
Java Development Kit (JDK) o Java Runtime Environment (JRE) se deben instalar en el host antes de instalar el software de Management Gateway.

Asegúrese de haber descargado e instalado JDK o JRE versión 1.8u281 o superior antes de iniciar el proceso de instalación del software de Management Gateway. Consulte Descargas de Java.
Management Gateway necesita un host dedicado. Si Management Agent ya está instalado en el host, instale Management Gateway en otro host, dedicado a él.
Asegúrese de que /tmp no tenga el indicador noexec definido si lo está montando.

Requisitos de red

Si la configuración de red tiene un firewall, asegúrese de que se permita la comunicación HTTPS (puerto 443) desde el host en el que se despliega Management Gateway en los dominios adecuados de Oracle Cloud Infrastructure. El dominio relevante dependerá del dominio. Por ejemplo, las instancias de Management Agent que utilicen el dominio comercial de Oracle Cloud Infrastructure OC1 deberán conectarse al dominio *.oraclecloud.com.

Oracle Cloud Infrastructure se aloja en regiones. Las regiones se agrupan en dominios. Su arrendamiento está en un único dominio y puede acceder a todas las regiones que pertenecen a dicho dominio. No puede acceder a regiones que no estén en su dominio. Actualmente, Oracle Cloud Infrastructure tiene varios dominios. Para obtener más información sobre las regiones y los dominios, consulte Regiones y dominios de disponibilidad.

Cada gateway pertenece a un compartimento de OCI específico. Todos los agentes que se conecten a través de un gateway deben estar en el mismo compartimento que ese gateway.

Puede utilizar cualquier herramienta de conectividad de red disponible para verificar la conectividad con el centro de datos.

Para obtener información sobre los rangos de direcciones IP para los servicios que se despliegan en Oracle Cloud Infrastructure, consulte Rangos de direcciones IP.

En la siguiente tabla de ejemplo se muestran los puertos que deben estar abiertos para la comunicación.

Sentido	Puerto	Protocolo	Motivo
Host de Management Gateway a externo	443	HTTPS	Comunicación con los servicios de Oracle Cloud Infrastructure.

Configurar certificados para gateway de gestión

A partir de la versión 221019.0021 del agente de gestión y la versión 221019.0021.1667404647 del gateway de gestión, la comunicación entre el agente, el gateway y OCI requiere certificados. Los certificados y otras entidades necesarias se crearán automáticamente, pero es necesario configurar determinadas políticas de OCI para que esto funcione.

Hay dos opciones disponibles:

Creación automática de certificados (recomendada)

Éste es el método recomendado para crear certificados.

Si el parámetro GatewayCertOcid no está definido en el archivo de respuesta, el gateway intenta crear los certificados necesarios y otras entidades necesarias automáticamente.

Si el gateway de gestión está configurado en modo de alta disponibilidad y el equilibrador de carga y el gateway de gestión están en dominios diferentes, consulte Alta disponibilidad del gateway de gestión de configuración avanzada para obtener más información.

Grupos Dinámicos Necesarios:

Cree Credential_Dynamic_Group con la siguiente regla:

ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

Cree Management_Gateway_Dynamic_Group con la siguiente regla:

ALL {resource.type='managementagent', resource.compartment.id='<>'}

Nota

El ID de compartimento es un OCID.

Políticas necesarias:


Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE vaults in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE keys in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE certificate-authorities in compartment <> where  any{request.permission='CERTIFICATE_AUTHORITY_CREATE', request.permission='CERTIFICATE_AUTHORITY_INSPECT', request.permission='CERTIFICATE_AUTHORITY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE leaf-certificates in compartment <> where  any{request.permission='CERTIFICATE_CREATE', request.permission='CERTIFICATE_INSPECT', request.permission ='CERTIFICATE_UPDATE', request.permission='CERTIFICATE_READ'}

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE vaults in compartment <> where any{request.permission='VAULT_CREATE', request.permission='VAULT_INSPECT', request.permission='VAULT_READ', request.permission='VAULT_CREATE_KEY', request.permission='VAULT_IMPORT_KEY', request.permission='VAULT_CREATE_SECRET'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE keys in compartment <> where any{request.permission='KEY_CREATE', request.permission='KEY_INSPECT', request.permission='KEY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE key-delegate in compartment <> 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group TO MANAGE leaf-certificates in compartment <> where all{request.permission='CERTIFICATE_DELETE', target.leaf-certificate.name=request.principal.id}

Gestión manual de certificados

Es posible configurar certificados manualmente. El administrador puede crear un certificado mediante la consola de OCI. Posteriormente, especifique el OCID de ese certificado en el archivo de respuesta mediante el parámetro GatewayCertOcid.

Para obtener información sobre la creación de un certificado, consulte Visión general de Certificate.htm.