Exécuter les préalables au déploiement de la passerelle de gestion
Pour des préalables spécifiques lors de la configuration de la passerelle de gestion en mode haute disponibilité, voir Exécuter les préalables pour la haute disponibilité de la passerelle de gestion.
Configurer Oracle Cloud Infrastructure pour la passerelle de gestion
La passerelle de gestion et l'agent de gestion utilisent le service d'agent de gestion d'Oracle Cloud Infrastructure (OCI). Avant d'installer la passerelle de gestion, vous devez suivre les instructions de configuration de l'environnement Oracle Cloud Infrastructure pour utiliser le service Agent de gestion. Pour plus de détails, voir Configurer Oracle Cloud Infrastructure pour le service d'agent de gestion.
Préalables génériques au déploiement de la passerelle de gestion
Avant de déployer la passerelle de gestion, assurez-vous que les conditions préalables suivantes sont remplies :
-
Préalables pour Oracle Cloud Infrastructure
Préalables pour Oracle Cloud Infrastructure
-
Vous devez vérifier que vous avez déjà configuré votre environnement Oracle Cloud Infrastructure correctement, comme décrit dans Configurer Oracle Cloud Infrastructure pour le service d'agent de gestion.
Systèmes d'exploitation pris en charge
Tableau 7-1 Systèmes d'exploitation pris en charge
| Système d'exploitation | Version |
|---|---|
|
Oracle Linux |
6 (64 bits), 7 (64 bits), 8 (64 bits), 9 (64 bits) |
|
Red Hat Enterprise Linux |
6 (64 bits), 7 (64 bits), 8 (64 bits) |
| Windows Server | 2022 (64 bits), 2019 (64 bits), 2016 (64 bits), 2012 R2 (64 bits) |
Exigences relatives au système d'exploitation
-
Espace disque minimal requis sur le disque : 300 Mo d'espace libre et 100 Mo supplémentaires pour le téléchargement du logiciel de la passerelle de gestion.
Elle nécessite également de l'espace disque pour l'écriture de messages en mémoire tampon sur le disque. Cette zone doit contenir au moins 1 Go d'espace disque disponible.
-
Utilisateur disposant des privilèges
sudochargé d'installer le logiciel de la passerelle de gestion sur l'hôte. -
Java Development Kit (JDK)ouJava Runtime Environment (JRE)doit être installé sur votre hôte avant l'installation du logiciel de la passerelle de gestion.Assurez-vous d'avoir téléchargé et installé
JDKouJREversion 1.8u281 ou ultérieure avant de démarrer le processus d'installation du logiciel de la passerelle de gestion. Voir Téléchargements Java. -
La passerelle de gestion nécessite un hôte dédié. Si l'agent de gestion est déjà installé sur l'hôte, installez la passerelle de gestion sur un autre hôte, qui lui sera dédié.
-
Assurez-vous que l'indicateur
noexecn'est pas défini pour /tmp si vous le montez.
Préalables pour le réseau
-
Si votre configuration réseau comporte un pare-feu, assurez-vous que la communication HTTPS (port 443) est autorisée à partir de l'hôte où la passerelle de gestion est déployée vers les domaines Oracle Cloud Infrastructure appropriés. Le domaine concerné dépend du domaine de sécurité. Par exemple, les agents de gestion qui utilisent le domaine commercial Oracle Cloud Infrastructure
OC1devront se connecter au domaine de sécurité*.oraclecloud.com.Oracle Cloud Infrastructure est hébergé dans des régions. Les régions sont regroupées dans des domaines. Votre location existe dans un seul domaine et a accès à toutes les régions de ce domaine. Vous ne pouvez pas accéder aux régions qui ne se trouvent pas dans votre domaine. Actuellement, Oracle Cloud Infrastructure dispose de plusieurs domaines. Pour plus d'informations sur les régions et les domaines, voir Régions et domaines de disponibilité.
Chaque passerelle appartient à un compartiment OCI spécifique. Tous les agents qui se connectent au moyen d'une passerelle doivent se trouver dans le même compartiment que cette passerelle.
Vous pouvez utiliser n'importe quel outil de connectivité réseau disponible pour vérifier la connectivité avec le centre de données.
Pour plus d'informations sur les intervalles d'adresses IP des services déployés dans Oracle Cloud Infrastructure, voir Intervalles d'adresses IP.
L'exemple de tableau suivant indique le port devant être ouvert pour la communication.Direction Port Protocole Motif Hôte de la passerelle de gestion vers externe
443
HTTPS
Communication avec les services Oracle Cloud Infrastructure.
Configurer les certificats pour la passerelle de gestion
À partir de la version 221019.0021 de l'agent de gestion et de la version 221019.0021.1667404647, la communication entre l'agent, la passerelle et OCI nécessite des certificats. Les certificats et autres entités requises seront créés automatiquement, mais certaines politiques OCI doivent être configurées pour que cela fonctionne.
Deux options sont disponibles :
Création automatique de certificat (recommandé)
Il s'agit de la méthode recommandée pour créer des certificats.
Si le paramètre GatewayCertOcid n'est pas défini dans le fichier de réponses, la passerelle de gestion tente de créer automatiquement les certificats requis et les autres entités requises.
Si la passerelle de gestion est configurée en mode haute disponibilité et que l'équilibreur de charge et la passerelle de gestion se trouvent dans différents domaines, voir Haute disponibilité de la passerelle de gestion des configurations avancée pour plus de détails.
Groupes dynamiques requis :
Vous devez créer des groupes dynamiques dans le domaine d'identité default. Pour plus d'informations, voir Objets pour les domaines d'identité.
-
Créez
Credential_Dynamic_Groupavec la règle ci-dessous :ALL {resource.type='certificateauthority', resource.compartment.id='<>'} -
Créez
Management_Gateway_Dynamic_Groupavec la règle ci-dessous :ALL {resource.type='managementagent', resource.compartment.id='<>'}
L'ID compartiment est un OCID.
Politiques requises :
Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>
Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE vaults in compartment <>
Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE keys in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE certificate-authorities in compartment <> where any{request.permission='CERTIFICATE_AUTHORITY_CREATE', request.permission='CERTIFICATE_AUTHORITY_INSPECT', request.permission='CERTIFICATE_AUTHORITY_READ'}
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE leaf-certificates in compartment <> where any{request.permission='CERTIFICATE_CREATE', request.permission='CERTIFICATE_INSPECT', request.permission ='CERTIFICATE_UPDATE', request.permission='CERTIFICATE_READ'}
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE vaults in compartment <> where any{request.permission='VAULT_CREATE', request.permission='VAULT_INSPECT', request.permission='VAULT_READ', request.permission='VAULT_CREATE_KEY', request.permission='VAULT_IMPORT_KEY', request.permission='VAULT_CREATE_SECRET'}
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE keys in compartment <> where any{request.permission='KEY_CREATE', request.permission='KEY_INSPECT', request.permission='KEY_READ'}
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE certificate-authority-delegates in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE key-delegate in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group TO MANAGE leaf-certificates in compartment <> where all{request.permission='CERTIFICATE_DELETE', target.leaf-certificate.name=request.principal.id}
Si les groupes dynamiques ont été créés précédemment dans les domaines autres que ceux par défaut, toutes les politiques doivent être modifiées.
Pour remplacer les politiques par un domaine d'identité autre que celui par défaut, modifiez toutes les politiques ci-dessus à l'aide de la syntaxe ci-dessous.
Allow DYNAMIC-GROUP <Domain Name>/Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>
Allow DYNAMIC-GROUP <Domain Name>/Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>Vous pouvez installer l'application Marketplace pour OCI de démarrage rapide de la passerelle de gestion pour installer automatiquement les groupes dynamiques, les politiques et gérer les certificats pour la passerelle de gestion.
Gestion manuelle des certificats
Il est possible de configurer les certificats manuellement. L'administrateur peut créer un certificat à l'aide de la console OCI. Ensuite, spécifiez l'OCID de ce certificat dans le fichier de réponse à l'aide du paramètre GatewayCertOcid.
Pour plus d'informations sur la création d'un certificat, voir Aperçu de Certificate.htm.
Groupes dynamiques requis :
-
Créez
Credential_Dynamic_Groupavec la règle ci-dessous :ALL {resource.type='certificateauthority', resource.compartment.id='<>'} -
Créez
Management_Gateway_Dynamic_Groupavec la règle ci-dessous :ALL {resource.type='managementagent', resource.compartment.id='<>'}
L'ID compartiment est un OCID.
Politiques requises :
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>Les politiques sont par compartiment. Le même compartiment doit être utilisé pour la passerelle et tous les agents qui y sont connectés.
Activer les agents de gestion sur des instances de calcul
Lorsque vous utilisez une instance de calcul, vous pouvez utiliser les fonctionnalités d'Oracle Cloud Agent pour activer le plugiciel d'agent de gestion.
Avant de continuer, confirmez que vous avez terminé les préalables. Pour plus de détails, voir Effectuer les conditions requises pour déployer des agents de gestion sur des instances de calcul.
Activer les agents de gestion
Le plugiciel d'agent de gestion sur les instances de calcul s'exécute sur la machine virtuelle Java (JVM). À partir de mars 2023, le plugiciel d'agent de gestion est déployé avec un environnement d'exécution Java (JRE).
L'environnement d'exécution Java est toujours mis à jour dans le cadre du processus de mise à niveau de l'agent de gestion afin de résoudre les vulnérabilités de sécurité nouvellement découvertes. Après avoir activé le plugiciel d'agent de gestion, il est important d'exécuter la dernière version du logiciel du plugiciel d'agent de gestion en activant les mises à niveau automatiques ou en appelant manuellement l'opération de mise à niveau périodiquement. Pour plus de détails, voir Mettre à niveau les agents de gestion sur les instances de calcul.
Activer les agents de gestion à l'aide de la console
- Ouvrez le menu de navigation et cliquez sur Calcul. Sous Calcul, cliquez sur Instances.
- Cliquez sur l'instance qui vous intéresse.
- Cliquez sur l'onglet Oracle Cloud Agent.
La liste des plugins s'affiche.
- Activez/désactivez le commutateur Activé pour le plugiciel d'agent de gestion.
Pour plus d'informations, voir Gestion des plugiciels à l'aide de la console.
Activer les agents de gestion à l'aide de l'API de calcul
Pour des informations sur l'utilisation de l'API, voir API REST.
Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.
-
LaunchInstance - Active ou désactive les plugiciels, ou arrête tous les plugiciels, lorsque vous créez une instance.
-
UpdateInstance - Active ou désactive des plugiciels individuels et arrête ou démarre tous les plugiciels pour une instance existante.
LaunchInstance ou UpdateInstance, qui permet à l'utilisateur d'activer l'agent de gestion lors du lancement ou de la mise à jour de l'instance de calcul, respectivement :
...
.agentConfig(LaunchInstanceAgentConfigDetails.builder()
.isMonitoringDisabled(false)
.isManagementDisabled(true)
.areAllPluginsDisabled(false)
.pluginsConfig(new ArrayList<>(Arrays.asList(InstanceAgentPluginConfigDetails.builder()
.name("Management Agent")
.desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build())
...Où .name("Management Agent") indique que le plugiciel d'agent de gestion est concerné et .desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build()) indique d'activer l'agent de gestion.
Pour plus d'informations, voir Gestion des plugiciels à l'aide de l'API.
Pour configurer la passerelle de gestion pour un agent de gestion activé sur une instance du service de calcul pour Oracle Cloud :
- Mettez à jour le fichier
emd.properties.- Allez au fichier
emd.properties, généralement à l'emplacement suivant :/var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/emd.properties - À la fin du fichier, ajoutez les 3 entrées suivantes :
GatewayServerHost=<gateway host> GatewayServerPort=<gateway port> GatewayServerCredentialTimeout=30s
- Allez au fichier
- Ensuite, si la passerelle de gestion est configurée avec un nom d'utilisateur et un mot de passe proxy, vous devez prédéfinir les données d'identification de la passerelle de gestion à l'agent de gestion.
- Utilisez la commande suivante pour voir le contenu du fichier
/tmp/cred.json.cat /tmp/cred.json |sudo -u oracle-cloud-agent /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/bin/credential_mgmt.sh -o upsertCredentials -s Agent - Dans le fichier
/tmp/cred.json, remplacez les valeurs suivantes par les données d'identification réelles de l'agent de gestion pour votre environnement :- OCID au format suivant :
agent.ocid1.managementagent.oc1.phx.unique-id - exemple-nom d'utilisateur
- exemple de mot de passe
{"source":"agent.ocid1.managementagent.oc1.phx.unique-id", "name":"ManagementAgent-Proxy", "type":"ProxyCreds", "description":"Proxy Credentials", "properties":[ {"name":"ProxyUser","value":"example-username"}, {"name":"ProxyPassword","value":"example-password"}]}
- OCID au format suivant :
- Utilisez la commande suivante pour voir le contenu du fichier
- Entrez la commande suivante pour redémarrer Oracle Cloud Agent :
systemctl restart oracle-cloud-agent