Exécution des prérequis pour le déploiement d'une passerelle de gestion

Remarque

Pour connaître les prérequis spécifiques à la configuration de la passerelle de gestion en mode haute disponibilité, reportez-vous à Prérequis pour la haute disponibilité de la passerelle de gestion.

Configuration d'Oracle Cloud Infrastructure pour la passerelle de gestion

La passerelle de gestion et l'agent de gestion utilisent le service d'agent de gestion d'Oracle Cloud Infrastructure (OCI). Avant d'installer la passerelle de gestion, vous devez suivre les instructions de configuration de l'environnement Oracle Cloud Infrastructure pour utiliser le service Agent de gestion. Pour plus de détails, reportez-vous à Configuration du service d'agent de gestion d'Oracle Cloud Infrastructure.

Prérequis génériques pour le déploiement d'une passerelle de gestion

Avant de déployer une passerelle de gestion, assurez-vous que les prérequis suivants sont respectés :

Exigences relatives à Oracle Cloud Infrastructure
Systèmes d'exploitation pris en charge
Exigences relatives au système d'exploitation
Prérequis relatifs au réseau

Exigences relatives à Oracle Cloud Infrastructure

Vous devez vérifier que vous avez déjà configuré l'environnement Oracle Cloud Infrastructure correctement, comme décrit dans Configuration du service d'agent de gestion d'Oracle Cloud Infrastructure.

Systèmes d'exploitation pris en charge

Tableau 7-1 Systèmes d'exploitation pris en charge

Système d'exploitation	Version
Oracle Linux	6 (64 bits), 7 (64 bits), 8 (64 bits), 9 (64 bits)
Red Hat Enterprise Linux	6 (64 bits), 7 (64 bits), 8 (64 bits)
Windows Server	2022 (64 bits), 2019 (64 bits), 2016 (64 bits), 2012 R2 (64 bits)

Exigences relatives au système d'exploitation

Disque minimum requis : 300 Mo d'espace disque libre et 100 Mo supplémentaires pour le téléchargement du logiciel Management Gateway.

Il nécessite également de l'espace disque pour l'écriture de messages mis en mémoire tampon sur le disque. Cette zone doit comporter au moins 1 Go d'espace disque libre.
Un utilisateur disposant de privilèges sudo doit être chargé de l'installation du logiciel de passerelle de gestion sur l'hôte.
Java Development Kit (JDK) ou Java Runtime Environment (JRE) doit être installé sur l'hôte avant l'installation du logiciel de passerelle de gestion.

Vérifiez que vous avez téléchargé et installé JDK ou JRE version 1.8u281 ou ultérieure avant de lancer le processus d'installation du logiciel de passerelle de gestion. Reportez-vous à la page des téléchargements Java.
La passerelle de gestion requiert un hôte dédié. Si l'agent de gestion est déjà installé sur l'hôte, installez la passerelle de gestion sur un autre hôte, qui lui est dédié.
Assurez-vous que l'indicateur noexec n'est pas défini pour /tmp si vous le montez.

Prérequis relatifs au réseau

Si votre configuration réseau comporte un pare-feu, assurez-vous que la communication HTTPS (port 443) est autorisée de l'hôte sur lequel la passerelle de gestion est déployée vers les domaines Oracle Cloud Infrastructure appropriés. Le domaine approprié dépendra du domaine de sécurité. Par exemple, les agents de gestion qui utilisent le domaine de sécurité commercial Oracle Cloud Infrastructure OC1 devront se connecter au domaine *.oraclecloud.com.

Oracle Cloud Infrastructure est hébergé dans des régions. Les régions sont regroupées en domaines de sécurité. Votre location existe dans un seul domaine de sécurité et peut accéder à toutes les régions appartenant à celui-ci. Vous ne pouvez pas accéder à des régions qui ne se trouvent pas dans votre domaine de sécurité. Actuellement, Oracle Cloud Infrastructure compte plusieurs domaines de sécurité. Pour plus d'informations sur les régions et les domaines de sécurité, reportez-vous à Régions et domaines de disponibilité.

Chaque passerelle appartient à un compartiment OCI spécifique. Tous les agents qui se connectent via une passerelle doivent se trouver dans le même compartiment que cette passerelle.

Vous pouvez utiliser n'importe quel outil de connectivité réseau disponible pour vérifier la connectivité avec le centre de données.

Afin d'obtenir des informations sur les plages d'adresses IP pour les services déployés dans Oracle Cloud Infrastructure, reportez-vous à Plages d'adresses IP.

Le tableau d'exemple suivant répertorie les ports qui doivent être ouverts pour la communication.

Direction	Port	Protocole	Motif
Hôte de la passerelle de gestion vers l'extérieur	443	HTTPS	Communication avec les services Oracle Cloud Infrastructure.

Configuration de certificats pour Management Gateway

A partir de la version 221019.0021 de l'agent de gestion et de la version 221019.0021.1667404647 de la passerelle de gestion, la communication entre l'agent, la passerelle et OCI nécessite des certificats. Les certificats et les autres entités requises seront créés automatiquement, mais certaines stratégies OCI doivent être configurées pour que cela fonctionne.

Deux options sont disponibles :

Création automatique de certificat (recommandée)

Il s'agit de la méthode recommandée pour créer des certificats.

Si le paramètre GatewayCertOcid n'est pas défini dans le fichier de réponses, la passerelle de gestion tente de créer automatiquement les certificats requis et les autres entités requises.

Si la passerelle de gestion est configurée en mode haute disponibilité et que l'équilibreur de charge et la passerelle de gestion se trouvent dans des domaines différents, reportez-vous à Haute disponibilité d'Advanced Configuration Management Gateway pour plus de détails.

Groupes dynamiques obligatoires :

Vous devez créer des groupes dynamiques dans le domaine d'identité default. Pour plus d'informations, reportez-vous à Objets pour les domaines d'identité.

Créez Credential_Dynamic_Group avec la règle ci-dessous :

ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

Créez Management_Gateway_Dynamic_Group avec la règle ci-dessous :

ALL {resource.type='managementagent', resource.compartment.id='<>'}

Remarque

L'ID de compartiment est un OCID.

Stratégies requises :


Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE vaults in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE keys in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE certificate-authorities in compartment <> where  any{request.permission='CERTIFICATE_AUTHORITY_CREATE', request.permission='CERTIFICATE_AUTHORITY_INSPECT', request.permission='CERTIFICATE_AUTHORITY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE leaf-certificates in compartment <> where  any{request.permission='CERTIFICATE_CREATE', request.permission='CERTIFICATE_INSPECT', request.permission ='CERTIFICATE_UPDATE', request.permission='CERTIFICATE_READ'}

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE vaults in compartment <> where any{request.permission='VAULT_CREATE', request.permission='VAULT_INSPECT', request.permission='VAULT_READ', request.permission='VAULT_CREATE_KEY', request.permission='VAULT_IMPORT_KEY', request.permission='VAULT_CREATE_SECRET'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE keys in compartment <> where any{request.permission='KEY_CREATE', request.permission='KEY_INSPECT', request.permission='KEY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE key-delegate in compartment <> 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group TO MANAGE leaf-certificates in compartment <> where all{request.permission='CERTIFICATE_DELETE', target.leaf-certificate.name=request.principal.id}

Si les groupes dynamiques ont été précédemment créés dans les domaines autres que ceux par défaut, toutes les stratégies doivent être modifiées.

Pour remplacer les stratégies par le domaine d'identité autre que celui par défaut, modifiez toutes les stratégies ci-dessus à l'aide de la syntaxe ci-dessous.

Allow DYNAMIC-GROUP <Domain Name>/Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP <Domain Name>/Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>

Remarque

Vous pouvez installer l'application OCI Marketplace de démarrage rapide de passerelle de gestion pour installer automatiquement les groupes dynamiques, les stratégies et gérer les certificats pour la passerelle de gestion.

Gestion manuelle des certificats

Il est possible de configurer les certificats manuellement. L'administrateur peut créer un certificat à l'aide de la console OCI. Ensuite, indiquez l'OCID de ce certificat dans le fichier de réponse à l'aide du paramètre GatewayCertOcid.

Pour plus d'informations sur la création d'un certificat, reportez-vous à Présentation de Certificate.htm.

Groupes dynamiques requis :

Créez Credential_Dynamic_Group avec la règle ci-dessous :

ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

Créez Management_Gateway_Dynamic_Group avec la règle ci-dessous :

ALL {resource.type='managementagent', resource.compartment.id='<>'}

Remarque

L'ID de compartiment est un OCID.

Stratégies requises :

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>

Remarque

Les stratégies sont définies par compartiment. Le même compartiment doit être utilisé pour la passerelle et tous les agents qui y sont connectés.

Activation des agents de gestion sur les instances de calcul

Lorsque vous utilisez une instance de calcul, vous pouvez vous servir des fonctionnalités de l'agent Oracle Cloud pour activer le module d'extension d'agent de gestion.

Avant de continuer, confirmez que vous avez satisfait aux prérequis. Pour plus de détails, reportez-vous à Application des prérequis pour le déploiement d'agents de gestion sur des instances de calcul.

Activation des agents de gestion

Les agents de gestion peuvent être activés à l'aide de la console OCI ou de l'API Compute.

Remarque

Le module d'extension d'agent de gestion sur les instances de calcul est exécuté sur la machine virtuelle Java. A partir de mars 2023, le module d'extension d'agent de gestion est déployé avec une exécution Java (JRE).

L'exécution Java est toujours mise à jour dans le cadre du processus de mise à niveau de l'agent de gestion afin de résoudre les vulnérabilités de sécurité nouvellement découvertes. Après avoir activé le module d'extension Agent de gestion, il est important d'exécuter la dernière version du logiciel de module d'extension Agent de gestion en activant les mises à niveau automatiques ou en appelant manuellement l'opération de mise à niveau périodiquement. Pour plus de détails, reportez-vous à Mise à niveau des agents de gestion sur les instances de calcul.

Activation des agents de gestion à l'aide de la console

Afin de vérifier si le module d'extension d'agent de gestion est activé pour une instance, procédez comme suit :

Ouvrez le menu de navigation et cliquez sur Compute. Sous Compute, cliquez sur Instances.
Cliquez sur l'instance qui vous intéresse.
Cliquez sur l'onglet Agent Oracle Cloud.
La liste des modules d'extension s'affiche.
Définissez le commutateur du module d'extension d'agent de gestion sur Activé.

Pour plus d'informations, reportez-vous à Gestion des modules d'extension à l'aide de la console.

Activation des agents de gestion à l'aide de l'API Compute

Pour plus d'informations sur l'utilisation de l'API, reportez-vous à API REST.

Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Utilisez les opérations d'API suivantes pour gérer l'agent Management en tant que module d'extension d'extension d'agent Oracle Cloud :

LaunchInstance : permet d'activer ou de désactiver des modules d'extension, ou d'arrêter tous les modules d'extension, lorsque vous créez une instance.
UpdateInstance : permet d'activer ou de désactiver des modules d'extension individuels, et d'arrêter ou de démarrer tous les modules d'extension, pour une instance existante.

Voici un extrait de l'exemple Java trouvé dans l'opération d'API LaunchInstance ou UpdateInstance, qui permet à l'utilisateur d'activer l'agent de gestion lors du lancement ou de la mise à jour de l'instance de calcul, respectivement :

... 
    .agentConfig(LaunchInstanceAgentConfigDetails.builder()
			.isMonitoringDisabled(false)
			.isManagementDisabled(true)
			.areAllPluginsDisabled(false)
			.pluginsConfig(new ArrayList<>(Arrays.asList(InstanceAgentPluginConfigDetails.builder()
					.name("Management Agent")   
					.desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build())
...

Où .name("Management Agent") indique que l'opération concerne le module d'extension d'agent de gestion et .desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build()) indique qu'il faut activer l'agent de gestion.

Pour plus d'informations, reportez-vous à Gestion des modules d'extension à l'aide de l'API.

Configurer l'agent Oracle Cloud avec la passerelle de gestion

Afin de configurer la passerelle de gestion pour un agent de gestion activé sur une instance Oracle Cloud Compute, procédez comme suit :

Mettez à jour le fichier emd.properties.

Accédez au fichier emd.properties, généralement à l'emplacement suivant :

/var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/emd.properties

A la fin du fichier, ajoutez les 3 entrées suivantes :

GatewayServerHost=<gateway host>
GatewayServerPort=<gateway port>
GatewayServerCredentialTimeout=30s

Ensuite, si la passerelle de gestion est configurée avec un nom utilisateur proxy et un mot de passe, vous devez prédéfinir les informations d'identification de la passerelle de gestion vers l'agent de gestion.
1. Utilisez la commande suivante pour visualiser le contenu du fichier /tmp/cred.json.
```
cat /tmp/cred.json |sudo -u oracle-cloud-agent /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/bin/credential_mgmt.sh -o upsertCredentials -s Agent
```
2. Dans le fichier /tmp/cred.json, remplacez les valeurs suivantes par les informations d'identification réelles de l'agent de gestion pour votre environnement :
  - OCID au format suivant : agent.ocid1.managementagent.oc1.phx.unique-id
  - exemple-nom d'utilisateur
  - exemple-mot de passe
```
{"source":"agent.ocid1.managementagent.oc1.phx.unique-id",
"name":"ManagementAgent-Proxy",
"type":"ProxyCreds",
"description":"Proxy Credentials",
"properties":[
{"name":"ProxyUser","value":"example-username"},
{"name":"ProxyPassword","value":"example-password"}]}
```
Entrez la commande suivante pour redémarrer l'agent Oracle Cloud :
```
systemctl restart oracle-cloud-agent
```

Documentation Oracle Cloud Infrastructure