Introduction à OS Management Hub

Lancez-vous avec OS Management Hub en vous assurant que les prérequis de service sont respectés avant d'activer le service et d'enregistrer les instances.

Le diagramme suivant présente la prise en main du service. Cliquez sur un élément pour afficher les détails.

Diagramme de démarrage. Étapes expliquées dans le texte environnant.Utiliser Policy AdvisorCréation manuelle de stratégies OS Management HubAjout de sources logicielles de fournisseurAjout d'une source logicielle tierce ou privéeCréation d'une source logicielle personnaliséeCréation d'une source logicielle personnalisée avec numéro de versionCréation d'un groupeCréation d'un environnement de cycle de vieCréation d'un profilInscription d'une instance OCIClés Management Agent Cloud Service (pour les instances non OCI uniquement)Création d'une station de gestionInscription d'une station de gestionCréation d'un profilInscription d'une instance non OCIEnvironnements pris en chargeRemarques concernant le compartimentRemarques concernant Ksplice (pour Oracle Linux uniquement)Instances cloud tierces sur site ou prises en chargeInstances OCIAjout d'habilitations

Pour commencer, procédez comme suit :

Environnements pris en charge

OS Management Hub est un service Oracle Cloud Infrastructure qui peut gérer les instances OCI et les instances sur site ou cloud tiers. Vérifiez que la version de système d'exploitation d'une instance est prise en charge dans l'environnement à gérer.

Remarque

OS Management Hub n'est pas disponible sur les instances de niveau gratuit d'Oracle Cloud. Si vous utilisez des locations d'application Oracle Cloud, vous ne disposez peut-être pas de l'accès OCI requis. Contactez le commercial. En savoir plus sur les services cloud d'Oracle.

Conditions d'abonnement

  • Les instances Oracle Cloud Infrastructure Compute (instances OCI) bénéficient gratuitement de Premier Support.
  • Pour les environnements sur site ou cloud tiers, vous devez disposer d'un abonnement Oracle Linux Basic ou Premier Support valide pour utiliser OS Management Hub.

Versions de système d'exploitation prises en charge

Instances OCI

OS Management Hub est pris en charge sur les images de plate-forme Oracle Linux et Windows pour les versions de système d'exploitation suivantes. Vous pouvez également configurer des images personnalisées pour OS Management Hub en installant l'agent Oracle Cloud requis et en activant le module d'extension d'agent OS Management Hub.

  • Oracle Linux 7, 8 ou 9

  • Windows Server 2016, 2019 ou 2022 Standard, Datacenter
Remarque

OS Management Hub ne prend plus en charge Oracle Linux 6. Le support étendu pour Oracle Linux 6 a pris fin le 31 décembre 2024. Reportez-vous à la section OS Lifecycle and Support.
Important

OS Management Hub requiert au minimum la version 1.40 de l'agent Oracle Cloud. Pour les instances utilisant des images de plate-forme publiées avant avril 2024, mettez à niveau l'agent Oracle Cloud vers la version 1.40 ou ultérieure.
Instances cloud sur site ou tierces
  • Oracle Linux 7, 8 ou 9 (x86-64 uniquement)

Cycle de vie et prise en charge du système d'exploitation

Lorsqu'un système d'exploitation atteint la fin de son cycle de vie de prise en charge, le fournisseur de système d'exploitation ne fournit plus de mises à jour de sécurité pour celui-ci. Mettez à niveau la dernière version pour préserver la sécurité. Lorsqu'une version de système d'exploitation atteint la fin du cycle de vie du support, OS Management Hub :

  • Ne fournit plus de mises à jour aux agents ou aux modules d'extension nécessaires au service.
  • Considère la version du système d'exploitation comme non prise en charge.
  • N'enregistre plus les instances pour les versions de système d'exploitation non prises en charge.
  • Peut annuler l'enregistrement des versions de système d'exploitation non prises en charge et supprimer les ressources et les références associées aux versions de système d'exploitation non prises en charge.

En outre, lorsqu'un fournisseur de système d'exploitation abandonne ou met hors service un référentiel de logiciels, OS Management Hub ne peut plus fournir de packages ou de mises à jour à partir du référentiel.

Oracle Linux
Reportez-vous à Oracle Linux Lifetime Support Policy. Les niveaux de support d'une version d'Oracle Linux incluent :
  • Support de base : inclut l'accès aux correctifs, correctifs, correctifs de sécurité et alertes de sécurité.
  • Support Premier : inclut l'accès aux correctifs, correctifs, correctifs de sécurité et alertes de sécurité. En outre, inclut l'application de patches au noyau et à l'espace utilisateur Ksplice.
  • Support étendu : Disponible après la fin du support Premier. Inclut l'accès aux errata de sécurité critiques et à certaines corrections de bogues critiques à fort impact. Reportez-vous à Oracle Linux Extended Support.

Votre abonnement à OCI Compute inclut le support Premier et Extended pour les instances Oracle Linux dans Oracle Cloud Infrastructure. Pour les instances non OCI, les services de support sont achetés séparément. Une fois que le Support Étendu a pris fin pour une version d'Oracle Linux, il n'est plus pris en charge dans OS Management Hub.

Microsoft Windows
Reportez-vous à Microsoft Windows Server Lifecycle Information.

Clouds tiers pris en charge

OS Management Hub peut gérer les instances Oracle Linux dans les clouds tiers suivants :

  • Amazon Web Services (AWS)
  • Microsoft Azure

Considérations relatives au compartiment

Utilisez des compartiments pour organiser et isoler les ressources OS Management Hub. Suivez les meilleures pratiques lors de l'allocation de ressources à des compartiments particuliers.

Les ressources suivantes présentent des restrictions de compartiment :

  • Sources logicielles : les sources logicielles du fournisseur résident toujours dans le compartiment racine, mais peuvent être répliquées vers d'autres compartiments. Les sources logicielles personnalisées, avec numéro de version, tierces et privées peuvent résider dans n'importe quel compartiment.
  • Profils : les profils fournis par le service et les profils par défaut résident toujours dans le compartiment racine. Tous les autres profils peuvent résider dans n'importe quel compartiment. Reportez-vous à la section Understanding Profiles.

Meilleures pratiques pour les compartiments

Pour obtenir les meilleures pratiques générales du compartiment OCI, reportez-vous à En savoir plus sur les meilleures pratiques pour configurer votre location.

Pour les meilleures pratiques OS Management Hub, lors de la création de groupes ou d'environnements de cycle de vie, limitez les membres d'instance au même compartiment que le groupe ou l'environnement de cycle de vie. OS Management Hub affiche les membres d'instance, les travaux et les rapports pour un seul compartiment à la fois. Lorsque tous les membres d'instance se trouvent dans le même compartiment, vous disposez d'une vue directe de tous les membres, travaux et rapports associés au groupe ou à l'environnement de cycle de vie.

Si les membres d'instance se trouvent dans plusieurs compartiments, la vue des instances, des travaux et des rapports est limitée au compartiment sélectionné. Vous devez modifier la portée du compartiment lors de la visualisation des membres, de l'examen des journaux de travaux et de l'exécution des rapports. Par exemple, lorsque vous recherchez un travail pour un groupe à plusieurs compartiments, vous devez modifier les compartiments pour visualiser tous les travaux enfant associés. En outre, selon vos stratégies, un utilisateur peut ne pas disposer des droits d'accès à tous les compartiments des membres d'instance. Ces utilisateurs auront une vue incomplète du groupe ou de l'environnement de cycle de vie.

Déplacement de ressources entre des compartiments

Vous pouvez déplacer la plupart des ressources entre les compartiments de la même région de votre location. Toutefois, les travaux programmés associés à la ressource ne sont pas déplacés vers le compartiment de destination. Ils continuent de résider dans le compartiment source. Par exemple, si vous déplacez un groupe, tous les travaux programmés associés au groupe restent dans l'ancien compartiment.

Avant de déplacer des ressources, vérifiez que les stratégies et les droits d'accès sont correctement définis afin de ne pas perdre accidentellement l'accès à la ressource.

Pour déplacer des ressources, reportez-vous à :

Pour obtenir des informations générales sur le déplacement de ressources d'un compartiment à un autre dans OCI, reportez-vous à Déplacement de ressources d'un compartiment à un autre. Pour déplacer des instances OCI, reportez-vous à Déplacement de ressources Compute vers un autre compartiment.

Remarques concernant Ksplice (pour Oracle Linux uniquement)

Pour qu'OS Management Hub applique les mises à jour Ksplice, les instances Oracle Linux doivent avoir accès aux sources logicielles Ksplice et le client Ksplice installé.

Pour pouvoir utiliser Ksplice, vous devrez :

  • Ajoutez des sources logicielles Ksplice au service. Pour les instances sur site ou cloud tiers, vous devez également activer une habilitation pour utiliser les sources logicielles Ksplice.
  • Attachez les sources logicielles Ksplice aux instances ou aux groupes.
  • Assurez-vous que le bon client Ksplice est installé sur l'instance.

Pour plus d'informations, reportez-vous à Utilisation de Ksplice pour Oracle Linux.

Exigences réseau

Vérifiez que votre réseau est configuré pour prendre en charge les ressources OS Management Hub. Les exigences de mise en réseau dépendent de l'emplacement de l'instance.

Conseil

Vous souhaitez vérifier la connectivité ? Reportez-vous à Vérification de la connectivité d'instance.

Instances OCI

Votre réseau cloud virtuel OCI (VCN) doit permettre la communication entre vos instances gérées et le service OS Management Hub. Configurez un sous-réseau privé avec une passerelle de service qui utilise le libellé CIDR Tous les services <region> dans Oracle Services Network. Pour obtenir des instructions détaillées, reportez-vous à Accès aux services Oracle : passerelle de service.

Vos instances peuvent avoir besoin d'accéder à Internet. Par exemple, les instances Windows qui obtiennent des mises à jour directement à partir de Microsoft ou les instances Oracle Linux qui utilisent des sources logicielles tierces. Vous pouvez configurer l'accès Internet pour vos instances à l'aide de l'une des méthodes suivantes :

Microsoft Windows

Les instances Windows reçoivent leurs mises à jour à partir d'un serveur de mise à jour Windows. Vous devez configurer la liste de sécurité du sous-réseau des instances pour autoriser les instances à accéder aux serveurs Windows Update. Pour plus d'informations, reportez-vous à Règles de pare-feu Windows.

Instances cloud tierces sur site ou prises en charge

Votre infrastructure réseau doit permettre la communication avec OCI et autoriser un certain trafic entre vos instances gérées et les stations de gestion de votre réseau interne.

Communication avec OCI

Votre réseau doit pouvoir communiquer avec OCI. La connectivité peut être directe ou via un proxy HTTPS. L'ensemble du trafic vers les adresses d'API est signé cryptographiquement, ce qui garantit une communication sécurisée et transparente entre votre réseau et OCI. Le tableau suivant répertorie les adresses minimales requises par OS Management Hub. Pour chaque adresse, remplacez region par l'identificateur de région client. Pour plus d'informations, reportez-vous à Regions and Availability Domains.

Adresses minimales requises pour OS Management Hub Utilisation d'OS Management Hub
osmh.region.oci.oraclecloud.com Accédez au service OS Management Hub.
osmh.yum.region.oci.oraclecloud.com Accès aux référentiels Yum pour la gestion des packages.
management-agent.region.oci.oraclecloud.com Accès à Management Agent Cloud Service (MACS).

identity.region.oci.oraclecloud.com

auth.region.oci.oraclecloud.com

Accès au service Identity and Management (IAM) pour l'authentification et l'autorisation.
objectstorage.region.oraclecloud.com Accédez aux dernières versions du module d'extension d'agent OS Management Hub.

Configurez votre pare-feu ou proxy pour autoriser l'accès à ces adresses sur le port HTTPS tcp/443. Si vous utilisez un proxy HTTPS, vous devez :

  • Option 1 : assurez-vous que l'autorité de certification utilisée par votre proxy figure dans l'ensemble d'autorités de confiance sur chaque instance gérée et station de gestion.
  • Option 2 : configurez le proxy pour le transfert SSL pour les adresses requises.

Vous pouvez également limiter vos règles de pare-feu ou de proxy aux plages d'adresses IP publiques pour les services dans OCI. Pour plus d'informations, reportez-vous à la section IP Address Ranges.

Remarque

Les adresses minimales requises sont pour OS Management Hub uniquement. Elles ne sont pas suffisantes pour l'accès à la console Oracle Cloud ou d'autres services OCI que vous pouvez utiliser.
Communication réseau interne

Votre réseau interne doit permettre la communication entre vos instances gérées et vos stations de gestion. Lorsque vous créez une station de gestion, vous définissez plusieurs ports TCP pour la communication entre les instances gérées et les stations de gestion. Votre réseau interne doit être configuré pour permettre la communication entre les instances et la station de gestion.

  • Sur site, vérifiez que votre réseau autorise le trafic sur les ports d'écoute proxy et miroir pour votre station de gestion.
  • Pour Microsoft Azure, vérifiez que votre réseau virtuel Azure autorise le trafic sur les ports d'écoute proxy et miroir de votre station de gestion.
  • Pour Amazon Web Services (AWS), vérifiez que votre Amazon Virtual Private Cloud (VPC) autorise le trafic sur les ports d'écoute proxy et miroir de votre station de gestion.
Accès à la console Oracle Cloud

L'accès à la console Oracle Cloud nécessite un plus large éventail d'adresses OCI et votre pare-feu ou proxy doit autoriser l'accès à ces adresses. Pour plus d'informations, reportez-vous à Autorisation de l'accès à la console à partir du réseau. Vous pouvez également limiter vos règles de pare-feu ou de proxy aux plages d'adresses IP publiques pour les services dans OCI. Pour plus d'informations, reportez-vous à la section IP Address Ranges.

Sources logicielles tierces et privées

Si vous utilisez des sources logicielles tierces ou privées, assurez-vous que les instances peuvent atteindre l'URL du référentiel et la clé GPG. Reportez-vous à URL de référentiel et clé GPG.

Définition des stratégies IAM

Vous pouvez configurer des stratégies IAM de différentes manières. La fonction de conseil sur les stratégies permet de configurer rapidement des stratégies dans un compartiment. Si vous avez des exigences de stratégie ou des cas d'emploi spécifiques, reportez-vous aux sections suivantes pour obtenir des informations complètes sur les exigences de stratégie IAM :

Utilisez la fonction de conseil sur les stratégies pour activer rapidement OS Management Hub pour un compartiment spécifique. La fonction de conseil définit les groupes d'utilisateurs, le groupe dynamique et les stratégies nécessaires à l'utilisation d'OS Management Hub et de la surveillance et du repérage des ressources. Reportez-vous à Création de Policy Advisor.

Important

La fonction de conseil sur les stratégies n'est disponible que dans OC1.
Remarque

Vous devez exécuter la fonction de conseil sur les stratégies dans chaque compartiment (et compartiment enfant) à utiliser avec le service.
  1. Vérifiez que vous disposez des droits d'accès suivants. Si vous disposez uniquement des droits d'accès read ou use, vous obtenez une erreur d'échec d'autorisation lors de l'exécution de la fonction de conseil.

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. Sous OS Management Hub, sélectionnez Présentation.
  3. Sous Portée de la liste, sélectionnez le compartiment à utiliser pour OS Management Hub.
  4. Sélectionnez Exécuter Policy Advisor.
  5. Passez en revue les problèmes identifiés avec les politiques et les groupes actuels. Sélectionnez Suivant.
  6. Examinez les actions que le conseiller effectuera. Sélectionnez Configuration.
  7. Confirmez l'opération en cliquant sur Configurer.
  8. Réexécutez la fonction de conseil dans tous les autres compartiments ou compartiments enfant qui utiliseront le service.
  9. Ajoutez des utilisateurs au groupe osmh-admins et osmh-operators. Reportez-vous à Gestion des groupes.

Pour obtenir des détails complets sur la fonction de conseil sur les stratégies, reportez-vous à Utilisation de la fonction de conseil sur les stratégies.

Clés Management Agent Cloud Service (pour les instances non OCI uniquement)

Les instances cloud sur site ou tierces utilisent Management Agent Cloud Service (MACS). Vous devez créer les clés d'installation MACS (Management Agent Cloud Service) pour les stations de gestion et les instances avec OS Management Hub.

Vous spécifiez la clé lors de l'enregistrement d'une station de gestion ou d'une instance. La clé fournit le jeton d'autorisation OCI initial et détermine le compartiment de l'instance ou de la station de gestion. Créez une clé d'installation MACS pour chaque compartiment dans lequel vous souhaitez gérer les instances.

Pour plus d'informations sur l'agent OS Management Hub, reportez-vous à Présentation de l'agent.

Remarque

Les instances OCI utilisent l'agent Oracle Cloud et ne nécessitent pas de clé MACS.