Gestione delle appliance per agenti remoti

In Oracle Cloud Migrations, un'appliance agente remoto raccoglie i metadati dalle virtual machine (VM) da un ambiente esterno e replica i dischi di dati delle VM in Oracle Cloud Infrastructure (OCI).

La distribuzione dell'appliance agente remoto richiede l'installazione e la registrazione. Dopo aver registrato l'appliance dell'agente con un ambiente di origine, l'agente mantiene una connessione sicura persistente a OCI eseguendo uno scambio di token sicuro. Questi token sicuri vengono aggiornati regolarmente. Se l'appliance dell'agente remoto non è in grado di aggiornare il token di autenticazione, l'agente viene disconnesso ed è necessario eseguire di nuovo la registrazione manuale dalla console dell'appliance dell'agente remoto. L'appliance agente remoto include uno strumento di diagnostica che consente di identificare eventuali problemi di connettività di rete o di comunicazione con OCI.

Ogni appliance agente remoto può essere registrata solo in un ambiente di origine. Se viene eseguita la migrazione delle virtual machine in un ambiente esterno a più region OCI, effettuare le operazioni riportate di seguito.
  1. Crea un ambiente di origine separato per ogni area.
  2. Distribuire almeno un'appliance agente remoto per ogni area di destinazione.

Dopo aver registrato e attivato l'appliance dell'agente remoto, l'appliance avvia due plugin, vale a dire la ricerca automatica e la replica. Il plugin di ricerca automatica cerca le virtual machine VMware nell'ambiente di origine utilizzando connettori specifici dell'ambiente. Il plugin di replica gestisce la replica degli snapshot degli asset di origine dall'ambiente di origine a OCI.

È possibile distribuire più appliance agente remote per un singolo ambiente di origine per fornire ridondanza e maggiore throughput di replica.

Prerequisiti

Prima di iniziare a utilizzare l'appliance agente remoto in OCI, eseguire i task riportati di seguito.

Risoluzione DNS

Affinché la replica funzioni, è necessario che l'appliance agente remoto disponga della connettività a un server DNS (Domain Name System) che risolve gli indirizzi per i nomi nel dominio oraclecloud.com e i nomi di dominio completamente qualificati (FQDN) dei componenti dell'infrastruttura VMware (server vCenter e host ESXi).

Per verificare se la risoluzione DNS funziona correttamente prima di distribuire l'appliance virtuale, effettuare le operazioni indicate di seguito.

  • Individuare l'indirizzo IP del server DNS che si intende utilizzare (ad esempio, 10.0.2.1).
  • Connettersi all'interfaccia di gestione vCenter e trovare un nome FQDN utilizzato da un host (ad esempio, esx1.vcluster.mycompany.local ).
  • Per verificare se il nome è stato risolto correttamente, eseguire uno strumento di diagnostica DNS. MacOS e la maggior parte della distribuzione Linux hanno lo strumento groper (dig) delle informazioni di dominio preinstallato. Lo scavo che è possibile utilizzare per la verifica è dig @{dns_server_IP} {FQDN}. Esempio: dig @10.0.2.1 esx1.vcluster.mycompany.local

Se nell'output viene restituito l'indirizzo IP corretto dell'host, la risoluzione DNS funziona correttamente. Per configurare correttamente il DNS, vedere Requisiti DNS per vCenter Server Appliance.

Criteri IAM necessari

È possibile creare criteri per consentire ai gruppi di utenti di accedere alle risorse dell'appliance agente remoto.

Visualizzare il verbo del mapping delle autorizzazioni per l'appliance dell'agente remoto per decidere quale verbo soddisfa i requisiti di accesso. Ad esempio, inspect consente agli utenti di visualizzare la lista di tutti gli agenti in un compartimento e read consente agli utenti di visualizzare i dettagli di tutti i plugin in esecuzione su un agente specifico.

Per i dettagli sulla scrittura dei criteri per Oracle Cloud Migrations, vedere Oracle Cloud Migrations IAM Policies. Per consentire agli utenti di accedere alle risorse di Oracle Cloud Migrations, vedere i criteri utente. Per informazioni sull'uso del servizio Oracle Cloud Migrations, vedere Criteri del servizio.

Connettività di rete necessaria nell'ambiente esterno

L'appliance agente remoto viene distribuita come virtual machine sigillata che richiede il funzionamento di indirizzi IPv4, che possono essere assegnati in modo statico o assegnati mediante il protocollo DHCP (Dynamic Host Configuration Protocol).

L'appliance dell'agente remoto può essere configurata per utilizzare una singola interfaccia o interfacce isolate per la connettività interna ed esterna. La connettività interna consente la comunicazione con l'host vCenter e ESXi. La connettività esterna consente la comunicazione con gli endpoint pubblici di Oracle Cloud. Per utilizzare un IP assegnato in modo statico, è possibile utilizzare una sola interfaccia che deve essere in grado di instradare a destinazioni interne ed esterne. Per la configurazione manuale, vedere il passo 7 nella sezione Dettagli per la distribuzione di un modello OVA o OVF.

Di seguito sono riportate le configurazioni vCenter necessarie per le porte di rete, i protocolli e la direzione che l'appliance agente remoto utilizza per connettere OCI all'ambiente VMware esterno.

Nel seguente diagramma vengono illustrate ed elencate le porte necessarie per il corretto funzionamento dell'appliance agente remoto.

Diagramma di connettività di rete
Origine Destinazione Porta Protocollo descrizione;
Workstation utente Appliance agente remoto - Interfaccia esterna 3.000 TCP Utilizzato per la registrazione dell'agente e la reimpostazione dell'agente.
Appliance agente remoto Server DNS 53 UDP, PCT Risoluzione DNS
Appliance agente remoto Server DHCP 67 68 UDP, PCT configurazione DHCP
Appliance agente remoto Server NTP 123 UDP, PCT Sincronizzazione clock NTP
Appliance agente remoto - Interfaccia esterna oraclecloud.com 443 TCP Connessione HTTPS a OCI
Appliance agente remoto - Interfaccia interna vCenter 443 TCP Connessione HTTPS a vCenter
Appliance agente remoto - Interfaccia interna Uscita 902 UDP, PCT Connessione VDDK agli host vCenter e ESXi
Nota

Porte di ascolto predefinite

Per gli endpoint API utilizzati dall'appliance dell'agente remoto, utilizzare le seguenti porte TCP predefinite per configurare VMware vCenter:
  • Porta TCP 443: utilizzare questa porta per configurare l'API di gestione del server vCenter
  • TCP/UDP porta 902: utilizzare questa porta per configurare l'accesso all'host o al server

L'appliance dell'agente remoto non supporta configurazioni vCenter funzionanti che utilizzano porte non predefinite.

Privilegi vSphere richiesti

Per le fasi di ricerca automatica e replica della migrazione, l'appliance dell'agente remoto richiede credenziali vCenter. È possibile utilizzare le stesse credenziali utente per le fasi di ricerca automatica e replica o creare un utente per ciascuna di queste fasi.

Di seguito sono riportati i privilegi minimi necessari per le fasi di ricerca automatica e replica.
  • Ricerca: consente di creare un utente con un ruolo di sola lettura. Per informazioni su come creare un utente, vedere vCenter Ruoli di sistema del server nella documentazione di VMware.
  • Replica: per replicare gli asset, creare un ruolo personalizzato del server vCenter, ad esempio Oracle Cloud Migrations. Per informazioni su come creare un ruolo personalizzato, vedere Creare un ruolo personalizzato del server vCenter nella documentazione di VMware.

    Di seguito sono riportati i privilegi che è necessario definire per il ruolo creato.

    1. Globale: per la categoria globale, selezionare i seguenti privilegi:
      • Disabilita metodi
      • Abilita metodi
      • Licenze
    2. Virtual Machine: per la categoria della virtual machine, selezionare i privilegi riportati di seguito.
      • Modifica configurazione: Acquisisci leasing disco
      • Provisioning: Consenti accesso al disco di sola lettura
      • Provisioning: Consenti download di virtual machine
      • Gestione snapshot: crea snapshot
      • Gestione snapshot: Rimuovi snapshot

    È possibile creare un ruolo clonando un ruolo esistente. Ad esempio, è possibile duplicare l'utente VMware Backup consolidato (ruolo di esempio), aggiungere i privilegi globali richiesti, quindi salvare il ruolo come nuovo ruolo per la replica.