Eseguire i prerequisiti per la distribuzione di Management Gateway

Imposta Oracle Cloud Infrastructure for Management Gateway

Management Gateway e Management Agent utilizzano il servizio Management Agent di Oracle Cloud Infrastructure (OCI). Prima di installare Management Gateway, è necessario completare le istruzioni per impostare l'ambiente Oracle Cloud Infrastructure per utilizzare il servizio Management Agent. Per i dettagli, vedere Impostazione di Oracle Cloud Infrastructure for Management Agent Service.

Prerequisiti generici per la distribuzione di Management Gateway

Prima di distribuire Management Gateway, assicurarsi che vengano soddisfatti i prerequisiti riportati di seguito.

Requisiti di Oracle Cloud Infrastructure

Sistemi operativi supportati

Tabella 7-1 Sistemi operativi supportati

Sistema operativo Versione

Oracle Linux

6 (64 bit), 7 (64 bit), 8 (64 bit), 9 (64 bit)

Red Hat Enterprise Linux

6 (64 bit), 7 (64 bit), 8 (64 bit)

Windows Server 2022 (64 bit), 2019 (64 bit), 2016 (64 bit), 2012 R2 (64 bit)

Requisiti del sistema operativo

  • Requisito minimo del disco: 300 Mb di spazio libero su disco e 100 Mb aggiuntivi per il download del software Management Gateway.

    Richiede anche spazio su disco per la scrittura dei messaggi nel buffer su disco. Quest'area deve avere almeno 1 GB di spazio libero su disco.

  • Utente con privilegi sudo responsabile dell'installazione del software Management Gateway sull'host.

  • Java Development Kit (JDK) o Java Runtime Environment (JRE) devono essere installati sull'host prima di installare il software Management Gateway.

    Assicurarsi di aver scaricato e installato JDK o JRE versione 1.8u281 o successiva prima di avviare il processo di installazione del software di Management Gateway. Visualizza i download di Java

  • Management Gateway richiede un host dedicato. Se Management Agent è già installato sull'host, installare Management Gateway su un altro host dedicato.

  • Assicurarsi che /tmp non abbia il flag noexec impostato se viene attivato.

Prerequisiti di rete

  • Se l'impostazione di rete prevede un firewall, assicurarsi che la comunicazione HTTPS (porta 443) sia consentita dall'host in cui Management Gateway viene distribuito nei domini Oracle Cloud Infrastructure appropriati. Il dominio pertinente dipenderà dal realm. Ad esempio, i Management Agent che utilizzano il realm commerciale Oracle Cloud Infrastructure OC1 dovranno connettersi al dominio *.oraclecloud.com.

    Oracle Cloud Infrastructure è in hosting nelle aree. Le regioni sono raggruppate in regni. La tenancy esiste in un singolo realm e può accedere a tutte le aree che appartengono a tale realm. Non è possibile accedere alle aree non presenti nel realm. Al momento, Oracle Cloud Infrastructure ha più realm. Per ulteriori informazioni su aree e realm, vedere Aree e domini di disponibilità.

    Ogni gateway appartiene a un compartimento OCI specifico. Tutti gli agenti che si connettono tramite un gateway devono trovarsi nello stesso compartimento di tale gateway.

    È possibile utilizzare qualsiasi strumento di connettività di rete disponibile per verificare la connettività con il centro dati.

    Per informazioni sugli intervalli di indirizzi IP per i servizi distribuiti in Oracle Cloud Infrastructure, vedere Intervalli di indirizzi IP.

    Nella seguente tabella di esempio sono elencate le porte che devono essere aperte per la comunicazione.
    Direzione Porta Protocollo Causa

    Host Management Gateway esterno

    443

    HTTPS

    Comunicazione con i servizi Oracle Cloud Infrastructure.

Configura certificati per Management Gateway

A partire da Management Agent versione 221019.0021 e da Management Gateway versione 221019.0021.1667404647, la comunicazione tra agente, gateway e OCI richiede certificati. I certificati e altre entità obbligatorie verranno creati automaticamente, ma è necessario impostare determinati criteri OCI affinché questo funzioni.

Sono disponibili due opzioni:

Creazione automatica certificato (consigliato)

Questo è il metodo consigliato per creare certificati.

Se il parametro GatewayCertOcid non è impostato nel file di risposta, Management Gateway tenta di creare automaticamente i certificati richiesti e altre entità richieste.

Se Management Gateway è configurato in modalità High Availability e il load balancer e Management Gateway si trovano in domini diversi, vedere Advanced Configuration Management Gateway High Availability per i dettagli.

Gruppi dinamici obbligatori:

È necessario creare gruppi dinamici nel dominio di Identity default. Per ulteriori informazioni, vedere Oggetti per i domini di Identity.

  1. Creare Credential_Dynamic_Group con la regola seguente:

    ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}  
  2. Creare Management_Gateway_Dynamic_Group con la regola seguente:

    ALL {resource.type='managementagent', resource.compartment.id='<>'} 
Nota

L'ID compartimento è un OCID.

Criteri richiesti:


Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE vaults in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE keys in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE certificate-authorities in compartment <> where  any{request.permission='CERTIFICATE_AUTHORITY_CREATE', request.permission='CERTIFICATE_AUTHORITY_INSPECT', request.permission='CERTIFICATE_AUTHORITY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE leaf-certificates in compartment <> where  any{request.permission='CERTIFICATE_CREATE', request.permission='CERTIFICATE_INSPECT', request.permission ='CERTIFICATE_UPDATE', request.permission='CERTIFICATE_READ'}

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE vaults in compartment <> where any{request.permission='VAULT_CREATE', request.permission='VAULT_INSPECT', request.permission='VAULT_READ', request.permission='VAULT_CREATE_KEY', request.permission='VAULT_IMPORT_KEY', request.permission='VAULT_CREATE_SECRET'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE keys in compartment <> where any{request.permission='KEY_CREATE', request.permission='KEY_INSPECT', request.permission='KEY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE key-delegate in compartment <> 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group TO MANAGE leaf-certificates in compartment <> where all{request.permission='CERTIFICATE_DELETE', target.leaf-certificate.name=request.principal.id} 

Se i gruppi dinamici sono stati creati in precedenza nei domini non predefiniti, tutti i criteri devono cambiare.

Per modificare i criteri nel dominio di Identity non predefinito, modificare tutti i criteri precedenti utilizzando la sintassi riportata di seguito.

Allow DYNAMIC-GROUP <Domain Name>/Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP <Domain Name>/Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Nota

È possibile installare Management Gateway Quickstart OCI Marketplace Application per installare automaticamente i gruppi dinamici, i criteri e gestire i certificati per Management Gateway.

Gestione manuale dei certificati

È possibile impostare i certificati manualmente. L'amministratore può creare un certificato utilizzando la console OCI. Successivamente, specificare l'OCID di tale certificato nel file di risposta utilizzando il parametro GatewayCertOcid.

Per informazioni sulla creazione di un certificato, vedere Panoramica di Certificate.htm.

Gruppi dinamici richiesti:

  1. Creare Credential_Dynamic_Group con la regola seguente:

    ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}  
  2. Creare Management_Gateway_Dynamic_Group con la regola seguente:

    ALL {resource.type='managementagent', resource.compartment.id='<>'} 
Nota

L'ID compartimento è un OCID.

Criteri richiesti:

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>
Nota

I criteri si riferiscono a ciascun compartimento. È necessario utilizzare lo stesso compartimento per il gateway e per tutti gli agenti che vi si connettono.

Abilitare i Management Agent nelle istanze di computazione

Quando si utilizza un'istanza di computazione, è possibile utilizzare le funzionalità Oracle Cloud Agent per abilitare il plugin Management Agent.

Prima di procedere, confermare di aver completato i prerequisiti. Per i dettagli, vedere Eseguire i prerequisiti per la distribuzione dei Management Agent nelle istanze di computazione.

Abilita Management Agent

Nota

Il plugin Management Agent sulle istanze di computazione viene eseguito sulla virtual machine (JVM) Java. A partire da marzo 2023, il plugin Management Agent viene distribuito con un ambiente Java Runtime (JRE).

Java Runtime viene sempre aggiornato come parte del processo di aggiornamento del Management Agent per risolvere le vulnerabilità di sicurezza appena rilevate. Dopo aver abilitato il plugin Management Agent, è importante eseguire la versione più recente del software del plugin Management Agent abilitando gli aggiornamenti automatici o richiamando manualmente l'operazione di aggiornamento periodicamente. Per i dettagli, vedere Aggiornare i Management Agent nelle istanze di computazione.

Abilitazione dei Management Agent mediante la console

Per confermare se il plugin Management Agent è abilitato per un'istanza, effettuare le operazioni riportate di seguito.
  1. Aprire il menu di navigazione e fare clic su Computazione. In Calcola fare clic su Istanze.
  2. Fare clic sull'istanza a cui si è interessati.
  3. Fare clic sulla scheda Agente Oracle Cloud.

    Viene visualizzato l'elenco dei plugin.

  4. Attivare o disattivare lo switch Abilitato per il plugin Management Agent.

Per ulteriori informazioni, vedere Gestione dei plugin mediante la console.

Abilita Management Agent mediante l'API Compute

Per informazioni sull'uso dell'interfaccia API, vedere API REST.

Per informazioni sugli SDK, vedere Software Development Kits and Command Line Interface.

Utilizzare le seguenti operazioni API per gestire Management Agent come plugin agente Oracle Cloud:
  • LaunchInstance: abilita o disabilita i plugin o arresta tutti i plugin quando si crea un'istanza.

  • UpdateInstance: abilita o disabilita i singoli plugin e arresta o avvia tutti i plugin per un'istanza esistente.

Di seguito è riportata un'estrazione dall'esempio Java presente nelle operazioni API LaunchInstance o UpdateInstance che consente all'utente di abilitare Management Agent rispettivamente durante l'avvio o l'aggiornamento dell'istanza di computazione.
... 
    .agentConfig(LaunchInstanceAgentConfigDetails.builder()
			.isMonitoringDisabled(false)
			.isManagementDisabled(true)
			.areAllPluginsDisabled(false)
			.pluginsConfig(new ArrayList<>(Arrays.asList(InstanceAgentPluginConfigDetails.builder()
					.name("Management Agent")   
					.desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build())
...

Dove .name("Management Agent") indica che è per il plugin Management Agent e .desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build()) indica di abilitare il Management Agent.

Per ulteriori informazioni, vedere Gestione dei plugin mediante l'API.

Configurare l'agente Oracle Cloud con Management Gateway

Per configurare Management Gateway per un Management Agent abilitato in un'istanza di Oracle Cloud Compute, effettuare le operazioni riportate di seguito.

  1. Aggiornare il file emd.properties.
    1. Accedere al file emd.properties, in genere nella seguente posizione:
      /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/emd.properties
    2. Alla fine del file, aggiungere le seguenti 3 voci:
      GatewayServerHost=<gateway host>
      GatewayServerPort=<gateway port>
      GatewayServerCredentialTimeout=30s
  2. Successivamente, se Management Gateway è configurato con un nome utente e una password proxy, è necessario popolare le credenziali di Management Gateway nel Management Agent.
    1. Usare il comando seguente per visualizzare il contenuto del file /tmp/cred.json.
      cat /tmp/cred.json |sudo -u oracle-cloud-agent /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/bin/credential_mgmt.sh -o upsertCredentials -s Agent
    2. Nel file /tmp/cred.json sostituire i valori riportati di seguito con le credenziali Management Agent effettive per l'ambiente in uso.
      • OCID utilizzando il seguente formato: agent.ocid1.managementagent.oc1.phx.unique-id
      • nome utente di esempio
      • password di esempio
        {"source":"agent.ocid1.managementagent.oc1.phx.unique-id",
        "name":"ManagementAgent-Proxy",
        "type":"ProxyCreds",
        "description":"Proxy Credentials",
        "properties":[
        {"name":"ProxyUser","value":"example-username"},
        {"name":"ProxyPassword","value":"example-password"}]}
  3. Immettere il comando riportato di seguito per riavviare l'agente Oracle Cloud.
    systemctl restart oracle-cloud-agent