Documentação do Oracle Cloud Infrastructure

Executar Pré-requisitos para a Implantação do Management Gateway

Observação

Para obter pré-requisitos específicos ao configurar o Management Gateway no modo de alta disponibilidade, consulte Executar Pré-requisitos para Alta Disponibilidade do Management Gateway.

Configurar o Oracle Cloud Infrastructure para o Management Gateway

O Management Gateway e o Management Agent usam o serviço Management Agent do OCI (Oracle Cloud Infrastructure). Antes de instalar o Management Gateway, você deve concluir as instruções para configurar o ambiente do Oracle Cloud Infrastructure para usar o serviço Management Agent. Para obter detalhes, consulte Configurar o Oracle Cloud Infrastructure para o Serviço Management Agent.

Pré-requisitos Genéricos para a Implantação do Management Gateway

Antes de implantar o Management Gateway, certifique-se de que os seguintes pré-requisitos sejam atendidos:

Requisitos do Oracle Cloud Infrastructure

Sistemas Operacionais Compatíveis

Tabela 7-1 Sistemas Operacionais Compatíveis

Sistema Operacional Versão

Oracle Linux

6 (64 bits), 7 (64 bits), 8 (64 bits), 9 (64 bits)

Red Hat Enterprise Linux

6 (64 bits), 7 (64 bits), 8 (64 bits)
Windows Server 2022 (64-bit), 2019 (64-bit), 64-bit, 2012 R2 (64-bit)

Requisitos do Sistema Operacional

  • Requisito mínimo de disco: 300 Mb de espaço livre em disco e 100 Mb adicionais para download do software do Management Gateway.

    Também requer espaço em disco para gravar mensagens armazenadas em buffer no disco. Essa área deve ter pelo menos 1 GB de espaço livre em disco.

  • Um usuário com privilégios sudo responsáveis pela instalação do software do Management Gateway no host.

  • Java Development Kit (JDK) ou Java Runtime Environment (JRE) devem ser instalados em seu host antes da instalação do software do Management Gateway.

    Faça download e instale o JDK ou o JRE versão 1.8u281 ou mais recente antes de iniciar o processo de instalação do software do Management Gateway. Consulte Java Downloads.

  • O Management Gateway requer um host dedicado. Se o Management Agent já estiver instalado no host, instale o Management Gateway em outro host, dedicado a ele.

  • Certifique-se de que /tmp não tenha o flag noexec definido se você estiver montando-o.

Pré-requisitos de Rede

  • Se a sua configuração de rede tiver um firewall, certifique-se de que a comunicação HTTPS (porta 443) seja permitida do host no qual o Management Gateway está implantado no(s) domínio(s) apropriado(s) do Oracle Cloud Infrastructure. O domínio relevante dependerá do realm. Por exemplo, os Management Agents que usam o realm comercial do Oracle Cloud Infrastructure OC1 precisarão se conectar ao domínio *.oraclecloud.com.

    O Oracle Cloud Infrastructure é hospedado em regiões. As regiões são agrupadas em realms. Sua tenancy existe em um único realm e pode acessar todas as regiões que pertencem a ele. Não é possível acessar regiões que não estejam no seu realm. No momento, o Oracle Cloud Infrastructure tem vários realms. Para obter mais informações sobre regiões e realms, consulte Regiões e Domínios de Disponibilidade.

    Cada Gateway pertence a um compartimento do OCI específico. Todos os Agentes que se conectam por meio de um Gateway devem estar no mesmo compartimento desse Gateway.

    Você pode usar qualquer ferramenta de conectividade de rede disponível para verificar a conectividade com o data center.

    Para obter informações sobre as faixas de endereços IP para serviços implantados no Oracle Cloud Infrastructure, consulte Faixas de Endereços IP.

    A tabela de exemplo a seguir lista as portas que precisam estar abertas para comunicação.
    Direção Porta Protocolo Motivo

    Host do Management Gateway para externo

    443

    HTTPS

    Comunicação com os serviços do Oracle Cloud Infrastructure.

Configurar Certificados para Gateway de Gerenciamento

A partir do Management Agent versão 221019.0021 e do Management Gateway versão 221019.0021.1667404647, a comunicação entre Agente, Gateway e OCI requer certificados. Os certificados e outras entidades necessárias serão criados automaticamente, mas determinadas políticas do OCI precisam ser configuradas para que isso funcione.

Existem duas opções disponíveis:

Criação Automática de Certificado (Recomendado)

Este é o método recomendado para criar certificados.

Se o parâmetro GatewayCertOcid não for definido no arquivo de resposta, o Management Gateway tentará criar automaticamente os certificados necessários e outras entidades necessárias.

Se o Management Gateway estiver configurado no modo de alta disponibilidade e o balanceador de carga e o Management Gateway estiverem em diferentes domínios, consulte Alta Disponibilidade do Advanced Configuration Management Gateway para obter detalhes.

Grupos Dinâmicos Necessários:

Você deve criar grupos dinâmicos no domínio de identidades default. Consulte Assuntos para Domínios de Identidades para obter mais informações.

  1. Crie Credential_Dynamic_Group com a regra a seguir: 

    ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

  2. Crie Management_Gateway_Dynamic_Group com a regra a seguir: 

    ALL {resource.type='managementagent', resource.compartment.id='<>'}
Observação

O ID do compartimento é um OCID.

Políticas obrigatórias: 


Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE vaults in compartment <>

Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE keys in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE certificate-authorities in compartment <> where  any{request.permission='CERTIFICATE_AUTHORITY_CREATE', request.permission='CERTIFICATE_AUTHORITY_INSPECT', request.permission='CERTIFICATE_AUTHORITY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE leaf-certificates in compartment <> where  any{request.permission='CERTIFICATE_CREATE', request.permission='CERTIFICATE_INSPECT', request.permission ='CERTIFICATE_UPDATE', request.permission='CERTIFICATE_READ'}

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE vaults in compartment <> where any{request.permission='VAULT_CREATE', request.permission='VAULT_INSPECT', request.permission='VAULT_READ', request.permission='VAULT_CREATE_KEY', request.permission='VAULT_IMPORT_KEY', request.permission='VAULT_CREATE_SECRET'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE keys in compartment <> where any{request.permission='KEY_CREATE', request.permission='KEY_INSPECT', request.permission='KEY_READ'} 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE key-delegate in compartment <> 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group TO MANAGE leaf-certificates in compartment <> where all{request.permission='CERTIFICATE_DELETE', target.leaf-certificate.name=request.principal.id}

Se os grupos dinâmicos tiverem sido criados anteriormente nos domínios não padrão, todas as políticas deverão ser alteradas.

Para alterar as políticas para o domínio de identidades não padrão, modifique todas as políticas acima usando a sintaxe abaixo.

Allow DYNAMIC-GROUP <Domain Name>/Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>

Allow DYNAMIC-GROUP <Domain Name>/Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Observação

Você pode instalar o Aplicativo OCI Marketplace de Início Rápido do Management Gateway para instalar automaticamente os grupos dinâmicos, as políticas e gerenciar os certificados do Management Gateway.

Gerenciamento Manual de Certificados

É possível configurar certificados manualmente. O administrador pode criar um certificado usando a console do OCI. Depois, especifique o OCID desse certificado no arquivo de resposta usando o parâmetro GatewayCertOcid.

Para obter informações sobre como criar um certificado, consulte Visão Geral de Certificate.htm.

Grupos Dinâmicos Obrigatórios:

  1. Crie Credential_Dynamic_Group com a regra a seguir: 

    ALL  {resource.type='certificateauthority', resource.compartment.id='<>'}

  2. Crie Management_Gateway_Dynamic_Group com a regra a seguir: 

    ALL {resource.type='managementagent', resource.compartment.id='<>'}
Observação

O ID do compartimento é um OCID.

Políticas obrigatórias: 

Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>
Observação

As políticas são por compartimento. O mesmo compartimento deve ser usado para o Gateway e todos os Agentes que se conectam a ele.

Ativar Management Agents em Instâncias do Serviço Compute

Ao usar uma instância de computação, você pode usar os recursos do Oracle Cloud Agent para ativar o plug-in do Management Agent.

Antes de continuar, confirme se você concluiu os pré-requisitos. Para obter detalhes, consulte Executar Pré-requisitos para a Implantação de Management Agents em Instâncias do Serviço Compute.

Ative Management Agents

Os Management Agents podem ser ativados usando a Console do OCI ou a API do serviço Compute.
Observação

O plug-in do Management Agent em instâncias de computação é executado na máquina virtual Java (JVM). A partir de março de 2023, o plug-in do Management Agent é implantado com um runtime Java (JRE).

O runtime do Java é sempre mantido atualizado como parte do processo de upgrade do Management Agent para tratar vulnerabilidades de segurança recém-descobertas. Depois de ativar o plug-in do Management Agent, é importante executar a versão mais recente do software de plug-in do Management Agent ativando upgrades automáticos ou chamando manualmente a operação de upgrade periodicamente. Para obter detalhes, consulte Fazer Upgrade de Management Agents em Instâncias do Serviço Compute.

Ativar Management Agents Usando a Console

Para confirmar se o plug-in do serviço Management Agent está ativado para uma instância:
  1. Abra o menu de navegação e clique em Compute. Em Compute, clique em Instâncias.
  2. Clique na instância desejada.
  3. Clique na guia Oracle Cloud Agent.

    A lista de plug-ins é exibida.

  4. Alterne a chave Ativado para o plug-in do serviço Management Agent.

Para obter mais informações, consulte Gerenciando Plug-ins com a Console.

Ativar Management Agents Usando a API do serviço Compute

Para obter informações sobre o uso da API, consulte APIs REST.

Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.

Use as seguintes operações de API para gerenciar o serviço Management Agent como um plug-in do Oracle Cloud Agent:

  • LaunchInstance - ativa ou desativa plug-ins ou interrompe todos os plug-ins quando você cria uma instância.

  • UpdateInstance - ativa ou desativa plug-ins individuais e interrompe ou inicia todos os plug-ins de uma instância existente.

Veja a seguir uma extração do Exemplo Java encontrado nas operações de API LaunchInstance ou UpdateInstance que permitem ao usuário ativar o Management Agent durante a Inicialização ou a Atualização da instância de computação, respectivamente: 
... 
    .agentConfig(LaunchInstanceAgentConfigDetails.builder()
			.isMonitoringDisabled(false)
			.isManagementDisabled(true)
			.areAllPluginsDisabled(false)
			.pluginsConfig(new ArrayList<>(Arrays.asList(InstanceAgentPluginConfigDetails.builder()
					.name("Management Agent")   
					.desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build())
...

Em que .name("Management Agent") indica que é para o plug-in do Management Agent e .desiredState(InstanceAgentPluginConfigDetails.DesiredState.Enabled).build()))).build()) indica para ativar o Management Agent.

Para obter mais informações, consulte Gerenciando Plug-ins com a API.

Configurar o Oracle Cloud Agent com o Management Gateway

Para configurar o Management Gateway para um Agente de Gerenciamento ativado em uma instância do Oracle Cloud Compute:

  1. Atualizar arquivo emd.properties.
    1. Vá para o arquivo emd.properties, geralmente no seguinte local:
      /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/emd.properties
    2. No final do arquivo, adicione as 3 entradas a seguir:
      GatewayServerHost=<gateway host>
GatewayServerPort=<gateway port>
GatewayServerCredentialTimeout=30s
  2. Em seguida, se o Management Gateway estiver configurado com um nome de usuário e senha proxy, você deverá pré-implantar as Credenciais do Management Gateway para o Management Agent.
    1. Use o comando a seguir para exibir o conteúdo do arquivo /tmp/cred.json. 
      cat /tmp/cred.json |sudo -u oracle-cloud-agent /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/bin/credential_mgmt.sh -o upsertCredentials -s Agent
    2. No arquivo /tmp/cred.json, substitua os seguintes valores pelas credenciais reais do Management Agent para seu ambiente:
      • OCID usando o seguinte formato: agent.ocid1.managementagent.oc1.phx.unique-id
      • nome de usuário do exemplo
      • exemplo-senha
        {"source":"agent.ocid1.managementagent.oc1.phx.unique-id",
"name":"ManagementAgent-Proxy",
"type":"ProxyCreds",
"description":"Proxy Credentials",
"properties":[
{"name":"ProxyUser","value":"example-username"},
{"name":"ProxyPassword","value":"example-password"}]}
  3. Digite o seguinte comando para reiniciar o Oracle Cloud Agent:
    systemctl restart oracle-cloud-agent