Аутентификация active directory vmware esxi

Управление системами и резервное копирование

Интеграция продуктов управления системами и резервным копированием с платформой vSphere осуществляется через API-интерфейсы vSphere. Партнерская модель интеграции на основе API-интерфейсов значительно сокращает расходы на управление за счет исключения необходимости в установке и администрировании агентов операционной системы консоли.

Компания VMware тесно сотрудничала с экосистемой партнеров, чтобы реализовать поддержку модели интеграции на базе API-интерфейсов (используемую для гипервизора ESXi) во всех партнерских продуктах. В результате на сегодняшний день большинство решений по управлению системами и резервному копированию, поставляемых партнерами из экосистемы VMware, поддерживают ESXi.

Наборы лицензий VMware vSphere для старта

Если это ваша первая покупка лицензий VMware для серверной виртуализации, то можно не разбираться сколько стоят отдельные лицензии, т.к. все равно они получатся дороже, чем стартовые наборы.

Любой из наборов рассчитан на 1-3 сервера, по два процессора в каждом. Сейчас уже есть процессоры содержащие по 18 ядер, поэтому изначально рассчитанные на малый бизнес, эти наборы могут потянуть очень большую инфраструктуру. Выделенные синим цветом Essentials Kit наборы обладают минимальным функционалом и такой же стоимостью, но из опыта я знаю, что базовые возможности самые востребованные. Иногда компании покупают самые дорогие Enterprise Plus лицензии, но пользуются только базовыми возможностями.

Проверка подлинности пользователей

Несмотря на то что для запуска всех повседневных процессов достаточно сервера vCenter, выполнение некоторых задач (например, резервного копирования конфигураций и доступа к файлам журналов) невозможно без непосредственного доступа к узлу vSphere. Для управления доступом можно настроить узлы vSphere таким образом, чтобы они подключались к домену Active Directory, а подлинность всех пользователей при получении доступа к узлу автоматически проверялась по централизованному каталогу. Кроме того, с помощью клиента vSphere или интерфейсов командной строки vCLI и PowerCLI на каждом узле можно создавать и настраивать локальные учетные записи пользователей. Второй вариант можно использовать как вместо интеграции с Active Directory, так и вместе с ней.

Можно также создавать локальные роли, аналогичные ролям vCenter, которые будут определять права пользователей для этого узла. Например, пользователю может быть предоставлен доступ в режиме «только для чтения» (то есть разрешение просматривать информацию узла) или права администратора, с которыми можно не только просматривать, но и изменять конфигурацию узла. Если узел интегрируется с доменом Active Directory, локальные роли могут предоставляться также пользователям и группам AD.

По умолчанию в системе определен только привилегированный пользователь. Начальный пароль привилегированного пользователя устанавливается интерактивно через пользовательский интерфейс прямой консоли (DCUI) или задается автоматически в ходе установки. Затем его можно изменить с помощью клиента vSphere или интерфейсов командной строки vCLI и PowerCLI.

При использовании платформы vSphere пользователи могут получить права администратора, которые автоматически предоставляют доступ ко всей оболочке. С такими правами они не обязаны регистрироваться как привилегированный пользователь с помощью команды su, чтобы выполнять команды соответствующего уровня.

Платформа vSphere поддерживает запись всех действий, выполненных на узле через оболочку или интерфейс DCUI, в журнал под учетной записью текущего пользователя. Таким образом обеспечивается учет пользователей и упрощается мониторинг и аудит активности на узле.

Vmware ESXi Конфигурация соединительной линии VLAN

Вы хотите узнать, как настроить соединительную линию VLAN на Vmware ESXi? В этом уроке мы покажем вам все шаги, необходимые для создания VLAN и настройки соединительной линии с использованием сервера Vmware ESXi.

Этот учебник был протестирован на Vmware ESXi 6.5

Этот учебник был протестирован на Vmware ESXi 6.7

В приведенном выше видео показано, как настроить VLAN с использованием старых версий Vmware ESXi 6, 5.5 и 5

Vmware ESXi Playlist:

На этой странице мы предлагаем быстрый доступ к списку видеороликов, связанных с Vmware ESXi.

Playlist

Не забудьте подписаться на наш канал YouTube, названный FKIT.

На этой странице мы предлагаем быстрый доступ к списку руководств, связанных с Vmware Esxi.

Список учебных пособий

Учебное пособие — Конфигурация внешних линий Vmware ESXi

Во-первых, вам нужно получить доступ к веб-интерфейсу Vmware.

Откройте программное обеспечение браузера, введите IP-адрес вашего сервера Vmware ESXi и получите доступ к веб-интерфейсу.

На экране приглашения введите регистрационную информацию администратора.

После успешного входа в систему появится панель управления Vmware.

На панели управления Vmware выберите «Сетевое меню».

Откройте вкладку Группы портов.

Нажмите кнопку Добавить группу портов.

На следующем экране вам необходимо настроить следующие элементы:

• Имя — введите идентификатор на свой Vlan.
• VLAN ID — введите идентификационный номер VLAN.

После завершения настройки нажмите кнопку «Добавить».

Если вам нужно добавить еще одну VLAN, нажмите еще раз на группе «Группа портов».

Выполните такую же конфигурацию во второй VLAN.

Не забудьте сохранить конфигурацию.

Чтобы проверить конфигурацию, откройте меню «Сеть».

Откройте вкладку Виртуальные коммутаторы.

Нажмите Виртуальный коммутатор.

В правой части экрана вы можете увидеть конфигурацию соединительной линии.

В нашем примере мы видим, что VLANS 100, 200 и 0 могут проходить через интерфейс VMNIC1.

VLAN 0 означает сетевой пакет без какого-либо тега VLAN.

Имейте в виду, что Vmware-интерфейс VMNIC1 должен быть подключен к порту коммутатора, предварительно настроенному как соединительная линия.

Порт коммутатора должен быть настроен для обеспечения трафика VLANS 100, 200.

Порт коммутатора также должен установить VLAN по умолчанию.

Любой пакет, который поступает на порт коммутатора без тегов VLAN, будет считаться членом собственной VLAN.

Как правило, все сетевые коммутаторы устанавливают VLAN1 как собственную VLAN.

Поздравляем! Вы успешно сконфигурировали соединительную линию VLAN на Vmware ESXi.

Учебное пособие — Конфигурация VLAN виртуальной машины Vmware

Теперь мы расскажем вам, как назначить виртуальную машину определенной VLAN.

Войдите в панель управления Vmware.

На панели управления Vmware откройте меню «Виртуальные машины».

Выберите нужную виртуальную машину.

Нажмите кнопку «Действия» и выберите параметр «Изменить настройки».

На экране свойств виртуальной машины вам необходимо выполнить следующую конфигурацию:

• Найдите нужный сетевой адаптер
• Выберите желаемую VLAN

После завершения настройки нажмите кнопку «Сохранить».

В нашем примере сетевой интерфейс виртуальной машины был присвоен VLAN 100.

Не забудьте сохранить конфигурацию.

Поздравляем! Вы успешно настроили виртуальную машину в качестве члена VLAN, используя Vmware ESXi.

2018-10-09T16:06:35-03:00

Описание проблемы

В один прекрасный, рабочий день в одном из прекрасных телеграм чатов, один прекрасный разработчик написал, что у него перестал работать сервер 1С. Сама виртуальная машина вела себя очень странно, в веб-интерфейсе vCenter она имела статус «vSphere HA virtual machine monitoring action». Все крутилось на ESXI 6.5 и управлялось через vCenter 7.

Через web-консоль попасть не давала, по RDP так же не удавалось подключиться, недолго думая решили ее просто перезагрузить через обычный «Reset» или «PowerOFF». Виртуальный сервер долго обрабатывал эти задания, и смог выполнить только на третий раз. Перед манипуляциями мы попробовали его клонировать, но получили ошибку на стадии выполнения операции.

Clone virtual machine: Error caused by file /vmfs/volumes/5bbb3bf4-55725da8-a53a-801844f3658e/app21/app21.vmdk

При попытке ее мигрировать на другой хост, я не приятно удивился, что пункт «migrate» просто не активен.

Технические сведения

Повышение безопасности.
Оптимизация доступа на основе ролей и средств контроля исключает зависимость от общей учетной записи привилегированного пользователя. Пользователям и группам можно назначить полные права администрирования. Для выполнения административных задач нет необходимости иметь общий доступ или стандартную учетную запись суперпользователя.

Расширенные возможности ведения журналов и аудита.
VMware vSphere ESXi ведет журналы всей активности пользователей через оболочку и интерфейс прямой консоли. Ведение журналов обеспечивает учет пользователей и упрощает аудит активности пользователей.

vMotion.
VMware vSphere обеспечивает перенос работающих виртуальных машин целиком с одного физического сервера на другой без простоя. Поддерживается перенос работающих виртуальных машин по кластерам, распределенным коммутаторам и серверам vCenter, а также на большие расстояния (время на передачу и подтверждение до 100 мс).

Возможности виртуальных машин

Виртуальные машины, работающие на основе vSphere ESXi, предоставляют следующие возможности:

  • Поддержка до 128 виртуальных ЦП на виртуальной машине.
  • Поддержка до 4 Тбайт ОЗУ.
  • Поддержка устройств USB 3.0 новым контроллером хHCI.
  • Поддержка до 120 устройств на виртуальную машину благодаря новому интерфейсу Advanced Host Controller Interface.
  • Максимальный объем VMDK-диска — 62 Тбайт.
  • Возврат дискового пространства в пул ресурсов при освобождении хранилища гостевой ОС.

Улучшенная технология виртуализации ЦП подразумевает передачу виртуальной машине более подробных данных об архитектуре ЦП узла. Это предоставляет более широкие возможности для отладки, регулирования и устранения неисправностей операционных систем и приложений на этой виртуальной машине.
Увеличение эффективности ЦП за счет поддержки технологии Large Receive Offload, которая объединяет входящие TCP-пакеты в один крупный пакет.

Интеграция с Active Directory.
Узлы vSphere ESXi можно подключить к домену Active Directory. После этого Active Directory сможет выполнять проверку подлинности пользователей и устранит необходимость в создании локальных пользовательских учетных записей на каждом узле.

Централизованное управление образами узлов и настройка через Auto Deploy.
Сочетание в VMware vSphere Auto Deploy возможностей профилей узлов, Image Builder и среды PXE упрощает установку и обновление серверов. В библиотеке Auto Deploy централизованно хранятся образы узлов vSphere. Администраторы имеют возможность автоматически инициализировать новые узлы на базе определенных пользователем правил, и процесс перестройки узла происходит так же быстро, как и обычная перезагрузка.

Брандмауэр без сохранения состояния.
vSphere ESXi представляет собой ориентированный на службы брандмауэр без сохранения состояния, который настраивается с помощью клиента vSphere или через командную строку ESXCLI. Модуль брандмауэра использует наборы правил портов, определяемых администраторами для каждой службы. Дополнительно можно задать диапазоны или отдельные IP-адреса, которым разрешен доступ к службам узла.

Обновление до vSphere 6.0: уникальные преимущества

vSphere 6.0 вновь выходит на новый уровень. Теперь платформа предоставляет такие лидирующие в отрасли возможности, как vMotion для переноса ВМ на большие расстояния и обновленный компонент Fault Tolerance для многопроцессорных ВМ. Эти возможности обеспечивают соответствие требованиям приложений нового поколения и предоставляют организациям улучшенную масштабируемость, повышенную надежность и экономичность.

Благодаря своей «ультратонкой» архитектуре — программный код занимает всего 150 Мбайт на диске — vSphere ESXi обеспечивает лучшую в отрасли производительность и масштабируемость. Среди прочего, отметим следующие преимущества:

Повышение надежности и безопасности

Благодаря новой архитектуре ESXi с небольшим числом строк кода и независимостью от ОС общего назначения vSphere значительно снижает риск возникновения ошибок и уязвимостей и упрощает обеспечение безопасности для уровня гипервизора.

Оптимизация развертывания и настройки

Архитектура ESXi занимает небольшой объем дискового пространства и включает минимальное число элементов конфигурации, что значительно упрощает развертывание и настройку и обеспечение соответствия нормативным требованиям.

Повышение эффективности управления

Модель интеграции партнерских решений на основе API-интерфейсов, применяемая в ESXi, устраняет необходимость в установке и администрировании сторонних агентов управления на узле vSphere. Пользователи могут автоматизировать стандартные задачи с помощью сред удаленного выполнения сценариев на основе командной строки, таких как vCLI и PowerCLI.

Упрощенная установка исправлений и обновлений гипервизора

Благодаря небольшому размеру и малому числу компонентов ESXi требует гораздо меньше исправлений, что сокращает окна обслуживания и снижает уязвимость системы безопасности.

ДИСКИ

– Увеличить значение Disk.DiskMaxIOSize до 128

– При использовании внешних хранилищ

  • Independent Persistent Mode vmdk-диска — наиболее производительный, поскольку изменения вносятся сразу на диск, не журналируясь. Но такой диск не подвержен снапшотам, его нельзя откатить.
  • При использовании iSCSI рекомендуется настроить jumbo frames (MTA=9000) на всех интерфейсах и сетевом оборудовании.
  • MultiPathing — для большинства случаев RoundRobin — ОК. Fixed может дать большую производительность, но это после вдумчивого планирования и ручной настройки каждого хоста до каждого LUN. MRU можно поставить при active-passive конфигурации, если какие-то пути время от времени пропадают — чтобы не перескакивало туда-обратно.

Как выглядит на практике отказ от виртуализации. Далеко не всегда виртуализация сильно замедляет, все таки характер нагрузки, объем данных имеют тоже значени.

Обзор Cisco ASAv

Cisco ASAv обеспечивает функциональность межсетевого экрана, выполняя защиту данных в дата-центрах и облачных окружениях. Cisco ASAv представляет собой виртуальную машину, которая может быть запущена на различных гипервизорах, включая VMware ESXi, взаимодействуя с виртуальными «свичами» для обработки трафика. Виртуальный брандмауэр может работать с различными виртуальными коммутаторами, включая Cisco Nexus 1000v, VMware dvSwitch и vSwitch. Cisco ASAv поддерживает реализацию Site-to-Site VPN, VPN удаленного доступа, а также организацию бесклиентного удаленного доступа VPN, как и на физических устройствах Cisco ASA.

Cisco ASAv использует лицензирование Cisco Smart Licensing, что в значительной степени упрощает развертывание, управление и отслеживание виртуальных экземпляров Cisco ASAv, используемых на стороне заказчиков.

Зачем зря тратить своё время?

Во всех серверах есть USB порты, в 90% серверов есть внутренние USB порты, куда будет проблематично добраться даже шаловливым ручкам. Вот в такой порт мы и вставим нашу флешку для ESXi. Сам гипервизор обращается к флешке только в момент загрузки. После этого он загружается в память и уже там может работать годами, не нагружая USB накопитель до следующего своего запуска. В случае такой реализации мы получаем удобство, заключающееся в том, что диски на гипервизоре могут хоть взрываться, это не повлияет на работу самого гипервизора, а следовательно в случае какой-либо аварии его будет проще диагностировать или отправить удаленно того же секретаря, чья работа сведется лишь к тому, чтобы бездумно вставить резервный диск в слот с мигающей лампочкой.

ОПЕРАТИВНАЯ ПАМЯТЬ

– Отключить дедупликацию памяти для EXSi – Transparent Page Sharing на хосте VMware ESXi

Если же вы хотите отключить этот механизм уже прямо сейчас, то нужно сделать следующее:

В старых версиях

  1. Залогиниться на ESXESXi или vCenter Server через vSphere Client.
  2. Выбрать нужный хост и зайти на вкладку Configuration, затем перейти в Advanced Settings в секции Software.
  3. Выбираем раздел Mem и в нем устанавливаем значение параметра Mem.ShareScanGHz в 0.

После патча и обновлений ESXi механизм TPS можно будет включить следующим образом (Advanced Settings в секции Software):

  • Параметр Mem.ShareForceSalting (включение TPS на уровне всего хоста ESXi). Если значение стоит 0 — то значит TPS по-прежнему работает на хосте, если 1 — механизм отключен.
  • Параметр sched.mem.pshare.salt (ставится на уровне ВМ) позволяет включать/отключать TPS для отдельных виртуальных машин (например, старые Windows или линуксы — для них можно было бы включить). Когда параметр ShareForceSalting установлен в значение 1, то для нуждающихся в TPS машин в их Advanced Configuration нужно установить одинаковые значения «соли». Без этого TPS не работает — соответственно, он отключен.

Ключевые особенности и преимущества Cisco ASAv

Cisco ASAv обеспечивает единый уровень безопасности между физическими и виртуальными площадками с возможностью использования нескольких гипервизоров. В контексте построения ИТ-инфраструктуры клиенты зачастую используют гибридную модель, когда часть приложений заточена под физическую инфраструктуру компании, а другая — под виртуальную площадку с несколькими гипервизорами. Cisco ASAv использует консолидированные опции развертывания, при которых единая политика безопасности может применяться как для физических, так и для виртуальных устройств.

Простота управления

Cisco ASAv использует программный интерфейс передачи репрезентативного состояния (Representational State Transfer, REST API) на основе обычного HTTP-интерфейса, который дает возможность управлять самим устройством, а также изменять политики безопасности и мониторить статусы состояний.

Легкость развертывания

Cisco ASAv с заданной конфигурацией может быть развернута за очень короткий промежуток времени.

Cisco ASAv представляет семейство продуктов, доступных в следующих моделях:

Функциональность VMware, поддерживаемая в ASAv

Функциональность Описание Поддержка (Да/Нет)
Холодное клонирование Виртуальные машины выключаются в ходе клонирования Да
DRS Используется для динамического планирования ресурсов и распределенного управления мощностями Да
Hot add Виртуальные машины остаются запущенными в ходе добавления дополнительных ресурсов Да
Hot clone (горячее клонирование) В процессе клонирования виртуальные машины остаются запущенными Нет
Hot removal (горячее удаление) В процессе удаления ресурсов виртуальные машины остаются запущенными Да
Снимки Виртуальные машины приостанавливаются на несколько секунд Да
Приостановка и возобновление Виртуальные машины приостанавливаются, а затем возобновляют свою работу Да
vCloud Director Позволяет автоматическое развертывание виртуальных машин Нет
Миграция виртуальных машин Виртуальные машины выключаются в процессе миграции Да
vMotion Используется «живая» миграция виртуальных машин Да
VMware FT (технология непрерывной доступности) Используется для высокой доступности виртуальных машин Нет
VMware HA Минимизирует потери от сбоев физического оборудования и перезапускает виртуальные машины на другом хосте в кластере в случае сбоя Да
VMware vSphere Standalone Windows Client Используется для развертывания виртуальных машин Да
VMware vSphere Web Client Используется для развертывания виртуальных машин Да

Удаленная установка ESXi через iLO

Для начала, нам необходимо попасть в эту самую Integrated Remote Console.

Попав в неё, если сервер выключен, мы увидим следующую картину:

Power Switch и Virtual Drives понадобятся нам для дальнейшей настройки сервера

После того как мы попали в iLO Integrated Remote Console, нам необходимо подключить к серверу, скачанный ранее образ ESXi

Нажимаем на Virtual Drives и на пункт Image File. В меню выбора файла выбираем образ ISO ESXi который необходимо установить.

Далее остается только включить сервер и начать установку

Нажимаем на пункты Power Switch => Momentary Press и ждем пока сервер загрузится в установщик ESXi. Сразу после включения сервер начнет проверять оперативную память. Если у вас на сервере её много, этот процесс может занять продолжительное время. На моем тестовом сервере ~256 Gb оперативной памяти и этот процесс занимает около минуты.

После того как ваш будущий гипервизор радостно поприветствовал вас на своем первом экране, нажимаем Enter

Нажав F11, принимаем условия

Видим что на стенде есть логический раздел и флешка SanDisk. Выбираем SanDisk и жмем Enter

Установщик выдаст предупреждение о том что вся информация на диске будет стёрта, готовы ли вы к этому и т.д. Нажимаем OK.

Нас просят выбрать раскладку клавиатуры. Я всегда оставляю US Default

На следующем шаге нас попросят ввести пароль от гипервизора

Внимание! Этот пароль понадобится нам для всех дальнейших действий с гипервизором, поэтому его надо запомнить!

Указываем два раза наш пароль, и нажимаем Enter, открывается окно окончательного подтверждения. Нажимаем F11

После того как мы нажали F11, осталось только дождаться когда установка ESXi будет завершена. По окончании нам нужно будет извлечь установочный образ из виртуального привода, перейдя по пути Virtual Drives => Image File. Нажатие на этот пункт снимет галочку и установочный образ больше не будет использоваться при загрузке. После всего нажимаем Enter, сервер уходит в ребут, загружает гипервизор, который в свою очередь получает по DHCP локальный адрес, куда можно будет подключиться по http.

Для авторизации на новеньком гипервизоре, нужно будет указать в качестве логина root, а в качестве пароля, тот что мы задавали в процессе установки.

Способ третий.

Глобальное изменение масок в файле конфигурации vCenter’а. Если Вам не подходит EVC, а нужен VMotion, а также у Вас разные поколения CPU и много ВМ, то это именно то что доктор прописал. Описание способа .

Теперь о самой настройки VMotion.

Тут все просто. Выше я уже приводил что необходимо для работы VMotion. И так у нас есть общий LUN с ВМ, кластере в vCenter. Также настройки сетевой конфигурации идентичны на всех хостах. На всех хостах идентичные CPU по инструкциям или же включено EVC/подправлены маски. Осталось малое, сконфигурировать VMotion для работы.

Первое что нужно сделать это добавить порт VMkernel и при конфигурирование поставить галочку VMotion на всех хостах. Подробно описывать сей процесс не буду, так как уже делал заметку о VMkernel ранее. В принципе на этом и все с конфигурацией. Далее еще проще. Выбираем нужную ВМ в клиенте vSphere, клик правой кнопкой мыши — >Migrate.

Как включить EVC (Enhanced vMotion Compatibility) в vMware Esxi 5.x.x-05

Открывается мастер. Выбираем Change host.

Как включить EVC (Enhanced vMotion Compatibility) в vMware Esxi 5.x.x-06

Далее выбираем нужный хост, на который будет переезжать ВМ. При правильной конфигурации, мастер скажет, что валидация успешна.

Как включить EVC (Enhanced vMotion Compatibility) в vMware Esxi 5.x.x-07

Далее будут еще две странички мастера. Страничка приоритета VMotion, тут можно оставить то что предлагает мастер, и последняя страница со сводной инфой. Все жмем Finish и ждем когда ВМ мигрируется на новый хост.

Вот и все. Ах да еще напишу основные рекомендации относительно VMotion.

  • Гигабитная сеть, как минимум;
  • Хороший коммутатор (физический)» /> ) с поддержкой VLAN и хорошей пропускной способностью;
  • В идеале выделенный, как минимум один физический сетевой адаптер под нужды VMotion, а лучше два;
  • Отдельная сеть со своим VLAN для VMotion;
  • Отдельный vSwitch и отдельный порт VMkernel с VMotion. Но это не обязательно, просто я так обычно стараюсь конфигурировать;

Настройка Single Sign-On

Установку Single Sign-On мы производили в момент установки VMware VirtualCenter Server, посмотреть можно вот тут, там и задавался пароль для административной, учетной записи administrator@vsphere.local. Я же хочу показать, как настроить SSO, чтобы вы могли раздавать права пользователям Active Directory в VMware VirtualCenter Server.

Открываем любой браузер, я лично пользуюсь Google Chrome 57 версии и переходим по адресу https://адрес вашего сервера:9443/vsphere-client и логинимся. При первом обращении у вас может появиться сообщение, что ваше подключение не защищено. Нажмите кнопку дополнительно.

В итоге у вас появится возможность перейти на сайт.

У вас откроется форма ввода логина и пароля.

Далее переходим в административный раздел, вкладка Administration.

Далее идем в Configuration > identity Sources и нажимаем кнопку плюсик, для добавления подключения к Active Directory.

в окне identity Source у вас будет вот такой выбор:

  • Active Directory (integrated Windows Autentification)
  • Active Directory as a LDAP Server
  • Open LDAP
  • Local OS

Настройка Active Directory (integrated Windows Autentification)

Настройка Active Directory (integrated Windows Autentification), как метода аутентификации, наверное самая простая, от вас потребуется две вещи:

  • Чтобы сервер VMware VirtualCenter Server был присоединен к домену
  • Вы должны в настройках указать название доменного имени

Преимущество, что данный метод, настраивается за пол минуты, но он менее безопасный, по сравнению использованием SPN имени. Первым делом вам нужно проверить нет ли у вас для вашего VMware VirtualCenter Server  созданного SPN. Формат команды в командной строке Windows вот такой:

setspn -S имя компьютераhostname.domain.local

Думаю вы в первый раз уж точно получите, что SPN не найден. Далее нам его нужно задать для SSO.

setspn -S имя сервера/имя домена (например contoso.com) SSOServiceAccount (имя учетной записи, служебная учетка)

setspn -S vcenter2/contoso.com contoso\vcenter_service

Далее заполняете нужные поля в Active Directory (integrated Windows Autentification)

Все SSO должно работать. Если, что ссылка на рекомендации VMware https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2058298

Кстати можно посмотреть в Active Directory параметр в учетной записи службы, где прописывается ServicePrincipalName

Настройка Active Directory as a LDAP Server

И еще хочу показать, как настроить SSO через Active Directory as a LDAP Server, то же распространенный метод. Давайте просто пробежимся, по нужным полям.

Минусом данного решения, является, то что если контроллер домена не доступен, то вы не сможете пройти аутентификацию

  • Name > указываете любое понятное вам имя, оно не на что не влияет
  • Base DN for users > поиск по пользователям
  • Dmain name > FQDN имя домена
  • Domain alies > краткое имя домена
  • Base DN for groups> поиск по группам
  • Primary server URL > LDAP сервер
  • Secondary server URL > LDAP сервер
  • Username > имя пользователя, от имени которого будет подключение к AD
  • Password > пароль

После ввода данных, нажмите кнопку Test Connection, для понимания того, получилось ли подключиться по LDAP.

В принципе этих двух методов, достаточно для настройки SSO в VMware VirtualCenter Server,

далее я вам настоятельно рекомендую почитать, как улучшить защиту у SSO, vCenter и ESXI хостов.

Host Options.

Во вкладке Host Options задаются настройки для управления электропитанием хоста для Distributed Power Management (DPM). DPM — это функция vSphere DRS, задача которой снизить энергопотребление на основе анализа потребляемых ресурсов. DPM мониторит потребляемое количество ресурсов процессора и памяти, сравнивая с общим количеством ресурсов в кластере. Если будут найдено достаточно ресурсов для перемещения ВМ, то они будут перенесены, а хост переводится в режим ожидания. И наоборот, как только в кластере становится недостаточно ресурсов, хост выводится из режима ожидания.

DPM использует для управления три протокола: Intelligent Platform Management Interface (IPMI), Hewlett-Packard Integrated Lights-Out (iLO), или Wake-On-LAN (WOL). Если хост не поддерживает ни один из этих протоколов, то он не может быть переведен с помощью DPM, а если хост поддерживает несколько протоколов — они используются в следующем порядке: IPMI, ILO, WOL.

IPMI является аппаратной спецификацией, а iLO — встроенной технологией по управлению сервером. Обе технологии обеспечивают интерфейс для удаленного мониторинга и управления компьютером. IPMI и iLO требуют наличия Baseboard Management Controller (BMC), который обеспечивает шлюз для доступа к аппаратному управлению, позволяя управлять питанием удаленно через LAN-порт.

Если вы планируете использовать iLO, или IPMI для управления питанием хоста, вам необходимо настроить BMC. Шаги по настройке iLO различны в зависимости от выбранной модели, тогда как IMPI требует дополнительных настроек в BIOS (убедитесь, что BMC LAN включен, сконфигурирован и доступен для управления). VMware DPM поддерживает только IMPI c MD5- и plaintext-based аутентификацией. vCenter Server использует MD5, если BMC дает ответ, что MD5 поддерживается и доступна для роли оператора (Operator role). В противном случае, используется plaintext-based аутентификация, если, опять же, включена и доступна. Если MD5 и plaintext-based аутентификации отключены, то IPMI не может использоваться и vCenter Server попытается использовать Wake-on-LAN.

Для работы Wake-On-Lan необходимо выделить vMotion в отдельную IP-сеть и использовать гипервизоры ESX(i) 3.5, или выше. Каждый интерфейс сети vMotion должен поддерживать Wake-On-Lan. Проверить, поддерживают ли сетевые интерфейсы хоста Wake-on-LAN можно перейдя в vSphere Client к настройкам хоста:

Configuration -> Network Adapters

Порт коммутатора (switch) должен быть выставлен в автоматическое согласование скорости (Auto Negatiate), а не принудительное (например, 1Гб/с):

Некоторые сетевые интерфейсы поддерживают Wake-On-Lan только, если они могут переключаться на 100Мб/с (или менее), когда хост выключен.

Теперь для того, чтобы настроить BMC для каждого из хостов открываем в веб-клиенте vSphere:

Hosts and Clusters -> {Host} -> Manage -> Power Management

Вводим настройки BMC. Оставляем дефолтную схему менеджмента питания, или выбираем для подключаемого хоста один из трех вариантов: Disabled, Manual, или Automatic. Вводим логин и пароль для роли оператора BMC (Operator role), IP- и MAC-адрес интерфейса.

Теперь можно протестировать управление питанием хоста. В веб-клиенте vSphere, или vSphere Client открываем контекстное меню для выбранного хоста и переходим:

Power -> Enter Standby Mode

По окончании миграции ВМ хост будет выключен (точней, перейдет в “режим ожидания”, но при этом будет доступен для BMC). Аналогично можно проверить его включение, раскрыв контекстное меню хоста:

Power -> Power On

Питанием хостов можно так же управлять с помощью VMware vSphere PowerCLI. Для перевода в Standby Mode:

Get-VMHost -Name <Hostname> | Suspend-VMHost -Confirm:$false

Для Power On:

Get-VMHost -Name <Hostname> | Start-VMHost -Confirm:$false

После того, как BMC/WOL протестированы, можно приступить к настройке DPM для vSphere DRS (см. выше описание параметров vSphere DRS). Как только DPM будет активирован, вы можете просмотреть статус для каждого хоста в поле “Last Time Exited Standby”:

Это поле отображает время, когда vCenter Server пытался перевести хосты в режим “ожидания”, а так же статус успешного выполнения — Succeeded, Failed, или Never, если не было ни одной попытки.

ПРОЦЕССОР

– Включить схему питания максимальной производительности

– vSphere прекрасно знает про NUMA и старается размещать виртуальные ядра машин на тех физических процессорах, в чьей памяти сейчас находится оперативная память виртуальной машины. Но тут возникают подводные камни. Производители серверов любят включать в BIOS по умолчанию эмуляцию NUMA. То есть сервер представляется операционной системе как НЕ NUMA устройство, и vSphere не может использовать свою оптимизацию для управления данной технологией. В документации по vSphere рекомендуется отключать (Disable) данную опцию в BIOS, это позволяет vSphere самостоятельно разбираться с вопросом.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: