Dominio de la infraestructura de VMware Solutions
El dominio de infraestructura IBM Cloud® for VMware Solutions contiene los objetos de recursos y las cuentas de usuario para la administración de la instancia VMware Cloud Foundation for Classic - Automated únicamente. No se recomienda la utilización de este dominio para conservar objetos de recursos y cuentas de usuarios para las máquinas virtuales de carga de trabajo.
Dentro del diseño de vCenter Server, el domino de IBM Cloud for VMware Solutions infrastructure Active Directory™ (AD) se utiliza para:
- DNS: los dispositivos suministrados como parte de los servicios tienen entradas NS en el AD. Estas entradas habilitan las funciones de la instancia de vCenter Server para utilizar FQDN y realizar búsquedas de nombres.
- Servicios de autenticación: se añade un grupo de seguridad de AD y se añaden unas cuantas cuentas para permitir la automatización.
En IBM Cloud for VMware Solutions, cada instancia primaria despliega un dominio raíz del bosque y configura la topología del sitio. El AD/DNS de IBM Cloud for VMware Solutions será siempre su propio bosque y dominio. El usuario no puede eliminar
este bosque o dominio porque podría interrumpir la automatización de IBM Cloud for VMware Solutions. No es posible migrar usuarios y recursos a uno de los dominios existentes ni crear un dominio nuevo porque no se pueden crear credenciales para
el usuario de IBM denominado automation
.
Durante el proceso de pedido de una instancia de vCenter Server, se recopilan el prefijo de nombre de host y el nombre de dominio que es pertinente para los servicios de dominio de Active Directory Domain Services (AD DS) y la configuración de DNS.
Estos valores se utilizan más adelante para generar el nombre de usuario y los nombres de servidor de la instancia. Para obtener más información, consulte Solicitud de instancias de vCenter Server.
Controladores de dominio
Todos los controladores de dominio de AD que se utilizan en el dominio de infraestructura de IBM Cloud® for VMware Solutions son exclusivamente del usuario y no se comparte nada con otros clientes. Debe proporcionar una gestión operativa para supervisar, actualizar, realizar copia de seguridad y recuperar estos controladores de dominio.
Estos controladores de dominio tienen autorización para el nombre de dominio que ha seleccionado para la instancia. Asegúrese de seleccionar un nombre de dominio que sea exclusivo dentro de su espacio de dominio de modo que la responsabilidad de DNS se pueda delegar completamente en estos controladores.
Debe administrar usuarios, grupos, sistemas y políticas de grupo de la misma forma que lo hace con el servidor AD local utilizando herramientas AD estándar. Usted tiene el control administrativo total del sistema operativo y del entorno AD que se despliega como parte del aprovisionamiento de instancias de vCenter Server. Puede establecer configuraciones personalizadas y crear una topología simple o compleja, según sea necesario.
Durante el proceso de pedido, puede desplegar:
- Una sola VSI de Microsoft® Windows® Server para AD DS
- Dos máquinas virtuales Microsoft Windows altamente disponibles en el clúster
Actualmente, está desplegado Microsoft Windows Server 2019 Standard como sistema operativo. El nivel funcional de dominio 2008 está establecido para permitir la compatibilidad con una versión anterior con cualquier instancia secundaria potencial. Si la compatibilidad con instancias secundarias anteriores (2008) no es una consideración en el entorno, puede actualizar el nivel funcional de dominio a una versión superior.
Para obtener más información, consulte Niveles funcionales de bosque y dominio.
Controlador de dominio de VSI único
El diagrama siguiente muestra el patrón de despliegue del controlador de dominio VSI único.
{: caption="
Si solicita la VSI única, se recomienda que solicite manualmente una segunda VSI del mismo tipo. Configure esta VSI como segundo controlador de dominio para habilitar AD DS como servicio altamente disponible.
En la tabla siguiente se describe la configuración de VSI.
Parámetro | Especificación |
---|---|
Sistema operativo | Windows Server 2019 Standard Edition (64 bits) |
CPU | 2 x núcleos de 2,0 GHz o superior |
RAM | 8 GB |
Disco | 100 GB (SAN) |
Velocidades de puertos de enlace ascendente | 1 Gbps de enlace ascendente de red privada |
El controlador de dominio se suministra con un nombre de ADNS<instance_name>.<root_domain>
, por ejemplo, ADNSoncloud.cloud-east.myroot.local
. Este servidor es la instancia del catálogo global (GC) para
el dominio.
Dos máquinas virtuales Microsoft Windows altamente disponibles en el clúster
El diagrama siguiente muestra el patrón de despliegue de los dos controladores de dominio de máquina virtual altamente disponibles.
Si solicita las dos VM de alta disponibilidad (HA) Microsoft Windows, deberá proporcionar dos licencias de Microsoft Windows Server 2019. Para obtener más información, consulte Configuración del sistema de nombres de dominio.
Después del suministro de la instancia de vCenter Server, dispone de 30 días para activar las máquinas virtuales. El clúster se configura con una regla de antiafinidad de máquina virtual a máquina virtual. Por lo tanto, el Planificador de recursos distribuidos (DRS) intenta mantener las máquinas virtuales separadas colocándolas en diferentes hosts vSphere ESXi físicos. En la tabla siguiente se describe la configuración de la máquina virtual.
Parámetro | Especificación |
---|---|
Sistema operativo | Windows Server 2019 Standard Edition (64 bits) |
CPU | 2 |
RAM | 8 GB |
Disco | 100 GB |
Configuración del dominio
Tras suministrar los controladores de dominio, se configura AD DS tal como se indica a continuación:
-
El nombre de dominio se establece como <root_domain>, recopilado del proceso de pedido.
-
El grupo de seguridad de AD de
ic4V-vCenter
se añade al dominio. -
Se crean los siguientes usuarios de AD en el dominio:
automation
: Miembro de administradores, administradores de dominios, usuarios de dominios, administradores de empresa,ic4V-vCenter
, administradores de esquema y grupos de AD de usuarios.cloudbase-init
: Miembro de administradores y grupos de AD de usuarios de dominios (este usuario se crea mediante la automatización de la VSI para utilizarla durante el suministro inicial de la VSI).- Cuentas de servicio de complementos, por ejemplo,
prod-Caveonix-19765
oprod-Zerto-5c9cb035
: Miembro de los grupos ADic4V-vCenter
y deDomain Users
.
Como cliente, dispone de acceso total para añadir más administradores del sistema en el grupo de seguridad de AD de ic4V-vCenter
para permitir que cada uno de los administradores tenga acceso a vCenter. Se recomienda que este dominio
contenga solamente los recursos y las cuentas de usuarios administrar únicamente la instancia de vCenter Server.
ID de usuario
La automatización de IBM Cloud configura inicialmente algunos ID de cliente y de usuario de IBM cuando se crea la instancia de vCenter Server. Los ID de usuario de IBM son utilizados por la automatización para operaciones como añadir clústeres, hosts ESXi vSphere o almacenamiento a su instancia de vCenter Server. Estas operaciones pueden fallar si se los ID de usuario de IBM se suprimen, se inhabilitan o si se cambian sus contraseñas.
Para obtener más información, consulte ID de usuario de IBM.
Topología multisitio
Como opción en IBM Cloud for VMware Solutions, puede suministrar instancias de vCenter Server en una topología multisitio. Su primera instancia es la instancia primaria pero los posteriores pedidos pueden ser instancias primarias o secundarias dependiendo de la topología que desee crear. Al utilizar una instancia primaria y, a continuación, seleccionar instancias secundarias, se crea una topología multisitio.
Puede tener un máximo de 15 instancias (una primaria y 14 secundarias) en una configuración multisito:
- Instancia primaria: Para desplegar la primera instancia, defina esta instancia como primaria durante el proceso de pedido de instancias.
- Instancias secundarias: Las instancias que están conectadas a la instancia primaria se definen como instancias secundarias durante el proceso de pedido.
La replicación de AD y DNS se configura automáticamente entre los controladores de dominio de las instancias primaria y secundaria. Si utiliza un controlador de dominio de AD único en cada sitio, configure los valores de DNS manualmente, como se indica a continuación:
- Componentes de instancia primaria - utilice el DNS de la instancia secundaria como servidor DNS secundario.
- Componentes de instancia secundaria - utilice el DNS de la instancia primaria como servidor DNS secundario.
Una configuración multisitio tiene los siguientes aspectos clave:
- Modalidad enlazada mejorada
- Cross vCenter NSX
La modalidad enlazada mejorada y Cross-vCenter NSX son complementarios pero independientes entre sí. Para obtener más información, consulte Configuración multisitio para instancias de vCenter Server.
Modalidad enlazada mejorada
Con modalidad enlazada mejorada (ELM), puede ver y buscar en todos los sistemas enlazados de vCenter Server y replicar roles, permisos, licencias, políticas y etiquetas.
ELM proporciona las ventajas siguientes:
- Una vista unificada al entorno con varios vCenter Server.
- Creación de relaciones primarias y secundarias simplificada utilizando las credenciales de inicio de sesión único (SSO)
- Configuración de la automatización de vCenter Server para la resolución de nombres DNS para todos los sitios que están enlazados
- En un entorno de Cross-vCenter NSX, puede gestionar todos los gestores NSX desde un cliente web único de vSphere
- Panel único de gestión en todos los sitios para las funciones de NSX y vCenter normales
ELM simplifica la gestión de múltiples vCenters, pero no aporta HA para los servicios de vCenter. La ELM se configura mediante la automatización de IBM Cloud for VMware Solutions cuando se despliega una instancia secundaria.
Cross vCenter NSX
En Cross-vCenter NSX, el usuario dispone de un gestor NSX primario y varios gestores NSX secundarios. Cada uno de estos gestores NSX está enlazado a un vCenter Server independiente. En el NSX Manager primario, puede crear componentes NSX universales como, por ejemplo, conmutadores y direccionadores que se pueden ver desde los gestores NSX secundarios.
Cross-vCenter NSX incluye las siguientes características:
- Las mismas redes lógicas están disponibles en el entorno entre vCenter, por lo que es posible que las máquinas virtuales en cualquier clúster de cualquier sistema de vCenter Server se conecten a la misma red lógica.
- Las reglas de cortafuegos se gestionan desde una localización centralizada y se aplican a las máquinas virtuales independientemente de la ubicación o del sistema de vCenter Server.
- La gestión centralizada de objetos universales, reduciendo los esfuerzos administrativos.
- Las máquinas virtuales se pueden migrar utilizando vMotion en los vCenter Server sin tener que volver a configurar la máquina virtual o cambiar las reglas del cortafuegos.
Cuando se combina Cross-vCenter NSX con ELM, se puede ver y gestionar cualquiera de los gestores NSX y todos los componentes universales de NSX desde cualquiera de los vCenter Server enlazados. ELM no es un requisito previo ni un requisito para Cross-vCenter NSX. Sin ELM, se siguen pudiendo crear zonas de transporte universales de Cross-vCenter, conmutadores universales, direccionadores universales y reglas de cortafuegos universales. Sin embargo, si no se dispone de ELM, tiene que iniciar sesión en los vCenter Server individuales para acceder a cada una de las instancias del gestor de NSX.
Cross vCenter NSX no se despliega automáticamente. Debe implementarlo manualmente siguiendo las tareas de Configuración de NSX en modo Administrador.
Active Directory, SSO y DNS en una topología multisitio
AD, DNS y el inicio de sesión único (SSO) se configuran de una forma un poco diferente en una instancia primaria y secundaria.
La instancia primaria tiene la configuración siguiente:
- Dominio raíz AD y DNS y dominio SSO
- vCenter Servidor perteneciente al dominio
root
con nombre específico de instancia - Hosts pertenecientes al dominio
root
con prefijo específico de instancia
Las instancias secundarias tienen la configuración siguiente:
- Mismo dominio raíz y dominio SSO como instancia primaria
- Configuración de la réplica de DNS y AD entre los controladores de dominio en las instancias primaria y secundaria
- vCenter Server que pertenece al dominio raíz y al dominio SSO con nombre específico de instancia
- Hosts pertenecientes al dominio
root
con prefijo específico de instancia - Configuración de modalidad enlazada mejorada (ELM) entre el vCenter de la instancia secundaria y el vCenter de la instancia primaria
ID de usuarios cliente
Los ID de usuario y las contraseñas del cliente para la instancia de vCenter Server están disponibles a través de los detalles de la instancia en la consola VMware Solutions. Para obtener más información, consulte ID de usuarios de vCenter y Platform Services Controller.
Configuración del sistema de nombres de dominio
El diseño de la instancia de vCenter Server integra los servicios DNS en los controladores de dominio de AD:
- La estructura de dominio se especifica durante el proceso de pedido de la instancia.
- Los controladores de dominio están configurados para que el dominio de DNS los autorice.
- Los servidores de controladores de dominio están configurados para apuntar a los servidores DNS de IBM Cloud para todas las demás zonas.
- Las instancias de vCenter Server secundarias que se integran en la instancia primaria utilizan la misma estructura de nombres de DNS.
Cuando una instancia de vCenter Server secundaria está enlazada a la instancia primaria, se configuran los dispositivos de instancia de vCenter Server:
- DNS se configura con la dirección IP del servidor AD DNS de la instancia primaria.
- El DNS secundario se configura con la dirección IP del servidor AD DNS de la instancia secundaria.
AD DS DNS se configura con una zona de búsqueda avanzada con el nombre de <root_domain> y se rellena con los siguientes registros de host (A):
clouddriver
<instance_name>-vc
<instance_name>-nsx
- Servicios complementarios cuando se solicitan. Por ejemplo, HCX, Caveonix RiskForesight, Veeam o Zerto, con nombres específicos de instancia
Las zonas de búsqueda inversa con el inicio de la autorización (SOA), el servidor de nombres (NS) y los registros de puntero necesarios (PTR) para los dispositivos se configuran en las subredes siguientes:
- Subred de gestión
- Subred de
Internal-mgmt
- Subredes de servicios de complemento. Por ejemplo, la subred HCX o la subred Caveonix RiskForesight.
La sección de reenvío se configura con:
- 10.0.80.12
- 10.0.80.11
Los reenviadores son servidores de DNS que el servidor de DNS AD puede utilizar para resolver consultas de DNS para registros que el servidor AD no puede resolver. 10.0.80.12 y 10.0.80.11 son las dos direcciones de los servidores de nombres de resolución de IBM Cloud. Los servidores de resolución de nombres están en la red privada y actúan como resolvedores DNS. Los programas de resolución privados consultan a los servidores de nombres raíz de Internet para hacer búsquedas de dominio y resolver esta información en la red privada para reducir el uso del ancho de banda, reducir la carga en los servidores autorizados y ofrecer una resolución rápida. Los programas de resolución de red privados constituyen un servicio muy útil para nuestros clientes.
Todos los dispositivos desplegados ( vCenter Server Appliance, NSX Manager y Controllers, y vSphere ESXi hosts) tienen sus ajustes DNS configurados para apuntar al servidor AD DNS como su DNS predeterminado. Puede personalizar la configuración de zona de DNS si no interfiere con la configuración de los componentes desplegados.