IBM Cloud Docs
Diseño de servicios comunes

Diseño de servicios comunes

Los servicios comunes proporcionan los servicios que utilizan otros servicios en la plataforma de gestión de nube. Los servicios comunes de la solución incluyen servicios de identidad y acceso, servicios de nombres de dominio, servicios NTP, servicios SMTP y servicios de autoridad de certificados.

![Servicios](../../images/vcsv4radiagrams-ra-commonservices.svg "" caption-side="bottom"}"){: caption="

Servicios de identidad y acceso

En este diseño, se utiliza Microsoft® Active Directory (MSAD) para Identity Management. El diseño despliega una o dos máquinas virtuales (VM) Active Directory como parte de la automatización del despliegue VMware Cloud Foundation for Classic - Automated. vCenter está configurado para utilizar la autenticación MSAD.

Microsoft Active Directory

De forma predeterminada, un único VSI de Active Directory se despliega en la infraestructura de IBM Cloud®.

El diseño también proporciona la opción de desplegar dos servidores MSAD de alta disponibilidad como VM dedicadas de Microsoft Windows® Server en el clúster de gestión.

Si elige la opción con dos servidores MSAD de alta disponibilidad, tendrá la responsabilidad de proporcionar las licencias y activación de Microsoft.

Active Directory sirve para autenticar los accesos para gestionar solo la instancia de VMware® y no para alojar a los usuarios de las cargas de trabajo en las instancias desplegadas. El nombre de dominio raíz del bosque del servidor de Active Directory es igual al nombre de dominio de DNS que especifique. Este nombre de dominio sólo se especifica para la instancia principal VMware Cloud Foundation for Classic - Automated si hay varias instancias vinculadas. En el caso de las instancias enlazadas, cada instancia contiene un servidor de Active Directory que se encuentra en el anillo de réplica raíz del bosque. Los archivos de la zona de DNS también se replican en los servidores de Active Directory.

Dominio de inicio de sesión único (SSO) de vSphere

El dominio de inicio de sesión único de vSphere (SSO) se utiliza como el mecanismo de autenticación inicial para una única instancia o varias instancias enlazadas. El dominio SSO también sirve para conectar una instancia de VMware o varias instancias enlazadas con el servidor de MSAD. Se aplica la siguiente configuración de SSO:

  • El dominio SSO de vsphere.local siempre se utiliza.
  • En el caso de las instancias VMware vinculadas a una instancia existente, el dispositivo vCenter Server se une al dominio SSO de la instancia existente.
  • El nombre del sitio SSO es el dominio raíz que se ha elegido al desplegar la instancia.

Integración con un bosque existente

La fusión de los bosques de Active Directory es un proceso complejo. Si desea integrar su instancia con un bosque de Active Directory existente, IBM Cloud le recomienda que añada su infraestructura de Active Directory existente como un origen de identidad adicional a VMware vCenter Server® en lugar de intentar fusionar bosques. {{site {{site.data.keyword.cloud_notm}} automatización requiere que elija un dominio raíz para su instancia con al menos tres calificadores para reducir la probabilidad de conflicto con su dominio existente.

Tiene varias opciones para hacer referencia al dominio existente como un origen de identidad:

  • Si tiene conectividad con los controladores de dominio en o desde IBM Cloud, puede hacer referencia a ellos directamente.
  • Puede desplegar controladores de réplica de solo lectura en IBM Cloud.
  • Puede añadir confianza unidireccional desde los controladores de dominio desplegados por IBM Cloud a sus controladores de dominio.

Servicios de nombres de dominio

Los servicios de nombres de dominio (DNS) en este diseño son solo para los componentes de gestión de nube y de infraestructura.

Instancia VMware Cloud Foundation for Classic - Automated primaria

El despliegue VMware Cloud Foundation for Classic - Automated utiliza las VSI o VM de AD desplegadas como servidores DNS para la instancia. Todos los componentes desplegadosvCenter, NSX, hosts ESXi) están configurados para apuntar al AD como su DNS por defecto. Puede personalizar la configuración de zona de DNS si no interfiere con la configuración de los componentes desplegados.

Este diseño integra los servicios de DNS en las VM de AD en la configuración siguiente:

  • La estructura del dominio la especifica el usuario.
  • El nombre de dominio puede tener cualquier número de niveles hasta el máximo que manejen todos los componentes VMware Cloud Foundation for Classic - Automated.
  • El nombre de dominio debe tener al menos tres niveles. Esta directriz aplica la práctica recomendada de que el dominio de nivel superior delega la responsabilidad en la instancia para el dominio de instancia.
  • Los servidores AD/DNS están configurados para ser autorizados para el dominio DNS.
  • Los servidores AD/DNS están configurados para que apunten a los servidores DNS de IBM Cloud para todas las demás zonas.
  • Cualquier región de nube secundaria que esté integrada a la primera región de nube o a la región de nube implementada como objetivo debe utilizar la misma estructura de nombres DNS con prefijos de host únicos.
  • Opcionalmente, puede desplegar servidores DNS redundantes dentro del cluster vSphere. Se configuran dos servidores AD/DNS sin licencia. Es responsabilidad del usuario proporcionar licencias para los sistemas operativos Windows de estos servidores.
  • Si un único sitio se aprovisiona con un único servidor AD/DNS, entonces todos los componentes VMware Cloud Foundation for Classic - Automated configurados deben tener sólo esa única dirección IP como entrada DNS.

Instancias secundarias VMware Cloud Foundation for Classic - Automated

Para la redundancia entre instancias, cuando la primera instancia VMware Cloud Foundation for Classic - Automated secundaria se añade a una instancia VMware Cloud Foundation for Classic - Automated primaria o autónoma existente, la dirección IP del servidor AD DNS de esa instancia primaria se utiliza en la instancia VMware Cloud Foundation for Classic - Automated secundaria y en cualquier entrada "DNS secundaria" de instancia secundaria posterior para todos los componentes que requieran una entrada de servidor DNS.

Por ejemplo, ESXi, vCenter y NSX Manager, y también componentes añadidos, como por ejemplo HCX, Zerto y Veeam. A continuación, la entrada DNS secundaria del sitio primario se cambia a la dirección IP AD/DNS de la primera instancia secundaria VMware Cloud Foundation for Classic - Automated.

Servicios NTP

Este diseño utiliza los servidores NTP de la infraestructura de IBM Cloud. Todos los componentes desplegados se configuran para utilizar estos servidores NTP. Que todos los componentes dentro del diseño utilicen el mismo servidor NTP es crítico para que los certificados y la autenticación de Active Directory funcionen correctamente.

Servicios NTP y DNS*Servicios
y
NTP y DNS

Servicio de entidad emisora de certificados

Por defecto, VMware vSphere® utiliza certificados TLS firmados por la autoridad de certificación VMware (VMCA), ubicada en el dispositivo VMware vCenter Server.Estos certificados no son de confianza para los dispositivos de usuario ni los navegadores. Es una práctica recomendada de seguridad sustituir los certificados de cara al usuario por los certificados firmados por una entidad emisora de certificados de terceros o de empresa (CA). Los certificados para la comunicación de máquina a máquina pueden seguir siendo certificados firmados por VMCA. No obstante, se recomienda seguir las mejores prácticas para su organización, que suelen implicar el uso de una CA de empresa identificada.

Puede utilizar los servidores AD de Windows dentro de este diseño para crear certificados que estén firmados por la instancia local. Sin embargo, también puede optar por configurar los servicios de CA si es necesario.