IBM Cloud Docs
VMware Solutions基础架构域

VMware Solutions基础架构域

IBM Cloud® for VMware Solutions 基础设施域只持有用于管理 VMware Cloud Foundation for Classic - Automated 实例的资源对象和用户账户。 建议不要使用此域来保存用于工作负载 VM 的资源对象和用户帐户。

在 vCenter 服务器设计中,IBM Cloud for VMware Solutions 基础设施 Active Directory™ (AD) 域用于:

  • DNS - 作为服务的一部分供应的设备在 AD 中具有 DNS 条目。 这些条目支持 vCenter Server 实例使用 FQDN 和执行名称查找的功能。
  • 认证服务 - 添加了 AD 安全组,并添加了若干帐户以启用自动化。

在 IBM Cloud for VMware Solutions 中,每个主实例都会部署林根域并配置站点拓扑。 IBM Cloud for VMware Solutions AD/DNS 始终是其自己的林和域,因此无法除去此林或域,因为这样做可能会中断 IBM Cloud for VMware Solutions 自动化。 无法将用户和资源迁移到其中一个现有域,也无法创建新域,因为不能为名为 automation 的 IBM 用户创建凭证。

在 vCenter 服务器实例的订购过程中,将从用户处收集与 Active Directory 域服务 (AD DS) 和 DNS 配置相关的主机名前缀和域名。

然后使用这些值生成实例的用户名和服务器名。 有关更多信息,请参阅订购 vCenter Server 实例

域控制器

IBM Cloud® for VMware Solutions 基础架构域中使用的所有 AD 域控制器都只属于你,不与其他客户共享。 您必须提供操作管理来监视、更新、备份和恢复这些域控制器。

这些域控制器对您为实例选择的域名具有权威性。 确保您选择的域名在您的域名空间内是唯一的,以便将 DNS 责任完全委托给这些控制器。

必须使用标准 AD 工具来管理用户、组、计算机和组策略,与使用内部部署 AD 进行管理的方式一样。 您对操作系统和作为 vCenter Server 实例配置的一部分部署的 AD 环境拥有完全的管理控制权。 可以根据需要设置定制配置,并创建简单或复杂拓扑。

在订购过程中,可以部署:

  • 用于 AD DS 的单个 Microsoft® Windows® Server VSI
  • 集群中两个高可用性 Microsoft Windows VM

目前,操作系统部署了 Microsoft Windows Server 2019 Standard。 域功能级别 2008 的设置是为了与任何可能的二级实例的早期版本兼容。 如果您的环境不考虑与早期(2008 年)二级实例的兼容性,您可以将域功能级别升级到更高的版本。

有关详细信息,请参阅 森林和域功能级别

单个 VSI 域控制器

下图显示了单个 VSI 域控制器的部署模式。

单一 VSI 域控制器图
VSI 域控制器

如果您订购了单个 VSI,建议您手动订购第二个相同类型的 VSI。 将此 VSI 配置为第二个域控制器,使 AD DS 成为高可用服务。

下表描述了 VSI 配置。

VSI 规格
参数 规范
操作系统 Windows Server 2019 Standard Edition (64 位)
CPU 2 个 2.0 GHz 或更高频率核心
RAM 8 GB
磁盘 100 GB (SAN)
上行端口速度 1 Gbps 专用网络上行链路

域控制器的配置名称为 ADNS<instance_name>.<root_domain>,例如 ADNSoncloud.cloud-east.myroot.local。 该服务器是域的全局目录 (GC) 实例。

集群中两个高可用性 Microsoft Windows VM

下图显示了两个高可用虚拟机域控制器的部署模式。

两个高度可用的虚拟机域控制器图
高度可用的虚拟机域控制器* 两个高度可用的虚拟机

如果订购两个高可用性 (HA) Microsoft Windows 虚拟机,则必须提供两个 Microsoft Windows Server 2019 许可证。 有关详细信息,请参阅 域名系统配置

在供应 vCenter Server 实例后,您有 30 天时间可激活 VM。 群集配置了 VM-VM 反亲和性规则。 因此,分布式资源调度器 (DRS) 会尝试将虚拟机放置在不同的物理 vSphere ESXi 主机上,从而将它们分开。 下表描述了 VM 配置。

HA 虚拟机规格
参数 规范
操作系统 Windows Server 2019 Standard Edition (64 位)
CPU 2
RAM 8 GB
磁盘 100 GB

域配置

供应域控制器后,AD DS 会如下所示进行配置:

  1. 域名设置为 <root_domain>,从订单流程中收集。

  2. ic4V-vCenter AD 安全组已添加到域中。

  3. 在域中创建以下 AD 用户:

    • automation- 管理员、域管理员、域用户、企业管理员、ic4V-vCenter、模式管理员和用户 AD 组的成员。
    • cloudbase-init- 管理员和域用户 AD 组的成员(该用户由 VSI 自动创建,用于 VSI 的初始配置)。
    • 附加组件服务帐户,例如 prod-Caveonix-19765prod-Zerto-5c9cb035 - ic4V-vCenterDomain Users AD 组的成员。

作为客户,您完全有权限在 ic4V-vCenter AD 安全组中添加更多系统管理员,让每个管理员都能访问 vCenter。 建议此域仅保存用于管理 vCenter Server 实例的资源和用户帐户。

用户标识

在创建 vCenter Server 实例时,IBM Cloud 自动化会初始化配置一些客户和 IBM 用户 ID。 IBM 用户 ID 用于自动化操作,例如向 vCenter Server 实例添加群集、vSphere ESXi 主机或存储。 如果删除或禁用 IBM 用户标识,或者更改其密码,那么这些操作可能会失败。

有关更多信息,请参阅 IBM 用户标识

多站点拓扑结构

作为 IBM Cloud for VMware Solutions 中的一个选项,您可以在多站点拓扑中配置 vCenter Server 实例。 您的第一个实例是主实例,但是后续可以订购主实例,也可以订购辅助实例,具体取决于要创建的拓扑。 使用主实例,然后选择辅助实例,就可以创建多站点拓扑结构。

在多站点配置中最多可以有 15 个实例(1 个主实例和 14 个辅助实例):

  • 主实例 - 要部署第一个实例,请在实例订购过程中将该实例定义为主实例。
  • 辅助实例 - 在订购过程中,连接到主实例的实例定义为辅助实例。

主实例和辅助实例的域控制器之间会自动建立 AD 和 DNS 复制。 如果要在每个站点上使用单个 AD 域控制器,请手动配置 DNS 设置,如下所示:

  • 主实例组件 - 将辅助实例 DNS 用作辅助 DNS 服务器。
  • 辅助实例组件 - 将主实例 DNS 用作辅助 DNS 服务器。

多站点配置有以下几个主要方面:

  • 增强型链接方式
  • 跨 vCenter NSX

增强型链接方式和跨 vCenter NSX 互为补充,但又相互独立。 更多信息,请参阅 vCenter Server 实例的多站点配置

增强链接模式

利用增强链接模式( ELM ),可以在所有链接的 vCenter Server 系统中查看和搜索,并复制角色、权限、许可证、策略和标签。

ELM 提供以下优点:

  • 通过单一视角观察多个vCenter服务器的运行环境
  • 通过使用单点登录(SSO)凭证简化了主次关系的创建
  • vCenter Server 自动配置 DNS 名称解析以用于链接在一起的所有站点
  • 在 cross-vCenter NSX 环境中,您可以通过单个 vSphere Web Client 管理所有 NSX 管理器
  • 在所有站点中,通过一个窗格,对 NSX 和常规 vCenter 功能进行管理

ELM 简化了多个 vCenters, 的管理,但并未为 vCenter带来高可用性。 ELM 是由 自动化在部署辅助实例时配置的。IBM Cloud for VMware Solutions

跨 vCenter NSX

在跨 vCenter NSX 中,您具有一个主 NSX Manager 和多个辅助 NSX Manager。 其中每个 NSX Manager 都链接到单独的 vCenter Server。 在主 NSX Manager 上,可以创建通用 NSX 组件,例如可通过辅助 NSX Manager 查看的交换机和路由器。

Cross-vCenter NSX 包括以下功能:

  • 在跨 vCenter 环境中提供相同的逻辑网络,因此任何 vCenter Server 系统的任何集群上的 VM 都可以连接到相同的逻辑网络。
  • 防火墙规则可从一个集中位置进行管理,并应用于 VM,而不考虑位置或 vCenter Server 系统。
  • 对通用对象进行集中管理,减少了管理工作。
  • 可以使用 vMotion 在不同 vCenter Server 之间迁移 VM,而不必重新配置 VM 或更改防火墙规则。

跨 vCenter NSX 与 ELM 组合使用时,可以通过任何链接的 vCenter Server 来查看和管理任何 NSX Manager 以及所有通用 NSX 组件。 ELM 不是跨 vCenter NSX 的先决条件或需求。 没有 ELM,您仍可以创建跨 vCenter 的通用传输专区、通用交换机、通用路由器和通用防火墙规则。 但是,如果未实施 ELM,那么您必须登录到各个 vCenter Server 才能访问每个 NSX Manager 实例。

Cross vCenter NSX 不会自动部署。 您必须按照 在管理器模式下配置 NSX 中的任务手动部署它。

Active Directory 多站点拓扑中的 SSO 和 DNS

在主实例和辅助实例中,AD、DNS 和 SSO 的配置略有不同。

主实例具有以下配置:

  • AD 和 DNS 根域以及 SSO 域
  • vCenter 属于 root 域的服务器,具有特定于实例的名称
  • 属于带有特定实例前缀的 root 域的主机

辅助实例具有以下配置:

  • 与主实例相同的根域和 SSO 域
  • 在主实例和辅助实例的域控制器之间设置 DNS 和 AD 复制
  • vCenter 属于根域和 SSO 域的服务器,具有特定于实例的名称
  • 属于带有特定实例前缀的 root 域的主机
  • 在辅助实例 vCenter 与主实例 vCenter 之间设置增强链接模式 ( ELM )

客户用户标识

vCenter Server 实例的客户用户 ID 和密码可通过 VMware Solutions 控制台中的实例详细信息获取。 有关更多信息,请参阅 vCenter 和 Platform Services Controller 用户标识

域名系统配置

vCenter Server 实例设计集成了 AD 域控制器上的 DNS 服务:

  • 域结构在实例订购过程中指定。
  • 域控制器被配置为 DNS 域的权威。
  • 域控制器服务器被配置为指向所有其他区域的 IBM Cloud DNS 服务器。
  • 与主实例集成的任何辅助 vCenter Server 实例都使用相同的 DNS 名称结构。

当辅助 vCenter Server 实例链接到主实例时,将配置 vCenter Server 实例设备:

  • DNS 使用主实例的 AD DNS 服务器 IP 地址进行配置。
  • 辅助 DNS 使用辅助实例的 AD DNS 服务器 IP 地址进行配置。

AD DS DNS 配置了一个名称为 <root_domain> 的前向查询区,并填充了以下主机 (A) 记录:

  • clouddriver
  • <instance_name>-vc
  • <instance_name>-nsx
  • 订购时提供附加服务。 例如,HCX、Caveonix RiskForesight, Veeam 或 Zerto,使用特定于实例的名称

在以下子网中配置了反向查找区,其中包括授权开始 (SOA)、名称服务器 (NS) 和设备所需的指针 (PTR) 记录:

  • 管理子网
  • Internal-mgmt 子网
  • 附加服务子网。 例如,HCX 子网或 Caveonix RiskForesight 子网。

转发器部分配置为使用:

  • 10.0.80.12
  • 10.0.80.11

转发器是 AD DNS 服务器可以用来解析 AD 服务器无法解析的记录的 DNS 查询的 DNS 服务器。10.0.80.12 和 10.0.80.11 是 IBM Cloud 解析名称服务器的两个地址。 解析名称服务器位于专用网络上,充当 DNS 解析器。 专用解析器通过互联网根域名服务器进行域名查询,并通过专用网络解析这些信息,从而降低带宽使用率,减少权威服务器的负荷,并提供快速解析。 专用网络解析器是我们为客户提供的一项便捷服务。

所有已部署的设备( vCenter Server Appliance、NSX Manager 和控制器以及 vSphere ESXi 主机)的 DNS 设置都被配置为指向 AD DNS 服务器作为默认 DNS。 如果 DNS 区域配置不影响已部署组件的配置,那么可以定制 DNS 区域配置。