IBM Cloud Docs
公共服务设计

公共服务设计

公共服务提供由云管理平台中其他服务使用的服务。 解决方案的公共服务包括身份和访问权服务、域名服务、NTP 服务、SMTP 服务和认证中心服务。

caption-side=bottom"
共同事务

身份和访问权服务

在本设计中,Microsoft®Active Directory(MSAD) 用于身份管理。 该设计部署了一个或两个 Active Directory 虚拟机 (VM),作为 VMware Cloud Foundation for Classic - Automated 部署自动化的一部分。vCenter 已配置为使用 MSAD 身份验证。

Microsoft Active Directory

缺省情况下,会将单个 Active Directory VSI 部署到 IBM Cloud® 基础架构上。

该设计还提供了在管理集群中部署两个高可用性 MSAD 服务器作为专用Microsoft Windows®Server 虚拟机的选项。

如果选择具有两个高可用性 MSAD 服务器的选项,那么您负责提供 Microsoft 许可和激活。

Active Directory仅用于验证访问权限,以管理VMware®实例,而不是容纳已部署实例中工作负载的用户。 Active Directory 服务器的林根域名与您指定的域名服务 (DNS) 域名相同。 如果链接了多个实例,则仅为主VMware Cloud Foundation for Classic - Automated实例指定此域名。 对于链接的实例,每个实例都包含位于林根副本环中的一个 Active Directory 服务器。 此外,还会在 Active Directory 服务器上复制 DNS 区域文件。

vSphere Single Sign On (SSO) 域

vSphere Single Sign On (SSO) 域用作单个实例或多个链接实例的初始认证机制。 SSO 域还用于将一个 VMware 实例或多个链接的实例连接到 MSAD 服务器。 将应用以下 SSO 配置:

  • 始终使用 vsphere.local 的 SSO 域。
  • 对于与现有实例绑定的VMware实例,vCenterServer 设备会加入到现有实例的 SSO 域中。
  • SSO 站点名称是您部署实例时选择的根域。

与现有森林相结合

合并 Active Directory 森林是一个复杂的过程。 如果您希望将实例与现有的 Active Directory 森林集成,IBM Cloud 建议您将现有的 Active Directory 基础架构作为额外身份源添加到 VMware vCenter Server® 中,而不是尝试合并森林。IBM Cloud 自动化要求您为实例选择一个至少包含三个限定符的根域,以减少与现有域冲突的可能性。

有几种方法可以将现有域作为身份源:

  • If you have connectivity to your domain controllers in or from IBM Cloud, you can reference them directly.
  • 您可以在 IBM Cloud 中部署只读复制控制器。
  • 您可以从 IBM Cloud 部署的域控制器向您的域控制器添加单向信任。

域名服务

此设计中的域名服务 (DNS) 仅适用于云管理和基础架构组件。

初级 VMware Cloud Foundation for Classic - Automated 实例

VMware Cloud Foundation for Classic - Automated部署使用已部署的 AD VSI 或 VM 作为实例的 DNS 服务器。 所有部署的组件vCenter,NSX、ESXi 主机)都配置为指向 AD 作为默认 DNS。 如果 DNS 区域配置不影响已部署组件的配置,那么可以定制 DNS 区域配置。

该设计在 AD 虚拟机上集成了 DNS 服务,配置如下:

  • 域结构由用户指定。
  • 域名可以是任意多个级别,但不得超过所有VMware Cloud Foundation for Classic - Automated组件处理的最大值。
  • 域名必须至少为三级。 本指南执行的最佳做法是,顶级域将实例域的责任委托给实例。
  • AD/DNS 服务器被配置为 DNS 域的权威服务器。
  • AD/DNS 服务器配置为指向其他所有专区的 IBM Cloud DNS 服务器。
  • 集成到第一个云区域或目标部署云区域的任何二级云区域都必须使用相同的 DNS 名称结构和唯一的主机前缀。
  • 您还可以选择在vSphere集群内部署冗余 DNS 服务器。 两个 AD/DNS 服务器均配置为未许可。 您负责为这些服务器提供 Windows 操作系统的许可证。
  • 如果单个站点只配置了一个 AD/DNS 服务器,则所有已配置的VMware Cloud Foundation for Classic - Automated组件的 DNS 条目都必须只有该 IP 地址。

次级 VMware Cloud Foundation for Classic - Automated 实例

对于跨实例冗余,当第一个辅助VMware Cloud Foundation for Classic - Automated实例被添加到现有的主实例或独立VMware Cloud Foundation for Classic - Automated实例时,该主实例 AD DNS 服务器 IP 地址将被用于辅助VMware Cloud Foundation for Classic - Automated实例以及所有需要 DNS 服务器条目的组件的任何后续辅助实例“辅助 DNS”条目。

例如,ESXi、vCenter 和 NSX Manager 以及 HCX、Zerto 和 Veeam 等附加组件。 然后,主站点辅助 DNS 条目将更改为第一个辅助 VMware Cloud Foundation for Classic - Automated 实例的 AD/DNS IP 地址。

NTP 服务

此设计使用 IBM Cloud 基础架构 NTP 服务器。 所有部署的组件均配置为使用这些 NTP 服务器。 使设计中的所有组件都使用相同的 NTP 服务器对于证书和 Active Directory 认证正确运行至关重要。

NTP 和 DNS 服务{: caption="NTP 和 DNS 服务NTP 和 DNS" caption-side="bottom"}

认证中心服务

默认情况下,VMware vSphere®使用由位于VMware vCenterServer 设备上的VMware证书授权机构 (VMCA) 签发的 TLS 证书。用户设备或浏览器并不信任这些证书。 安全最佳实践是将面向用户的证书替换为由第三方或企业认证中心 (CA) 签署的证书。 用于机器对机器通信的证书仍然可以是 VMCA 签署的证书。 但是建议您遵循组织的最佳实践,这通常涉及使用识别到的企业 CA。

可以在此设计中使用 Windows AD 服务器来创建由本地实例签署的证书。 但是,您还可以根据需要选择配置 CA 服务。