IBM Cloud Docs
VMware Solutions基礎架構域

VMware Solutions基礎架構域

IBM Cloud® for VMware Solutions 基礎結構網域只持有資源物件和使用者帳戶,用於管理 VMware Cloud Foundation for Classic - Automated 範例。 建議不要使用此網域來保存用於工作負載 VM 的資源物件和使用者帳戶。

在 vCenter Server 設計中,IBM Cloud for VMware Solutions 基礎結構 Active Directory™ (AD) 網域用於:

  • DNS - 作為服務的一部分佈建的應用裝置在 AD 中具有 DNS 項目。 這些項目支援 vCenter Server 實例使用 FQDN 和執行名稱查閱的功能。
  • 鑑別服務 - 新增了 AD 安全群組,並新增了若干帳戶以啟用自動化。

在 IBM Cloud for VMware Solutions 中,每個主要實例都會部署樹系根網域並配置站台拓蹼。 IBM Cloud for VMware Solutions AD/DNS 一律是其自己的樹系和網域,因此無法移除此樹系或網域,因為這樣做可能會中斷 IBM Cloud for VMware Solutions 自動化。 無法將使用者和資源移轉到其中一個現有網域,也無法建立新網域,因為不能為名為 automation 的 IBM 使用者建立認證。

在vCenter Server 執行個體的訂購過程中,將從與Active Directory網域服務 (AD DS) 和 DNS 配置相關的使用者收集主機名稱前綴和網域名稱。

然後使用這些值來產生實體的使用者名稱和伺服器名稱。 如需相關資訊,請參閱訂購 vCenter Server 實例

網域控制站

IBM Cloud® for VMware Solutions 基礎結構網域中使用的所有 AD 網域控制器都只屬於您,不會與其他客戶共用。 您必須提供作業管理來監視、更新、備份和回復這些網域控制站。

這些網域控制器對您為執行個體選擇的網域具有權威性。 確保您選擇的網域名稱在您的網域空間中是唯一的,以便可以將 DNS 責任完全委託給這些控制器。

必須使用標準 AD 工具來管理使用者、群組、電腦和群組原則,與使用內部部署 AD 進行管理的方式一樣。 您可以完全管理部署為 vCenter Server 實例配置一部分的作業系統和 AD 環境。 可以根據需要設定自訂配置,並建立簡單或複雜拓蹼。

在訂購程序中,可以部署:

  • 用於 AD DS 的單一 Microsoft® Windows® Server VSI
  • 叢集裡兩台高可用性的 Microsoft Windows VM

目前,該作業系統部署的是Microsoft Windows Server 2019 Standard。 域功能等級 2008 設定為允許與任何潛在輔助實例的早期版本相容。 如果您的環境中不考慮與早期 (2008) 輔助執行個體的相容性,您可以將網域功能等級升級到更高版本。

有關詳細信息,請參閱 林和網域功能等級

單一 VSI 網域控制站

下圖顯示單一 VSI 網域控制器的部署模式。

單 VSI 網域控制器圖
單 VSI 網域控制器圖

如果您訂購單一 VSI,建議您手動訂購第二個相同類型的 VSI。 將此 VSI 配置為第二個網域控制站,以使 AD DS 成為高度可用的服務。

下表說明 VSI 配置。

VSI規格
參數 規格
作業系統 Windows Server 2019 Standard Edition (64 位元)
CPU 2 x 2.0 GHz 或更高的核心
RAM 8 GB
磁碟 100 GB (SAN)
上行鏈路連接埠速度 1 Gbps 專用網路上行鏈路

網域控制器的配置名稱為 ADNS<instance_name>.<root_domain>,例如 ADNSoncloud.cloud-east.myroot.local。 此伺服器是網域的全局目錄 (GC) 範例。

叢集裡兩台高可用性的 Microsoft Windows VM

下圖顯示兩個高可用性 VM 網域控制器的部署模式。

兩個高可用虛擬機器網域控制器圖
兩個高可用虛擬機器網域控制器

如果您訂購兩個高可用性 (HA) Microsoft Windows 虛擬機器,您必須提供兩個 Microsoft Windows Server 2019 授權。 有關詳細信息,請參閱 網域名稱系統配置

在佈建 vCenter Server 實例之後,您有 30 天時間可啟動 VM。 叢集配置了VM-VM反關聯性規則。 因此,分散式資源調度程序 (DRS) 嘗試透過將虛擬機器放置在不同的實體vSphere ESXi 主機上來將虛擬機器分開。 下表說明 VM 配置。

高可用虛擬機器規格
參數 規格
作業系統 Windows Server 2019 Standard Edition (64 位元)
CPU 2
RAM 8 GB
磁碟 100 GB

網域配置

佈建網域控制站之後,AD DS 會如下所示進行配置:

  1. 網域名稱設定為 <root_domain>,從訂單流程中收集。

  2. ic4V-vCenter AD 安全群組已新增至網域。

  3. 在網域中建立下列 AD 使用者:

    • automation- 是 Administrators、Domain Admins、Domain Users、Enterprise Admins、ic4V-vCenter、Schema Admins 及 Users AD 群組的成員。
    • cloudbase-init- Administrators(管理員)和 Domain Users(網域使用者)AD 群組的成員(此使用者由 VSI 自動化建立,供 VSI 初期配置時使用)。
    • 附加程式服務帳戶,例如 prod-Caveonix-19765prod-Zerto-5c9cb035 - ic4V-vCenterDomain Users AD 群組的成員。

身為客戶,您擁有完整的存取權,可以新增更多的系統管理員到 ic4V-vCenter AD 安全群組,讓每位管理員都擁有 vCenter 的存取權。 建議此網域僅保存用於管理 vCenter Server 實例的資源和使用者帳戶。

使用者 ID

在建立 vCenter Server 範例時,IBM Cloud 自動化會初始設定一些客戶和 IBM 使用者 ID。 IBM 使用者 ID 用於自動化作業,例如新增群集、vSphere ESXi 主機或儲存到 vCenter Server 範例。 如果刪除或停用 IBM 使用者 ID,或者變更其密碼,則這些作業可能會失敗。

如需相關資訊,請參閱 IBM 使用者 ID

多站點拓撲

作為 IBM Cloud for VMware Solutions 中的選項,您可以在多站點拓樸中配置 vCenter Server 實例。 您的第一個實例是主要實例,但是後續訂單可以是主要實例,也可以是次要實例,具體取決於要建立的拓蹼。 透過使用主要實體,然後選擇次要實體,您就可以建立多網站拓樸。

在多網站配置中,您最多可以擁有 15 個實體 (1 個主要實體和 14 個次要實體):

  • 主要實例 - 若要部署第一個實例,請在實例訂購程序中將該實例定義為主要實例。
  • 次要實例 - 在訂購程序中,連接到主要實例的實例定義為次要實例。

AD 和 DNS 複製會在主要和次要實體的網域控制器之間自動設定。 如果要在每個站台上使用單一 AD 網域控制站,請手動配置 DNS 設定,如下所示:

  • 主要實例元件 - 將次要實例 DNS 用作次要 DNS 伺服器。
  • 次要實例元件 - 將主要實例 DNS 用作次要 DNS 伺服器。

多站點配置具有以下關鍵方面:

  • 增強型鏈結模式
  • 跨 vCenter NSX

增強型鏈結模式和跨 vCenter NSX 互為補充,但又相互獨立。 如需詳細資訊,請參閱 vCenter 伺服器實體的多網站設定

增強連動模式

使用 Enhanced Linked Mode ( ELM ),您可以檢視和搜尋所有連結的 vCenter Server 系統,並複製角色、權限、授權、政策和標籤。

ELM 提供下列優點:

  • 透過單一管理平台查看具有多個vCenter Server 的環境
  • 透過使用單一登入 (SSO) 認證,簡化主要與次要關係的建立
  • vCenter Server 自動化會為所有鏈結在一起的站台配置 DNS 名稱解析
  • 在 cross-vCenter NSX 環境中,您可以從單一 vSphere Web Client 管理所有 NSX 管理員
  • 針對 NSX 及一般 vCenter 功能,在所有站台之間使用單一管理畫面

ELM 可簡化多個 vCenters, 的管理,但不會為 vCenter 服務帶來 HA。 ELM 是由 自動化在部署輔助實體時設定的。IBM Cloud for VMware Solutions

跨 vCenter NSX

在跨 vCenter NSX 中,您具有一個主要 NSX Manager 和多個次要 NSX Manager。 其中每個 NSX Manager 都鏈結到個別的 vCenter Server。 在主要 NSX Manager 上,可以建立通用 NSX 元件,例如可透過次要 NSX Manager 查看的交換器和路由器。

Cross-vCenter NSX 包含以下功能:

  • 在跨 vCenter 環境中提供相同的邏輯網路,因此任何 vCenter Server 系統的任何叢集上的 VM 都可以連接至相同的邏輯網路。
  • 防火牆規則可從一個集中位置進行管理,並套用於 VM,而不管位置或 vCenter Server 系統為何。
  • 對通用物件進行集中管理,減少了管理工作。
  • 可以使用 vMotion 在不同 vCenter Server 之間移轉 VM,而不必重新配置 VM 或變更防火牆規則。

跨 vCenter NSX 與 ELM 結合使用時,可以從任何鏈結的 vCenter Server 來檢視和管理任何 NSX Manager 以及所有通用 NSX 元件。 ELM 不是跨 vCenter NSX 的先決條件或需求項目。 沒有 ELM,您仍可以建立跨 vCenter 的通用傳輸區域、通用交換器、通用路由器和通用防火牆規則。 但是,如果未執行 ELM,則您必須登入到各個 vCenter Server 才能存取每個 NSX Manager 實例。

跨vCenter NSX 不會自動部署。 您必須按照 「在管理員模式下設定 NSX」中的任務手動部署。

Active Directory 多網站拓樸中的 SSO 和 DNS

在主要實例和次要實例中,AD、DNS 和 SSO 的配置略有不同。

主要實例具有下列配置:

  • AD、DNS根域和SSO域
  • 屬於具有執行個體特定名稱的 root 網域的vCenter Server
  • 屬於 root 域且具有實例特定前綴的主機

次要實例具有下列配置:

  • 與主實例相同的根域和 SSO 域
  • 在主要和次要實體的網域控制器之間設定 DNS 和 AD 複製
  • 屬於根域和具有執行個體特定名稱的 SSO 域的vCenter Server
  • 屬於 root 域且具有實例特定前綴的主機
  • 在次要實例 vCenter 與主要實例 vCenter 之間設定增強連結模式 ( ELM )

客戶使用者 ID

vCenter Server 實例的客戶使用者 ID 和密碼可透過 VMware Solutions 主控台中的實例詳細資訊取得。 如需相關資訊,請參閱 vCenter 和平台 Services Controller 使用者 ID

網域名稱系統配置

vCenter 伺服器實例設計整合了 AD 網域控制器上的 DNS 服務:

  • 網域結構在實例訂購程序中指定。
  • 網域控制器已設定為 DNS 網域的權威。
  • 網域控制器伺服器被設定為指向所有其他區域的 IBM Cloud DNS 伺服器。
  • 任何整合至主要實體的次要 vCenter Server 實體都使用相同的 DNS 名稱結構。

當次級 vCenter Server 範例連結至主要範例時,就會設定 vCenter Server 範例裝置:

  • DNS 配置為主執行個體的 AD DNS 伺服器 IP 位址。
  • 輔助 DNS 配置為輔助執行個體的 AD DNS 伺服器 IP 位址。

AD DS DNS 配置了一個名稱為 <root_domain> 的前向查詢區域,並填寫了下列主機 (A) 記錄:

  • clouddriver
  • <instance_name>-vc
  • <instance_name>-nsx
  • 訂購時的附加服務。 例如,HCX、Caveonix RiskForesight, Veeam 或 Zerto,具有特定於實例的名稱

在下列子集中設定了具有權限起始 (SOA)、名稱伺服器 (NS) 和所需指針 (PTR) 記錄的用具反向查詢區域:

  • 管理子網路
  • Internal-mgmt 子網路
  • 附加服務子網路。 例如,HCX 子網路或 Caveonix RiskForesight子網路。

轉遞器區段配置為使用:

  • 10.0.80.12
  • 10.0.80.11

轉發器是 AD DNS 伺服器可用於解析 AD 伺服器無法解析的記錄的 DNS 查詢的 DNS 伺服器。10.0.80.12和10.0.80.11是IBM Cloud解析名稱伺服器的兩個位址。 解析名稱伺服器位於私人網路,作為 DNS 解析器。 專用解析器會查詢網際網路根名稱伺服器的網域查詢,並透過專用網路解析此資訊,以降低頻寬使用量、減少權威伺服器的負荷,並提供快速解析。 專用網路解析器是我們為客戶提供的一項便利服務。

所有已部署的裝置 ( vCenter Server Appliance、NSX Manager 與控制器,以及 vSphere ESXi 主機) 的 DNS 設定都設定為指向 AD DNS 伺服器作為預設 DNS。 如果 DNS 區域配置不會干擾已部署元件的配置,則您可以自訂此配置。