¶ Importance
vCenter vous aide à gérer de manière centralisée plusieurs hôtes ESXi et leurs machines virtuelles.
Si vous ne déployez pas, ne configurez pas et ne gérez pas correctement vCenter, votre environnement pourrait subir une diminution de la facilité d’administration des hôtes ESXi et des machines virtuelles.
¶ Leçons du module
- Gestion centralisée avec vCenter
- Déploiement de vCenter Server Appliance
- Licences vSphere
- Gestion de l’inventaire vCenter
- Rôles et permissions vCenter
- Surveillance des événements vCenter
¶ Leçon 1 : Gestion centralisée avec vCenter
¶ Objectifs d’apprentissage
- Décrire l’architecture de vCenter
- Expliquer la communication des hôtes ESXi avec vCenter
- Identifier les services vCenter
¶ À propos de la plateforme de gestion vCenter
vCenter agit comme un point central d’administration pour les hôtes ESXi et les machines virtuelles.
Les hôtes ESXi et les machines virtuelles connectés à un réseau :
- Reçoivent les actions dirigées par vCenter pour les VMs et les hôtes
- Fonctionnent sur une appliance basée sur Linux
Avec vCenter, vous pouvez mutualiser et gérer les ressources de plusieurs hôtes.
vCenter offre des fonctionnalités avancées telles que vSphere DRS, vSphere HA, vSphere Fault Tolerance, vSphere vMotion,vSphere Storage vMotion.
vCenter est déployé sous forme d’appliance virtuelle.
Vous déployez vCenter Server Appliance sur un hôte ESXi de votre infrastructure.
vCenter Server Appliance est une machine virtuelle préconfigurée, basée sur Linux, et optimisée pour exécuter vCenter ainsi que ses composants.
¶ À propos de vCenter Server Appliance
vCenter Server Appliance est une machine virtuelle prépackagée, basée sur Linux, optimisée pour exécuter vCenter et les services associés.
Le package vCenter Server Appliance contient les logiciels suivants :
- Photon OS
- Base de données PostgreSQL
- Services vCenter
Lors du déploiement, vous pouvez sélectionner la taille de vCenter Server Appliance adaptée à votre environnement vSphere, ainsi que la taille de stockage nécessaire à vos besoins en base de données.
vCenter est constitué d’un ensemble de services qui s’exécutent dans vCenter Server Appliance et agit comme un point central d’administration pour les hôtes ESXi connectés à un réseau.
¶ Services vCenter
Les services vCenter incluent :
- vCenter Server
- vSphere Client
- License service
- Content Library
- vSphere Lifecycle Manager
Lorsque vous déployez vCenter Server Appliance, tous ces services sont inclus.
Tous les services vCenter sont installés sur une seule VM.
¶ Architecture de vCenter
Le vSphere Client, la base de données vCenter et les hôtes gérés constituent le socle de vCenter.
L’architecture de vCenter repose sur les composants suivants :
- vSphere Client : vous utilisez ce client pour vous connecter à vCenter et gérer vos hôtes ESXi de manière centralisée. Lorsque vCenter gère un hôte ESXi, vous devez toujours utiliser vCenter et le vSphere Client pour administrer cet hôte.
- Base de données vCenter : la base de données vCenter est un composant critique. Elle stocke les éléments d’inventaire, les rôles de sécurité, les données de performance et d’autres informations essentielles pour vCenter.
- Hôtes gérés : vous pouvez utiliser vCenter pour gérer les hôtes ESXi ainsi que les VMs qui s’exécutent sur ces hôtes.
¶ À propos de vCenter Single Sign-On
vCenter Single Sign-On (SSO) permet aux composants vSphere de communiquer entre eux via un mécanisme sécurisé basé sur des jetons (secure token).
vCenter Single Sign-On peut authentifier les utilisateurs en utilisant des fournisseurs d’identité intégrés ou externes.
Fournisseurs d’identité intégrés :
- Par défaut, vCenter utilise le domaine vsphere.local comme source d’identité.
- Vous pouvez configurer vCenter pour utiliser Active Directory comme source d’identité en utilisant LDAP, LDAPS, OpenLDAP ou OpenLDAPS.
Fournisseur d’identité externe avec authentification fédérée :
- vSphere prend en charge Active Directory Federation Services (AD FS).
Bien que vous puissiez encore configurer Integrated Windows Authentication (IWA), VMware recommande d’utiliser Active Directory via LDAP ou Federated Identity avec AD FS pour l’authentification de vCenter Server et ESXi.
Pour plus de détails, consultez l’article 78506 de la base de connaissances VMware : kb78506
Pour plus d’informations sur la configuration de vCenter Single Sign-On et des fournisseurs d’identité, consultez la documentation vSphere Authentication à l’adresse suivante : https://docs.vmware.com/en/VMware-vSphere/index.html
¶ vCenter Single Sign-On avec fournisseur d’identité intégré
Voici le flux de connexion utilisateur lorsque vCenter agit comme fournisseur d’identité :
- L’utilisateur se connecte au vSphere Client.
- vCenter Single Sign-On authentifie les identifiants auprès d’un service d’annuaire (par exemple, Active Directory).
- Un jeton SAML est renvoyé au navigateur de l’utilisateur.
- Le jeton SAML est transmis à vCenter, et l’utilisateur obtient l’accès.
Pour plus de détails sur le flux de connexion utilisateur, consultez la documentation vSphere Authentication à l’adresse suivante : https://docs.vmware.com/en/VMware-vSphere/index.html
¶ À propos d’Enhanced Linked Mode
Avec Enhanced Linked Mode, vous pouvez vous connecter au vSphere Client et gérer les inventaires de toutes les instances vCenter du groupe :
- Vous pouvez lier jusqu’à 15 instances de vCenter dans un seul domaine vCenter Single Sign-On.
- Vous pouvez créer un groupe Enhanced Linked Mode lors du déploiement de vCenter Server Appliance.
Enhanced Linked Mode offre les fonctionnalités suivantes :
- Vous pouvez vous connecter simultanément à toutes les instances vCenter liées avec un seul nom d’utilisateur et un seul mot de passe.
- Vous pouvez afficher et rechercher les inventaires de toutes les instances vCenter liées dans le vSphere Client.
- Vous pouvez répliquer les rôles, permissions, licences, tags et politiques (comme les politiques de stockage) entre les instances vCenter liées.
Pour joindre des instances vCenter en Enhanced Linked Mode, connectez-les au même domaine vCenter Single Sign-On.
Vous pouvez créer un groupe Enhanced Linked Mode lors du déploiement de vCenter Server Appliance. Vous pouvez également rejoindre un groupe Enhanced Linked Mode en déplaçant ou en repointant une instance vCenter d’un domaine vSphere vers un autre domaine existant.
Pour plus d’informations sur le repointing des instances vCenter, consultez la documentation vCenter Server Installation and Setup à l’adresse suivante : https://docs.vmware.com/en/VMware-vSphere/index.html
Enhanced Linked Mode nécessite une licence vCenter Standard. Il n’est pas pris en charge avec vCenter Foundation ou vCenter for Essentials.
¶ Communication entre ESXi et vCenter
Le vSphere Client est la méthode principale pour gérer les hôtes ESXi.
vSphere Client communique directement avec vCenter.
Si vCenter n’est pas disponible, vous utilisez VMware Host Client pour communiquer directement avec l’hôte ESXi.
vCenter fournit un accès direct à l’hôte ESXi via un agent vCenter appelé virtual provisioning X agent (vpxa).
Le processus vpxa est automatiquement installé sur l’hôte et démarré lorsque l’hôte est ajouté à l’inventaire vCenter.
Le service vCenter (vpxd) communique avec le démon hostd de l’hôte ESXi via l’agent vCenter (vpxa).
Les clients qui communiquent directement avec l’hôte, en contournant vCenter, interagissent avec hostd.
Le processus hostd s’exécute directement sur l’hôte ESXi et gère la plupart des opérations sur cet hôte.
Le processus hostd connaît toutes les VMs enregistrées sur l’hôte ESXi, les volumes de stockage visibles par l’hôte ESXi, ainsi que l’état de toutes les VMs.
La majorité des commandes ou opérations proviennent de vCenter via vpxa.
Par exemple : la création, la migration ou la mise sous tension de machines virtuelles.
Agissant comme intermédiaire entre le processus vpxd, qui s’exécute sur vCenter, et le processus hostd, vpxa relaie les tâches à exécuter sur l’hôte.
Lorsque vous êtes connecté au système vCenter via le vSphere Client, vCenter transmet les commandes à l’hôte ESXi via vpxa.
La base de données vCenter est également mise à jour.
En revanche, si vous utilisez VMware Host Client pour communiquer directement avec un hôte ESXi, les communications passent directement par le processus hostd et la base de données vCenter n’est pas mise à jour.
¶ Scalabilité de vCenter
| Métrique | vCenter 8.0 |
|---|---|
| Hôtes par instance vCenter | 2 500 |
| VMs allumées (powered-on) par instance vCenter | 40 000 |
| VMs enregistrées (registered) par instance vCenter | 45 000 |
| Hôtes par cluster | 96 |
| VMs par cluster | 8 000 |
Vous pouvez faire évoluer vCenter pour prendre en charge de grands environnements d’entreprise.
Pour les limites de configuration recommandées, consultez VMware Configuration Maximums à l’adresse suivante : https://configmax.vmware.com
¶ Revue des Objectifs d’Apprentissage
- Décrire l’architecture de vCenter
- Reconnaître la communication des hôtes ESXi avec vCenter
- Identifier les services de vCenter
¶ Leçon 2 : Déploiement de vCenter Server Appliance
¶ Objectifs d’Apprentissage
- Déployer vCenter Server Appliance dans une infrastructure
- Configurer les paramètres de vCenter
¶ Préparation au déploiement de vCenter Server Appliance
Avant de déployer vCenter Server Appliance, vous devez accomplir plusieurs tâches :
- Vérifier que toutes les exigences système de vCenter Server Appliance sont respectées.
- Obtenir le nom de domaine complet (FQDN) ou l’adresse IP statique de la machine hôte sur laquelle vous allez installer vCenter Server Appliance.
- Obtenir le FQDN et l’adresse IP à attribuer à vCenter Server Appliance.
- S’assurer que la date et l’heure de toutes les machines virtuelles du réseau vSphere sont synchronisées.
Pour plus d’informations sur les exigences système de vCenter Server Appliance, consultez la documentation vCenter Server Installation and Setup à l’adresse : https://docs.vmware.com/en/VMware-vSphere/index.html
¶ Installateur natif GUI de vCenter Server Appliance
L’installateur natif GUI de vCenter Server Appliance offre plusieurs fonctionnalités :
- Avec l’installateur GUI, vous pouvez effectuer un déploiement interactif de vCenter Server Appliance.
- L’installateur GUI est une application native pour Windows, Linux et macOS.
- L’installateur GUI effectue des validations et des vérifications préalables pendant le déploiement.
L’installateur GUI effectue des validations et des vérifications préalables pendant la phase de déploiement afin de garantir qu’aucune erreur n’est commise et qu’un environnement compatible est créé.
¶ Installation de vCenter Server Appliance
L’installation de vCenter Server Appliance est un processus en deux étapes :
- Étape 1 : Déploiement de l’OVF
- Étape 2 : Configuration
Le déploiement peut être entièrement automatisé en utilisant des templates JSON avec le CLI installer sur Windows, Linux ou macOS
L’option Install installe un nouveau vCenter Server Appliance.
L’option Upgrade met à niveau une instance existante de vCenter Server Appliance, ou met à niveau et fusionne une instance existante de vCenter Server Appliance avec un external Platform Services Controller.
L’option Migrate migre à partir d’une instance Windows vCenter existante, ou migre et fusionne une instance Windows vCenter existante avec un external Platform Services Controller.
L’option Restore restaure à partir d’une sauvegarde précédente de vCenter Server Appliance.
¶ Installation de vCenter Server Appliance : Stage 1
Le Stage 1 commence avec la UI phase :
- Accepter l’EULA.
- Se connecter à l’hôte ESXi cible ou au système vCenter.
- Définir le nom du vCenter Server Appliance et le mot de passe root.
- Sélectionner la taille de calcul (compute size), la taille de stockage (storage size) et l’emplacement du datastore (thin disk).
- Définir les paramètres réseau.
Le Stage 1 se poursuit avec la deployment phase :
- Le OVF est déployé sur l’hôte ESXi.
- Les disques et le réseau sont configurés.
¶ Installation de vCenter Server Appliance : Stage 2
Le Stage 2 correspond à la phase de configuration (configuration phase) :
- Configurer le mode de synchronisation de l’heure (time synchronization mode) et l’accès SSH.
- Créer un domaine vCenter Single Sign-On (SSO) ou rejoindre un domaine SSO existant.
- Rejoindre le Customer Experience Improvement Program (CEIP).
En étape 2, vous configurez si vous souhaitez utiliser l’ESXi host ou les NTP servers comme source de synchronisation de l’heure. Vous pouvez également activer l’accès SSH. L’accès SSH est désactivé par défaut.
¶ Mise en route avec vCenter
Après avoir déployé le vCenter Server Appliance, utilisez le vSphere Client pour vous connecter et gérer votre inventaire vCenter :
https://<vCenter_FQDN_or_IP_address>/ui
¶ Configuration de vCenter à l’aide du vSphere Client
Avec le vSphere Client, vous pouvez configurer vCenter, y compris les paramètres tels que :
- la gestion des licences,
- la collecte de statistiques,
- et la journalisation (logging).
Pour accéder aux paramètres système de vCenter en utilisant le vSphere Client, sélectionnez le système vCenter dans le panneau de navigation, cliquez sur l’onglet Configure, puis développez Settings.
¶ vCenter Management Interface
En utilisant la vCenter Management Interface, vous pouvez configurer et surveiller votre instance de vCenter.
Les tâches incluent :
- Surveiller l’utilisation des ressources par l’appliance
- Sauvegarder l’appliance
- Surveiller les services vCenter
- Ajouter des adaptateurs réseau supplémentaires
L’interface vCenter Management Interface est un client HTML conçu pour configurer et surveiller une instance de vCenter.
La vCenter Management Interface se connecte directement au port 5480.
Utilisez l’URL : https://<FQDN_or_IP_address>:5480.
¶ Multi-homing du vCenter Server Appliance
Avec le vCenter Server Appliance multi-homing, vous pouvez configurer plusieurs NICs (Network Interface Cards) pour gérer le trafic réseau.
Un maximum de quatre NICs est pris en charge pour le multi-homing.
Toutes les configurations de multi-homing NIC sont conservées lors des processus de mise à jour (upgrade), de sauvegarde (backup) et de restauration (restore).
¶ Revue des objectifs d’apprentissage
- Déployer vCenter Server Appliance dans une infrastructure
- Configurer les paramètres de vCenter
¶ Leçon 3 : vSphere Licensing
¶ Objectifs d’apprentissage
- Afficher les fonctionnalités sous licence pour vCenter ou un hôte ESXi
- Ajouter des clés de licence à vCenter
¶ À propos des licences vSphere
VMware propose plusieurs éditions de vSphere adaptées à différents besoins :
| Produit | Cas d’usage | Inclus | Fonctionnalités principales |
|---|---|---|---|
| vSphere Essentials Kit | Pour les petites entreprises (jusqu’à 3 hôtes, avec un maximum de 2 CPU chacun) | vCenter et ESXi | vSphere vMotion, vSphere Storage vMotion, vSphere HA, vSphere Data Protection, vSphere Replication |
| vSphere Essentials Plus Kit | Pour les petites entreprises (jusqu’à 3 hôtes, avec un maximum de 2 CPU chacun) | vCenter et ESXi | vSphere vMotion, vSphere Storage vMotion, vSphere HA, vSphere Replication |
| vSphere Standard | Solution d’entrée de gamme pour la consolidation basique de serveurs | vCenter et ESXi | vSphere vMotion, vSphere Storage vMotion, vSphere HA, vSphere Trust Authority, chiffrement des VM, vSphere Replication |
| vSphere Enterprise Plus | Gamme complète de fonctionnalités pour transformer votre datacenter en une infrastructure cloud simplifiée | vCenter et ESXi | Toutes les fonctionnalités avancées mentionnées ci-dessus |
Pour plus de détails, consultez la page produit vSphere : https://store.vmware.com.
¶ Aperçu des licences vSphere
L’attribution de licences aux composants vSphere se fait en deux étapes :
- Ajouter une licence au vCenter License Service
- Attribuer la licence aux hôtes ESXi, aux instances de vCenter et aux autres composants vSphere
¶ Service de licences vSphere
Le vSphere License Service s’exécute sur vCenter.
Le vSphere License Service assure les fonctions suivantes :
- Fournit une gestion centralisée des licences
- Fournit un inventaire des licences vSphere
- Gère les attributions de licences pour les produits intégrés à vSphere, tels que Site Recovery Manager
Le vSphere License Service gère les attributions de licences pour les hôtes ESXi, les systèmes vCenter, ainsi que pour les clusters avec vSAN activé.
Vous pouvez surveiller l’état de santé et le statut du vSphere License Service à l’aide de l’interface de gestion de vCenter.
¶ Ajout de clés de licence dans vCenter
Vous devez attribuer une licence à vCenter avant l’expiration de sa période d’évaluation de 60 jours.
Dans le vSphere Client, depuis le menu principal, sélectionnez : Administration > Licences pour ouvrir le volet Licences.
Dans vSphere, la génération de rapports et la gestion des licences sont centralisées.
Toutes les licences de produits et de fonctionnalités sont encapsulées dans des clés de licence de 25 caractères, que vous pouvez gérer et surveiller depuis vCenter.
Vous pouvez afficher les informations de licence par produit, clé de licence, ou asset :
- Produit : Une licence permettant d’utiliser un composant logiciel ou une fonctionnalité de vSphere, par exemple vCenter ou vSphere Enterprise Plus.
- Clé de licence : Le numéro de série qui correspond à un produit.
- Asset : Un composant auquel une licence produit a été attribuée. Pour qu’un asset puisse exécuter légalement certains logiciels, il doit être licencié.
¶ Attribution d’une licence à un composant vSphere
Vous pouvez attribuer une licence à un asset, tel que vCenter.
¶ Visualisation des fonctionnalités sous licence
Vous gérez les licences à l’aide du volet License dans l’onglet Configure de vCenter.
Ce volet affiche le type de licence et les fonctionnalités disponibles.
Avant d’acheter et d’activer des licences pour ESXi et vCenter, vous pouvez installer le logiciel et l’exécuter en mode évaluation.
Le mode évaluation est destiné à la démonstration du logiciel ou à l’évaluation de ses fonctionnalités. Pendant cette période, le logiciel est entièrement opérationnel.
La période d’évaluation est de 60 jours à partir de l’installation.
Durant cette période, le logiciel vous notifie du temps restant avant l’expiration.
La période d’évaluation de 60 jours ne peut pas être mise en pause ni redémarrée.
Après l’expiration de la période d’évaluation, vous ne pouvez plus effectuer certaines opérations dans vCenter et ESXi.
Par exemple :
- vous ne pouvez plus démarrer (power on) ou réinitialiser (reset) vos machines virtuelles,
- tous les hosts sont déconnectés du système vCenter.
Pour continuer à utiliser pleinement les opérations ESXi et vCenter, vous devez acquérir, installer et attribuer des clés de licence.
¶ Lab 3 : Ajout de licences vSphere
Utilisez le vSphere Client pour ajouter des licences vSphere à vCenter et attribuer une licence à l’instance vCenter :
- Ajouter des licences vSphere à vCenter
- Attribuer une licence à l’instance vCenter
Retrouvez le lien du Lab en cliquant ici : Lab 3 : Ajout de licences vSphere
¶ Revue des objectifs d’apprentissage
- Visualiser les fonctionnalités sous licence pour vCenter ou un hôte ESXi
- Ajouter des clés de licence à vCenter
¶ Leçon 4 : Gestion de l’inventaire vCenter
¶ Objectifs d’apprentissage
- Utiliser le vSphere Client pour gérer l’inventaire vCenter
- Créer et organiser des objets d’inventaire vCenter
- Ajouter des data centers et des objets organisationnels à vCenter
- Ajouter des hôtes ESXi à l’inventaire
- Créer des tags personnalisés pour les objets d’inventaire
¶ Menu principal du vSphere Client
Depuis le menu principal du vSphere Client, vous pouvez :
- Gérer l’inventaire de votre système vCenter,
- Gérer votre environnement d’infrastructure,
- Effectuer des tâches d’administration système.
Le menu principal du vSphere Client est indiqué par une icône à trois lignes, située dans le coin supérieur gauche de la fenêtre du vSphere Client.
¶ Navigation dans l’inventaire
Vous pouvez utiliser le volet de navigation pour parcourir et sélectionner les objets dans l’inventaire vCenter.
¶ Vues pour les hôtes, clusters, machines virtuelles et templates
Les objets hosts et clusters apparaissent dans une vue, tandis que les objets VMs et templates sont affichés dans une autre vue.
La vue d’inventaire Hosts and Clusters affiche tous les objets hosts et clusters d’un data center.
Vous pouvez également organiser les hosts et clusters dans des dossiers.
La vue d’inventaire VMs and Templates affiche tous les objets VMs et templates d’un data center.
Vous pouvez aussi organiser les VMs et templates dans des dossiers.
¶ Vues pour le stockage et les réseaux
- La vue d’inventaire Storage affiche tous les détails des datastores dans le data center.
- La vue d’inventaire Networking affiche tous les port groups sur les standard switches et les distributed switches.
Comme pour les autres vues d’inventaire, vous pouvez organiser vos objets datastore et network dans des dossiers.
¶ Visualisation des informations sur les objets
Comme vous pouvez consulter les informations des objets et accéder aux objets associés, la surveillance et la gestion des propriétés des objets sont facilitées.
¶ À propos des objets Data Center
Un data center virtuel est une organisation logique de tous les objets d’inventaire. Ces objets d’inventaire sont nécessaires pour constituer un environnement entièrement fonctionnel afin de faire fonctionner des VMs :
- Vous pouvez créer plusieurs data centers pour organiser différents ensembles d’environnements.
- Chaque data center dispose de ses propres hosts, VMs, templates, datastores et networks.
Vous pouvez créer un objet data center pour chaque emplacement géographique de vos centres de données.
Ou bien, vous pouvez créer un objet data center pour chaque unité organisationnelle de votre entreprise.
¶ Organisation des objets d’inventaire dans des dossiers
Vous pouvez placer des objets d’un data center dans des dossiers.
Vous pouvez créer des dossiers et des sous-dossiers afin de mieux organiser vos systèmes.
Chacune des quatre vues d’inventaire possède sa propre structure de dossiers.
Vous planifiez la mise en place de votre environnement virtuel en fonction de vos besoins.
Une grande implémentation vSphere peut contenir plusieurs data centers virtuels avec une organisation complexe de hosts, clusters, resource pools et networks. Une implémentation vSphere peut également inclure plusieurs systèmes vCenter.
Les petites implémentations peuvent nécessiter un seul data center virtuel avec une topologie moins complexe.
Quelle que soit l’ampleur de votre environnement virtuel, tenez compte de la manière dont les VMs qu’il supporte sont utilisées et administrées.
Le peuplement et l’organisation de votre inventaire impliquent les tâches suivantes :
- Créer des data centers
- Créer des clusters pour consolider les ressources de plusieurs hosts et VMs
- Ajouter des hosts aux clusters ou aux data centers
- Organiser les objets d’inventaire dans des dossiers
- Configurer le networking en utilisant des vSphere standard switches ou des vSphere distributed switches
- Configurer les systèmes de stockage et créer des objets d’inventaire datastore pour fournir des conteneurs logiques aux périphériques de stockage de votre inventaire
¶ Ajout d’un Data Center et d’objets organisationnels à vCenter
Vous pouvez ajouter un data center, un host, un cluster et des dossiers dans vCenter.
Vous pouvez utiliser les dossiers pour regrouper des objets du même type afin de faciliter leur gestion.
¶ Ajout d’hôtes ESXi à vCenter
Vous pouvez ajouter des hôtes ESXi à vCenter en utilisant le vSphere Client.
¶ Création de tags personnalisés pour les objets d’inventaire
Vous pouvez utiliser des tags pour attacher des métadonnées aux objets de l’inventaire vCenter.
Les tags aident à rendre ces objets plus faciles à trier.
Vous pouvez associer un ensemble d’objets du même type en recherchant des objets par un tag donné.
Vous pouvez utiliser des tags pour regrouper et gérer des VMs, des clusters et des datastores, par exemple :
- Taguer les VMs qui exécutent des charges de travail de production.
- Taguer les VMs en fonction de leur guest operating system.
¶ Lab 4 : Création et gestion de l’inventaire vCenter
Utilisez le vSphere Client pour créer et configurer des objets dans l’inventaire vCenter :
- Créer un objet Data Center
- Ajouter deux hôtes ESXi à l’inventaire
- Consulter les informations sur les hôtes ESXi
- Configurer un hôte ESXi comme NTP Client
- Créer un dossier pour les hôtes ESXi
- Créer des dossiers pour les VMs et les VM Templates
Retrouvez le lien du Lab en cliquant ici : Lab 4 : Création et gestion de l’inventaire vCenter
¶ Revue des objectifs d’apprentissage
- Utiliser le vSphere Client pour gérer l’inventaire vCenter
- Créer et organiser des objets d’inventaire vCenter
- Ajouter des data centers et des objets organisationnels à vCenter
- Ajouter des hôtes ESXi à l’inventaire
- Créer des tags personnalisés pour les objets d’inventaire
¶ Leçon 5 : Rôles et permissions vCenter
¶ Objectifs d’apprentissage
- Définir le terme permission dans le contexte de vCenter
- Reconnaître les règles d’application des permissions
- Créer un rôle personnalisé
- Attribuer une permission globale à un utilisateur
¶ À propos des permissions vCenter
En utilisant le système de contrôle d’accès, l’administrateur vCenter peut définir les privilèges des utilisateurs pour accéder aux objets de l’inventaire.
Les concepts suivants sont importants :
- Privilege : Une action qui peut être exécutée
- Role : Un ensemble de privileges
- Object : La cible de l’action
- User ou group : Indique qui peut exécuter l’action
- Permission : Attribue à un user ou un group un role (ensemble de privileges) pour l’objet sélectionné
L’autorisation d’exécuter des tâches dans vCenter est régie par un système de contrôle d’accès.
Grâce à ce système, l’administrateur vCenter peut spécifier en détail quels users ou groups peuvent exécuter quelles tâches sur quels objects.
Une permission est définie sur un object de l’inventaire vCenter.
Chaque permission associe l’object à un user ou un group, ainsi qu’aux roles de cet utilisateur ou de ce groupe.
Par exemple, vous pouvez sélectionner un VM object, ajouter une permission qui donne le rôle Read-only au group 1 puis ajouter une seconde permission qui donne le rôle Administrator au user 2.
En attribuant un role différent à un group d’utilisateurs sur différents objects, vous contrôlez les tâches que ces utilisateurs peuvent effectuer dans votre environnement vSphere.
Par exemple pour autoriser un groupe à configurer la mémoire d’un host, sélectionnez ce host et ajoutez une permission qui accorde à ce groupe un role incluant le privilege Host.Configuration.Memory Configuration.
¶ À propos des rôles
Les privileges sont regroupés dans des roles :
- Un privilege permet l’accès à une tâche spécifique et est regroupé avec d’autres privileges associés.
- Les roles permettent aux users d’exécuter des tâches.
vCenter fournit quelques system roles que vous ne pouvez pas modifier.
Des sample roles sont également fournis. Vous pouvez les cloner pour créer des custom roles.
Un role est un ensemble d’un ou plusieurs privileges.
Par exemple, le sample role Virtual Machine Power User est constitué de plusieurs privileges répartis dans des catégories telles que Datastore et Global.
Un role est attribué à un user ou à un group et détermine le niveau d’accès de ce user ou de ce group.
Vous ne pouvez pas modifier les privileges associés aux system roles :
- Administrator role : Les users ayant ce rôle pour un object peuvent voir et exécuter toutes les actions sur cet object.
- Read-only role : Les users ayant ce rôle pour un object peuvent voir l’état de l’object et ses détails.
- No access role : Les users ayant ce rôle pour un object ne peuvent ni voir ni modifier cet object de quelque manière que ce soit.
- No cryptography administrator role : Les users ayant ce rôle pour un object disposent des mêmes privileges que les Administrator, sauf pour les privileges de la catégorie Cryptographic operations.
¶ À propos des objets
Les objects sont des entités sur lesquelles des actions sont effectuées.
Les objects incluent les data centers, folders, clusters, hosts, datastores, networks et virtual machines.
Tous les objects possèdent un onglet Permissions.
L’onglet Permissions indique quel user ou group et quel role sont associés à l’object sélectionné.
¶ Attribution des permissions
Pour attribuer une permission :
- Sélectionnez un object
- Sélectionnez un Domain
- Sélectionnez un User/Group
- Sélectionnez un Role
- Propagez la permission aux child objects
Vous pouvez attribuer des permissions aux objects à différents niveaux de la hiérarchie.
Par exemple, vous pouvez attribuer des permissions à un host object ou à un folder object qui inclut tous les host objects.
Vous pouvez également attribuer des permissions à l’object global root pour appliquer ces permissions à tous les objects dans toutes les solutions.
Pour plus d’informations sur l’héritage hiérarchique des permissions et les permissions globales, consultez vSphere Security à l’adresse : https://docs.vmware.com/en/VMware-vSphere/index.html
¶ Visualisation des rôles et des affectations d’utilisateurs
Le volet Roles indique quels users sont affectés au role sélectionné sur un object particulier.
Vous pouvez consulter tous les objects auxquels un role est attribué, ainsi que tous les users ou groups à qui ce role a été accordé.
Pour afficher les informations concernant un role, cliquez sur Usage dans le volet Roles, puis sélectionnez un role dans la liste des Roles.
Les informations affichées à droite indiquent chaque object auquel le role est attribué, ainsi que les users et groups à qui le role a été accordé.
¶ Application des permissions : Scénario 1
Une permission peut être propagée dans la hiérarchie des objects vers tous les sub-objects,
ou bien une permission peut s’appliquer uniquement à un object spécifique.
En plus de spécifier si les permissions se propagent vers le bas, vous pouvez outrepasser les permissions définies à un niveau supérieur en attribuant explicitement des permissions différentes pour un object de niveau inférieur.
Sur la diapositive, l’utilisateur « Greg » se voit attribuer un accès Read-only au Training data center.
Ce rôle est propagé à tous les child objects, sauf pour un : la VM Prod03-2.
Pour cette VM, Greg dispose du rôle Administrator.
¶ Application des Permissions : Scénario 2
Lorsqu’un user est membre de plusieurs groups ayant des permissions sur le même object, ce user reçoit l’union des privileges attribués à ces groupes pour cet object.
Sur la diapositive, Group1 se voit attribuer le rôle VM_Power_On, un rôle personnalisé qui contient un seul privilege : la capacité d’allumer une VM.
Group2 se voit attribuer le rôle Take_Snapshots, un autre rôle personnalisé qui contient les privileges permettant de créer et de supprimer des snapshots. Les deux rôles se propagent aux child objects.
Comme Greg appartient à la fois à Group1 et à Group2, il obtient à la fois les privileges VM_Power_On et Take_Snapshots pour tous les objects du Training data center.
¶ Activité : Application des permissions de groupe (1)
Si Group1 a le rôle Administrator et Group2 a le rôle No Access, quelles permissions Greg possède-t-il ?
Greg a les privilèges d’Administrator.
Greg reçoit l’union des privilèges assignés à Group1 et Group2.
¶ Application des permissions : Scénario 3
Un utilisateur peut être membre de plusieurs groupes ayant des permissions sur différents objets.
Dans ce cas, les mêmes permissions s’appliquent pour chaque objet sur lequel le groupe dispose de permissions, comme si les permissions avaient été accordées directement à l’utilisateur.
Vous pouvez remplacer (override) les permissions définies pour un objet de niveau supérieur en définissant explicitement des permissions différentes pour un objet de niveau inférieur.
Dans l’exemple présenté sur la diapositive :
- Group1 se voit attribuer le rôle Administrator au niveau du Training data center, et ce rôle est propagé aux objets enfants.
- Group2 se voit attribuer le rôle Read-only sur l’objet VM Prod03-1.
Comme Greg est membre à la fois de Group1 et de Group2 :
- Il obtient les privilèges Administrator sur l’ensemble du Training data center (objet de niveau supérieur).
- Mais pour la VM Prod03-1 (objet de niveau inférieur), il obtient uniquement un accès Read-only.
¶ Application des permissions : Scénario 4
Un user (ou group) ne reçoit qu’un seul rôle pour un objet donné.
Les permissions définies explicitement pour le user sur un object prennent le pas sur toutes les group permissions appliquées à ce même object.
Sur la diapositive, trois permissions sont assignées au Training data center :
- Group1 est assigné au rôle VM_Power_On.
- Group2 est assigné au rôle Take_Snapshots.
- Greg est assigné au rôle No Access.
Greg est membre à la fois de Group1 et de Group2. Supposons que la propagation aux child objects soit activée pour tous les rôles. Bien que Greg soit membre à la fois de Group1 et de Group2, Greg reçoit le privilège No Access sur le Training data center et sur tous les objects qui en dépendent.
Greg reçoit le privilège No Access car les explicit user permissions sur un object ont la priorité sur toutes les group permissions appliquées à ce même object.
¶ Creating a Role
Créez des roles avec uniquement les privileges nécessaires.
Par exemple, vous pouvez créer un Provision VMs role qui permet à un utilisateur de déployer des VMs à partir d’un template.
Utilisez des folders pour définir le périmètre des permissions. Par exemple, vous pouvez assigner le Provision VMs role à l’utilisateur nancy@company.com et l’appliquer au Production VMs folder.
Le Provision VMs role est un des nombreux exemples de roles que vous pouvez créer.
Définissez un role en utilisant le plus petit nombre possible de privileges afin de maximiser la sécurité et le contrôle sur votre environnement.
Donnez aux roles des noms qui indiquent clairement ce que chaque role permet de faire, afin de rendre leur objectif explicite.
¶ À propos des Global Permissions
Les Global permissions permettent d’attribuer des privileges à travers plusieurs solutions depuis l’objet racine global (global root object) :
- Elles couvrent plusieurs solutions, comme vRealize Orchestrator, et plusieurs instances de vCenter.
- Elles donnent à un utilisateur ou un groupe des privileges pour tous les objets dans toutes les hiérarchies de vCenter.
Souvent, vous appliquez une permission à un objet de l’inventaire vCenter, comme un ESXi host ou une VM. Lorsque vous appliquez une permission, vous spécifiez qu’un utilisateur ou un groupe dispose d’un ensemble de privileges, appelé un role, sur cet objet.
Les Global permissions donnent à un utilisateur ou à un groupe des privileges pour afficher ou gérer tous les objets dans chacune des hiérarchies d’inventaire de votre déploiement.
L’exemple montre que l’objet global root dispose de permissions sur tous les objets vCenter, y compris les content libraries, les instances de vCenter et les tags.
Les Global permissions permettent un accès à travers plusieurs instances de vCenter. En revanche, les permissions vCenter ne sont effectives que sur les objets d’une instance particulière de vCenter.
¶ Lab 5 : Ajout d’une source d’identité
- Ajouter LAB.LOCAL comme LDAP Identity Source
Retrouvez le lien du Lab en cliquant ici : Lab 5 : Adding an Identity Source
¶ Lab 6 : Utilisateurs, groupes et permissions
Attribuez des roles et des permissions afin qu’un utilisateur LDAP puisse exécuter des fonctions dans vCenter :
- Afficher les LDAP Users
- Attribuer une Root-Level Global Permission à un LDAP User
- Attribuer une Object Permission à un LDAP User
- Vérifier que l’utilisateur cladmin peut accéder à la Content Library
- Vérifier que l’utilisateur studentadmin peut créer une Virtual Machine
Retrouvez le lien du Lab en cliquant ici : Lab 6 : Utilisateurs, groupes et permissions
¶ Revue des objectifs d’apprentissage
- Définir le terme permission dans le contexte de vCenter
- Reconnaitre les règles d’application des permissions
- Créer un custom role
- Attribuer une global permission à un utilisateur
¶ Lesson 6 : Monitoring vSphere Events
¶ Objectifs d’Apprentissage
- Surveiller les tasks et les events qui se produisent sur les objets de l’inventaire vCenter
- Reconnaitre les vCenter log levels pour contrôler la quantité de données collectées dans la vCenter database
¶ À propos des vSphere Tasks
Chaque action que vous effectuez dans vSphere dans le cadre de vos opérations quotidiennes est appelée une task.
Exemples :
- Démarrage (Power on) d’une virtual machine
- Mise à jour de la network configuration
- Modification de la configuration des hosts et des virtual machines
En tant qu’administrateur, vous pouvez surveiller qui exécute les tasks dans le vSphere Client.
Les informations relatives aux tasks sont utiles lors du troubleshooting, car la liste des tasks montre les actions effectuées dans l’environnement vSphere.
¶ À propos des événements vSphere (vSphere Events)
Les événements vSphere sont des enregistrements des actions utilisateur ou système qui se produisent sur des objets dans l’inventaire de vCenter :
- Les informations sur les actions utilisateur incluent le compte utilisateur et les détails spécifiques de l’événement.
- Les détails de l’événement incluent la date et l’heure, le type, la description, ainsi que l’objet sur lequel l’événement a eu lieu.
- Les événements et les alarmes sont affichés pour alerter l’utilisateur en cas de changements dans l’état de santé du service vCenter ou lorsqu’un service échoue.
Les volets Tasks et Events de vCenter fournissent une traçabilité (audit trail), en conservant par défaut un historique de 30 jours.
Parmi les actions pouvant être enregistrées comme événements vSphere, on retrouve par exemple cette liste non exhaustive:
- Expiration d’une clé de licence.
- Mise sous tension (power on) d’une machine virtuelle.
- Connexion d’un utilisateur à une machine virtuelle.
- Perte de connexion d’un hôte.
¶ À propos des niveaux de logs dans vCenter (vCenter Log Levels)
Les services vCenter génèrent leurs propres fichiers journaux (log files) qui peuvent être utilisés pour le dépannage.
Vous pouvez définir différents niveaux de logs afin de contrôler la quantité et le type d’informations stockées par vCenter.
¶ Exemples d’utilisation des niveaux de logs :
- Lors du dépannage de problèmes complexes, configurez le niveau de log sur verbose ou trivia.
- Pour limiter la quantité d’informations stockées dans les fichiers journaux.
| Option | Description |
|---|---|
| None | Désactive complètement la journalisation (logging). |
| Error (errors only) | Affiche uniquement les entrées de log relatives aux erreurs. |
| Warning (errors and warnings) | Affiche les avertissements et les erreurs. |
| Info (normal logging) | Affiche les informations normales, les avertissements et les erreurs. |
| Verbose | Affiche les informations, les avertissements, les erreurs, ainsi que les entrées détaillées (verbose). |
| Trivia (extended verbose) | Affiche toutes les entrées : informations, avertissements, erreurs, verbose et les logs supplémentaires dits trivia (très détaillés). |
Les modifications des paramètres de journalisation prennent effet immédiatement.
Vous n’avez pas besoin de redémarrer le système vCenter.
Lorsque vous définissez le niveau de log sur Verbose ou Trivia pour dépanner des problèmes, souvenez-vous toujours de remettre le niveau de log sur Info (journalisation normale) une fois le dépannage terminé.
¶ Définir les niveaux de log
Vous pouvez configurer la quantité de détails que vCenter collecte dans les fichiers journaux :
- Modifier les niveaux de log dans le vSphere Client.
- Une journalisation plus verbose nécessite plus d’espace sur votre système vCenter.
Pour configurer les niveaux de logging, procédez comme suit :
- Dans le vSphere Client, sélectionnez l’instance de vCenter dans le volet de navigation.
- Cliquez sur l’onglet Configure.
- Sous Settings, sélectionnez General.
- Cliquez sur EDIT.
- Dans le volet de gauche, sélectionnez Logging settings.
- Choisissez une option dans le menu déroulant Log level.
¶ Transfert des fichiers de log vCenter vers un hôte distant
vCenter peut envoyer ses informations de log vers un serveur Syslog distant.
Vous pouvez activer cette fonctionnalité dans le vCenter Management Interface.
¶ Transfert des fichiers de log ESXi Host vers un hôte distant
Pour les ESXi hosts, spécifiez le nom du serveur Syslog distant dans le volet Advanced System Settings du vSphere Client.
Vous pouvez ensuite analyser plus en détail les fichiers de log des hôtes ESXi avec des produits d’analyse de logs, comme vRealize Log Insight.
¶ Revue des objectifs d’apprentissage
• Surveiller les tasks et events qui se produisent sur les objets de l’inventaire vCenter
• Identifier les vCenter log levels afin de contrôler la quantité de données collectées dans la base de données vCenter
¶ Points clés
• vCenter Server Appliance utilise le système d’exploitation Photon et la base de données PostgreSQL.
• Vous pouvez utiliser la vCenter Management Interface pour gérer vCenter, y compris le vCenter networking et les vCenter services.
• Vous utilisez le vSphere Client pour vous connecter aux instances vCenter et gérer les objets de l’inventaire vCenter.
• Une permission, définie dans vCenter, attribue à un utilisateur ou à un groupe un role (ensemble de privilèges) pour un objet sélectionné.
• Une Global permission donne accès à tous les objets vCenter, y compris les content libraries, les instances vCenter et les tags.
• Vous pouvez contrôler le vCenter logging level. Le changement du niveau de log affecte l’utilisation du filesystem de vCenter.
Chapitre précédent : 3 - Installation et configuration d’ESXi - Chapitre suivant : 5 - Configuration du réseau vSphere