administrar el centro de datos de vmware cloud on aws ... · desvincular un sddc en la nube 35 3...

Administrar el centro de datos de VMware Cloud on AWS

4 de octubre de 2019VMware Cloud on AWS

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2017-2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de la administración del centro de datos de VMware Cloud on AWS 6

1 vSphere en VMware Cloud on AWS 8Componentes e interfaces de vSphere 8

Objetos de inventario administrados de vSphere 10

Buscar información sobre VMware Cloud on AWS 13

2 Configurar Hybrid Linked Mode 14Requisitos previos de Hybrid Linked Mode 15

Configuración de Hybrid Linked Mode con el dispositivo de puerta de enlace de nube de vCenter 18

Instalar el dispositivo de puerta de enlace de nube de vCenter a partir del instalador gráfico 19

Vincular el dispositivo de puerta de enlace de nube de vCenter al SDDC de nube desde el instalador del dispositivo de puerta de enlace de nube de vCenter 23

Instalar el dispositivo de puerta de enlace de nube de vCenter mediante el instalador de la línea de comandos 24

Vincular el dispositivo de puerta de enlace de nube de vCenter al SDDC de nube desde la interfaz de usuario del cliente de puerta de enlace 25

Reemplazar el certificado del dispositivo de puerta de enlace de nube de vSphere 26

Copia de seguridad del dispositivo de puerta de enlace de nube 27

Configuración de Hybrid Linked Mode desde el SDDC de nube 27

Validar la conectividad de red para Hybrid Linked Mode 27

Agregar un origen de identidad al dominio LDAP de SDDC 33

Vincular a un centro de datos local 35

Desvincular un SDDC en la nube 35

3 vCenter Server en VMware Cloud on AWS 38Enviar un mensaje a los demás usuarios que han iniciado sesión 38

Examinar la configuración general de vCenter Server 39

Ver eventos, alarmas y tareas recientes 40

4 Autenticar vSphere con vCenter Single Sign-On 41Cómo vCenter Single Sign-On protege el entorno 41

Usar vCenter Single Sign-On con vSphere 43

Orígenes de identidad para vCenter Server con vCenter Single Sign-On 44

Agregar un origen de identidad al dominio LDAP de SDDC 45

Administrar directivas de vCenter Single Sign-On 47

Editar la directiva de contraseñas de vCenter Single Sign-On 47

Editar la directiva de bloqueo de vCenter Single Sign-On 48

Editar la directiva de tokens de vCenter Single Sign-On 49

VMware, Inc. 3

5 Proteger sistemas de vCenter Server 51Recursos y prácticas recomendadas de seguridad 51

Contraseñas en el entorno de vSphere 52

Prácticas recomendadas sobre el control de acceso a vCenter Server 54

Requisitos de contraseñas y comportamiento de bloqueo de vCenter 55

6 Tareas de administración de permisos y usuarios de vSphere 56Descripción de la autorización en vSphere 57

Ver privilegios y permisos 59

Administrar permisos para componentes de vCenter 60

Agregar un permiso a un objeto de inventario 61

Cambiar o quitar permisos 62

Cambiar la configuración de validación de usuarios 62

Permisos globales 63

Funciones del sistema vCenter Server 64

Prácticas recomendadas para funciones y permisos 65

Privilegios de CloudAdmin 66

7 Clústeres y grupos de recursos 67Clústeres y grupos de recursos predefinidos 68

Examinar máquinas virtuales y hosts del clúster 69

Examinar y supervisar vSphere DRS 70

Examinar y supervisar vSphere HA 71

Examinar configuración del clúster 72

Crear y administrar grupos de recursos secundarios 73

8 Almacenamiento de vSan en VMware Cloud on AWS 76Capacidad de almacenamiento y redundancia de datos 77

Desduplicación y compresión de vSAN 78

Cifrado de vSAN en VMware Cloud on AWS 79

Generar nuevas claves de cifrado en VMware Cloud on AWS 79

Directivas de vSAN 80

Acerca de la directiva de almacenamiento predeterminada de vSAN 84

Asignar una directiva de almacenamiento predeterminada a almacenes de datos de vSAN 86

Definir una directiva de almacenamiento de máquinas virtuales para vSAN 87

Asignar directivas de almacenamiento a máquinas virtuales 88

9 Redes de carga de trabajo en VMware Cloud on AWS 90Crear un segmento de red de cómputo 90

Asociar una máquina virtual a una máquina virtual de carga de trabajo o separarla de ella desde un segmento de red de cómputo 91


VMware, Inc. 4

10 Atributos y etiquetas de vSphere 93Crear, editar o eliminar una categoría de etiquetas 94

Crear, editar o eliminar una etiqueta 95

Asignar o quitar una etiqueta 96

Permisos en objetos de etiqueta 96

Agregar y editar atributos personalizados 98


VMware, Inc. 5

Acerca de la administración del centro de datos de VMware Cloud on AWS

En el documento Administrar VMware Cloud en el centro de datos de AWS se explica cómo instalar, examinar y configurar los componentes del centro de datos de VMware Cloud on AWS. Este documento incluye información sobre cómo configurar Hybrid Linked Mode.

Primero debe realizar la configuración inicial (por ejemplo, configurar las redes para el entorno de VMware Cloud on AWS). A continuación, puede crear carpetas y grupos de recursos, agregar un origen de identidad de vCenter Single Sign-On y realizar otras operaciones con las que posiblemente ya esté familiarizado desde un entorno local. También puede utilizar Hybrid Linked Mode para ver y administrar un centro de datos local y uno de VMware Cloud on AWS de manera conjunta.

Tabla 1-1. Administrar VMware Cloud en el centro de datos de AWS

Tema Información destacada

vSphere en VMware Cloud on AWS Presenta los componentes y las interfaces, y proporciona sugerencias para obtener más información.

Hybrid Linked Mode Explica cómo puede vincular la instancia de VMware Cloud on AWS con una instancia de vCenter Server local.

Autenticar vSphere con vCenter Single Sign-On n Explica el funcionamiento de vCenter Single Sign-On.

n Contiene instrucciones para convertir un dominio de AD local en un origen de identidad de vCenter Server.

Tareas de administración de usuarios y permisos n Descripción general del modelo de permisos de vCenter Server.

n Administración de permisos.

n Referencia de privilegios de VMware Cloud on AWS.

Clústeres y grupos de recursos Explica los clústeres y los grupos de recursos que se muestran en un centro de datos de VMware Cloud on AWS, así como las opciones disponibles para personalizar los grupos de recursos.

Almacenamiento de VMware Cloud on AWS Describe el almacenamiento de vSAN disponible en una instancia de VMware Cloud on AWS y cómo administrarlo.

Redes lógicas en VMware Cloud on AWS Proporciona información general sobre redes e instrucciones detalladas para la configuración de redes desde la consola.

Atributos y etiquetas de vSphere Explica cómo se utilizan las etiquetas para facilitar la búsqueda y la administración de elementos en el centro de datos de VMware Cloud on AWS.

VMware, Inc. 6

Audiencia previstaEsta información está destinada a quienes desean utilizar VMware Cloud on AWS para crear, configurar y administrar un SDDC. La información se redactó para los administradores con conocimientos básicos sobre cómo configurar y administrar vSphere en un entorno local, y que están familiarizados con conceptos de virtualización. No se requieren amplios conocimientos sobre Amazon Web Services.


VMware, Inc. 7

vSphere en VMware Cloud on AWS 1VMware vSphere® aprovecha la potencia de la virtualización para transformar los centros de datos en infraestructuras de computación en la nube simplificadas, lo que permite que las organizaciones de TI ofrezcan servicios de TI flexibles y confiables.

Los dos componentes principales de vSphere son VMware ESXi™ y VMware vCenter Server®. ESXi es el hipervisor. Las máquinas virtuales se ejecutan en un clúster de hosts ESXi que vCenter Server administra. En VMware Cloud on AWS, VMware se encarga de la mayor parte de la administración de los hosts ESXi y vCenter Server.

En un entorno de vSphere local, usted es el responsable de muchas de las tareas de administración de infraestructura del SDDC. En cambio, VMware Cloud on AWS le permite centrarse en crear, configurar y administrar máquinas virtuales, plantillas de máquinas virtuales y plantillas de OVF. VMware Cloud on AWS proporciona administración de recursos, autenticación y autorización, así como otras funciones en segundo plano.

Este capítulo incluye los siguientes temas:

n Componentes e interfaces de vSphere

n Objetos de inventario administrados de vSphere

n Buscar información sobre VMware Cloud on AWS

Componentes e interfaces de vSphereVMware vSphere es un conjunto de componentes de software de virtualización. Algunos de ellos son ESXi, vCenter Server y otros componentes de software que realizan varias funciones distintas en el entorno de vSphere. VMware administra por usted muchas partes del SDDC de VMware Cloud on AWS, pero usted puede examinar todos los componentes y cambiar determinadas partes de la configuración.

VMware, Inc. 8

Componentes de vSpherevSphere incluye los siguientes componentes de software:

ESXi El hipervisor en el que se ejecutan máquinas virtuales como un conjunto de archivos de disco y configuración que, juntos, realizan todas las funciones de una máquina física.

vCenter Server Un servicio que actúa como administrador central de hosts VMware ESXi.

vCenter Server se ejecuta continuamente en segundo plano. Realiza actividades de supervisión y administración incluso cuando no hay clientes conectados.

VMware Cloud on AWS incluye una sola instancia de vCenter Server que se puede conectar a una instancia local de vCenter Server utilizando Hybrid Linked Mode.

vCenter Single Sign-On Un servicio que forma parte de la infraestructura de administración de vCenter Server. El servicio de autenticación de vCenter Single Sign-On refuerza la seguridad de la plataforma de infraestructura de la nube de VMware al permitir que los componentes de software de vSphere se comuniquen entre sí a través de un mecanismo de intercambio de token seguro, en lugar de requerir que cada componente autentique a un usuario por separado con un servicio de directorio como Active Directory.

Interfaces de vSphereLa interfaz de vSphere que utilice dependerá de la tarea que desee realizar y del componente que desee administrar.

vSphere Client vSphere Client es un cliente basado en HTML5 para administrar VMware Cloud on AWS. vSphere Client también realiza la mayoría de las tareas de configuración para los SDDC locales de vSphere.

vSphere Command-Line Interface

vSphere admite varias interfaces de línea de comandos para configurar máquinas virtuales y otros componentes de vSphere.

SDK de vSphere vSphere admite varios SDK para administrar distintos aspectos del entorno de vSphere.

Consola de máquina virtual

Al igual que una máquina física, cada máquina virtual tiene una consola que admite determinadas tareas de administración en función el sistema operativo.

Características de vCenter ServerMuchas características de vCenter Server que requerían licencias especiales en las versiones anteriores del producto están disponibles como parte de la licencia de vSphere Standard en vSphere 6.x y también se admiten en VMware Cloud on AWS.


VMware, Inc. 9

Entre las funciones de vCenter Server se incluyen:

vSphere vMotion Permite mover máquinas virtuales en ejecución de un host ESXi a otro host ESXi sin interrumpir el servicio. vSphere HA utiliza vSphere vMotion para migrar máquinas virtuales si un host deja de estar disponible.

Storage vMotion Permite mover el archivo de configuración y los discos de una máquina virtual en ejecución de un almacén de datos a otro sin interrumpir el servicio.

vSphere High Availability

Si se produce un error en un clúster de SDDC, vSphere High Availability garantiza que todas las máquinas virtuales del host se reinicien en otro host del mismo clúster. Los ajustes de vSphere High Availability están previamente configurados en VMware Cloud on AWS y los clientes no pueden volver a configurarlos.

vSphere DRS Ayuda a mejorar el consumo de energía y la asignación de recursos en todos los hosts y grupos de recursos. vSphere DRS recopila información de uso de recursos de todos los hosts y las máquinas virtuales del clúster, o migra las máquinas virtuales en las siguientes situaciones:

n Selección de ubicación inicial: cuando se enciende por primera vez una máquina virtual en el clúster, DRS ubica la máquina virtual o realiza una recomendación.

n Equilibrio de carga: DRS intenta mejorar el uso de recursos en el clúster mediante migraciones automáticas de las máquinas virtuales (vMotion) o recomendaciones para las migraciones de máquinas virtuales.

Consulte Usar directivas y perfiles para ver más detalles de las directivas de almacenamiento que rigen la operación de DRS en el SDDC.

Objetos de inventario administrados de vSphereEn vSphere, el inventario es una colección de objetos físicos y virtuales en la que puede colocar permisos, supervisar tareas y eventos, y establecer alarmas. Puede agrupar la mayoría de los objetos de inventario mediante carpetas para administrarlas de manera más fácil.

Puede cambiarse el nombre de todos los objetos de inventario, con excepción de los hosts, para representar sus objetivos. Por ejemplo, pueden llevar el nombre de departamentos de la empresa, o de ubicaciones o funciones.

Nota Los nombres de los objetos administrados no pueden superar los 214 bytes (codificados con UTF-8).


VMware, Inc. 10

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-9C4E90A8-5DB9-43BB-8A9A-92D55121C414.html

vCenter Server supervisa y administra los siguientes objetos de inventario:

Centros de datos A diferencia de las carpetas, que se usan para organizar tipos de objetos específicos, un centro de datos es una acumulación de todos los tipos diferentes de objetos necesarios para realizar el trabajo en la infraestructura virtual.

Cada centro de datos contiene cuatro jerarquías.

n Máquinas virtuales (y plantillas)

n Hosts (y clústeres)

n Redes

n Almacenes de datos

Cada SDDC de VMware Cloud on AWS tiene un único centro de datos denominado SDDC-Datacenter. El centro de datos define el espacio de nombre de las redes y los almacenes de datos. Los nombres de estos objetos deben ser únicos dentro de un centro de datos. En un mismo centro de datos no puede haber dos almacenes de datos con el mismo nombre. Las máquinas virtuales, las plantillas y los clústeres no necesitan ser únicos dentro del centro de datos, pero sí dentro de la carpeta.

Clústeres Una recopilación de hosts ESXi y las máquinas virtuales asociadas destinados a trabajar juntos como una unidad. Cuando se agrega un host a un clúster, los recursos del host se vuelven parte de los recursos del clúster. vCenter Server administra los recursos de todos los hosts de un clúster como una unidad.

Almacenes de datos Una representación virtual de los recursos de almacenamiento físico en el centro de datos. Un almacén de datos constituye la ubicación de almacenamiento para los archivos de la máquina virtual. En un SDDC en las instalaciones, estos recursos de almacenamiento físico pueden provenir de un disco de SCSI local en el host ESXi, las matrices de discos SAN de canal de fibra, las matrices de discos SAN de iSCSI o las matrices de almacenamiento conectado a la red (Network Attached Storage, NAS). En los SDDC tanto en las instalaciones como en la nube, los almacenes de datos de vSAN ocultan las idiosincrasias del almacenamiento físico subyacente y presentan un modelo uniforme para los recursos de almacenamiento que necesitan las máquinas virtuales.

Carpetas Las carpetas permiten agrupar objetos del mismo tipo para poder administrarlos con facilidad. Por ejemplo, puede usar carpetas para establecer permisos entre los objetos, establecer alarmas entre ellos y organizarlos de forma significativa.


VMware, Inc. 11

Una carpeta puede contener otras carpetas o un grupo de objetos del mismo tipo: centros de datos, clústeres, almacenes de datos, redes, máquinas virtuales, plantillas o hosts. Por ejemplo, una carpeta puede contener hosts y otra carpeta que contenga hosts, pero no puede contener hosts y otra carpeta que contenga máquinas virtuales.

Hosts El equipo físico en el que está instalado ESXi Todas las máquinas virtuales se ejecutan en hosts o clústeres.

Redes Un conjunto de tarjetas de interfaz de red (NIC virtuales), conmutadores distribuidos o vSphere Distributed Switch, y grupos de puertos o grupos de puertos distribuidos que conectan máquinas virtuales entre sí o con la red física fuera del centro de datos virtual. Todas las máquinas virtuales que se conectan al mismo grupo de puertos pertenecen a la misma red en el entorno virtual. Puede supervisar las redes y puede establecer permisos y alarmas en los grupos de puertos y los grupos de puertos distribuidos.

Grupos de recursos Los grupos de recursos se usan para clasificar los recursos de memoria y CPU de un host o clúster. Las máquinas virtuales se ejecutan en grupos de recursos y obtienen sus recursos de esos grupos. Puede crear varios grupos de recursos como elementos secundarios directos de un host o clúster independiente y, posteriormente, delegar el control sobre cada grupo de recursos a otros individuos u otras organizaciones.

vCenter Server DRS proporciona diferentes opciones para supervisar el estado de los recursos, y sugerir o realizar ajustes en las máquinas virtuales mediante los recursos. Puede supervisar los recursos y configurarles alarmas.

Plantillas Una plantilla es una copia maestra de una máquina virtual que se puede utilizar para crear y aprovisionar máquinas virtuales nuevas. Las plantillas pueden tener un sistema operativo invitado y un software de aplicación instalado. Se pueden personalizar durante la implementación para garantizar que la nueva máquina virtual tenga un nombre y una configuración de red únicos.

Máquinas virtuales Un entorno de equipo virtualizado en el que pueden ejecutarse un sistema operativo invitado y el software de aplicación asociado. Varias máquinas virtuales pueden funcionar a la vez en el mismo equipo host administrado.

vApps vSphere vApp es un formato para empaquetar y administrar aplicaciones. Una vApp puede contener varias máquinas virtuales.


VMware, Inc. 12

Buscar información sobre VMware Cloud on AWSVMware Cloud on AWS incluye ayuda detallada en el producto para responder a muchas de sus preguntas. Además, puede buscar en la documentación de VMware Cloud on AWS o en la de vSphere.

Nota No toda la información del conjunto de documentación de vSphere se aplica a VMware Cloud on AWS. VMware se encarga de muchas de las tareas de administración del centro de datos, como la configuración de DRS o HA.

Los siguientes documentos ofrecen información específica para VMware Cloud on AWS:

n Introducción a VMware Cloud on AWS ayuda a comprender cómo funciona VMware Cloud on AWS y cómo configurar las redes desde la consola, e incluye otras tareas de incorporación.

n Administrar máquinas virtuales en VMware Cloud on AWS ofrece instrucciones paso a paso para crear y clonar máquinas virtuales y plantillas de máquina virtual. También explica cómo instalar y personalizar el sistema operativo invitado y cómo configurar las bibliotecas de contenido.

n Administrar VMware Cloud en el centro de datos de AWS explica cómo configurar, examinar y ajustar los componentes del centro de datos de VMware Cloud on AWS. Este documento incluye información sobre cómo configurar Hybrid Linked Mode.

Para ver la documentación:

n Diríjase a docs.vmware.com.

n Utilice la búsqueda y los filtros para buscar la información que necesita.

También puede dirigirse directamente al centro de documentación de VMware Cloud on AWS.


VMware, Inc. 13

https://docs.vmware.com

https://docs.vmware.com/es/VMware-Cloud-on-AWS/index.html

Configurar Hybrid Linked Mode 2Hybrid Linked Mode permite vincular la instancia de vCenter Server de VMware Cloud on AWS con un dominio de vCenter Single Sign-On local.

Importante Antes de poder utilizar Hybrid Linked Mode con VMware Cloud on AWS, debe configurar la instancia local de vCenter para habilitar el inicio de sesión único. Consulte Autenticar vSphere con vCenter Single Sign-On para obtener detalles.

Si se vincula la instancia de vCenter Server en la nube a un dominio que contiene varias instancias de vCenter Server vinculadas con Enhanced Linked Mode, todas esas instancias se vinculan al SDDC en la nube.

El uso de Hybrid Linked Mode permite:

n Ver y administrar los inventarios de los centros de datos de VMware Cloud on AWS y locales desde la misma interfaz de vSphere Client, a la que se accede con las credenciales locales.

n Migrar cargas de trabajo entre el centro de datos local y el SDDC de nube.

n Compartir etiquetas y categorías de etiquetas de la instancia de vCenter Server al SDDC de nube.

Hybrid Linked Mode es compatible con sistemas de vCenter Server locales con la versión 6.0 Update 3 revisión c y versiones posteriores con Platform Services Controller integrado y externo (Windows y vCenter Server Appliance). También se admiten sistemas vCenter Server con instancias externas de Platform Services Controller vinculadas en Enhanced Linked Mode hasta los límites de escala detallados en Valores máximos de configuración de vSphere 6.0.

Existen dos opciones para configurar Hybrid Linked Mode. Solo se puede utilizar una de estas opciones a la vez.

n Puede instalar el Dispositivo de puerta de enlace de nube de vCenter y utilizarlo para establecer un vínculo entre el centro de datos local y el SDDC de nube. En este caso, los usuarios y los grupos de SSO se asignan a partir del entorno local al SDDC sin que sea necesario agregar un origen de identidad al dominio LDAP del SDDC.

n Puede vincular el SDDC de VMware Cloud on AWS a la instancia local de vCenter Server. En este caso, debe agregar un origen de identidad al dominio LDAP de SDDC.


VMware, Inc. 14

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-B98DF9C2-FE7D-483F-9521-C17C138B59D8.html

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-B98DF9C2-FE7D-483F-9521-C17C138B59D8.html

https://configmax.vmware.com/guest?vmwareproduct=vSphere&release=vSphere%206.0&categories=1-0

n Requisitos previos de Hybrid Linked Mode

n Configuración de Hybrid Linked Mode con el dispositivo de puerta de enlace de nube de vCenter

n Configuración de Hybrid Linked Mode desde el SDDC de nube

n Desvincular un SDDC en la nube

Requisitos previos de Hybrid Linked ModeAsegúrese de que se cumplan los siguientes requisitos previos antes de configurar Hybrid Linked Mode.

Requisitos previos comunesLos siguientes requisitos previos son comunes para vincular tanto desde el Dispositivo de puerta de enlace de nube de vCenter como desde el SDDC de nube.

n Configure una conexión entre el centro de datos local y el SDDC. Puede utilizar Direct Connect, una VPN o ambos. Consulte Configurar AWS Direct Connect con VMware Cloud on AWS y Configurar una conexión VPN entre el SDDC y el centro de datos local en la guía de Redes y seguridad de VMware Cloud on AWS.

n Asegúrese de que el centro de datos local y el SDDC en la nube estén sincronizados con un servicio NTP u otro origen de hora de confianza. Cuando se utiliza Hybrid Linked Mode, VMware Cloud on AWS puede tolerar un desfase de hora de hasta 10 minutos entre el centro de datos local y el SDDC en la nube.

n La latencia máxima entre el SDDC de nube y el centro de datos local no debe superar los 100 milisegundos (ida y vuelta).

n Decida cuál de sus usuarios locales tendrá permisos de administrador de nube. Agregue a estos usuarios a un grupo en el origen de identidad. Asegúrese de que este grupo tenga acceso al entorno local.

Requisitos previos para vincular a Dispositivo de puerta de enlace de nube de vCenterLos siguientes requisitos previos se aplican cuando se establece un vínculo con Dispositivo de puerta de enlace de nube de vCenter.

n El entorno local ejecuta vSphere 6.5 revisión d o una versión posterior.

n Asegúrese de que las instancias de Dispositivo de puerta de enlace de nube de vCenter y vCenter Server se puedan conectar entre sí a través de la red. Asegúrese de que los siguientes puertos de firewall estén abiertos.

Origen Destino Puerto Propósito

Explorador web del usuario Dispositivo de puerta de enlace de nube de vCenter

5480 Recopilar el paquete de soporte

Dispositivo de puerta de enlace de nube de vCenter

vCenter Server en las instalaciones

443 Hybrid Linked Mode


VMware, Inc. 15

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-417EE2F1-0EA5-4808-BDB3-6FF622EECB95.html

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-92F6C09E-8E74-430E-8F79-C2E5B2150ADA.html

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-92F6C09E-8E74-430E-8F79-C2E5B2150ADA.html

Origen Destino Puerto Propósito


Platform Services Controller en las instalaciones

443, 389 Hybrid Linked Mode


vCenter Server del SDDC de nube



Host ESXi de nube 902 Consola de máquina virtual


Servidor local de Active Directory (los puertos dependen de su uso)

389, 636, 3268, 3269 Origen de identidad


https://vcgw-updates.vmware.com/

443 Actualización automática de Cloud Gateway

En la siguiente figura, se muestran los puertos que se deben abrir para la vinculación con Dispositivo de puerta de enlace de nube de vCenter.


VMware, Inc. 16

n Compruebe que el host en el que desea instalar el Dispositivo de puerta de enlace de nube de vCenter cumpla con los siguientes requisitos de hardware.

Hardware Requisito mínimo

CPU 8

Memoria 24 GB

Almacenamiento 190 GB

Requisitos previos para vincular desde el SDDC de nubeLos siguientes requisitos previos se aplican cuando se vincula a partir del SDDC de nube.

n El sistema de vCenter Server local ejecuta uno de los siguientes:

n vSphere 6.0 Update 3 revisión c y posteriores.

n vSphere 6.5 revisión d y posteriores.

n Asegúrese de tener las credenciales de inicio de sesión del dominio de SSO de vSphere local.

n Asegúrese de que tenga credenciales de inicio de sesión de un usuario que por lo menos tenga acceso de solo lectura al DN base para usuarios y grupos del entorno local. Se utiliza al agregar un origen de identidad.

n Asegúrese de que se haya configurado un servidor DNS local para la puerta de enlace de administración con el fin de que pueda resolver el FQDN para el origen de identidad y los sistemas de VMware Cloud on AWS locales.

n Asegúrese de que el firewall o la puerta de enlace local permitan el acceso a los puertos necesarios del SDDC para los siguientes servicios.

Origen Destino Puertos Propósito

SDDC de nube vCenter Server en las instalaciones


SDDC de nube Platform Services Controller local

389, 443 Hybrid Linked Mode

SDDC de nube Servidor local de Active Directory (los puertos dependen de su uso)

389, 636, 3268, 3269 Origen de identidad

SDDC de nube Instancia local de DNS 53 Resolver FQDN de vCenter Server y servidor de Active Directory locales

SDDC de nube Host ESXi local 902 Consola de máquina virtual

En la siguiente figura, se muestran los puertos que deben estar abiertos para la vinculación desde el SDDC de nube.


VMware, Inc. 17

n Ejecute las pruebas del validador de conectividad para comprobar que la conectividad de red esté establecida de forma correcta para Hybrid Linked Mode. Consulte Validar la conectividad de red para Hybrid Linked Mode.

Configuración de Hybrid Linked Mode con el dispositivo de puerta de enlace de nube de vCenterImplemente y configure el Dispositivo de puerta de enlace de nube de vCenter para habilitar Hybrid Linked Mode desde el entorno local.

Para ello, tiene que iniciar sesión en el Dispositivo de puerta de enlace de nube de vCenter para ver y administrar los entornos local y de nube de manera conjunta.

n Instalar el dispositivo de puerta de enlace de nube de vCenter a partir del instalador gráfico

Descargue e instale el Dispositivo de puerta de enlace de nube de vCenter si quiere establecer un vínculo con el SDDC de nube y administrarlo desde el centro de datos local.

n Vincular el dispositivo de puerta de enlace de nube de vCenter al SDDC de nube desde el instalador del dispositivo de puerta de enlace de nube de vCenter

Después de instalar el Dispositivo de puerta de enlace de nube de vCenter, puede completar la Etapa 2 del proceso de instalación para vincular el dispositivo con el SDDC de nube.


VMware, Inc. 18

n Instalar el dispositivo de puerta de enlace de nube de vCenter mediante el instalador de la línea de comandos

Utilice el instalador de la línea de comandos para crear un script o automatizar la instalación del dispositivo de puerta de enlace de nube.

n Vincular el dispositivo de puerta de enlace de nube de vCenter al SDDC de nube desde la interfaz de usuario del cliente de puerta de enlace

Utilice este procedimiento para vincular el Dispositivo de puerta de enlace de nube de vCenter al SDDC de nube si no se completó este paso como parte del proceso de instalación.

n Reemplazar el certificado del dispositivo de puerta de enlace de nube de vSphere

Puede reemplazar el certificado del Dispositivo de puerta de enlace de nube de vCenter cuando el certificado caduca o cuando desea utilizar un certificado de otro proveedor de certificados.

n Copia de seguridad del dispositivo de puerta de enlace de nube

No es necesario realizar una copia de seguridad de Dispositivo de puerta de enlace de nube de vCenter, puesto que no tiene estado y se puede volver a implementar si es necesario.

Instalar el dispositivo de puerta de enlace de nube de vCenter a partir del instalador gráficoDescargue e instale el Dispositivo de puerta de enlace de nube de vCenter si quiere establecer un vínculo con el SDDC de nube y administrarlo desde el centro de datos local.

Requisitos previos

Asegúrese de que cumple los requisitos previos que se detallan en Requisitos previos de Hybrid Linked Mode.

Procedimiento

1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.

2 Haga clic en la pestaña Herramientas.

3 Haga clic en Descargar en la tarjeta del dispositivo de puerta de enlace.

Se le dirigirá a My VMware, donde puede completar la descarga de la imagen ISO del instalador del dispositivo.

4 En la imagen ISO del instalador, desplácese hasta la carpeta ui-installer y abra la carpeta del sistema operativo a partir del que desea instalar el dispositivo.

n En un sistema operativo Windows, vaya al subdirectorio win32 y ejecute el archivo installer.exe.

n En un sistema operativo Linux, vaya al subdirectorio lin64 y ejecute el archivo installer.

n En un sistema operativo Mac OS, vaya al subdirectorio mac y ejecute el archivo Installer.app.

5 Haga clic en Comenzar.

6 En Implementar puerta de enlace de nube, haga clic en Iniciar.


VMware, Inc. 19

https://vmc.vmware.com

7 Acepte el contrato de licencia de usuario final.

8 Especifique los parámetros de implementación de la puerta de enlace y haga clic en Siguiente.

Opción Pasos

Puede conectarse a un host ESXi para implementar el dispositivo allí.

1 Escriba el FQDN o la dirección IP del host ESXi.

2 Especifique el puerto HTTPS del host ESXi.

3 Escriba el nombre de usuario y la contraseña de un usuario que tenga privilegios administrativos en el host ESXi (por ejemplo, el usuario raíz).

4 Haga clic en Siguiente.

5 Asegúrese de que la advertencia de certificado muestre la huella digital SHA1 del certificado SSL que se instaló en el host ESXi de destino y haga clic en Sí para aceptar la huella digital del certificado.

Puede conectarse a una instancia de vCenter Server y examinar el inventario para seleccionar un host ESXi o un clúster de DRS donde se implementará el dispositivo.

1 Escriba el nombre de dominio completo o la dirección IP de la instancia de vCenter Server.

2 Especifique el puerto HTTPS de la instancia de vCenter Server.

3 Especifique el nombre de usuario y la contraseña de un usuario con privilegios administrativos de vCenter Single Sign-On en la instancia de vCenter Server (por ejemplo, el usuario administrator@su_nombre_de_dominio).

4 Haga clic en Siguiente.

5 Asegúrese de que la advertencia de certificado muestre la huella digital SHA1 del certificado SSL que se instaló en la instancia de vCenter Server de destino y haga clic en Sí para aceptar la huella digital del certificado.

6 Seleccione el centro de datos o la carpeta de centro de datos que contiene el host ESXi o el clúster de DRS donde desea implementar el dispositivo y haga clic en Siguiente.

Nota Es necesario seleccionar un centro de datos o una carpeta de centro de datos que contenga al menos un host ESXi que no se encuentre en modo de bloqueo o de mantenimiento.

7 Seleccione el host ESXi o el clúster de DRS donde desea implementar el dispositivo y haga clic en Siguiente.

9 Configure la máquina virtual del dispositivo de destino y haga clic en Siguiente.

Parámetro Descripción

nombre de máquina virtual Introduzca un nombre para la máquina virtual del Dispositivo de puerta de enlace de nube de vCenter. El nombre del dispositivo no debe contener ningún signo de porcentaje (%), ninguna barra inversa (\) ni ninguna barra diagonal (/), y tampoco debe tener más de 80 caracteres.

Establecer contraseña raíz Establezca una contraseña raíz para la máquina virtual del Dispositivo de puerta de enlace de nube de vCenter.

La contraseña debe contener solo caracteres ASCII inferiores sin espacios, al menos ocho caracteres, un número, letras minúsculas y mayúsculas, y un carácter especial, por ejemplo, un signo de exclamación (!), un numeral (#), una arroba (@) o un paréntesis (()).

Confirmar contraseña raíz Confirme la contraseña que haya configurado antes.


VMware, Inc. 20

10 Seleccione la ubicación del almacén de datos del Dispositivo de puerta de enlace de nube de vCenter y haga clic en Siguiente.

a Seleccione el almacén de datos donde quiera colocar el Dispositivo de puerta de enlace de nube de vCenter.

b Seleccione Habilitar modo de disco fino para ahorrar espacio de disco implementando el dispositivo con un disco fino.

11 Configure los ajustes de red del dispositivo y haga clic en Siguiente.

Parámetro Descripción

Red Seleccione la red.

Las redes que se muestran en el menú desplegable dependen de la configuración de red del servidor de destino. En el caso de la implementación directa de un dispositivo en un host ESXi, los grupos de puertos virtuales distribuidos que no son efímeros no se admiten y no se muestran en el menú desplegable.

Versión IP Seleccione la versión de la dirección IP del dispositivo.

Puede seleccionar la versión IPv4 o IPv6.

Asignación de IP Seleccione cómo asignar la dirección IP del dispositivo.

n estático

El asistente solicita que se introduzca la dirección IP y la configuración de red.

Nota Evite utilizar una dirección IP como nombre del sistema. Si utiliza una dirección IP como nombre del sistema, no puede modificarla ni actualizar la configuración de DNS después de la implementación.

n DHCP

Los servidores DHCP se utilizan para asignar la dirección IP. Seleccione esta opción solo si hay un servidor DHCP disponible en el entorno.

FQDN Si existe una instancia de DDNS habilitada en el entorno, puede introducir un nombre de dominio completo (Fully Qualified Domain Name, FQDN) para el dispositivo. Si introduce un FQDN que ya existe, el instalador le advertirá de que esto provocará un error en la implementación, a menos que aísle la red en la que está el dispositivo. Así, por ejemplo, puede implementar el dispositivo en un grupo de puertos distinto del FQDN existente.

Dirección IP Si ha seleccionado una dirección IP estática, introduzca la dirección IP del dispositivo. Si introduce una dirección IP que ya existe, el instalador le advertirá de que esto provocará un error en la implementación, a menos que aísle la red en la que está el dispositivo. Así, por ejemplo, puede implementar el dispositivo en un grupo de puertos distinto de la dirección IP existente.

Máscara de subred o longitud de prefijo

Introduzca la máscara de subred o la longitud de prefijo de la dirección IP.

Puerta de enlace predeterminada Introduzca la puerta de enlace predeterminada que va a usar el dispositivo.

Servidores DNS Introduzca las direcciones de los servidores DNS que usa el dispositivo.


VMware, Inc. 21

12 Ajuste la configuración del dispositivo y haga clic en Siguiente.

n Seleccione Sincronizar hora con servidores NTP e introduzca la dirección de uno o varios servidores NTP en el cuadro de texto con el fin de usar servidores NTP para la sincronización de hora.

n Seleccione Sincronizar hora con host ESXi para sincronizar la hora con el host en el que está realizando la implementación.

13 Configure los ajustes de SSO.

Opción Descripción

Platform Services Controller Introduzca la dirección IP o el nombre de dominio completo de la instancia de Platform Services Controller de su entorno local.

Puerto HTTPS Introduzca el puerto HTTPS utilizado por Platform Services Controller.

Dominio de Single Sign-On Introduzca el dominio de Single Sign-On que utiliza la instancia local de Platform Services Controller.

Nombre de usuario de Single Sign-On Introduzca el nombre de usuario del administrador de Single Sign-On con el formato usuario@dominio-sso.

Contraseña de Single Sign On Introduzca la contraseña del administrador de Single Sign-On.

14 Seleccione si desea unir el Dispositivo de puerta de enlace de nube de vCenter al dominio de Active Directory.


Omitir Seleccione esta opción para omitir el paso correspondiente a la unión del Dispositivo de puerta de enlace de nube de vCenter al dominio de Active Directory. Deberá unir el dispositivo al dominio más adelante antes de vincularlo.

Unir Introduzca los siguientes parámetros:

a En el cuadro de texto Dominio, introduzca un nombre de dominio de Active Directory. Por ejemplo, midominio.com.

b De forma opcional, en el cuadro de texto Unidad organizativa, proporcione el FQDN de LDAP de UO completo. Por ejemplo: UO = Ingeniería; DC = midominio; DC = com.

c En el cuadro de texto Nombre de usuario, introduzca el nombre de usuario del administrador de Active Directory con el formato de nombre principal de usuario (User Principal Name, UPN). Por ejemplo, [email protected].

d En el campo Contraseña, introduzca la contraseña del administrador de Active Directory.

15 Haga clic en Finalizar para implementar el dispositivo.

El Dispositivo de puerta de enlace de nube de vCenter se implementa en el entorno local. En una barra de progreso se muestra cómo avanza la implementación.


VMware, Inc. 22

Pasos siguientes

Vaya al paso 2 del instalador para vincular el Dispositivo de puerta de enlace de nube de vCenter al SDDC de nube. Consulte Vincular el dispositivo de puerta de enlace de nube de vCenter al SDDC de nube desde el instalador del dispositivo de puerta de enlace de nube de vCenter.

Nota Tras instalar el dispositivo, considere la posibilidad de configurar la recopilación de registros del dispositivo siguiendo las directrices del artículo 67158 de la base de conocimientos de VMware. Los registros del dispositivo son útiles al solicitar el soporte técnico.

Vincular el dispositivo de puerta de enlace de nube de vCenter al SDDC de nube desde el instalador del dispositivo de puerta de enlace de nube de vCenterDespués de instalar el Dispositivo de puerta de enlace de nube de vCenter, puede completar la Etapa 2 del proceso de instalación para vincular el dispositivo con el SDDC de nube.

Requisitos previos

Complete la parte 1 del proceso de instalación como se describe en Instalar el dispositivo de puerta de enlace de nube de vCenter a partir del instalador gráfico.

Procedimiento

1 En la página de etapas de implementación del instalador, haga clic en Iniciar en Etapa 2: Configurar Hybrid Linked Mode.

2 Conéctese al vCenter Server de nube.


vCenter Server Introduzca la dirección IP o FQDN de la instancia de vCenter Server en el SDDC de nube.

Nombre de usuario Introduzca el nombre de usuario del administrador de nube.

Contraseña Introduzca la contraseña del administrador de nube.

3 Agregue los grupos que haya definido en su entorno local para que actúen como grupos de administradores de nube.

a Seleccione el origen de identidad local.

b Introduzca el nombre del grupo de administradores en el cuadro de búsqueda y seleccione el grupo en cuestión.

4 Haga clic en Finalizar.

Una barra de progreso muestra cómo avanza la operación de vinculación.


VMware, Inc. 23

https://kb.vmware.com/s/article/67158

Pasos siguientes

Cuando se complete el proceso de vinculación, podrá usar el Dispositivo de puerta de enlace de nube de vCenter para ver y administrar los inventarios de los SDDC tanto locales como de nube. Acceda a esta interfaz en http://cga-address/ui, donde cga-address es la dirección IP o el FQDN del Dispositivo de puerta de enlace de nube de vCenter.

Instalar el dispositivo de puerta de enlace de nube de vCenter mediante el instalador de la línea de comandosUtilice el instalador de la línea de comandos para crear un script o automatizar la instalación del dispositivo de puerta de enlace de nube.

Utilice el comando vcgw-deploy para instalar el Dispositivo de puerta de enlace de nube de vCenter desde la línea de comandos. Además de instalar el dispositivo, puede utilizar vcgw-deploy para validar las plantillas de instalación y ejecutar comprobaciones previas en la instalación. Para obtener una lista completa de las opciones de vcgw-deploy, ejecute vcgw-deploy install --help.

Requisitos previos

Asegúrese de que cumple los requisitos previos de Requisitos previos de Hybrid Linked Mode.

Procedimiento


2 Haga clic en la pestaña Herramientas.

3 Haga clic en Descargar en la tarjeta del dispositivo de puerta de enlace.

Se le dirigirá a My VMware, donde puede completar la descarga de la imagen ISO del instalador del dispositivo.

4 Prepare una plantilla JSON para la instalación.

a En la imagen ISO del instalador, desplácese hasta la carpeta cli-installer/templates.

Esta carpeta contiene plantillas JSON de muestra para instalar el Dispositivo de puerta de enlace de nube de vCenter directamente en un host ESXi o a través de un sistema vCenter Server.

b Copie una plantilla en un directorio de trabajo y edítela para que incluya los parámetros necesarios.

Para obtener más información acerca de los parámetros de plantilla disponibles, invoque al instalador con la opción --template-help. Por ejemplo, en Windows, escriba vcgw-deploy.exe install --template-help.

5 En la línea de comandos, cambie a la carpeta cli-installer y ejecute las comprobaciones previas de instalación.

n Para el sistema operativo Windows, escriba vcgw-deploy.exe.install ruta-de-acceso-a-la-plantilla --precheck-only.


VMware, Inc. 24


n Para el sistema operativo Linux, introduzca vcgw-deploy install ruta-de-acceso-a-la-plantilla --precheck-only.

n Para el sistema operativo Mac, introduzca vcgw-deploy install ruta-de-acceso-a-la-plantilla --precheck-only.

Las comprobaciones previas identifican los problemas de la plantilla y los parámetros proporcionados, de modo que pueda solucionar los errores antes de iniciar la instalación.

6 Inicie el instalador.

n Para el sistema operativo Windows, introduzca vcgw-deploy.exe install ruta-de-acceso-a-la-plantilla --accept-eula.

n Para el sistema operativo Linux, introduzca vcgw-deploy install ruta-de-acceso-a-la-plantilla --accept-eula.

n Para el sistema operativo Mac, introduzca vcgw-deploy install ruta-de-acceso-a-la-plantilla --accept-eula.

Pasos siguientes

Vincule el Dispositivo de puerta de enlace de nube de vCenter al SDDC de nube, como se describe en Vincular el dispositivo de puerta de enlace de nube de vCenter al SDDC de nube desde la interfaz de usuario del cliente de puerta de enlace.

Nota Tras instalar el dispositivo, considere la posibilidad de configurar la recopilación de registros del dispositivo siguiendo las directrices del artículo 67158 de la base de conocimientos de VMware. Los registros del dispositivo son útiles al solicitar el soporte técnico.

Vincular el dispositivo de puerta de enlace de nube de vCenter al SDDC de nube desde la interfaz de usuario del cliente de puerta de enlaceUtilice este procedimiento para vincular el Dispositivo de puerta de enlace de nube de vCenter al SDDC de nube si no se completó este paso como parte del proceso de instalación.

Requisitos previos

n Para llevar a cabo esta tarea, debe tener privilegios de administrador en el entorno local.

Procedimiento

1 En un explorador web, vaya a http://cga-address/ui, donde cga-address es la dirección IP o FQDN del Dispositivo de puerta de enlace de nube de vCenter.

2 Inicie sesión con sus credenciales locales.

3 En Nube híbrida, seleccione Dominios vinculados.


VMware, Inc. 25


4 Conéctese al vCenter Server de nube.


vCenter Server Introduzca la dirección IP o FQDN de la instancia de vCenter Server en el SDDC de nube.

Nombre de usuario Introduzca el nombre de usuario del administrador de nube.

Contraseña Introduzca la contraseña del administrador de nube.





Pasos siguientes

Cuando se complete el proceso de vinculación, podrá usar el Dispositivo de puerta de enlace de nube de vCenter para ver y administrar los inventarios de los SDDC tanto locales como de nube. Acceda a esta interfaz en http://cga-address/ui, donde cga-address es la dirección IP o el FQDN del Dispositivo de puerta de enlace de nube de vCenter.

Reemplazar el certificado del dispositivo de puerta de enlace de nube de vSpherePuede reemplazar el certificado del Dispositivo de puerta de enlace de nube de vCenter cuando el certificado caduca o cuando desea utilizar un certificado de otro proveedor de certificados.

Requisitos previos

Genere solicitudes de firma del certificado (Certificate Signing Request, CSR) para cada certificado que desea reemplazar. Proporcione la CSR a su entidad de certificación. Cuando la entidad de certificación devuelva el certificado, colóquelo en una ubicación a la que pueda acceder desde el Dispositivo de puerta de enlace de nube de vCenter.

Procedimiento

1 En un explorador web, vaya a http://cga-address/ui, donde cga-address es la dirección IP o FQDN del Dispositivo de puerta de enlace de nube de vCenter.

2 Inicie sesión con sus credenciales locales.

3 Desplácese hasta la interfaz de usuario de administración de certificados.

a En el menú Inicio, seleccione Administración.

b En Certificados, haga clic en Administración de certificados.


VMware, Inc. 26

4 Introduzca sus credenciales y haga clic en Iniciar sesión y administrar certificados.

5 En el certificado SSL de máquina, seleccione Acciones > Reemplazar.

6 Haga clic en el botón Examinar en la cadena de certificados y proporcione la ruta de acceso del archivo de cadena de certificados.

Este archivo debe contener el certificado SSL de máquina, el certificado de CA raíz y toda la cadena de confianza.

7 Haga clic en el botón Examinar en la clave privada y proporcione la clave privada del certificado.

8 Haga clic en Reemplazar.

Pasos siguientes

Cuando el certificado se reemplace correctamente, reinicie todos los servicios en el Dispositivo de puerta de enlace de nube de vCenter. Consulte https://kb.vmware.com/s/article/2109887.

Copia de seguridad del dispositivo de puerta de enlace de nubeNo es necesario realizar una copia de seguridad de Dispositivo de puerta de enlace de nube de vCenter, puesto que no tiene estado y se puede volver a implementar si es necesario.

Las soluciones de copia de seguridad y restauración basadas en archivos no son compatibles con Dispositivo de puerta de enlace de nube de vCenter.

Configuración de Hybrid Linked Mode desde el SDDC de nubeComo alternativa al uso del Dispositivo de puerta de enlace de nube de vCenter, puede configurar Hybrid Linked Mode desde el SDDC de nube.

En este caso, deberá usar el vSphere Client del SDDC para ver y administrar el inventario completo. Cuando se establece un vínculo desde el SDDC de nube, solo se puede vincular un dominio local.

Validar la conectividad de red para Hybrid Linked ModeUtilice el validador de conectividad de Consola de VMC para comprobar que toda la conectividad de red necesaria está presente para Hybrid Linked Mode.

Cuando proporciona las entradas requeridas al validador de conectividad, este puede comprobar las conexiones de red requeridas para Hybrid Linked Mode.

Procedimiento


2 Haga clic en Ver detalles para el SDDC.

3 Haga clic en la pestaña Solución de problemas.


VMware, Inc. 27



4 En el menú desplegable Caso de uso, seleccione Hybrid Linked Mode.

Se muestran las pruebas de conectividad de Hybrid Linked Mode. Las pruebas se organizan en grupos de acuerdo con la entrada necesaria para cada grupo.

5 En la columna Entrada, especifique la entrada necesaria para cada prueba que desea ejecutar.

6 Ejecute una o varias pruebas.

n Para ejecutar todas las pruebas, haga clic en Ejecutar todo.

n Para ejecutar un grupo de pruebas concreto, haga clic en la opción Ejecutar grupo que se encuentra a la derecha de la lista de grupos.

n Para ejecutar una prueba individual, expanda el grupo de pruebas y haga clic en la opción Ejecutar que se encuentra junto a la prueba individual.

Se muestra el estado de cada prueba mientras se ejecuta. Cuando finaliza una prueba, puede expandirla para ver los detalles de los resultados de la prueba.

Pasos siguientes

Cuando se superen todas las pruebas, continúe con la configuración de Hybrid Linked Mode. Consulte Agregar un origen de identidad al dominio LDAP de SDDC.

Validador de conectividad: no se puede acceder al servidor DNSSe produce un error en las pruebas del servidor DNS principal local o el servidor DNS secundario local en el validador de conectividad.

Problema

Las pruebas Conectividad con el servidor DNS principal local en el puerto 53 y Conectividad con el servidor DNS secundario local en el puerto 53 del validador de conectividad generan un error con un mensaje que indica que se agotó el tiempo de espera del puerto 53.

Figura 2-1. Imagen de la prueba de conectividad del servidor DNS con errores

Causa

Estas son algunas de las causas posibles de este error:

n Es posible que la conexión VPN de IPsec de la nube de SDDC con el centro de datos local esté inactiva.

n El puerto 53 del servidor DNS está bloqueado por una regla de firewall en la nube de SDDC o en el centro de datos local.


VMware, Inc. 28

n Se ha introducido una dirección IP incorrecta para el servidor DNS.

n El servidor DNS está inactivo.

Solución

1 Compruebe que el túnel VPN de la nube de SDDC con la instancia local esté activo. Consulte Ver estadísticas y estado del túnel VPN.

2 Examine las reglas de firewall en la Consola de VMCpara comprobar que el acceso al puerto 53 del servidor DNS local no esté bloqueado.

3 Examine las reglas de firewall en el entorno local para comprobar que el acceso al puerto 53 del servidor DNS local no esté bloqueado.

4 Compruebe si escribió la dirección IP correcta para los servidores DNS locales. Vea Especificar servidores DNS de puerta de enlace de administración.

5 Compruebe que el servidor DNS se esté ejecutando, y actívelo si está inactivo.

Validador de conectividad: error de búsqueda de DNS para un FQDN determinadoSe produce un error en la prueba de búsqueda de DNS para una instancia de vCenter Server, Platform Services Controller, Active Directory o ESXi local.

Problema

Se produce un error en una o varias pruebas de búsqueda de DNS. El campo Dirección resuelta de los resultados de prueba no muestra ningún resultado.

Figura 2-2. Ejemplo de error de prueba de búsqueda de DNS

Causa

Si la prueba de accesibilidad al servidor DNS se realizó correctamente, pero se produce un error de búsqueda de DNS para un determinado FQDN, esto puede deberse a uno de los siguientes problemas:

n El servidor DNS local no tiene ninguna entrada para ese FQDN.

n Se ha introducido un FQDN incorrecto para la prueba.

Solución

1 Compruebe que se ha introducido el FQDN correcto.


VMware, Inc. 29

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-64A70777-4120-476E-B908-F1C9AF1EFAE7.html

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-64A70777-4120-476E-B908-F1C9AF1EFAE7.html

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-D0DF5C40-428E-4957-A33D-75B59DAFE2D0.html

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-D0DF5C40-428E-4957-A33D-75B59DAFE2D0.html

2 Compruebe que el servidor DNS local tenga una entrada para el FQDN.

Validador de conectividad: error de ping para un FQDN determinadoSe produce un error en la prueba de ping para una instancia de vCenter Server, Platform Services Controller, Active Directory o ESXi local.

Problema

Se produce un error en la prueba de ping para un FQDN determinado. Los detalles de la prueba muestran que no se recibió ninguna respuesta de los paquetes ICMP.

Figura 2-3. Ejemplo de error de prueba de ping

Causa


n Es posible que una regla de firewall en el SDDC en la nube o el centro de datos local estén bloqueando el tráfico de ICMP.

n El sistema remoto con el FQDN especificado está apagado.

Solución

1 Compruebe las reglas de firewall configuradas en la Consola de VMC para asegurarse de que no bloqueen el tráfico de ICMP al FQDN indicado.

2 Compruebe las reglas de firewall locales para asegurarse de que no bloqueen el tráfico de ICMP al FQDN indicado.

3 Compruebe que el sistema remoto en el que se hace ping esté encendido y funcionando; si no es así, enciéndalo o reinícielo.

Validador de conectividad: error de accesibilidad de puerto para un FQDN determinadoUna prueba para acceder a un puerto específico en


VMware, Inc. 30

Problema

Se produce un error en una prueba de conectividad con un puerto específico en un FQDN determinado con el mensaje Se agotó el tiempo de espera de conexión del puerto port-number.

Figura 2-4. Ejemplo de error de prueba de disponibilidad de puertos

Causa


n Hay una regla de firewall en la nube de SDDC o el centro de datos local que bloquea el acceso al puerto.


Solución

1 Compruebe las reglas de firewall configuradas en la Consola de VMC para asegurar que no bloqueen el acceso al puerto indicado.

2 Compruebe las reglas de firewall locales para asegurar que no bloqueen el acceso al puerto indicado.

3 Compruebe que el sistema remoto en el que se hace ping esté encendido y funcionando; si no es así, enciéndalo o reinícielo.

Validador de conectividad: error de traceroute para un FQDN determinadoSe produce un error en la prueba de traceroute para un FQDN determinado.

Problema

Se produce un error en la prueba de traceroute para un FQDN. En los resultados de la prueba, se pueden ver los saltos al destino enumerados sin las direcciones IP correspondientes.


VMware, Inc. 31

Figura 2-5. Ejemplo de error de prueba de traceroute

Causa


n Si la prueba de ping del FQDN es correcta, es posible que una regla de firewall en el SDDC en la nube o el centro de datos local estén bloqueando el tráfico de ICMP hacia uno de los saltos de la ruta de tráfico.


Solución

1 Compruebe las reglas de firewall configuradas en la Consola de VMC para asegurar que no bloqueen el tráfico de ICMP hacia ninguno de los saltos de la ruta de tráfico.

2 Compruebe las reglas de firewall locales para asegurarse de que no bloqueen el tráfico de ICMP hacia uno de los saltos de la ruta de tráfico.

3 Compruebe que el sistema remoto esté encendido y funcionando; si no es así, enciéndalo o reinícielo.

Validador de conectividad: error de prueba debido a un error internoSe produce un error en la prueba debido a un error interno.

Problema

Cualquiera de las pruebas del validador de conectividad puede generar un error con un mensaje que empiece con Error interno:.


VMware, Inc. 32

Figura 2-6. Ejemplo de error de prueba debido a un error interno

Causa

Este error suele producirse cuando el validador de conectividad experimenta un problema de conectividad interna.

Solución

La mayoría de estos errores son intermitentes y se resuelven sin necesidad de hacer nada. Sin embargo, si el error continúa, póngase en contacto con el soporte al cliente de VMware.

Agregar un origen de identidad al dominio LDAP de SDDCEl primer paso para configurar Hybrid Linked Mode desde el SDDC consiste en agregar su dominio LDAP local como un origen de identidad para la instancia de vCenter Server del SDDC.

Hybrid Linked Mode se puede configurar desde el SDDC si el servicio LDAP local lo proporciona un dominio nativo de Active Directory (autenticación integrada de Windows) o un servicio de directorio de OpenLDAP.

Importante Si utiliza OpenLDAP como el origen de identidad, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2064977 para obtener información sobre los requisitos adicionales.

Requisitos previos

Asegúrese de que cumple los requisitos previos comunes de Requisitos previos de Hybrid Linked Mode.

Procedimiento

1 Inicie sesión en la instancia de vSphere Client del SDDC.

Para agregar un origen de identidad, debe haber iniciado sesión como [email protected] u otro miembro del grupo de administradores de nube.


VMware, Inc. 33

http://kb.vmware.com/kb/2064977

2 Se mostrará el cuadro de diálogo Agregar origen de identidad.

Caso de uso Descripción

Hybrid Linked Mode a Seleccione Menú > Administración.

b En Nube híbrida, seleccione Dominios vinculados.

c En Agregar administrador de nube, seleccione Agregar origen de identidad en el menú desplegable Origen de identidad.

Todos los demás casos de uso a Seleccione Menú > Administración.

b En Inicio de sesión único, haga clic en Configuración.

c Haga clic en Orígenes de identidad y en Agregar.

3 Configure las opciones del origen de identidad.


Tipo de origen de identidad Seleccione Active Directory como servidor LDAP para un servidor de Windows Active Directory o seleccione LDAP abierto para un servidor LDAP abierto.

Nombre Introduzca el nombre del origen de identidad.

DN base para usuarios Introduzca el nombre distintivo base de los usuarios.

DN base para grupos Introduzca el nombre distintivo base de los grupos.

Nombre de dominio FQDN del dominio. No introduzca aquí una dirección IP.

Alias de dominio Introduzca un alias para el dominio.

Para los orígenes de identidad de Active Directory, el nombre de NetBIOS del dominio. Si usa autenticaciones de SSPI, agregue el nombre de NetBIOS del dominio de Active Directory como alias del origen de identidad.

Nombre de usuario Introduzca el identificador de un usuario del dominio que tenga, como mínimo, acceso de solo lectura al nombre distintivo base de los usuarios y grupos. Utilice el formato UPN (por ejemplo, [email protected]), en lugar de un formato de nombre distintivo.

Contraseña Introduzca la contraseña del usuario especificado en el campo Nombre de usuario.

Conectar con Seleccione a qué controladora de dominio se conectará.

n Seleccione Cualquier controladora de dominio en el dominio para conectarse a cualquier controladora de dominio.

n Seleccione Controladoras de dominio específicas para especificar las controladoras de dominio.

Si selecciona Controladoras de dominio específicas, indique la dirección URL del servidor principal y del servidor secundario que se utilizará para la conmutación por error. Use el formato ldap://nombre de host:puerto o ldaps://nombre de host:puerto. Por lo general, el puerto es el 389 para las conexiones de ldap: y 636 para las conexiones de ldaps:. Para las implementaciones de controladoras de varios dominios de Active Directory, el puerto suele ser el 3268 para las conexiones de ldap: y el 3269 para las conexiones de ldaps:.

Certificados SSL Si usa ldaps:, seleccione Examinar y elija un archivo de certificado que quiera cargar a fin de proporcionar seguridad para la conexión ldaps:.


VMware, Inc. 34

Cuando se agrega el origen de identidad, los usuarios locales pueden autenticarse en el SDDC, pero tienen la función Sin acceso. Agregue permisos a un grupo de usuarios para concederles la función Administrador de nube.

Vincular a un centro de datos localPara completar la configuración de Hybrid Linked Mode desde el SDDC de nube, vincule el centro de datos local desde el vCenter Server de nube.

Procedimiento

1 Si aún no lo hizo, inicie sesión en la instancia de vSphere Client del SDDC y desplácese hasta la página Dominios vinculados.

a Seleccione Menú > Administración para mostrar la página de administración.


2 Conéctese al vCenter Server local.


Platform Services Controller Introduzca la dirección IP o FQDN de la instancia de Platform Services Controller en el centro de datos local.

Puerto HTTPS Introduzca el puerto HTTPS utilizado por Platform Services Controller.

Nombre de usuario Introduzca el nombre de usuario del administrador de SSO local.

Contraseña Introduzca la contraseña del administrador de SSO local.



Si aún no ha agregado el origen de identidad local, hágalo ahora del modo descrito en Agregar un origen de identidad al dominio LDAP de SDDC.


4 Haga clic en Vincular.

Desvincular un SDDC en la nubePuede desvincular un SDDC en la nube del modo Hybrid Linked Mode cuando ya no quiera tener vinculado ese SDDC con un centro de datos local en concreto.


VMware, Inc. 35

Por ejemplo, puede vincular un centro de datos local al SDDC con el fin de migrar las máquinas virtuales al SDDC y, a continuación, desvincular el centro de datos local. Si tiene pensado desinstalar un centro de datos local vinculado, antes debe desvincularlo.

Nota La desvinculación de un centro de datos local del SDDC en la nube no quita los permisos o el origen de identidad asociados que se agregaron antes de vincular el dominio. Los usuarios pueden seguir usando sus credenciales locales para autenticarse en el SDDC y conservar los permisos que les fueron concedidos. Sin embargo, no podrán ver el inventario local después de desvincular el dominio. Si un SDDC en la nube se desvincula del Dispositivo de puerta de enlace de nube de vCenter, los usuarios ya no podrán utilizar sus credenciales locales para iniciar sesión en ese SDDC en la nube.

La desvinculación también deja a las etiquetas y categorías en su lugar, debido a que las máquinas virtuales en el SDDC en la nube pueden seguir usando esas etiquetas.

Requisitos previos

Asegúrese de disponer de conectividad de red entre la puerta de enlace de administración de SDDC y el dominio de SSO.

Procedimiento

1 Inicie sesión en el sistema que corresponda.

n Si el SDDC en la nube y el centro de datos local se han vinculado desde el Dispositivo de puerta de enlace de nube de vCenter, inicie sesión en la interfaz de usuario del Dispositivo de puerta de enlace de nube de vCenter.

n Si el SDDC en la nube y el centro de datos local se han vinculado desde vCenter Server en la nube, inicie sesión en el vSphere Client del SDDC.

2 Desplácese hasta la página Dominios vinculados.

a Seleccione Menú > Administración para mostrar la página de administración.


3 En el nombre del dominio vinculado, haga clic en Desvincular.

Aparecerá un cuadro de diálogo donde se le pedirá que confirme la desvinculación. Tenga en cuenta que todas las sesiones actualmente activas se cerraron al desvincular un dominio.

4 Haga clic en Aceptar.

Cuando termine la desvinculación, se le pedirá que cierre la sesión.

5 Haga clic en Aceptar para cerrar la sesión.


VMware, Inc. 36

El dominio de SSO está desvinculado. Si desea continuar usando Hybrid Linked Mode, puede realizar la vinculación con otro dominio de SSO o volver a vincular con el mismo dominio.

Nota Después de desvincular del SDDC en la nube, las nuevas conexiones al vSphere Client del SDDC en la nube no podrán ver los recursos locales previamente vinculados ni interactuar con ellos. Las sesiones actualmente activas en la instancia de vSphere Client del SDDC en la nube pueden seguir viendo recursos de las instancias locales de vCenter Server previamente vinculadas y seguir interactuando con ellos hasta que los usuarios de las sesiones de la instancia de vSphere Client del SDDC en la nube las cierren o hasta que estas caduquen. Si es necesario, inicie sesión en cada una de las instancias locales de vCenter Server previamente vinculadas y ejecute una finalización forzosa de estas sesiones.

Después de desvincular del Dispositivo de puerta de enlace de nube de vCenter, las nuevas conexiones al Dispositivo de puerta de enlace de nube de vCenterno podrán ver los recursos locales previamente vinculados ni interactuar con ellos. Las sesiones actualmente activas en el Dispositivo de puerta de enlace de nube de vCenter podrán seguir viendo los recursos del SDDC en la nube e interactuar con ellos hasta que los usuarios de esas sesiones las cierren o hasta que estas caduquen. Si es necesario, inicie sesión el Dispositivo de puerta de enlace de nube de vCenter y ejecute una finalización forzosa de estas sesiones.


VMware, Inc. 37

vCenter Server en VMware Cloud on AWS 3vCenter Server es la plataforma de administración local y en la nube de las máquinas virtuales. VMware configura vCenter Server por usted definiendo los ajustes de almacenamiento, HA, DRS, etc. Puede examinar vCenter Server como lo haría en un entorno local.

En un entorno de vSphere local, puede cambiar muchos de los ajustes de vCenter Server, incluidos la licencia, la recopilación de estadísticas, el registro, etc.

En un entorno de VMware Cloud on AWS, puede realizar las siguientes tareas:

Tabla 3-1. Tareas de vCenter Server en VMware Cloud on AWS

Tarea Descripción

Definir un mensaje del día Defina un mensaje y envíelo a otros usuarios del SDDC de VMware Cloud on AWS.

Examinar la jerarquía de objetos de vCenter Server El examen de la jerarquía resulta especialmente útil si realiza la migración desde un entorno local hacia la nube.

Examinar eventos, alarmas y tareas recientes vCenter Server mantiene registros detallados de eventos y alarmas. También se muestran alarmas directamente en la pantalla en la que se aplican.


n Enviar un mensaje a los demás usuarios que han iniciado sesión

n Examinar la configuración general de vCenter Server

n Ver eventos, alarmas y tareas recientes

Enviar un mensaje a los demás usuarios que han iniciado sesiónLos administradores pueden enviar mensajes a los usuarios que hayan iniciado sesión en un sistema vCenter Server. El mensaje podría anunciar el mantenimiento o pedir a los usuarios que cierren sesión temporalmente.

Procedimiento

1 En vSphere Client, desplácese hasta la instancia de vCenter Server.

VMware, Inc. 38

2 Haga clic en Configurar.

3 Seleccione Configuración > Mensaje del día y haga clic en Editar.

4 Introduzca un mensaje y haga clic en Aceptar.

El mensaje aparecerá en la parte superior de vSphere Client en cada sesión activa del usuario.

Examinar la configuración general de vCenter ServerAl aprovisionar un SDDC de VMware Cloud on AWS, VMware crea una instancia de vCenter Server por usted. Puede examinar su configuración actual.

En un entorno local, es posible que tenga que ajustar los detalles de la configuración de vCenter Server. Debido a que VMware administra las instancias de vCenter Server en VMware Cloud on AWS, no es necesario que modifique la configuración. Puede verla para examinar la asignación de recursos, las redes y otros atributos.

Procedimiento

1 En vSphere Client, haga clic en Inicio y obtenga una descripción general de la instancia de vCenter Server.

2 Para obtener detalles, seleccione Menú > Hosts y clústeres, seleccione vCenter Server y examine la información de las diferentes pestañas.


VMware, Inc. 39

Ver eventos, alarmas y tareas recientesvCenter Server registra eventos, alarmas y tareas recientes. Puede usar VMware Cloud on AWS para registrar eventos, alarmas y tareas desde vSphere Client.

n Los eventos son registros de acciones del usuario o acciones del sistema que se producen en los objetos de vCenter Server o en un host.

n Las alarmas son notificaciones que se activan en respuesta a un evento, a un conjunto de condiciones o al estado de un objeto de inventario.

Consulte el documento Supervisión y rendimiento de vSphere para obtener más detalles.

Procedimiento

1 Para ver la consola de eventos, seleccione Menú > Eventos.

Puede seleccionar eventos y ver los detalles, ordenar la presentación de la consola y hacer clic en Siguiente para mostrar eventos anteriores.

2 Para ver la consola de tareas, seleccione Menú > Tareas.

Puede seleccionar tareas, y ver detalles y eventos relacionados, ordenar la presentación de la consola y hacer clic en Siguiente para mostrar tareas anteriores.

3 Las alarmas se muestran de diversas maneras.

n Cualquier objeto al que se haya asociado una alarma muestra un icono de alarma en la jerarquía de objetos. Seleccione la pestaña Resumen del objeto para ver los detalles.

n Si selecciona Alarmas en la parte inferior de vSphere Client, puede mostrar tareas y alarmas recientes. Haga clic en el objeto relacionado para examinarlo.

Nota Si el objeto con la alarma es un sistema de vCenter Server vinculado, es posible que no se pueda examinar ese objeto si el problema es grave.


VMware, Inc. 40

Autenticar vSphere con vCenter Single Sign-On 4vCenter Single Sign-On es un agente de autenticación y una infraestructura de intercambio de tokens de seguridad. Cuando un usuario puede autenticarse en vCenter Single Sign-On, recibe el token SAML. Posteriormente, el usuario puede utilizar el token SAML para autenticarse en los servicios de vCenter. Luego, el usuario puede realizar las acciones para las que tiene privilegios.

Ya que el tráfico está cifrado para todas las comunicaciones y solo los usuarios autenticados puede realizar las acciones para las que tienen privilegios, el entorno permanece seguro.

A partir de vSphere 6.0, vCenter Single Sign-On forma parte de Platform Services Controller. Platform Services Controller contiene servicios compartidos que admiten componentes de vCenter Server y vCenter Server. Estos servicios incluyen vCenter Single Sign-On, VMware Certificate Authority y el servicio de licencias. Consulte Instalar y configurar vCenter Server para obtener detalles sobre Platform Services Controller.

En el protocolo de enlace inicial, los usuarios se autentican con un nombre de usuario y una contraseña, mientras que los usuarios de solución lo hacen con un certificado. Para obtener información sobre el reemplazo de certificados de usuario de solución, consulte Certificados de seguridad de vSphere.

El siguiente paso es autorizar a los usuarios que pueden autenticar a que realicen ciertas tareas. En la mayoría de los casos, usted asigna privilegios de vCenter Server, generalmente asignando el usuario a un grupo con una función. vSphere incluye otros modelos de permiso como permisos globales. Consulte la documentación de Seguridad de vSphere.


n Cómo vCenter Single Sign-On protege el entorno

n Usar vCenter Single Sign-On con vSphere

n Orígenes de identidad para vCenter Server con vCenter Single Sign-On

n Agregar un origen de identidad al dominio LDAP de SDDC

n Administrar directivas de vCenter Single Sign-On

Cómo vCenter Single Sign-On protege el entornovCenter Single Sign-On permite que los componentes de vSphere se comuniquen entre sí a través de un mecanismo de token seguro.

VMware, Inc. 41

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-779A011D-B2DD-49BE-B0B9-6D73ECF99864.html

vCenter Single Sign-On utiliza los siguientes servicios.

n STS (servicio de token de seguridad).

n SSL para proteger el tráfico.

n La autenticación de usuarios humanos a través de Active Directory u OpenLDAP.

Protocolo de enlace de vCenter Single Sign-On para usuarios humanosEn la siguiente ilustración se muestra el protocolo de enlace para usuarios humanos.

Figura 4-1. Protocolo de enlace de vCenter Single Sign-On para usuarios humanos

Kerberos

vSphere Web Client

12

3 4

5

6

Servicio deDirectorio

de VMware

CA vCenterServer

vCenter SingleSign-On

1 El usuario inicia sesión en vSphere Client con un nombre de usuario y una contraseña para acceder al sistema vCenter Server o a otro servicio de vCenter.

El usuario también puede iniciar sesión sin una contraseña y activar la casilla Usar la autenticación de sesión de Windows.

2 vSphere Client pasa la información de inicio de sesión al servicio vCenter Single Sign-On, que comprueba el token SAML de vSphere Client. Si vSphere Client tiene un token válido, vCenter Single Sign-On comprueba si el usuario se encuentra en el origen de identidad configurado (por ejemplo, Active Directory).

n Si solo se emplea el nombre de usuario, vCenter Single Sign-On comprueba el dominio predeterminado.

n Si se incluye un nombre de dominio con el nombre de usuario (DOMAIN\user1 o user1@DOMAIN), vCenter Single Sign-On comprueba ese dominio.

3 Si el usuario puede autenticarse en el origen de identidad, vCenter Single Sign-On devuelve un token que representa al usuario en vSphere Client.

4 vSphere Client pasa el token al sistema vCenter Server.


VMware, Inc. 42

5 vCenter Server comprueba con el servidor de vCenter Single Sign-On que el token sea válido y que no haya caducado.

6 El servidor de vCenter Single Sign-On devuelve el token al sistema vCenter Server mediante el marco de autorización de vCenter Server para otorgar acceso a los usuarios.

Ahora el usuario puede autenticarse, y ver y modificar todos los objetos sobre los que tiene privilegios por su función.

Cifrado compatibleSe admite el cifrado AES, que es el nivel más alto de cifrado. El cifrado compatible también afecta a la seguridad cuando vCenter Single Sign-On utiliza Active Directory como un origen de identidad.

Usar vCenter Single Sign-On con vSphereCuando un usuario inicia sesión en un componente de vSphere o cuando un usuario de solución de vCenter Server accede a otro servicio de vCenter Server, vCenter Single Sign-On lleva a cabo la autenticación. Los usuarios deben autenticarse con vCenter Single Sign-On y tener los privilegios necesarios para interactuar con objetos de vSphere.

vCenter Single Sign-On autentica a los usuarios de solución y a otros usuarios.

n Los usuarios de solución representan un conjunto de servicios en el entorno de vSphere. Durante la instalación, VMCA asigna un certificado a cada usuario de solución de forma predeterminada. El usuario de solución utiliza ese certificado para autenticarse en vCenter Single Sign-On. vCenter Single Sign-On otorga al usuario de solución un token SAML para que pueda interactuar con otros servicios del entorno.

n Cuando otros usuarios inician sesión en el entorno, por ejemplo, desde vSphere Client, vCenter Single Sign-On solicita un nombre de usuario y una contraseña. Si vCenter Single Sign-On encuentra un usuario con esas credenciales en el origen de identidad correspondiente, le asigna un token SAML. De esta forma, el usuario puede acceder a otros servicios del entorno sin tener que autenticarse de nuevo.

Los objetos que el usuario puede ver y lo que este puede hacer están determinados por los parámetros de configuración de permiso de vCenter Server. Los administradores de vCenter Server asignan esos permisos desde la interfaz Permisos en vSphere Web Client o vSphere Client, no a través de vCenter Single Sign-On. Consulte la documentación de Seguridad de vSphere.

Usuarios de vCenter Single Sign-On y vCenter ServerLos usuarios se autentican en vCenter Single Sign-On introduciendo sus credenciales en la página de inicio de sesión. Después de conectarse a vCenter Server, los usuarios autenticados pueden ver todas las instancias de vCenter Server u otros objetos de vSphere para los que su función les da privilegios. En esta instancia ya no se requiere autenticación adicional.


VMware, Inc. 43

Tras la instalación, el vCenter Server del usuario [email protected] tiene acceso de administrador tanto a vCenter Single Sign-On como a vCenter Server. Dicho usuario también puede agregar orígenes de identidad, establecer el origen de identidad predeterminado y configurar directivas en el dominio vmc.local. Algunas operaciones de administración en el dominio vmc.local están restringidas al personal de operaciones de VMware Cloud on AWS.

Nota Al cambiar la contraseña del SDDC desde vSphere Client, la nueva contraseña no se sincroniza con aquella que se muestra en la página Credenciales predeterminadas de vCenter. En esa página, solo se muestran las credenciales predeterminadas. Si cambia las credenciales, debe realizar un seguimiento de la nueva contraseña. Póngase en contacto con el equipo de soporte técnico y solicite un cambio de contraseña.

Usuarios administradores de vCenter Single Sign-OnDesde vSphere Client o vSphere Web Client, puede accederse a la interfaz de administración de vCenter Single Sign-On.

Para configurar vCenter Single Sign-On y administrar usuarios y grupos de vCenter Single Sign-On, el usuario [email protected] o un usuario del grupo de administradores de vCenter Single Sign-On deben iniciar sesión en vSphere Client. Después de la autenticación, el usuario puede acceder a la interfaz de administración de vCenter Single Sign-On desde vSphere Client y administrar orígenes de identidad y dominios predeterminados, especificar directivas de contraseñas y realizar otras tareas administrativas.

Orígenes de identidad para vCenter Server con vCenter Single Sign-OnPuede utilizar orígenes de identidad para adjuntar uno o más dominios a vCenter Single Sign-On. Un dominio es un repositorio para usuarios y grupos que el servidor vCenter Single Sign-On puede utilizar para autenticación de usuarios.

En VMware Cloud on AWS, el usuario [email protected] u otros usuarios del grupo de administradores de nube pueden agregar orígenes de identidad. Tener un origen de identidad compartido es un requisito previo para configurar Hybrid Linked Mode.

Los datos de usuario y grupo se almacenan en Active Directory u OpenLDAP. Inicialmente, el SDDC de VMware Cloud on AWS tiene el origen de identidad vmc.local.


VMware, Inc. 44

Las versiones de vCenter Server anteriores a 5.1 eran compatibles con Active Directory y con usuarios del sistema operativo local como repositorios de usuarios. Como resultado, los usuarios del sistema operativo local siempre podían autenticarse en el sistema vCenter Server. Las versiones vCenter Server 5.1 y 5.5 utilizan vCenter Single Sign-On para la autenticación. Consulte la documentación de vSphere 5.1 para obtener una lista de orígenes de identidad compatibles con vCenter Single Sign-On 5.1. vCenter Single Sign-On 5.5 admite los siguientes tipos de repositorios de usuarios como orígenes de identidad, pero solo admite un origen de identidad predeterminado.

n Active Directory en LDAP. vCenter Single Sign-On admite varios orígenes de identidad de Active Directory en LDAP. Este tipo de origen de identidad se incluye para fines de compatibilidad con el servicio vCenter Single Sign-On que se ofrece con vSphere 5.1. Se muestra como Active Directory como servidor LDAP en vSphere Client.

n OpenLDAP versiones 2.4 y posteriores. vCenter Single Sign-On es compatible con varios orígenes de identidad de OpenLDAP. Se muestra como OpenLDAP en vSphere Client.

n Usuarios del sistema operativo local. Los usuarios del sistema operativo local son locales en el sistema operativo en que se ejecuta el servidor vCenter Single Sign-On. El origen de identidad del sistema operativo local solo existe en implementaciones del servidor vCenter Single Sign-On básicas y no está disponible en implementaciones con varias instancias de vCenter Single Sign-On. Solo se admite un origen de identidad del sistema operativo local. Se muestra como localos en vSphere Client.

Nota No utilice los usuarios del sistema operativo local si Platform Services Controller se encuentra en un equipo diferente al del sistema vCenter Server. El empleo de usuarios del sistema operativo local podría tener sentido en una implementación integrada, pero no se recomienda.

n Usuarios del sistema vCenter Single Sign-On. Cuando se instala vCenter Single Sign-On, se crea exactamente un origen de identidad del sistema.

Nota En todo momento, solo hay un único dominio predeterminado. Si un usuario de un dominio que no es el predeterminado inicia sesión, debe agregar el nombre de dominio (DOMAIN\user) para poder autenticarse correctamente.

Agregar un origen de identidad al dominio LDAP de SDDCEl primer paso para configurar Hybrid Linked Mode desde el SDDC consiste en agregar su dominio LDAP local como un origen de identidad para la instancia de vCenter Server del SDDC.

Hybrid Linked Mode se puede configurar desde el SDDC si el servicio LDAP local lo proporciona un dominio nativo de Active Directory (autenticación integrada de Windows) o un servicio de directorio de OpenLDAP.

Importante Si utiliza OpenLDAP como el origen de identidad, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2064977 para obtener información sobre los requisitos adicionales.


VMware, Inc. 45

http://kb.vmware.com/kb/2064977

Requisitos previos

Asegúrese de que cumple los requisitos previos comunes de Requisitos previos de Hybrid Linked Mode.

Procedimiento


Para agregar un origen de identidad, debe haber iniciado sesión como [email protected] u otro miembro del grupo de administradores de nube.

2 Se mostrará el cuadro de diálogo Agregar origen de identidad.

Caso de uso Descripción

Hybrid Linked Mode a Seleccione Menú > Administración.


c En Agregar administrador de nube, seleccione Agregar origen de identidad en el menú desplegable Origen de identidad.

Todos los demás casos de uso a Seleccione Menú > Administración.

b En Inicio de sesión único, haga clic en Configuración.

c Haga clic en Orígenes de identidad y en Agregar.

3 Configure las opciones del origen de identidad.


Tipo de origen de identidad Seleccione Active Directory como servidor LDAP para un servidor de Windows Active Directory o seleccione LDAP abierto para un servidor LDAP abierto.

Nombre Introduzca el nombre del origen de identidad.

DN base para usuarios Introduzca el nombre distintivo base de los usuarios.

DN base para grupos Introduzca el nombre distintivo base de los grupos.

Nombre de dominio FQDN del dominio. No introduzca aquí una dirección IP.

Alias de dominio Introduzca un alias para el dominio.

Para los orígenes de identidad de Active Directory, el nombre de NetBIOS del dominio. Si usa autenticaciones de SSPI, agregue el nombre de NetBIOS del dominio de Active Directory como alias del origen de identidad.

Nombre de usuario Introduzca el identificador de un usuario del dominio que tenga, como mínimo, acceso de solo lectura al nombre distintivo base de los usuarios y grupos. Utilice el formato UPN (por ejemplo, [email protected]), en lugar de un formato de nombre distintivo.

Contraseña Introduzca la contraseña del usuario especificado en el campo Nombre de usuario.


VMware, Inc. 46


Conectar con Seleccione a qué controladora de dominio se conectará.

n Seleccione Cualquier controladora de dominio en el dominio para conectarse a cualquier controladora de dominio.

n Seleccione Controladoras de dominio específicas para especificar las controladoras de dominio.

Si selecciona Controladoras de dominio específicas, indique la dirección URL del servidor principal y del servidor secundario que se utilizará para la conmutación por error. Use el formato ldap://nombre de host:puerto o ldaps://nombre de host:puerto. Por lo general, el puerto es el 389 para las conexiones de ldap: y 636 para las conexiones de ldaps:. Para las implementaciones de controladoras de varios dominios de Active Directory, el puerto suele ser el 3268 para las conexiones de ldap: y el 3269 para las conexiones de ldaps:.

Certificados SSL Si usa ldaps:, seleccione Examinar y elija un archivo de certificado que quiera cargar a fin de proporcionar seguridad para la conexión ldaps:.

Cuando se agrega el origen de identidad, los usuarios locales pueden autenticarse en el SDDC, pero tienen la función Sin acceso. Agregue permisos a un grupo de usuarios para concederles la función Administrador de nube.

Administrar directivas de vCenter Single Sign-OnLas directivas de vCenter Single Sign-On aplican las reglas de seguridad en el entorno. Puede ver y editar la directiva de contraseñas, la directiva de bloqueo y la directiva de tokens de vCenter Single Sign-On predeterminadas.

Editar la directiva de contraseñas de vCenter Single Sign-OnLa directiva de contraseñas de vCenter Single Sign-On determina el formato y la caducidad de la contraseña. La directiva de contraseñas se aplica solo a los usuarios del dominio de vCenter Single Sign-On (vmc.local).

Procedimiento

1 En vSphere Client, seleccione Menú > Administración.

2 En Single Sign-On, haga clic en Configuración y, a continuación, en Directivas.

3 Seleccione Directivas de contraseñas, haga clic en Editar y realice los cambios necesarios.


Descripción Descripción de directivas de contraseñas.

Duración máxima Cantidad máxima de días de validez de la contraseña antes de que el usuario deba cambiarla.

Reutilización restringida Cantidad de contraseñas anteriores que no pueden volver a utilizarse. Por ejemplo, si escribe 6, el usuario no puede volver a utilizar ninguna de las últimas seis contraseñas.

Longitud máxima Cantidad máxima de caracteres que se permiten en la contraseña.


VMware, Inc. 47


Longitud mínima Cantidad mínima de caracteres que se requiere en la contraseña. La longitud mínima no debe ser inferior a la cantidad mínima requerida de caracteres alfabéticos, numéricos y especiales combinados.

Requisitos de caracteres Cantidad mínima de tipos de caracteres diferentes que se requieren en la contraseña. Puede especificar la cantidad de caracteres de cada tipo de la siguiente manera:

n Especiales: & # %

n Alfabéticos: A b c D

n Mayúsculas: A B C

n Minúsculas: a b c

n Numéricos: 1 2 3

La cantidad mínima de caracteres alfabéticos no debe ser inferior a la cantidad de caracteres en mayúscula y minúscula combinados.

Caracteres adyacentes idénticos Cantidad máxima de caracteres adyacentes idénticos que se permiten en la contraseña. Por ejemplo, si escribe 1, la siguiente contraseña no se permite: p@$$word.

El número debe ser superior a 0.


Editar la directiva de bloqueo de vCenter Single Sign-OnLa directiva de bloqueo de vCenter Single Sign-On especifica el momento en que se bloquea la cuenta de vCenter Single Sign-On de un usuario si este intenta iniciar sesión con las credenciales equivocadas. Los administradores pueden editar la directiva de bloqueo.

Si un usuario inicia sesión varias veces en vmc.local con la contraseña incorrecta, la cuenta se bloqueará. La directiva de bloqueo permite que los administradores especifiquen la cantidad máxima de intentos fallidos de inicio de sesión, y establezcan el intervalo entre un intento fallido y otro. En la directiva también se especifica cuánto tiempo debe transcurrir antes de que la cuenta se desbloquee automáticamente.

Procedimiento



3 Seleccione Directiva de bloqueo, haga clic en Editar y realice los cambios necesarios.


Descripción Descripción opcional de la directiva de bloqueo.

Cantidad máxima de intentos fallidos de inicio de sesión

Cantidad máxima de intentos fallidos de inicio de sesión permitidos antes de que la cuenta se bloquee.


VMware, Inc. 48


Intervalo entre intentos fallidos Período en el cual deben ocurrir los intentos fallidos de inicio de sesión para activar un bloqueo.

Tiempo de desbloqueo Cantidad de tiempo durante la cual permanece bloqueada la cuenta. Si introduce 0, el administrador debe desbloquear la cuenta explícitamente.


Editar la directiva de tokens de vCenter Single Sign-OnLa directiva de tokens de vCenter Single Sign-On especifica las propiedades de tokens, como la tolerancia de reloj y el recuento de renovaciones. Puede editar la directiva de tokens para que la especificación de los tokens se adapte a los estándares de seguridad de la empresa.

Procedimiento



3 Seleccione Directiva de tokens, haga clic en Editar y realice los cambios necesarios.


Tolerancia de reloj Diferencia horaria, en milisegundos, que vCenter Single Sign-On tolera entre un reloj de cliente y el reloj de la controladora de dominio. Si la diferencia horaria es mayor que el valor especificado, vCenter Single Sign-On declara al token como no válido.

Recuento máximo de renovaciones de token

Es la máxima cantidad de veces que puede renovarse un token. Una vez alcanzada la cantidad máxima de intentos de renovación, se requiere un nuevo token de seguridad.

Recuento máximo de delegaciones de token

Los tokens HoK (Holder-of-key) pueden delegarse a servicios del entorno vSphere. Un servicio que emplea un token delegado ejecuta dicho servicio en nombre del servicio principal que proporcionó el token. La solicitud de un token especifica una identidad DelegateTo. El valor de DelegateTo puede ser el token de una solución o una referencia al token de la solución. Este valor especifica cuántas veces puede delegarse un mismo token HoK.

Duración máxima de token de portador

Los tokens de portador proporcionan autenticación basada únicamente en la posesión del token. Los tokens de portador están pensados para el uso a corto plazo y para una única operación. El token de portador no comprueba la identidad del usuario o de la entidad que envía la solicitud. Este valor especifica la duración del token de portador antes de que el token deba emitirse nuevamente.

Duración máxima de token HoK Los tokens HoK proporcionan autenticación basada en los artefactos de seguridad que están integrados en el token. Los tokens HoK pueden usarse para operaciones de delegación. Un cliente puede obtener un token HoK y delegarlo a otra entidad. El token contiene las notificaciones para identificar al originador y al delegado. En el entorno vSphere, un sistema vCenter Server obtiene tokens delegados en nombre de un usuario y los utiliza para realizar operaciones.

Este valor determina la duración de un token HoK antes de que el token se marque como no válido.


VMware, Inc. 49



VMware, Inc. 50

Proteger sistemas de vCenter Server 5En un SDDC local, usted es el responsable de garantizar la seguridad del sistema de vCenter Server. En VMware Cloud on AWS, VMware realiza la mayoría de estas tareas por usted.

Usted es responsable de las siguientes prácticas recomendadas de seguridad, especialmente para las máquinas virtuales del entorno, y es posible que también desee tener en cuenta otros aspectos de vCenter Server y vCenter Single Sign-On, como las directivas de contraseñas y bloqueo.


n Recursos y prácticas recomendadas de seguridad

n Contraseñas en el entorno de vSphere

n Prácticas recomendadas sobre el control de acceso a vCenter Server

n Requisitos de contraseñas y comportamiento de bloqueo de vCenter

Recursos y prácticas recomendadas de seguridadSi sigue las prácticas recomendadas, ESXi y vCenter Server pueden alcanzar el mismo nivel de seguridad, o incluso uno mayor, que un entorno donde no existe la virtualización.

En este manual se incluyen las prácticas recomendadas para los distintos componentes de la infraestructura de vSphere.

Tabla 5-1. Prácticas recomendadas de seguridad

Componente de vSphere Recurso

Host ESXi Proteger hosts ESXi

Sistema vCenter Server Prácticas recomendadas de seguridad de vCenter Server

Máquina virtual Prácticas recomendadas de seguridad de máquinas virtuales

Redes de vSphere Prácticas recomendadas de seguridad de redes de vSphere

Este manual es tan solo una de las fuentes que debe emplear para garantizar un entorno seguro.

Los recursos de seguridad de VMware, incluidas alertas y descargas, se encuentran disponibles en la Web.

VMware, Inc. 51

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-A706C6C6-DF07-455B-99B9-5B8F8580F1EB.html

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-3F7F045A-C4E6-4891-9859-1FAC54E85E9D.html

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-14CCC8CD-D90D-4227-B2C3-0A93D3C023BA.html

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-D69A4671-E775-4D8D-9E69-60DAB12D7388.html

Tabla 5-2. Recursos de seguridad de VMware en la Web

Tema Recurso

Información sobre seguridad y operaciones de ESXi y vCenter Server, incluidas configuración segura y seguridad del hipervisor

https://vspherecentral.vmware.com/t/security/

Directiva de seguridad de VMware, alertas de seguridad actualizadas, descargas de seguridad y foros de debate sobre temas de seguridad

http://www.vmware.com/go/security

Directiva de respuestas sobre seguridad corporativa

http://www.vmware.com/support/policies/security_response.html

VMware se compromete a ayudar en el mantenimiento de un entorno seguro. Los problemas de seguridad se solucionan oportunamente. La directiva de respuestas sobre seguridad de VMware define nuestro compromiso con la solución de posibles vulnerabilidades en nuestros productos.

Directiva de compatibilidad con software externo http://www.vmware.com/support/policies/

VMware admite diversos sistemas de almacenamiento y agentes de software, como agentes de copia de seguridad, agentes de administración de sistemas, etc. Para consultar las listas de agentes, herramientas y demás opciones de software compatibles con ESXi, busque en http://www.vmware.com/vmtn/resources/ las guías de compatibilidad de ESXi.

La industria ofrece más productos y opciones de configuración de los que VMware puede probar. Si VMware no incluye un producto o una configuración en una guía de compatibilidad, el soporte técnico intenta ayudarle a resolver los problemas, pero no puede garantizar que se pueda usar el producto o la configuración. Siempre evalúe minuciosamente los riesgos para la seguridad que generan los productos o las opciones de configuración no compatibles.

Normas de seguridad y cumplimiento, así como soluciones de partners y contenido detallado sobre virtualización y cumplimiento

http://www.vmware.com/go/compliance

Información sobre validaciones y certificados de seguridad como CCEVS y FIPS para diferentes versiones de los componentes de vSphere

https://www.vmware.com/support/support-resources/certifications.html

Guías de configuración de seguridad (anteriormente denominadas guías de fortalecimiento) para diferentes versiones de vSphere y otros productos de VMware

https://www.vmware.com/support/support-resources/hardening-guides.html

Informe técnico Seguridad de VMware vSphere Hypervisor

http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsr-uslet-101.pdf

Contraseñas en el entorno de vSphereLa restricción y la caducidad de las contraseñas y el bloqueo de cuentas en el entorno de vSphere dependen de qué sistema el usuario utiliza como destino, quién es el usuario y cómo se establecen las directivas.


VMware, Inc. 52

https://vspherecentral.vmware.com/t/security/

http://www.vmware.com/go/security

http://www.vmware.com/support/policies/security_response.html

http://www.vmware.com/support/policies/

http://www.vmware.com/vmtn/resources/

http://www.vmware.com/vmtn/resources/

http://www.vmware.com/go/compliance

https://www.vmware.com/support/support-resources/certifications.html

https://www.vmware.com/support/support-resources/hardening-guides.html



Contraseñas de ESXiLas restricciones de contraseñas de ESXi se determinan en el módulo PAM de Linux pam_passwdqc. Consulte pam_passwdqc en la página del manual de Linux y vea #unique_42.

Contraseñas de vCenter Server y otros servicios de vCentervCenter Single Sign-On administra la autenticación de todos los usuarios que inician sesión en vCenter Server y en otros servicios de vCenter. La restricción y la caducidad de las contraseñas y el bloqueo de cuentas dependen de cuál es el dominio del usuario y quién es el usuario.

Administrador de vCenter Single Sign-On

La contraseña para el usuario [email protected], o el usuario administrator@mydomain si se seleccionó un dominio distinto durante la instalación, no caduca y no está sujeta a la directiva de bloqueo. En los demás casos, la contraseña debe cumplir con las restricciones establecidas en la directiva de contraseñas de vCenter Single Sign-On. Consulte Administrar Platform Services Controller para obtener detalles.

Si olvida la contraseña de este usuario, busque información en la base de conocimientos de VMware sobre la forma de restablecer esta contraseña. El restablecimiento requiere privilegios adicionales, como el acceso raíz al sistema vCenter Server.

Otros usuarios del dominio vCenter Single Sign-On

Las contraseñas de otros usuarios de vsphere.local o de los usuarios del dominio que se especificó durante la instalación deben cumplir con las restricciones establecidas en la directivas de bloqueo y de contraseñas de vCenter Single Sign-On. Consulte Administrar Platform Services Controller para obtener detalles. Estas contraseñas caducan de manera predeterminada a los 90 días. Los administradores pueden cambiar la fecha de caducidad como parte de la directiva de contraseñas.

Si olvida la contraseña de vsphere.local, un usuario administrador puede restablecerla mediante el comando dir-cli.

Otros usuarios La restricción y la caducidad de las contraseñas y el bloqueo de cuentas de todos los demás usuarios se determinan según el dominio (el origen de identidad) en el cual el usuario puede autenticarse.

vCenter Single Sign-On admite un origen de identidad predeterminado. Los usuarios pueden iniciar sesión en el dominio correspondiente mediante vSphere Client solo con sus nombres de usuario. Si los usuarios desean iniciar sesión en un dominio no predeterminado, pueden incluir el nombre del dominio, es decir, especificar user@domain o domain\user. Los parámetros para la contraseña del dominio se aplican a todos los dominios.


VMware, Inc. 53

Contraseñas de los usuarios de la interfaz de usuario de la consola directa de vCenter Server AppliancevCenter Server Appliance es una máquina virtual preconfigurada basada en Linux, que está optimizada para ejecutar vCenter Server y los servicios asociados en Linux.

Estas contraseñas se especifican durante la implementación de vCenter Server Appliance.

n Contraseña del usuario raíz del sistema operativo Linux del dispositivo.

n Contraseña predeterminada para el administrador del dominio de vCenter Single Sign-On, [email protected].

Es posible cambiar la contraseña del usuario raíz y realizar otras tareas de administración de usuarios locales de vCenter Server Appliance desde la consola del dispositivo. Consulte Configurar vCenter Server Appliance.

Prácticas recomendadas sobre el control de acceso a vCenter ServerRealice un control estricto del acceso a los diferentes componentes de vCenter Server a fin de aumentar la seguridad del sistema.

Las siguientes instrucciones ayudan a garantizar la seguridad del entorno.

Usar cuentas con nombreCompruebe que las aplicaciones usen cuentas de servicio únicas al conectarse a un sistema vCenter Server.

Minimizar el accesoNo permita que los usuarios inicien sesión directamente en el equipo host de vCenter Server. Los usuarios que inician sesión en el equipo host de vCenter Server pueden llegar a causar daños, ya sea intencionales o involuntarios, al alterar la configuración y modificar los procesos. Esos usuarios pueden llegar a acceder a las credenciales de vCenter, como el certificado SSL. Permita iniciar sesión en el sistema solo a los usuarios que puedan realizar tareas legítimas y asegúrese de que se auditen los eventos de inicio de sesión.

Restringir a los usuarios la ejecución de comandos en una máquina virtualDe forma predeterminada, un usuario con la función de administrador de vCenter Server puede interactuar con archivos y programas en el sistema operativo invitado de una máquina virtual. Para reducir el riesgo de infracciones de la confidencialidad, la disponibilidad o la integridad del invitado, cree una función personalizada de acceso que no sea de invitado sin el privilegio Operaciones de invitado.


VMware, Inc. 54

Usar niveles altos de cifrado RDPAsegúrese de que en cada equipo con Windows de la infraestructura se establezca una configuración del host mediante Remote Desktop a fin de garantizar el nivel más alto de cifrado adecuado para el entorno.

Comprobar certificados de vSphere ClientIndique a los usuarios de una de las instancias de vSphere Client o de otras aplicaciones cliente que nunca omitan las advertencias de comprobación de certificados. Sin la comprobación de certificados, el usuario puede ser víctima de un ataque de MiTM.

Requisitos de contraseñas y comportamiento de bloqueo de vCenterPara administrar el entorno de vSphere, debe conocer la directiva de contraseñas de vCenter Single Sign-On, de las contraseñas de vCenter Server y el comportamiento de bloqueo.

Contraseña para el administrador de vCenter Single Sign-OnLa contraseña predeterminada del administrador de vCenter Single Sign-On, [email protected], se especifica en la directiva de contraseñas de vCenter Single Sign-On. De manera predeterminada, esta contraseña debe cumplir con los siguientes requisitos:

n Tener al menos ocho caracteres

n Tener al menos un carácter en minúscula

n Tener al menos un carácter numérico

n Al menos un carácter especial

La contraseña de este usuario no puede superar los 20 caracteres. A partir de vSphere 6.0, se permitirán caracteres que no son ASCII.

Contraseñas de vCenter ServerEn vCenter Server, los requisitos de contraseñas se determinan mediante vCenter Single Sign-On o por el origen de identidad configurada, que puede ser Active Directory, OpenLDAP.

Comportamiento de bloqueo de vCenter Single Sign-OnLos usuarios quedan bloqueados después de una cantidad preestablecida de intentos consecutivos con errores. De manera predeterminada, los usuarios quedan bloqueados después de cinco intentos consecutivos fallidos en tres minutos, y una cuenta bloqueada se desbloquea automáticamente transcurridos cinco minutos.

A partir de vSphere 6.0, el administrador de dominio predeterminado de vCenter Single Sign-On, [email protected], no se verá afectado por la directiva de bloqueo. El usuario se ve afectado por la directiva de contraseñas.


VMware, Inc. 55

Tareas de administración de permisos y usuarios de vSphere 6La autenticación y la autorización rigen el acceso. vCenter Single Sign-On admite la autenticación, lo cual implica que determina si un usuario puede acceder o no a los componentes de vSphere. Cada usuario también debe estar autorizado para ver o manipular los objetos de vSphere.

vSphere admite varios mecanismos de autorización diferentes, que se analizan en Descripción de la autorización en vSphere. El eje de la información en esta sección es cómo funciona el modelo de permisos de vCenter Server y cómo realizar tareas de administración de usuarios.

vCenter Server permite un control detallado de la autorización con permisos y funciones. Cuando se asigna un permiso a un objeto en la jerarquía de objetos de vCenter Server, se especifica qué usuario o grupo tiene cuál privilegio sobre ese objeto. Para especificar los privilegios se usan funciones, que son conjuntos de privilegios.

En un principio, solo el usuario administrador predeterminado del dominio de vCenter Single Sign-On, [email protected], está autorizado a iniciar sesión en el sistema de vCenter Server. Este usuario puede proceder de las siguientes formas:

1 Agregue un origen de identidad en el cual los usuarios y grupos estén definidos en vCenter Single Sign-On. Consulte la documentación de Administrar Platform Services Controller.

2 Otorgue privilegios a un usuario o un grupo al seleccionar un objeto, como una máquina virtual o un sistema de vCenter Server y asignar una función sobre ese objeto al usuario o al grupo.

Asignar funciones y permisos con vSphere Client (http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_vsphere67_roles)


n Descripción de la autorización en vSphere

n Ver privilegios y permisos

n Administrar permisos para componentes de vCenter

n Permisos globales

n Funciones del sistema vCenter Server

n Prácticas recomendadas para funciones y permisos

VMware, Inc. 56

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_vsphere67_roles

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_vsphere67_roles

n Privilegios de CloudAdmin

Descripción de la autorización en vSpherevSphere admite varios modelos con un control detallado para determinar si un usuario puede realizar una determinada tarea. vCenter Single Sign-On utiliza la pertenencia a un grupo de vCenter Single Sign-On para decidir qué se le permite realizar. La función en un objeto o el permiso global determinan si se le permite realizar otras tareas en vSphere.

Descripción general de la autorizaciónvSphere 6.0 y las versiones posteriores permiten a los usuarios con privilegios otorgar permisos a otros usuarios para realizar tareas. Se pueden utilizar permisos globales o permisos locales de vCenter Server para autorizar a otros usuarios en las instancias individuales de vCenter Server.

Permisos de vCenter Server

El modelo de permisos de los sistemas vCenter Server se basa en la asignación de permisos a los objetos de la jerarquía de objetos. Cada permiso otorga un conjunto de privilegios a un usuario o grupo; es decir, asigna una función para un objeto seleccionado. Por ejemplo, puede seleccionar una máquina virtual y seleccionar Agregar permiso para asignar una función a un grupo de usuarios en un dominio que seleccione. Esa función proporciona a los usuarios los privilegios correspondientes sobre esa máquina virtual.

Permisos globales Los permisos globales se aplican a un objeto raíz global que expande soluciones. Por ejemplo, si se instalan vCenter Server y vRealize Orchestrator, se pueden utilizar permisos globales. Puede otorgar a un grupo de usuarios permisos de lectura para todos los objetos de ambas jerarquías de objetos.

Los permisos globales no se replican si el entorno incluye una instancia de vCenter Server local y una instancia de vCenter Server en la nube.

Membresía de grupo en grupos de vCenter Single Sign-On

Para VMware Cloud on AWS, un grupo de administradores de nube está predefinido en vCenter Single Sign-On. Cuando se utiliza Hybrid Linked Mode, puede agregar este grupo al dominio vinculado.

Descripción general del modelo de permisos de nivel de objetoAutoriza a un usuario o grupo a realizar tareas en objetos de vCenter mediante permisos en el objeto. El modelo de permisos de vSphere se basa en la asignación de permisos sobre los objetos de la jerarquía de objetos de vSphere. Cada permiso otorga un conjunto de privilegios a un usuario o grupo; es decir, asigna una función para el objeto seleccionado. Por ejemplo, un grupo de usuarios puede tener la función de solo lectura en una máquina virtual y la función de administrador en otra máquina virtual.


VMware, Inc. 57

Los siguientes conceptos son importantes.

Permisos Cada objeto en la jerarquía de objetos de vCenter Server tiene permisos asociados. Cada permiso especifica en un solo grupo o usuario qué privilegios tiene ese grupo o usuario sobre el objeto.

Usuarios y grupos En los sistemas vCenter Server se pueden asignar privilegios solo a usuarios autenticados o a grupos de usuarios autenticados. Los usuarios se autentican mediante vCenter Single Sign-On. Los usuarios y los grupos deben definirse en el origen de identidad que vCenter Single Sign-On utiliza para autenticar. Defina usuarios y grupos utilizando las herramientas en su origen de identidad, por ejemplo, Active Directory.

Privilegios Los privilegios son controles de acceso detallados. Esos privilegios se pueden agrupar en funciones que, a continuación, se pueden asignar a los usuarios o a los grupos.

Funciones Las funciones son conjuntos de privilegios. Las funciones permiten asignar permisos en un objeto en función de un conjunto típico de tareas que realizan los usuarios. En vCenter Server, las funciones predeterminados —tales como Administrador— están predefinidos y no se pueden cambiar. Otras funciones, como Administrador de grupo de recursos, son funciones de muestra predefinidos. Se pueden crear funciones personalizadas, ya sea desde cero o mediante la clonación y la modificación de las funciones de muestra. Consulte Crear una función personalizada.

Figura 6-1. Permisos de vSphere

Permiso

objeto de vSphere

Usuario o grupo

Rol

Privilegio

Privilegio

Privilegio

Privilegio

Para asignar permisos sobre un objeto, siga estos pasos:

1 Seleccione el objeto en el que desea aplicar el permiso en la jerarquía de objetos de vCenter.

En VMware Cloud on AWS, no se pueden cambiar los permisos sobre los objetos que VMware administra, por ejemplo, la instancia de vCenter Server o los hosts ESXi.

2 Seleccione el grupo o el usuario que tendrá los privilegios sobre el objeto.


VMware, Inc. 58

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-41E5E52E-A95B-4E81-9724-6AD6800BEF78.html#GUID-41E5E52E-A95B-4E81-9724-6AD6800BEF78

3 Seleccione privilegios individuales o una función, es decir, un conjunto de privilegios que el grupo o el usuario tendrán sobre el objeto.

De forma predeterminada, los permisos se propagan; esto significa que el grupo o el usuario cumple la función determinada sobre el objeto seleccionado y sus objetos secundarios.

vCenter Server ofrece funciones predefinidas, que combinan conjuntos de privilegios usados con frecuencia. También puede crear funciones personalizadas mediante la combinación de un conjunto de funciones.

En muchos casos, los permisos deben definirse tanto en un objeto de origen como en un objeto de destino. Por ejemplo, al mover una máquina virtual, se necesitan privilegios en esa máquina virtual, pero también privilegios en el centro de datos de destino.

Consulte la siguiente información.

Para averiguar sobre... Consulte...

Crear funciones personalizadas. Crear una función personalizada

Todos los privilegios y los objetos a los que puede aplicar los privilegios

Privilegios definidos

Conjuntos de privilegios que se requieren en diferentes objetos para diferentes tareas.

Privilegios necesarios para la realización de tareas comunes

Validar usuarios de vCenter ServerLos sistemas vCenter Server que usan un servicio de directorio suelen validar usuarios y grupos en función del dominio del directorio de usuarios. La validación se produce en intervalos regulares especificados en la configuración de vCenter Server. Por ejemplo, supongamos que al usuario Smith se le asigna una función sobre varios objetos. El administrador de dominios cambia el nombre por Smith2. El host concluye que Smith ya no existe y elimina los permisos asociados con ese usuario de los objetos de vSphere en la siguiente validación.

De modo similar, si se elimina el usuario Smith del dominio, todos los permisos asociados con ese usuario se eliminan en la siguiente validación. Si se agrega un nuevo usuario Smith al dominio antes de la siguiente validación, el nuevo usuario Smith reemplaza al antiguo usuario Smith en los permisos sobre cualquier objeto.

Ver privilegios y permisosPara cada objeto en la jerarquía, puede utilizar la vista de vSphere Client para ver los privilegios concedidos a los usuarios en la función CloudAdmin, así como otras funciones personalizadas o predefinidas.

Procedimiento

1 Seleccione un objeto en la jerarquía de objetos (por ejemplo, un grupo de recursos o una máquina virtual) y haga clic en Permisos.


VMware, Inc. 59

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-41E5E52E-A95B-4E81-9724-6AD6800BEF78.html

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-ED56F3C4-77D0-49E3-88B6-B99B8B437B62.html

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-4D0F8E63-2961-4B71-B365-BBFA24673FDB.html

2 A continuación, puede ver los privilegios asociados con cada grupo.

a En la página de inicio de vSphere Client, haga clic en Administración.

b En Control de acceso, haga clic en Funciones.

c Haga clic en un nombre de función (por ejemplo, CloudAdmin).

d Haga clic en la pestaña Privilegios ubicada a la derecha.

Puede desplazarse por la lista para ver los privilegios concedidos a la función seleccionada. Consulte Privilegios definidos para ver una lista detallada con todos los privilegios de vSphere.

Administrar permisos para componentes de vCenterSe establece un permiso sobre un objeto en la jerarquía de objetos de vCenter. Cada permiso asocia el objeto con un grupo o un usuario y con las funciones de acceso de ese grupo o usuario. Por ejemplo, se puede seleccionar un objeto de la máquina virtual, agregar un permiso que asigne la función de solo lectura al Grupo 1 y, a continuación, agregar un segundo permiso que asigne la función de administrador al Usuario 2.

Al asignar una función diferente a un grupo de usuarios en diferentes objetos, se controlan las tareas que esos usuarios pueden realizar en el entorno de vSphere. Por ejemplo, para permitir que un grupo configure memoria del host, seleccione el host y agregue un permiso que otorgue una función a ese grupo, donde se incluya el privilegio Host. Configuración.Configuración de memoria.

Para administrar permisos desde vSphere Client, debe entender los siguientes conceptos:

Permisos Cada objeto en la jerarquía de objetos de vCenter Server tiene permisos asociados. Cada permiso especifica en un solo grupo o usuario qué privilegios tiene ese grupo o usuario sobre el objeto.

Usuarios y grupos En los sistemas vCenter Server se pueden asignar privilegios solo a usuarios autenticados o a grupos de usuarios autenticados. Los usuarios se autentican mediante vCenter Single Sign-On. Los usuarios y los grupos deben definirse en el origen de identidad que vCenter Single Sign-On utiliza para autenticar. Defina usuarios y grupos utilizando las herramientas en su origen de identidad, por ejemplo, Active Directory.

Privilegios Los privilegios son controles de acceso detallados. Esos privilegios se pueden agrupar en funciones que, a continuación, se pueden asignar a los usuarios o a los grupos.

Funciones Las funciones son conjuntos de privilegios. Las funciones permiten asignar permisos en un objeto en función de un conjunto típico de tareas que realizan los usuarios. En vCenter Server, las funciones predeterminados —tales como Administrador— están predefinidos y no se pueden cambiar.


VMware, Inc. 60


Otras funciones, como Administrador de grupo de recursos, son funciones de muestra predefinidos. Se pueden crear funciones personalizadas, ya sea desde cero o mediante la clonación y la modificación de las funciones de muestra. Consulte Crear una función personalizada.

Puede asignar permisos sobre objetos de diferentes niveles de la jerarquía; por ejemplo, puede asignar permisos a un objeto del host o una carpeta que incluyan todos los objetos del host. Consulte Herencia jerárquica de permisos. Asimismo, puede asignar permisos a un objeto raíz global donde se apliquen los permisos en todos los objetos de todas las soluciones. Consulte Permisos globales.

Agregar un permiso a un objeto de inventarioDespués de crear usuarios y grupos, y definir sus funciones, debe asignarlos a los objetos de inventario correspondientes. Para asignar los mismos permisos a varios objetos al mismo tiempo, mueva los objetos a una carpeta y configure los permisos allí mismo.

Al asignar permisos, los nombres de usuarios y grupos deben coincidir exactamente con los de Active Directory, con distinción de mayúsculas y minúsculas. Si realizó una actualización de versiones anteriores de vSphere y tiene problemas con los grupos, compruebe que no haya inconsistencias de mayúsculas y minúsculas.

Requisitos previos

En el objeto cuyos permisos desea modificar, debe tener una función que incluya el privilegio Permisos.Modificar permiso.

Procedimiento

1 Desplácese hasta el objeto para el que desea asignar permisos en el navegador de objetos de vSphere Client.

2 Haga clic en la pestaña Permisos.

3 Haga clic en el icono Agregar permiso.

4 Seleccione el usuario o el grupo que tendrá los privilegios definidos según la función seleccionada.

a En el menú desplegable Usuario, seleccione el dominio para el usuario o el grupo.

b Escriba un nombre en el cuadro de búsqueda.

El sistema buscará nombres de usuarios y nombres de grupos.

c Seleccione el usuario o grupo.

5 Seleccione una función en el menú desplegable Función.

6 (opcional) Para propagar los permisos, seleccione la casilla Propagar a objetos secundarios.

La función se aplicará al objeto seleccionado y se propagará a los objetos secundarios.

7 Haga clic en Aceptar para agregar el permiso.


VMware, Inc. 61

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-41E5E52E-A95B-4E81-9724-6AD6800BEF78.html#GUID-41E5E52E-A95B-4E81-9724-6AD6800BEF78

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-03B36057-B38C-479C-BD78-341CD83A0584.html

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-03B36057-B38C-479C-BD78-341CD83A0584.html

Cambiar o quitar permisosDespués de que se establece un par usuario/grupo-función para un objeto de inventario, se puede cambiar la función emparejada con el usuario o el grupo, o cambiar la configuración de la casilla Propagar a objetos secundarios. También se puede quitar la configuración de permisos.

Procedimiento

1 Desplácese hasta el objeto en el navegador de objetos de vSphere Client.

2 Haga clic en la pestaña Permisos.

3 Haga clic en una fila para seleccionar un permiso.

Tarea Pasos

Cambiar permisos a Haga clic en el icono Cambiar función.

b En el menú desplegable Función, seleccione una función para el usuario o el grupo.

c Active o desactive la casilla Propagar a objetos secundarios para cambiar la herencia de permisos.

d Haga clic en Aceptar.

Quitar permisos Haga clic en el icono Quitar permiso.

Cambiar la configuración de validación de usuariosvCenter Server valida de forma periódica la lista de usuarios y grupos con los usuarios y grupos del directorio de usuarios. A continuación, quita los usuarios y los grupos que ya no existen en el dominio. Se puede deshabilitar la validación o cambiar el intervalo entre las validaciones. Si tiene dominios con miles de usuarios o grupos, o bien si las búsquedas tardan mucho en completarse, considere ajustar la configuración de la búsqueda.

Nota Este procedimiento se aplica únicamente a las listas de usuarios de vCenter Server. No puede buscar listas de usuarios de ESXi de la misma manera.

Procedimiento

1 Desplácese hasta el sistema vCenter Server en el navegador de objetos de vSphere Client.

2 Seleccione Configurar y haga clic en Configuración > General.

3 Haga clic en Editar y seleccione Directorio de usuarios.


VMware, Inc. 62

4 Cambie los valores según sea necesario y haga clic en Guardar.


Tiempo de espera del directorio de usuarios

Intervalo de tiempo de espera en segundos para la conexión al servidor de Active Directory. Este valor especifica la cantidad máxima de tiempo que vCenter Server permite para la ejecución de una búsqueda en el dominio seleccionado. La búsqueda en dominios grandes puede tardar mucho.

Límite de consulta Active para establecer un número máximo de usuarios y grupos que mostrará vCenter Server.

Tamaño del límite de consulta Cantidad máxima de usuarios y grupos del dominio seleccionado que vCenter Server muestra en el cuadro de diálogo Seleccionar usuarios o grupos. Si escribe 0 (cero), aparecen todos los usuarios y grupos.

Validación Desactive para deshabilitar la validación.

Período de validación Especifica la frecuencia con que vCenter Server valida permisos (en minutos).

Permisos globalesLos permisos globales se aplican a un objeto raíz global que expande soluciones. En un SDDC local, los permisos globales pueden abarcar vCenter Server y vRealize Orchestrator. Sin embargo, para cualquier SDDC de vSphere, los permisos globales se aplican a los objetos globales, como las etiquetas y las bibliotecas de contenido.

Puede asignar permisos globales a usuarios o grupos, y decidir qué función asignar a cada usuario o grupo. La función determina el conjunto de privilegios que el usuario o el grupo tienen para todos los objetos de la jerarquía. Puede asignar una función predefinida o crear funciones personalizadas. Consulte #unique_53.

Es importante distinguir entre los permisos de vCenter Server y los permisos globales.

Permisos de vCenter Server

Generalmente, se aplica un permiso a un objeto de inventario de vCenter Server, como una máquina virtual. Cuando se realiza esta acción, se especifica que el usuario o el grupo tenga una función (conjunto de privilegios) sobre el objeto.

Permisos globales Los permisos globales otorgan al usuario o grupo privilegios para ver o administrar todos los objetos en cada una de las jerarquías de inventario de la implementación. Los permisos globales también se aplican a objetos globales, como etiquetas y bibliotecas de contenido. Consulte Permisos en objetos de etiqueta. Los permisos globales no se aplican a objetos como los hosts de SDDC y los almacenes de datos que VMware administra automáticamente.


VMware, Inc. 63

Si asigna un permiso global y no selecciona Propagar, los usuarios o grupos asociados con este permiso no tendrán acceso a los objetos de la jerarquía. Solo podrán acceder a algunas funcionalidades globales, como la creación de funciones.

Importante Utilice los permisos globales con atención. Compruebe si realmente desea asignar permisos para todos los objetos en todas las jerarquías del inventario.

Funciones del sistema vCenter ServerUna función es un conjunto predefinido de privilegios. Al agregar permisos a un objeto, se empareja un usuario o un grupo con una función. vCenter Server incluye varios funciones de sistema que no se pueden cambiar.

vCenter Server ofrece algunas funciones predeterminadas. Los privilegios asociados con las funciones predeterminadas no se pueden cambiar. Las funciones predeterminadas se organizan en una jerarquía. Cada función hereda los privilegios de la función anterior. Por ejemplo, la función de administrador hereda los privilegios de la función de solo lectura.

La jerarquía de funciones de vCenter Server también incluye varias funciones de muestra. Puede clonar una función de muestra para crear una función similar.

Función CloudAdmin La función CloudAdmin tiene los privilegios necesarios para crear y administrar cargas de trabajo en el SDDC. Sin embargo, no es posible acceder ni configurar ciertos componentes de administración que son compatibles y administrados por VMware, como hosts, clústeres y máquinas virtuales de administración.

Función CloudGlobalAdmin

La función CloudGlobalAdmin, que tiene un subconjunto de los privilegios concedidos a la función CloudAdmin, está obsoleta a partir de la versión 1.7 de SDDC.

Función de administrador

Los usuarios con la función de administrador para un objeto tienen permiso de ver el objeto y realizar todas las acciones posibles en él. Esta función también incluye todos los privilegios de la función Solo lectura. Si tiene la función de administrador en un objeto, puede asignar privilegios a grupos y usuarios individuales.

Si actúa con función de administrador en vCenter Server, puede asignar privilegios a los usuarios y grupos del origen de identidad predeterminado de vCenter Single Sign-On. Los servicios de identidad admitidos incluyen Windows Active Directory y OpenLDAP 2.4.

De forma predeterminada, el usuario [email protected] tiene la función de administrador tanto en vCenter Single Sign-On como en vCenter Server después de la instalación. Ese usuario puede asociar otros usuarios con la función de administrador en vCenter Server.


VMware, Inc. 64

Función de solo lectura Los usuarios con la función Solo lectura para un objeto tienen permiso de ver el estado y los detalles del objeto. Por ejemplo, los usuarios con esta función pueden ver atributos de máquinas virtuales, hosts y grupos de recursos, pero no pueden ver la consola remota para un host. Las acciones desde los menús y las barras de herramientas no están permitidas.

Función de sin acceso Los usuarios con la función Sin acceso a un objeto no pueden ver ni cambiar ese objeto de ninguna manera. Los usuarios y grupos nuevos tienen asignada esta función de forma predeterminada. Es posible cambiar la función de un solo objeto a la vez.

El administrador del dominio de vCenter Single Sign-On, [email protected] de manera predeterminada, el usuario raíz y vpxuser tienen asignada la función Administrador de manera predeterminada. De manera predeterminada, se asigna la función Sin acceso a los otros usuarios.

Función de administrador sin criptografía

Los usuarios con la función Administrador sin criptografía para un objeto tienen los mismos privilegios que los usuarios con la función Administrador, menos los privilegios de Operaciones criptográficas. Esta función permite a los administradores designar otros administradores que no puedan cifrar o descifrar máquinas virtuales ni acceder a datos cifrados, pero que puedan realizar todas las demás tareas administrativas.

Prácticas recomendadas para funciones y permisosSiga las prácticas recomendadas para funciones y permisos con el fin de maximizar la seguridad y la facilidad de administración del entorno de vCenter Server.

VMware recomienda las siguientes prácticas recomendadas para configurar funciones y permisos en un entorno de vCenter Server:

n Siempre que sea posible, asigne una función a un grupo en lugar de hacerlo a usuarios individuales.

n Otorgue permisos solo en los objetos en los que esto sea necesario y asigne privilegios solo a los usuarios o grupos que deban tenerlos. Use una cantidad mínima de permisos para facilitar la comprensión y la administración de la estructura de permisos.

n Si asigna una función restrictiva a un grupo, compruebe que el grupo no contenga el usuario administrador u otros usuarios con privilegios administrativos. De lo contrario, podría restringir los privilegios de administradores de forma accidental en partes de la jerarquía de inventario en las que asignó la función restrictiva al grupo.

n Use carpetas para agrupar objetos. Por ejemplo, para conceder un permiso de modificación para un grupo de hosts y ver dicho permiso en otro conjunto de hosts, coloque cada conjunto de hosts en una carpeta.


VMware, Inc. 65

n Considere la posibilidad de habilitar la propagación al asignar los permisos a un objeto. La propagación garantiza que los nuevos objetos de la jerarquía de objetos hereden los permisos. Por ejemplo, puede asignar un permiso a una carpeta de máquinas virtuales y habilitar la propagación para asegurarse de que el permiso se aplique a todas las máquinas virtuales de la carpeta.

n Utilice la función Sin acceso para enmascarar determinadas áreas de la jerarquía. La función Sin acceso restringe el acceso a los usuarios o grupos que tengan esa función.

Privilegios de CloudAdminDebido a que VMware lleva a cabo por usted tareas de administración de host, entre otras, un administrador de nube requiere menos privilegios que un usuario administrador en un centro de datos local.

La función CloudAdmin tiene una serie de privilegios que se generan dinámicamente para el SDDC. Entre ellos, se incluyen la mayoría de los privilegios disponibles en todas las categorías. Para ver los privilegios concedidos a la función CloudAdmin, inicie sesión en la instancia de vSphere Client del SDDC, haga clic en Administración > Funciones, seleccione CloudAdmin en la lista de funciones y haga clic en PRIVILEGIOS.

Para obtener más información sobre los permisos concedidos en cada privilegio, consulte la referencia Privilegios definidos de vSphere.


VMware, Inc. 66


Clústeres y grupos de recursos 7En un entorno de vSphere local, se configuran clústeres para agrupar hosts ESXi y configurar vSphere HA, vSphere DRS y otras funciones de clúster. Los grupos de recursos se emplean para agrupar recursos. En un entorno de VMware Cloud on AWS, VMware crea un solo clúster con una configuración predefinida. VMware crea un grupo de recursos para las máquinas virtuales de cálculo y un segundo grupo de recursos para las máquinas virtuales de administración. Puede ver la configuración de grupos de recursos y clústeres, y crear y configurar grupos de recursos secundarios.

Lo que puede hacer en VMware Cloud on AWS depende de las opciones que seleccione.

VMware, Inc. 67

Tabla 7-1. Tareas admitidas en grupos de recursos y clústeres en VMware Cloud on AWS

Objeto Tareas admitidas

Clúster Un entorno de VMware Cloud on AWS tiene un clúster que incluye todos los hosts ESXi que forman parte del SDDC.

n Consulte la configuración del clúster, incluidos vSphere DRS y vSphere HA. El usuario cloudadmin no puede cambiar la configuración del clúster.

n Examine todos los hosts y todos los grupos de recursos que están asociados al clúster. Puede ver la memoria y la CPU consumidas, el estado de HA y el tiempo de actividad.

n Examine todos los almacenes de datos, las máquinas virtuales y las redes que se asocian con el clúster.

n Defina etiquetas y atributos. Consulte Capítulo 10 Atributos y etiquetas de vSphere.

Grupo de recursos Un entorno de VMware Cloud on AWS tiene dos grupos de recursos predefinidos. Puede realizar las siguientes tareas:

n Cree nuevas máquinas virtuales y grupos de recursos secundarios.

n Cambie la configuración de asignación de recursos en los grupos de recursos secundarios.

n Cambie el nombre de los grupos de recursos para que se ajusten mejor a la directiva de la empresa.

n Supervise el grupo de recursos, sus máquinas virtuales y sus grupos de recursos secundarios, y examine el uso de los grupo de recursos.

n Defina etiquetas y atributos. Consulte Capítulo 10 Atributos y etiquetas de vSphere.

Nota Algunas opciones de menú, como Eliminar, están disponibles en grupos de recursos de nivel superior, pero no tienen ningún efecto. Como [email protected], no tiene los permisos necesarios para realizar dichas tareas. Una advertencia aparece en la ventana Alarmas.


n Clústeres y grupos de recursos predefinidos

n Examinar máquinas virtuales y hosts del clúster

n Examinar y supervisar vSphere DRS

n Examinar y supervisar vSphere HA

n Examinar configuración del clúster

n Crear y administrar grupos de recursos secundarios

Clústeres y grupos de recursos predefinidosEl SDDC de VMware Cloud on AWS incluye dos grupos de recursos y un clúster. Un clúster de vSphere organiza y administra todos los recursos de CPU, memoria y almacenamiento de un conjunto de hosts.


VMware, Inc. 68

En cada clúster, diferentes grupos de recursos pueden dividir aún más los recursos. Puede crear grupos de recursos secundarios de Compute-ResourcePool.

En un SDDC de VMware Cloud on AWS, VMware crea un clúster y administra todos los recursos del clúster por usted. Esto significa que si una máquina virtual necesita más recursos, vSphere DRS realiza la migración de esta a un host diferente. Si uno de los hosts deja de estar disponible, vSphere HA muestra inmediatamente todas las máquinas virtuales que se ejecutan en ese host en hosts diferentes.

Los grupos de recursos permiten una mayor división de la asignación de recursos, pero no afectan al comportamiento de vSphere DRS y vSphere HA. Un SDDC de VMware Cloud on AWS tiene dos grupos de recursos predefinidos. Ambos grupos de recursos comparten el mismo hardware físico, pero están dedicados a usos diferentes.

Compute-ResourcePool De forma predeterminada, todas las máquinas virtuales de carga de trabajo se crean en el Compute-ResourcePool de nivel superior. Puede crear grupos de recursos secundarios de este grupo de recursos si desea priorizar la asignación de recursos a diferentes máquinas virtuales.

Mgmt-ResourcePool Todas las máquinas virtuales de administración (por ejemplo, las instancias de NSX Manager y NSX Controller), se crean en Mgmt-ResourcePool. Los recursos de este grupo se reservan para las máquinas virtuales de administración, de modo que funcionen correctamente sin consumir recursos de Compute-ResourcePool.

Tabla 7-2. Recursos consumidos por máquinas virtuales de administración

Tipo de recurso Consumo de recursos promedio

vCPU 32

Memoria 104 GB

Almacenamiento 3898 GB

Examinar máquinas virtuales y hosts del clústerEn un entorno de VMware Cloud on AWS, puede examinar las máquinas virtuales y los hosts de un clúster.

Procedimiento

1 En vSphere Client, haga clic en Menú y seleccione Hosts y clústeres.

2 Seleccione Clúster-1.

En VMware Cloud on AWS, un único clúster contiene las opciones de configuración. Debido a que la configuración está predefinida, no es necesario un segundo clúster.


VMware, Inc. 69

3 Haga clic en Máquinas virtuales para examinar las máquinas virtuales y las vApps.

a Compruebe la cantidad de CPU y memoria que está consumiendo cada máquina virtual, y compruebe el almacenamiento asignado y utilizado.

b Haga clic con el botón derecho en una flecha hacia abajo de la barra de título para mostrar u ocultar las columnas en esa visualización.

c Si desea realizar cambios a una máquina virtual o una vApp, seleccione una, haga clic con el botón derecho en la máquina virtual en la jerarquía de objetos, haga clic en Configuración y realice el cambio.

Para obtener más detalles, consulte la documentación de administración de máquinas virtuales de VMware Cloud on AWS.

4 Haga clic en Hosts para ver los recursos que están consumiendo los hosts en el clúster.

Puede solicitar hosts adicionales si el uso de recursos actual muestra que los necesitará pronto.

Examinar y supervisar vSphere DRSvSphere DRS garantiza la asignación óptima de recursos en las máquinas virtuales del SDDC. En un entorno local, puede configurar varias opciones, por ejemplo, puede utilizar el DRS totalmente automatizado o decidir si desea recibir recomendaciones. En un SDDC de VMware Cloud on AWS, VMware preconfiguró las opciones de vSphere DRS para el clúster de hosts.

VMware seleccionó ajustes que garanticen la distribución óptima de recursos y reduzcan la cantidad de migraciones que se producen. No tiene que cambiar dichas selecciones ni tampoco puede hacerlo. Es posible que le interese ver los valores preconfigurados.

Nota Para ofrecer una experiencia de usuario sin inconvenientes, las pantallas de configuración, supervisión, y análisis de clústeres y grupos de recursos son las mismas en un SDDC local y en un SDDC de VMware Cloud on AWS. Sin embargo, el botón Editar aparecerá atenuado para VMware Cloud on AWS.

Procedimiento




3 Examine la configuración de DRS, que automatiza totalmente la asignación de recursos en todo el clúster.

La interfaz de usuario detalla la información contextual. Para obtener información detallada, consulte el documento Administrar recursos de vSphere.


VMware, Inc. 70

Examinar y supervisar vSphere HAvSphere HA garantiza la disponibilidad de las máquinas virtuales. Si se produce un error en un host, vSphere HA reinicia la máquina virtual en un host diferente. En un SDDC de VMware Cloud on AWS, VMware reemplaza inmediatamente los hosts con errores, de manera que siempre pueda contar con el conjunto completo de recursos en el SDDC.


Procedimiento




3 Examine la configuración de vSphere HA, la cual está optimizada para un entorno de nube.

Configuración Explicación

vSphere HA está activado Con vSphere HA activado, las máquinas virtuales están protegidas contra errores del host.

Proactive HA está desactivado Debido a que VMware reemplaza los hosts con errores inmediatamente, no se requiere Proactive HA en el entorno de VMware Cloud on AWS.

Condiciones de error y respuestas Debido a que VMware Cloud on AWS está protegido en el nivel de hardware, algunas funciones de vSphere HA están deshabilitadas. No tiene sentido que estas funciones estén habilitadas en la nube.

Control de admisión Muestra la capacidad de CPU y memoria reservada. Si el clúster no tiene la capacidad de conmutación por error especificada, no puede iniciar máquinas virtuales adicionales.

Opciones avanzadas Muestra la configuración de opciones avanzadas que están preestablecidas en el SDDC en la nube.

Para obtener explicaciones detalladas de vSphere HA y otras funciones que garantizan la disponibilidad en un entorno de vSphere HA local, consulte el documento Disponibilidad de vSphere. Muchas de las funciones que los administradores locales tienen para administrar están preestablecidas en VMware Cloud on AWS.

4 Haga clic en el vínculo Supervisión de vSphere HA para obtener más información sobre los eventos de vSphere HA.


VMware, Inc. 71

Examinar configuración del clústerEn el SDDC de VMware Cloud on AWS, puede examinar todos los detalles de configuración del clúster que puede ver y cambiar en una implementación local.


Procedimiento




3 Examine la siguiente configuración.

Parámetro de configuración Descripción

General Muestra la ubicación del archivo de intercambio predefinida y la configuración de compatibilidad de la máquina virtual.

EVC de VMware Enhanced vMotion Compatibility de VMware está deshabilitado. Los hosts son uniformes, por lo que no se producen problemas de vMotion Compatibility.

Grupos de máquinas virtuales o hosts

Reglas de máquinas virtuales o hosts Los administradores del entorno de VMware Cloud on AWS crean reglas para garantizar que determinadas máquinas virtuales nunca se ejecuten con las mismas reglas. Puede ver estas reglas, pero no puede crear reglas.

Anulaciones de máquinas virtuales Las anulaciones de máquinas virtuales cambian el comportamiento de ciertas máquinas virtuales. Por ejemplo, la máquina virtual de vCenter tiene la prioridad de reinicio de vSphere HA más alta. Puede ver las anulaciones que el administrador de VMware Cloud on AWS estableció para algunas máquinas virtuales del sistema. No puede especificar anulaciones para sus propias máquinas virtuales.

Opciones del host Muestra las opciones del host, incluida cierta información sobre el host.

Perfil de host VMware administra todos los hosts de ESXi y se configuran de manera uniforme. No se requieren perfiles de host.


VMware, Inc. 72

Crear y administrar grupos de recursos secundariosLos grupos de recursos permiten asignar recursos en función de las necesidades de diferentes grupos. Puede crear una jerarquía de grupos de recursos secundarios para el grupo de recursos de cálculo de nivel superior, el cual se denomina Compute-ResourcePool de forma predeterminada. Cuando cree un grupo de recursos, puede especificar la configuración de recursos y modificarla más adelante.

Por ejemplo, supongamos que un host tiene una cantidad determinada de máquinas virtuales. El departamento de marketing utiliza tres de las máquinas virtuales, mientras que el departamento de control de calidad utiliza dos máquinas virtuales. Ya que el departamento de control de calidad necesita grandes cantidades de CPU y memoria, el administrador crea un grupo de recursos para cada grupo. El administrador establece Recursos compartidos de CPU en Alto para el grupo del departamento de control de calidad, y en Normal para el grupo del departamento de marketing, con el objeto de que los usuarios del departamento de control de calidad puedan ejecutar pruebas automatizadas. El segundo grupo de recursos con menos recursos de CPU y memoria es suficiente para la carga más ligera del personal de marketing. Cada vez que el departamento de control de calidad no utiliza su asignación completamente, el departamento de marketing puede utilizar los recursos disponibles.

Los números de la siguiente imagen muestran las asignaciones efectivas a los grupos de recursos.


VMware, Inc. 73

Figura 7-1. Grupos de recursos principales y grupos de recursos secundarios

Compute-ResourcePool6 GHz, 30 GB

RP-QA4 GHz, 20 GB

Control de Control de Marketing 1 Marketing 2 Marketing 3

RP-Marketing2 GHz, 10 GB

calidad 1 calidad 2


VMware, Inc. 74

Procedimiento

1 Inicie la tarea.

Tarea Pasos

Crear un grupo de recursos Haga clic con el botón derecho en el grupo de recursos principal y seleccione Nuevo grupo de recursos.

Editar la configuración del grupo de recursos

Haga clic con el botón derecho en un grupo de recursos y seleccione Editar configuración de recursos.

Nota Si edita la configuración de un grupo de recursos definido por el sistema, los cambios no entran en vigor.

2 Especifique de qué forma desea asignar los recursos de memoria y CPU.


Nombre Nombre de este grupo de recursos.

Recursos compartidos Especifique las cuotas de este grupo de recursos con respecto al total de recursos del elemento primario. Los grupos de recursos del mismo nivel comparten recursos de acuerdo con sus valores de recursos compartidos relativos, los cuales están ligados a la reserva y al límite correspondientes.

n Seleccione las opciones Bajo, Normal o Alto, que especifican los valores de cuota respectivamente en una relación de 1:2:4.

n Seleccione Personalizado para dar a cada máquina virtual una cuotas específica que exprese un peso proporcional.

Reserva Especifique una asignación de memoria o CPU garantizada para el grupo de recursos. El valor predeterminado es 0.

Una reserva no nula se resta de los recursos sin reservar del elemento primario (host o grupo de recursos). Los recursos se consideran reservados, independientemente de que las máquinas virtuales estén asociadas al grupo de recursos.

Reserva ampliable Cuando se activa la casilla (predeterminado), las reservas ampliables se tienen en cuenta durante el control de admisión.

Si se enciende una máquina virtual en este grupo de recursos, y las reservas combinadas de las máquinas virtuales son más grandes que la reserva del grupo de recursos, este puede utilizar recursos de un elemento primario o antecesor.

Límite Especifique el límite superior para la asignación de memoria o CPU del grupo de recursos. En general, se puede aceptar la opción predeterminada (Ilimitado).

Para especificar un límite, desactive la casilla Ilimitado.



VMware, Inc. 75

Almacenamiento de vSan en VMware Cloud on AWS 8VMware Cloud on AWS proporciona dos almacenes de datos de vSAN en cada clúster de SDDC: WorkloadDatastore, administrado por el administrador de nube, y vsanDatastore, administrado por VMware.

Estos almacenes de datos son entidades lógicas que comparten un grupo de capacidad común. Cada almacén de datos informa del espacio libre total que hay disponible en el clúster como su capacidad. La capacidad consumida en cualquiera de estos almacenes de datos actualiza el valor de Libre para ambos.

vsanDatastoreEste almacén de datos proporciona almacenamiento para las máquinas virtuales de administración del SDDC; por ejemplo, vCenter Server, controladoras de NSX, etc.

VMware se encarga de la administración y la solución de problemas con el almacenamiento de vSAN del SDDC. Por este motivo, no se puede editar la configuración del clúster de vSAN ni supervisar el clúster de vSAN. Tampoco tiene permisos para examinar este almacén de datos, cargar archivos en él ni quitar archivos.

WorkloadDatastoreEste almacén de datos proporciona almacenamiento para máquinas virtuales de carga de trabajo, plantillas, imágenes ISO y cualquier otro archivo que elija cargar en el SDDC. Tiene permisos completos para examinar este almacén de datos, crear carpetas, cargar archivos, eliminar archivos y realizar todas las operaciones necesarias para consumir este almacenamiento.

A los almacenes de datos en el SDDC se les asigna la directiva de almacenamiento de máquina virtual de forma predeterminada. Puede definir otras directivas de almacenamiento y asignarlas a cualquier almacén de datos. Para obtener más información sobre las directivas de almacenamiento de vSAN, consulte Usar directivas de vSAN.


n Capacidad de almacenamiento y redundancia de datos

n Desduplicación y compresión de vSAN

VMware, Inc. 76

https://docs.vmware.com/es/VMware-vSphere/6.5/com.vmware.vsphere.virtualsan.doc/GUID-C8E919D0-9D80-4AE1-826B-D180632775F3.html

n Cifrado de vSAN en VMware Cloud on AWS

n Directivas de vSAN

n Asignar directivas de almacenamiento a máquinas virtuales

Capacidad de almacenamiento y redundancia de datosLa capacidad de almacenamiento y la redundancia de datos del SDDC se amplían junto con el número de nodos en el SDDC.

Los SDDC de nodo único no proporcionan ninguna redundancia de datos. Los SDDC con más nodos admiten redundancia de datos a través de varias configuraciones de RAID. Todo el almacenamiento de SDDC proporciona desduplicación y compresión de datos. La redundancia de datos en los SDDC que tienen más de un host se expresa como un número de errores que se toleran (Failures To Tolerate, FTT), en el que un error puede ser la pérdida de un solo host en un clúster o un único dispositivo de almacenamiento en una matriz.

Escenarios de uso y asignación de almacenamiento típicosTodas las configuraciones de RAID usan datos para admitir la redundancia, tal como se muestra en esta tabla. La columna Almacenamiento utilizable muestra la cantidad de datos que se puede almacenar en un host determinado en una directiva específica de vSAN, así como las cuentas para el espacio disponible recomendado restando el 30 % de ese total.

Tabla 8-1. Almacenamiento utilizable por nodo

Nodos Configuración de FTT y RAIDAlmacenamiento utilizable (TB)

Capacidad utilizable proyectada tras la desduplicación y la compresión (TB)

1 Ninguna 7 10

3 1 error, RAID-1 (creación de reflejo) 3.7 5

4 1 error, RAID-5 (codificación de borrado) 5.6 8

5 2 errores, RAID-1 (creación de reflejo) 2.5 3.6

6 2 errores, RAID-6 (codificación de borrado)

4.9 7

La sobrecarga de RAID también puede expresarse en términos del almacenamiento usado por una máquina virtual. Esta tabla muestra la manera en la que varias configuraciones de RAID y FTT afectan a la cantidad promedio de almacenamiento usado por una máquina virtual de 100 GB para una asignación de almacenamiento determinada.

Tabla 8-2. Almacenamiento usado por una máquina virtual de 100 GB

Nodos Configuración de FTT y RAIDGB asignados realmente Promedio de GB usados

1 Ninguna 100 69

3 1 error, RAID-1 (creación de reflejo) 200 138

4 1 error, RAID-5 (codificación de borrado) 133 92


VMware, Inc. 77

Tabla 8-2. Almacenamiento usado por una máquina virtual de 100 GB (continuación)

Nodos Configuración de FTT y RAIDGB asignados realmente Promedio de GB usados

5 2 errores, RAID-1 (creación de reflejo) 300 207

6 2 errores, RAID-6 (codificación de borrado) 150 103

Desduplicación y compresión de vSANvSAN realiza acciones de desduplicación y compresión a nivel de bloque para ahorrar espacio de almacenamiento. Esto permite hacer un uso más eficiente y rentable del almacenamiento en el SDDC de VMware Cloud on AWS.

La desduplicación elimina los bloques de datos redundantes, mientras que la compresión elimina los datos redundantes adicionales dentro de cada bloque de datos. Estas técnicas se utilizan en conjunto para reducir la cantidad de almacenamiento físico necesario para almacenar los datos. VMware vSAN aplica la desduplicación y luego la compresión a medida que traslada los datos del nivel de memoria caché al nivel de capacidad.

La desduplicación se produce en línea cuando los datos se vuelven a escribir del nivel de memoria caché al nivel de capacidad. El algoritmo de desduplicación utiliza un tamaño de bloque fijo y se aplica en cada grupo de discos. Las copias redundantes de un bloque en el mismo grupo de discos se desduplican.

El ahorro de almacenamiento que se obtiene a partir de la desduplicación y la compresión depende en gran medida de los datos de carga de trabajo. En promedio, el ahorro de espacio de almacenamiento se encuentra entre 1,5X y 2X.

A partir del SDDC 1.3, la desduplicación y la compresión están habilitadas en todos los clústeres nuevos que se crean. La función se habilita automáticamente para todos los clústeres de VMware Cloud on AWS y no se puede desactivar.

La desduplicación y la compresión están habilitadas en los clústeres creados con versiones anteriores del SDDC después de actualizarse a la nueva versión del SDDC. Durante la habilitación de la desduplicación y la compresión, temporalmente se agrega un host adicional al clúster. Este host es gratuito. El proceso de actualización retira datos de cada grupo de discos, vuelve a formatear el grupo de discos con la configuración de desduplicación y reescribe los datos en el grupo de discos.

La activación de la desduplicación y la compresión puede tardar. Durante el proceso, es posible que algunos clústeres funcionen con un estado parcial, en el que se habilitó la desduplicación de algunos grupos de discos y no en otros. Cuando la actualización está en curso, no se pueden quitar hosts del clúster. Durante el proceso de actualización, es posible que se reduzca la velocidad del clúster, especialmente durante una carga de E/S grande.

Para acelerar la activación de la desduplicación y la compresión, siga estas prácticas recomendadas.

n Evite los cambios en la configuración del clúster tanto como sea posible, incluida la adición de hosts, y la adición o la eliminación de máquinas virtuales.

n Evite realizar cambios en las directivas de almacenamiento.


VMware, Inc. 78

n Mantenga la capacidad actual del clúster tanto como sea posible.

Cifrado de vSAN en VMware Cloud on AWSvSAN cifra todos los datos de usuario en reposo en VMware Cloud on AWS.

El cifrado está habilitado de forma predeterminada en todos los clústeres implementados en el SDDC y no se puede desactivar.

Al implementar un clúster, vSAN utiliza el servicio de administración de claves de AWS (AWS KMS) para generar una clave maestra de cliente (CMK), que se almacena en AWS KMS. A continuación, vSAN genera una clave de cifrado de claves (KEK) y la cifra con la CMK. A su vez, la KEK se utiliza para cifrar las claves de cifrado de discos (DEK) generadas para cada disco de vSAN.

Puede cambiar las KEK mediante la API de vSAN o la interfaz de usuario de vSphere Client. Este proceso se conoce como regeneración de claves superficial. No se admite el cambio de la CMK o de las DEK. Si debe cambiar la CMK o las DEK, cree un nuevo clúster y migre las máquinas virtuales y los datos a él.

Generar nuevas claves de cifrado en VMware Cloud on AWSPuede generar nuevas claves de cifrado de claves (KEK) para el clúster de VMware Cloud on AWS si es necesario.

Este proceso se conoce como regeneración de claves superficial. No se admite el cambio de la CMK o de las DEK. Si debe cambiar la CMK o las DEK, cree un nuevo clúster y migre las máquinas virtuales y los datos a él

Procedimiento

1 Inicie sesión en la instancia de vSphere Client del SDDC en la nube.

2 Desplácese hasta el clúster de vSAN.

3 Haga clic en la pestaña Configurar.

4 En vSAN, seleccione Servicios.

5 Haga clic en Generar nuevas claves de cifrado.

6 Haga clic en Aplicar para generar una nueva KEK.

Las claves de cifrado de discos (DEK) se vuelven a cifrar con las nuevas KEK.


VMware, Inc. 79

Ejemplo: Uso de VMware PowerCLI para esta tareaSi conoce la contraseña de CloudAdmin, puede utilizar un comando de PowerCLI como este a fin de realizar una regeneración de claves superficial para el servicio de vSAN. En este ejemplo, basado en la muestra de código Vsan-EncryptionRekey.psl que puede descargar de https://code.vmware.com/samples/2200#code, se vuelven a generar las claves del servicio de vSan que se ejecuta en el Cluster-1 de la instancia de vCenter del SDDC vcenter.sddc-54-200-165-35.vmwarevmc.com:

PS > ./Vsan-EncryptionRekey.psl -vCenter vcenter.sddc-54-200-165-35.vmwarevmc.com -User

[email protected] -Password cloudadmin-password -ReKey shallow -ClusterName Cluster-1

Directivas de vSANLas directivas de almacenamiento de vSAN definen los requisitos de almacenamiento para las máquinas virtuales. Estas directivas garantizan el nivel de servicio requerido para las máquinas virtuales, ya que determinan la manera en la que se asigna el almacenamiento a la máquina virtual.

VMware Cloud on AWS incluye dos almacenes de datos de vSAN, uno para las máquinas virtuales de administración (vsanDatastore) y otro para las máquinas virtuales de carga de trabajo (WorkloadDatastore). Ambos almacenes de datos comparten los mismos dispositivos de almacenamiento subyacente y consumen el mismo grupo de espacio libre.

A cada máquina virtual implementada en un almacén de datos de vSAN se le asigna al menos una directiva de almacenamiento de máquina virtual. Puede asignar estas directivas de almacenamiento al crear o editar máquinas virtuales.

Nota Si no asigna una directiva de almacenamiento a una máquina virtual, vSAN asigna una directiva predeterminada. La directiva predeterminada tiene la opción Nivel principal de errores que se toleran configurada en 1, una sola fracción de disco por objeto y un disco virtual con aprovisionamiento fino.

Las directivas de almacenamiento tienen atributos de disponibilidad y atributos avanzados.

Atributos de disponibilidad para directivas de almacenamiento de máquina virtual de vSAN

Tolerancia ante desastres del sitio

Define el método de redundancia de datos utilizado por los clústeres ampliados para abordar un error del sitio. Este atributo se aplica a clústeres ampliados. Si tiene un clúster vSAN estándar, elija Ninguno (clúster estándar).

Estas son las opciones:

n Ninguno (clúster estándar)

n Supervisión de dos sitios (clúster ampliado)

n Ninguno: mantener datos en el principal (clúster ampliado)


VMware, Inc. 80

https://code.vmware.com/samples/2200#code

https://code.vmware.com/samples/2200#code

n Ninguno: mantener datos en el secundario (clúster ampliado)

Errores que se toleran Define el número de errores de dispositivos y hosts que puede tolerar una máquina virtual. Puede optar por no tener redundancia de datos, o seleccionar una configuración de RAID optimizada para rendimiento (creación de reflejo) o capacidad (codificación de borrado).

Tabla 8-3. Configuraciones de RAID, FTT y requisitos de host

Configuración de RAIDErrores que se toleran (FTT) Mínimo de hosts requeridos

RAID-1 (creación de reflejo) Esta es la configuración predeterminada.

1 3

RAID-5 (codificación de borrado)

1 4

RAID-1 (creación de reflejo) 2 5

RAID-6 (codificación de borrado)

2 6

RAID-1 (creación de reflejo) 3 7

El número inicial de hosts en un clúster y la manera en que los hosts se agregan o se quitan del clúster afecta a su configuración de RAID. Por ejemplo, un clúster de tres hosts está configurado inicialmente con RAID 1. Cuando se agrega un host, puede reconfigurar el clúster para RAID-5, pero dicha reconfiguración no es automática. Un clúster de cuatro hosts está configurado inicialmente con RAID-5. Consulte Capacidad de almacenamiento y redundancia de datos para obtener detalles.

Atributos avanzados para las directivas de almacenamiento de máquina virtual de vSAN

Número de fracciones de disco por objeto

Número mínimo de dispositivos de capacidad entre los que se fracciona cada réplica de un objeto de máquina virtual. Un valor mayor que 1 produce un mejor rendimiento, pero también un mayor uso de los recursos del sistema. El valor predeterminado es 1. El valor máximo es 12. Cambie el valor predeterminado solo cuando lo recomiende el soporte de VMware.

Límite de E/S por segundo del objeto

Define el límite de IOPS para un objeto, como VMDK. El valor de IOPS se calcula como el número de operaciones de E/S, utilizando un tamaño ponderado. Si el sistema utiliza el tamaño de base predeterminado de 32 KB, una E/S de 64 KB representa dos operaciones de E/S.


VMware, Inc. 81

Al calcular las IOPS, la lectura y escritura se consideran equivalentes, pero no se consideran la proporción de aciertos de la memoria caché ni la secuencialidad. Si las IOPS de un disco exceden el límite, se aceleran las operaciones de E/S. Si Límite de IOPS para objeto se establece en 0, no se aplicarán los límites de IOPS.

vSAN permite que el objeto duplique la tasa del límite de E/S por segundo durante el primer segundo de la operación o después de un período de inactividad.

Reserva de espacio de objetos

Porcentaje del tamaño lógico del objeto del disco de la máquina virtual (vmdk) que se debe reservar o que debe tener aprovisionamiento grueso al implementar máquinas virtuales.

El valor predeterminado es 0 %. El valor máximo es 100 %.

Reserva de Flash Read Cache

La capacidad flash reservada como memoria caché de lectura para el objeto de la máquina virtual. Se especifica como un porcentaje del tamaño lógico del objeto del disco de la máquina virtual (vmdk). La capacidad flash reservada no puede ser utilizada por otros objetos. La capacidad flash no reservada se comparte de manera equitativa entre todos los objetos. Utilice esta opción solamente para solucionar problemas de rendimiento específicos.

No es necesario establecer una reserva para obtener memoria caché. La configuración de las reservas de memoria caché de lectura podría ocasionar problemas cuando se transfiere el objeto de la máquina virtual, debido a que los ajustes de reserva de la memoria caché siempre se incluyen con el objeto.

El atributo de la directiva de almacenamiento de reserva de Flash Read Cache solo es compatible con las configuraciones híbridas. No se debe usar este atributo al definir una directiva de almacenamiento de máquina virtual para un clúster de vSAN basado íntegramente en tecnología flash.


VMware, Inc. 82

El valor predeterminado es 0 %. El valor máximo es 100 %.

Nota Como opción predeterminada, vSAN asigna memoria caché de lectura de manera dinámica a los objetos de almacenamiento en función de la demanda. Esta característica representa el uso más flexible y más óptimo de los recursos. Como consecuencia, por lo general, no es necesario cambiar el valor predeterminado de 0 para este parámetro.

Si desea aumentar el valor en el momento de solucionar un problema de rendimiento, sea cuidadoso. El sobreaprovisionamiento de reservas de memoria caché entre varias máquinas virtuales puede implicar un desperdicio de espacio en el dispositivo flash por reservas excesivas. Estas reservas de memoria caché no se pueden usar para atender las cargas de trabajo para las que se necesita espacio en cierto momento. Este desperdicio de espacio y falta de disponibilidad podrían causar una degradación en el rendimiento.

Deshabilitar la suma de comprobación en el objeto

Si la opción se establece en No, el objeto calcula la información de suma de comprobación para garantizar la integridad de sus datos. Si esta opción se establece en Sí, el objeto no calcula la información de suma de comprobación.

vSAN utiliza la suma de comprobación de extremo a extremo para garantizar la integridad de los datos confirmando que cada copia de un archivo sea exactamente igual que el archivo de origen. El sistema comprueba la validez de los datos durante las operaciones de lectura/escritura y, si se detecta un error, vSAN repara los datos o informa del error.

Si se detecta una discrepancia en la suma de comprobación, vSAN repara automáticamente los datos sobrescribiendo los datos incorrectos con los datos correctos. Se realiza el cálculo de la suma de comprobación y la corrección de errores como operaciones en segundo plano.

La configuración predeterminada para todos los objetos del clúster es No, lo que significa que la suma de comprobación está habilitada.

Forzar aprovisionamiento

Si la opción se establece en Sí, el objeto se aprovisiona incluso cuando el almacén de datos no puede satisfacer las directivas Nivel principal de errores que se toleran, Número de fracciones de disco por objeto y Reserva de Flash Read Cache especificadas en la directiva de almacenamiento. Use este parámetro en escenarios de arranque y durante una interrupción cuando el aprovisionamiento estándar ya no sea posible.


VMware, Inc. 83

El valor predeterminado No es aceptable para la mayoría de los entornos de producción. vSAN no aprovisiona una máquina virtual cuando no se cumplen los requisitos de la directiva; sin embargo, crea correctamente la directiva de almacenamiento definida por el usuario.

Directivas de almacenamiento y requisitos de SLAAl trabajar con directivas de almacenamiento de máquinas virtuales, es importante comprender la manera en que las directivas afectan a la utilización de la capacidad de almacenamiento en el clúster de vSAN y si cumplen con los requisitos definidos en el Acuerdo de nivel de servicio para VMware Cloud on AWS (Service Level Agreement, SLA).

La directiva de almacenamiento de vSAN predeterminada se configura inicialmente en función de la cantidad de hosts del clúster. Por ejemplo, el valor predeterminado de un clúster de tres hosts se establece como FTT=1 mediante la directiva de creación de reflejo RAID-1. El valor predeterminado de un clúster de cuatro hosts también se establece como FTT=1, pero se utiliza la directiva de codificación de borrado RAID-5, la cual utiliza el espacio de una manera más eficiente. El valor predeterminado de los clústeres con más de seis hosts i3.metal en una sola AZ se establece como FTT=2 mediante la directiva de codificación de borrado RAID-6. Es posible crear directivas personalizadas que alineen la disponibilidad de datos con las necesidades de los datos subyacentes, pero es posible que las máquinas virtuales de carga de trabajo con directivas de almacenamiento que no cumplan con los requisitos establecidos en el Acuerdo de nivel de servicio no califiquen para los créditos de SLA. Es necesario configurar la directiva de almacenamiento de máquina virtual con el nivel de protección adecuado. Las cargas de trabajo efímeras pueden utilizar la directiva No hay redundancia de datos para ahorrar capacidad, aunque se prescinde de toda garantía de SLA correspondiente a la disponibilidad.

Importante Al escalar un clúster i3.metal de cinco a seis hosts, se debe actualizar la configuración de la directiva subyacente a FTT=2 mediante la creación de reflejo o la codificación de borrado para compensar por el grupo de errores más grande. El uso continuado de FTT=1 para esta configuración de hosts implica que VMware no puede garantizar la disponibilidad según las instrucciones de definición de servicios. Los clústeres R5.metal que usan vSAN elástica pueden cumplir con el SLA con FTT=1, independientemente del tamaño del clúster.

Para obtener más información sobre las consideraciones de diseño y tamaño de las directivas de almacenamiento, consulte el documento Administrar VMware vSAN.

Acerca de la directiva de almacenamiento predeterminada de vSANvSAN requiere que a las máquinas virtuales implementadas en los almacenes de datos de vSAN se les asigne al menos una directiva de almacenamiento. Al aprovisionar una máquina virtual, si no asigna de manera explícita una directiva de almacenamiento a la máquina virtual, la directiva de almacenamiento predeterminada de vSAN se asigna a la máquina virtual.


VMware, Inc. 84

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/support/vmw-cloud-aws-service-level-agreement.pdf


La directiva predeterminada contiene conjuntos de reglas de vSAN y un conjunto de funcionalidades básicas de almacenamiento, que, por lo general, se usan para ubicar las máquinas virtuales implementadas en los almacenes de datos de vSAN.

Tabla 8-4. Especificaciones de la directiva de almacenamiento predeterminada de vSAN

Especificación Configuración

Nivel principal de errores que se toleran 1

Número de fracciones de disco por objeto 1

Reserva de Flash Read Cache o capacidad flash utilizada para la memoria caché de lectura

0

Reserva de espacio de objetos 0

Nota Cuando la reserva de espacio de objetos se configura en 0, el disco virtual se aprovisiona con formato fino, de forma predeterminada.

Forzar aprovisionamiento No

Si desea revisar las opciones de configuración de la directiva de almacenamiento predeterminada de máquina virtual, desplácese hasta Directivas de almacenamiento de VM > Directiva de almacenamiento predeterminada de Virtual SAN > Administrar > Conjunto de reglas 1: VSAN.

Para obtener mejores resultados, considere la posibilidad de crear y usar sus propias directivas de almacenamiento de máquina virtual, aunque los requisitos de la directiva sean iguales a los definidos en la directiva de almacenamiento predeterminada. En algunos casos, al escalar un clúster verticalmente, debe modificar la directiva de almacenamiento predeterminada para mantener el cumplimiento de los requisitos del Acuerdo de nivel de servicio de VMware Cloud en AWS. Para obtener información sobre cómo crear una directiva de almacenamiento de máquina virtual definida por el usuario, consulte Definir una directiva de almacenamiento de máquinas virtuales para vSAN.

Cuando se asigna una directiva de almacenamiento definida por el usuario a un almacén de datos, vSAN aplica la configuración de la directiva definida por el usuario al almacén de datos especificado. En cualquier momento dado, puede asignar una sola directiva de almacenamiento de máquina virtual como la directiva predeterminada para el almacén de datos de vSAN.

CaracterísticasLas características siguientes se aplican a la directiva de almacenamiento predeterminada de vSAN.

n La directiva de almacenamiento predeterminada de vSAN se asignará a todos los objetos de máquina virtual si no hay ninguna otra directiva de vSAN asignada al aprovisionar una máquina virtual. El cuadro de texto Directiva de almacenamiento de máquina virtual se configura como Valor predeterminado de almacén de datos en la página Seleccionar almacenamiento. Para obtener más información sobre el uso de las directivas de almacenamiento, consulte el documento Almacenamiento de vSphere.

Nota Los objetos de intercambio de VM y memoria de VM reciben la Directiva de almacenamiento predeterminada de vSAN con Forzar aprovisionamiento establecido en Sí.


VMware, Inc. 85


n La directiva predeterminada de vSAN solo se aplica a los almacenes de datos de vSAN. No es posible aplicar la directiva de almacenamiento predeterminada a almacenes de datos no pertenecientes a vSAN, por ejemplo, un almacén de datos de NFS o VMFS.

n Debido a que la directiva de almacenamiento predeterminada de la máquina virtual es compatible con cualquier almacén de datos de vSAN en vCenter Server, puede transferir los objetos de máquinas virtuales aprovisionados con la directiva predeterminada a cualquier almacén de datos de vSAN en vCenter Server.

n Puede clonar la directiva predeterminada y usarla como plantilla para crear una directiva de almacenamiento definida por el usuario.

n Si tiene el privilegio Perfil de almacenamiento.Vista, puede editar la directiva predeterminada. Debe tener al menos un clúster habilitado para vSAN que contenga al menos un host. Por lo general, la configuración de la directiva de almacenamiento predeterminada no se modifica.

n No es posible editar el nombre y la descripción de la directiva predeterminada, ni tampoco la especificación del proveedor de almacenamiento de vSAN. Todos los demás parámetros, incluidas las reglas de la directiva, pueden editarse.

n No es posible eliminar la directiva predeterminada.

n La directiva de almacenamiento predeterminada se asigna cuando la directiva que asigna durante el aprovisionamiento de máquinas virtuales no incluye reglas específicas para vSAN.

Asignar una directiva de almacenamiento predeterminada a almacenes de datos de vSANPuede asignar una directiva de almacenamiento definida por el usuario como la directiva predeterminada a un almacén de datos a fin de poder volver a utilizar una directiva de almacenamiento que coincida con sus requisitos.

Requisitos previos

Compruebe que la directiva de almacenamiento de máquina virtual que desea asignar como la directiva predeterminada para el almacén de datos de vSAN cumpla con los requisitos de las máquinas virtuales del clúster de vSAN.

Procedimiento

1 Vaya hasta el almacén de datos de vSAN.

2 Haga clic en Configurar.

3 En General, haga clic en el botón Editar para la directiva de almacenamiento predeterminada y seleccione la directiva de almacenamiento que desea asignar como la predeterminada para el almacén de datos de vSAN.

Puede elegir entre una lista de directivas de almacenamiento compatibles con el almacén de datos de vSAN, como la directiva de almacenamiento predeterminada de vSAN y las directivas de almacenamiento definidas por el usuario que tienen definidos conjuntos de reglas de vSAN.


VMware, Inc. 86

4 Seleccione una directiva y haga clic en OK (Aceptar).

La directiva de almacenamiento se aplica como la directiva predeterminada al aprovisionar las nuevas máquinas virtuales sin especificar una directiva de almacenamiento de manera explícita para un almacén de datos.

Pasos siguientes

Puede definir una nueva directiva de almacenamiento para máquinas virtuales. Consulte Definir una directiva de almacenamiento de máquinas virtuales para vSAN.

Definir una directiva de almacenamiento de máquinas virtuales para vSANEs posible crear una directiva de almacenamiento en la que se definan los requisitos de almacenamiento para una máquina virtual y sus discos virtuales. En esta directiva, debe hacer referencia a las capacidades de almacenamiento que admite el almacén de datos de vSAN.

Procedimiento

1 En vSphere Client, haga clic en Menú > Directivas y perfiles y, a continuación, haga clic en Directivas de almacenamiento de máquina virtual.

2 Haga clic en Crear directiva de almacenamiento de máquina virtual.

3 En la página Nombre y descripción, realice lo siguiente:

a Deje la opción vCenter Server seleccionada.

b Escriba un nombre y una descripción para la directiva de almacenamiento y haga clic en Next (Siguiente).

4 En la página vSAN, especifique los atributos de Disponibilidad y Opciones avanzadas, y haga clic en Siguiente.

Los valores predeterminados son adecuados para muchas situaciones. Consulte Directivas de vSAN para obtener información detallada sobre cada atributo.

5 En la página de compatibilidad de almacenamiento, revise la lista de almacenes de datos que coinciden con esta directiva y haga clic en Siguiente.

Para cumplir las condiciones, un almacén de datos no necesita satisfacer todos los conjuntos de reglas incluidos en la directiva. El almacén de datos debe satisfacer al menos uno de los conjuntos de reglas y todas las reglas de dicho conjunto. Verifique que el almacén de datos de vSAN cumpla con los requisitos establecidos en la directiva de almacenamiento y que figure en la lista de almacenes de datos compatibles.

6 En la página de finalización, revise la configuración de la directiva y haga clic en Finalizar.


VMware, Inc. 87

Pasos siguientes

Asigne esta directiva a una máquina virtual y sus discos virtuales. vSAN coloca los objetos de máquina virtual según los requisitos especificados en la directiva. Para obtener información sobre cómo aplicar directivas de almacenamiento a objetos de máquina virtual, consulte la documentación de Almacenamiento de vSphere.

Asignar directivas de almacenamiento a máquinas virtualesEs posible asignar una directiva de almacenamiento de máquina virtual en una implementación inicial de una máquina virtual o cuando realiza otras operaciones de máquina virtual, como la clonación o la migración.

Este tema describe cómo asignar la directiva de almacenamiento de máquina virtual cuando crea una máquina virtual. Para obtener información sobre otros métodos de implementación, incluidas la clonación, la implementación a partir de una plantilla, etc., consulte el documento Administrar máquinas virtuales de vSphere.

Se puede aplicar la misma directiva de almacenamiento al archivo de configuración de máquina virtual y a todos los discos virtuales. Si los requisitos de almacenamiento para los discos virtuales y el archivo de configuración son diferentes, se pueden asociar distintas directivas de almacenamiento con el archivo de configuración de máquina virtual y los discos virtuales seleccionados.

Procedimiento

1 En vSphere Client, inicie el proceso de aprovisionamiento de máquina virtual y siga los pasos adecuados.

2 Asigne la misma directiva de almacenamiento a todos los discos y archivos de máquina virtual.

a En la página Seleccionar almacenamiento, seleccione una directiva de almacenamiento en el menú desplegable Directiva de almacenamiento de máquina virtual.

De acuerdo con la configuración, la directiva de almacenamiento separa todos los almacenes de datos en conjuntos compatibles e incompatibles. Si la directiva hace referencia a servicios de datos que ofrece una entidad de almacenamiento específica, por ejemplo, Virtual Volumes, la lista compatible incluye almacenes de datos que representan solo ese tipo de almacenamiento.

b Seleccione un almacén de datos adecuado de la lista de almacenes de datos compatibles.

El almacén de datos se transforma en el recurso de almacenamiento de destino del archivo de configuración de la máquina virtual y de todos los discos virtuales.


VMware, Inc. 88

3 Cambie la directiva de almacenamiento de máquina virtual del disco virtual.

Utilice esta opción si los requisitos de selección de almacenamiento son distintos para los discos virtuales. También puede utilizar esta opción para habilitar servicios de filtro de E/S, como el almacenamiento en caché y la replicación, para sus discos virtuales.

a En la página Personalizar hardware, expanda el panel Disco duro nuevo.

b En el menú desplegable Directiva de almacenamiento de máquina virtual, seleccione la directiva de almacenamiento para asignar al disco virtual.

4 Complete el proceso de aprovisionamiento de máquina virtual.

Una vez creada la máquina virtual, la pestaña Resumen muestra las directivas de almacenamiento asignadas y su estado de cumplimiento.

Pasos siguientes

Si cambian los requisitos de ubicación de almacenamiento del archivo de configuración o los discos virtuales, la asignación de la directiva de máquina virtual se puede modificar posteriormente.


VMware, Inc. 89

Redes de carga de trabajo en VMware Cloud on AWS 9Las redes de las máquinas virtuales de carga de trabajo en el SDDC se enrutan mediante la puerta de enlace de cálculo, que proporciona conectividad de red de norte a sur para las máquinas virtuales que están en ejecución en el SDDC.

Para obtener más información sobre las redes de SDDC, consulte Conceptos de redes de NSX-T en Redes y seguridad de VMware Cloud on AWS.


n Crear un segmento de red de cómputo

n Asociar una máquina virtual a una máquina virtual de carga de trabajo o separarla de ella desde un segmento de red de cómputo

Crear un segmento de red de cómputoSe crea un SDDC de inicio de host único con un solo segmento de red enrutada denominado sddc-cgw-network-1. Esta red utiliza el bloque CIDR 192.168.1.0/24, a menos que se produzca un conflicto con el bloque CIDR elegido para la red de administración de SDDC. En ese caso, la red predeterminada utiliza el bloque CIDR 172.10.1.0/24.

Los SDDC de varios hosts no se crean con un segmento de red predeterminado, por lo que debe crear al menos un segmento para las máquinas virtuales de carga de trabajo. Puede utilizar la consola de VMC para crear segmentos de red adicionales o eliminar los segmentos que ya no estén en uso.

Procedimiento

1 Crear un segmento de red.

Puede omitir este paso si utiliza un SDDC de inicio de host único y quiere usar su segmento predeterminado.

2 Agregar o modificar reglas de firewall de puerta de enlace de cálculo.

De forma predeterminada, la puerta de enlace de cálculo bloquea el tráfico a todos los vínculos superiores. Deberá agregar reglas de firewall de puerta de enlace de cálculo para permitir que las máquinas virtuales de carga de trabajo se comuniquen por fuera del segmento al que están asociadas.

VMware, Inc. 90

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-658253DB-F384-4040-94B2-DF2AC3C9D396.html

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-267DEADB-BD01-46B7-82D5-B9AA210CA9EE.html

https://docs.vmware.com/es/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-A5114A98-C885-4244-809B-151068D6A7D7.html

Pasos siguientes

Después de crear el segmento de red lógica, estará listo para conectar a este las máquinas virtuales de carga de trabajo. Si lo desea, puede configurar más funciones por segmento, como zonas de DNS y relé DHCP.

Asociar una máquina virtual a una máquina virtual de carga de trabajo o separarla de ella desde un segmento de red de cómputoPuede utilizar vSphere Web Client para administrar la asociación de máquinas virtuales de carga de trabajo a segmentos de red de cómputo.

Requisitos previos

La red de cómputo del SDDC debe contar con un segmento como mínimo. Consulte Crear un segmento de red de cómputo.

Procedimiento


2 Seleccione Menú > Listas de inventario globales.

3 Seleccione Redes lógicas.

4 En el menú desplegable vCenter Server, seleccione la instancia de vCenter Server que administra la red lógica que desea utilizar.

5 Haga clic junto al nombre de red lógica para seleccionarla.

6 Determine si desea asociar o separar las máquinas virtuales.

n Haga clic en Asociar máquina virtual para asociar las máquinas virtuales con la red seleccionada.

n Haga clic en Separar máquina virtual para separar las máquinas virtuales de la red seleccionada.


VMware, Inc. 91

7 Seleccione las máquinas virtuales que desea asociar o separar, haga clic en >> para moverlas a la columna Objetos seleccionados y haga clic en Siguiente.

8 Para cada máquina virtual, seleccione la NIC virtual que desea asociar y haga clic en Siguiente.



VMware, Inc. 92

Atributos y etiquetas de vSphere 10Las etiquetas y los atributos permiten asociar metadatos a objetos del inventario de vSphere para que sea más fácil ordenar y buscar estos objetos.

Una etiqueta es una marca que puede aplicar a los objetos del inventario de vSphere. Al crear una etiqueta, la asigna a una categoría. Las categorías permiten agrupar etiquetas relacionadas. Al definir una categoría, es posible especificar los tipos de objetos para las etiquetas y si se puede aplicar más de una etiqueta de la categoría a un objeto.

Por ejemplo, si desea etiquetar las máquinas virtuales por tipo de sistema operativo invitado, puede crear una categoría llamada operating system. Puede especificar que se aplique solo a las máquinas virtuales y que solo pueda aplicarse una única etiqueta a una máquina virtual en cualquier momento. Las etiquetas de esta categoría pueden ser Windows, Linux y Mac OS.

Las etiquetas y las categorías pueden abarcar varias instancias de vCenter Server:

n Si se configuran varias instancias de vCenter Server para que usen Enhanced Linked Mode, las etiquetas y las categorías de etiquetas se replicarán en todas estas instancias de vCenter Server.

n Cuando se utiliza Hybrid Linked Mode, se mantienen las etiquetas y las categorías de etiquetas en todo el dominio vinculado. Esto significa que el SDDC en las instalaciones y el SDDC de VMware Cloud on AWS comparten las etiquetas y los atributos de etiqueta.

Para las etiquetas y los atributos de vSphere, VMware Cloud on AWS es compatible con el mismo conjunto de tareas que un SDDC en las instalaciones.


n Crear, editar o eliminar una categoría de etiquetas

n Crear, editar o eliminar una etiqueta

n Asignar o quitar una etiqueta

n Permisos en objetos de etiqueta

n Agregar y editar atributos personalizados

VMware, Inc. 93

Crear, editar o eliminar una categoría de etiquetasUse categorías para agrupar etiquetas y para definir cómo se pueden aplicar a los objetos. Cree, edite y elimine una categoría de etiquetas desde vSphere Client.

Puede crear una categoría de etiquetas de forma explícita, tal como se describe aquí, o como parte de un proceso de creación de etiquetas. Cada etiqueta debe pertenecer al menos a una categoría.

Requisitos previos

El privilegio necesario depende de la tarea que se desea realizar.

Tarea Privilegio

Crear una categoría de etiquetas Etiquetado de vSphere.Crear categoría de etiqueta de vSphere en el servidor vCenter Server raíz.

Editar una categoría de etiquetas Etiquetado de vSphere.Editar categoría de etiqueta de vSphere en el servidor vCenter Server raíz.

Eliminar una categoría de etiquetas Etiquetado de vSphere.Eliminar categoría de etiqueta de vSphere en el servidor vCenter Server raíz.

Procedimiento

1 En vSphere Client, haga clic en Menú > Etiquetas y atributos personalizados.

2 Haga clic en la pestaña Etiquetas y, a continuación, en Categorías.

3 Inicie la tarea que desea realizar.


Crear una categoría de etiquetas Haga clic en el icono Nueva categoría.

Editar una categoría de etiquetas Seleccione una categoría y haga clic en el icono Editar categoría.

Eliminar una categoría de etiquetas Seleccione una categoría de la lista y haga clic en el icono Eliminar categoría.

4 Edite las opciones de la categoría.


Nombre de la categoría El nombre de la categoría debe ser único para el sistema vCenter Server seleccionado actualmente.

Descripción Puede agregar texto en la descripción para describir el propósito o el uso de la categoría.


VMware, Inc. 94


Etiquetas por objeto n Si selecciona Una etiqueta, puede aplicar solo una etiqueta de esta categoría a un objeto.

Use esta opción para las categorías cuyas etiquetas sean mutuamente excluyentes. Por ejemplo, si tiene una categoría llamada Prioridad con las etiquetas Alta, Mediana y Baja, cada objeto debe tener solo una etiqueta, ya que un objeto puede tener una sola prioridad.

n Si selecciona Muchas etiquetas, puede aplicar más de una etiqueta de la categoría a un objeto.

Use esta opción para las categorías cuyas etiquetas no sean mutuamente excluyentes.

Después de haber configurado Etiquetas por objeto, puede cambiar de Una etiqueta a Muchas etiquetas, pero no de Muchas etiquetas a Una etiqueta.

Tipos de objeto que se pueden asociar

Seleccione si las etiquetas de esta categoría se pueden asignar a todos los objetos o solo a un tipo específico de objeto, como una máquina virtual o un almacén de datos.

Los cambios de tipo de objeto que se puede asociar son limitados.

n Si seleccionó un solo tipo de objeto inicialmente, puede cambiar la categoría más adelante para que funcione con todos los tipos de objeto.

n Si seleccionó todos los objetos inicialmente, no puede restringir la categoría más adelante.

5 Haga clic en Aceptar o en Sí para confirmar.

Crear, editar o eliminar una etiquetaUtilice etiquetas para agregar metadatos a los objetos de inventario. Puede registrar información acerca de los objetos del inventario en etiquetas y usar las etiquetas en búsquedas.

Procedimiento

1 En vSphere Client, haga clic en Menú > Etiquetas y atributos personalizados.

2 Haga clic en Etiquetas.

3 Realice la tarea.


Crear una etiqueta a Haga clic en el icono Etiqueta nueva.

b Especifique un Nombre y una Descripción opcional.

c En el menú desplegable Categoría, seleccione una categoría existente o cree una nueva.

Si selecciona [Nueva categoría], el cuadro de diálogo se expande para mostrar las opciones para crear una categoría. Consulte Crear, editar o eliminar una categoría de etiquetas.

Editar una etiqueta Seleccione una categoría y haga clic en el icono Editar categoría.

Eliminar una etiqueta Seleccione una categoría de la lista y haga clic en el icono Eliminar categoría.


VMware, Inc. 95


Asignar o quitar una etiquetaDespués de crear etiquetas, puede aplicarlas o quitarlas como metadatos en objetos del inventario de vCenter Server.

Procedimiento

1 Desplácese hasta el objeto en el inventario de vSphere Client.

2 En el menú Acciones, seleccione Etiquetas y atributos personalizados > Asignar etiqueta.

3 Seleccione una etiqueta de la lista y haga clic en Asignar.

Posteriormente, puede usar el mismo proceso para quitar una etiqueta.

4 En el menú Acciones, seleccione Etiquetas y atributos personalizados > Eliminar etiqueta.

5 Seleccione una etiqueta de la lista y haga clic en Quitar.

Permisos en objetos de etiquetaEn la jerarquía de objetos de vCenter Server, los objetos de etiqueta no son objetos secundarios de vCenter Server, sino que se crean al nivel de raíz de vCenter Server. En los entornos que tienen varias instancias de vCenter Server, los objetos de etiqueta se comparten en las instancias de vCenter Server. El funcionamiento de los permisos para los objetos de etiqueta es distinto al de los permisos para otros objetos de la jerarquía de objetos de vCenter Server.

Solo se aplican los permisos globales o los permisos asignados al objeto de etiquetaSi otorga permisos a un usuario en un objeto de inventario de vCenter Server, como una máquina virtual, ese usuario puede realizar las tareas asociadas con el permiso. Sin embargo, el usuario no puede realizar operaciones de etiquetado en el objeto.

Por ejemplo, si otorga el privilegio Asignar etiqueta de vSphere al usuario Dana en el host TPA, ese permiso no afecta la posibilidad de Dana de asignar etiquetas en el host TPA. Dana debe tener el privilegio Asignar etiqueta de vSphere en el nivel de raíz, es decir, un permiso global, o debe tener el privilegio para el objeto de etiqueta.


VMware, Inc. 96

Tabla 10-1. Cómo influyen los permisos globales y los permisos de objeto de etiqueta en lo que pueden hacer los usuarios

Permiso globalPermiso de nivel de etiqueta

Permiso de nivel de objeto de vCenter Server Permiso efectivo

No hay privilegios de etiquetado asignados.

Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere para la etiqueta.

Dana tiene los privilegios Eliminar etiqueta de vSphere en el host ESXi TPA.

Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere para la etiqueta.

Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere.

No hay privilegios asignados para la etiqueta.

Dana tiene los privilegios Eliminar etiqueta de vSphere en el host ESXi TPA.

Dana tiene los privilegios globales Asignar o desasignar etiqueta de vSphere. Eso incluye privilegios en el nivel de etiqueta.


No hay privilegios asignados para la etiqueta.

Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere en el host ESXi TPA.

Dana no tiene privilegios de etiquetado en ningún objeto, incluido el host TPA.

Los permisos globales complementan los permisos de objeto de etiquetaLos permisos globales, es decir, los permisos que están asignados en el objeto de raíz, complementan los permisos en los objetos de etiqueta cuando los permisos de los objetos de etiqueta tienen más restricciones. Los permisos de vCenter Server no influyen en los objetos de etiqueta.

Por ejemplo, suponga que asigna el privilegio Eliminar etiqueta de vSphere al usuario Robin en el nivel de raíz mediante el uso de permisos globales. Para la producción de la etiqueta, no asigna el privilegio Eliminar etiqueta de vSphere a Robin. En ese caso, Robin tiene el privilegio para la producción de etiqueta porque tiene el permiso global. No se pueden restringir los privilegios a menos que se modifique el permiso global.

Tabla 10-2. Los permisos globales complementan los permisos de nivel de etiqueta

Permiso global Permiso de nivel de etiqueta Permiso efectivo

Robin tiene los privilegios Eliminar etiqueta de vSphere.

Robin no tiene los privilegios Eliminar etiqueta de vSphere para la etiqueta.

Robin tiene los privilegios Eliminar etiqueta de vSphere.


Robin no tiene los privilegios Eliminar etiqueta de vSphere asignados para la etiqueta.

Robin no tiene los privilegios Eliminar etiqueta de vSphere.

Los permisos de nivel de etiqueta pueden extender los permisos globalesSe pueden utilizar permisos de nivel de etiqueta para extender los permisos globales. Eso significa que los usuarios pueden tener un permiso global y un permiso de nivel de etiqueta en una etiqueta.


VMware, Inc. 97

Tabla 10-3. Los permisos globales extienden los permisos de nivel de etiqueta

Permiso global Permiso de nivel de etiqueta Permiso efectivo

Lee tiene el privilegio Asignar o desasignar etiqueta de vSphere.

Lee tiene el privilegio Eliminar etiqueta de vSphere.

Lee tiene los privilegios Asignar etiqueta de vSphere y Eliminar etiqueta de vSphere para la etiqueta.


Lee tiene el privilegio Eliminar etiqueta de vSphere asignado para la etiqueta.

Lee tiene el privilegio Eliminar etiqueta de vSphere para la etiqueta.

Agregar y editar atributos personalizadosPuede crear atributos personalizados en vSphere Client y asociar el atributo con un objeto, como un host, una máquina virtual, un clúster o una red. También puede editar los atributos personalizados.

Después de crear los atributos, establezca un valor adecuado para el atributo en cada máquina virtual. Este valor se almacena con vCenter Server y no con la máquina virtual. Utilice el nuevo atributo para filtrar las máquinas virtuales. Si ya no necesita el atributo personalizado, quítelo. Un atributo personalizado siempre es una cadena.

Por ejemplo, supongamos que tiene un conjunto de productos y desea ordenarlos por representante de ventas.

1 Cree un atributo personalizado Nombre para el nombre del vendedor.

2 Agregue la columna del atributo personalizado Nombre a una de las vistas de lista y agregue un nombre a cada entrada de producto.

3 Ahora puede hacer clic en la columna Nombre para ordenarla alfabéticamente por vendedor.

Nota Las etiquetas y las categorías de etiquetas admiten un mecanismo más detallado para el etiquetado de objetos. Considere la posibilidad de utilizar etiquetas y categorías de etiquetas en lugar de atributos personalizados.

Procedimiento

1 En vSphere Client, seleccione Menú > Etiquetas y atributos personalizados.

2 Haga clic en Atributos personalizados.

Aparecen todos los atributos personalizados definidos actualmente para vCenter Server.

3 Haga clic en Agregar.

4 Escriba los valores del atributo personalizado.

a Escriba el nombre del atributo en el cuadro de texto Atributo.

b Seleccione el tipo de atributo en el menú desplegable Tipo.

c Haga clic en Aceptar.


VMware, Inc. 98

Una vez que se definió un atributo en un objeto, este atributo queda disponible para todos los objetos de ese tipo en el inventario. Sin embargo, el valor que especifica se aplica solo al objeto actualmente seleccionado.

5 Posteriormente, puede editar un atributo personalizado.

a Seleccione el atributo y haga clic en Editar.

b Cambie el nombre.

c Cambiar el tipo, si está disponible.

d Haga clic en Aceptar.


VMware, Inc. 99

administrar el centro de datos de vmware cloud on aws ... · desvincular un sddc en la nube 35 3...

Documents