Диплом_Пушкин_СВ
.pdf1.Добавление серверов ESXi в консоль vCenter.
2.Настройка лицензирования серверов ESXi и vCenter.
Добавление серверов в консоль vCenter
Для добавления серверов в консоль vCenter необходимо, чтобы в ней существовал объект типа «Datacenter». Такой объект папка, для объектов всех прочих типов – серверов, кластеров, виртуальных машин, хранилищ,
сетей и прочего. Таким образом, с помощью папок Datacenter вы можете сгруппировать части инфраструктуры. Это пригодится в тех случаях, когда в
вашей компании существуют несколько административных групп,
управляющих независимыми виртуальными инфраструктурами. Все эти
инфраструктуры управляются одним |
vCenter, |
из одной консоли, но на |
уровне прав можно ограничивать |
области |
видимости для разных |
пользователей. У нас одна общая инфраструктура, но мы все равно добавим сервера в «Datacenter» - это требование vCenter.
Для |
|
создания |
вызовите |
|
контекстное |
|
меню |
|||
для корневого |
объекта |
иерархии vCenter – его самого и выберите |
в нем |
|||||||
пункт New Datacenter. Имя объекта выберите по своему усмотрению. |
|
|||||||||
Теперь |
в контекстном |
меню |
уже |
созданного |
Datacenter |
|||||
выберите |
пункт Add Host. В запустившемся мастере укажите имя или IP- |
|||||||||
адрес сервера |
ESXi, |
пользователя root и |
его пароль. Предпочтительнее |
|||||||
добавлять |
серверы |
по |
имени. |
Пароль |
пользователя root |
необходим |
||||
vCenter, |
чтобы |
создать на этом ESXi своего собственного пользователя |
||||||||
vpxuser, |
из-под которого в дальнейшем vCenter |
и будет подключаться к |
||||||||
этому ESX(i). Таким |
образом, последующая смена пароля root на |
ESXi |
||||||||
сервере не оказывает на vCenter никакого влияния. |
|
|
|
|||||||
Настройка лицензирования.
При установке ESXi и vCenter вы можете указать ключ продукта. А
можете не указывать – тогда эти продукты начнут работать в «Evaluation»
91
(оценочном) |
режиме. |
Для |
ESXi |
это |
вообще |
является |
|
единственно |
возможным вариантом |
– на этапе его установки ключ ввести |
|||||
нельзя. Но после установки даже для |
бесплатной |
версии ключ ввести |
|||||
необходимо. |
|
|
|
|
|
|
|
vCenter |
лицензируется |
поштучно, |
так что ключ для него должен |
||||
содержать столько лицензий, сколько |
серверов vCenter вы |
планируете |
|||||
использовать, у нас один сервер. |
|
|
|
|
|
||
Для указания лицензии пройдите Home -> Licensing. В этом окне вам
необходимо добавить ключ продукта. У нас есть сервер vCenter и 2 сервера
ESXi.
Запустим мастер Manage vSphere Licenses и пройдем по шагам:
1.Add License Keys – введем здесь ключи.лючи здесь.
2.Assign Licenses – здесь видно серверы vCenter и ESXi, укажем каким ключом будем лицензировать сервера.
3.Remove License Keys – нужно для удаления ключей.
Если сервер перестал быть лицензирован, например из-за окончания срока действия лицензии, то на таком сервере перестанут включаться виртуальные машины (хотя запущенные работать продолжат).
Рекомендуемые начальные настройки ESXi.
Все настройки будут выполнены в графическом интерфейсе vSphere.
Для этого нужно пройти в Home -> Hosts and Clusters -> Configuration для настраиваемого сервера.
1.Security Profile – для ESXi это различные настройки безопасности связанные с подключением к серверу и другие.
2.Time Configuration – в этом пункте вы можете включить клиент NTP на
ESX) и указать ему настойки синхронизации времени.
3.Licensed features – здесь вы можете просмотреть информацию о действующих для этого сервера лицензиях. Также здесь можно
настраивать лицензирование сервера, однако если сервер управляется
92
через vCenter и |
лицензирование |
для |
этого сервера |
уже |
настроено через vCenter, то настройка, заданная на уровне сервера, будет
отменена.
4.DNS and Routing – здесь можно указать имя сервера, суффикс домена
DNS, адреса серверов DNS и шлюзы по умолчанию для VMkernel.
5.Virtual Machine Startup and Shutdown – здесь настраиваются автозапуск виртуальных машин при включении сервера, порядок их включения и паузы между включениями разных ВМ. Также здесь можно указать, что делать с виртуальными машинами, когда сам сервер выключается.
6.Authentication Services – настройка аутентификации на ESXi при помощи учетных записей из Active Directory.
3.4.4.Настройка сети виртуальной инфраструктуры.
Ключевой элемент сети в vSphere – это виртуальный коммутатор, virtual switch или vSwitch.
Для физического сервера все просто, при настройки сети, мы настраиваем физические сетевые контроллеры. Если же мы настраиваем сеть на ESXi, то физические сетевые контроллеры являются лишь каналами во внешнюю сеть (Uplink). Через один физический сетевой контроллер в сеть могут выходить и управляющий, и интерфейс для подключения
NFS/iSCSI/vMotion/Fault Tolerance, и разные виртуальные машины.
Физические сетевые контроллеры vmnic. они используются просто как каналы во внешнюю физическую сеть, у них нет собственного IP адреса, и их
MAC-адрес можно отследить лишь в техническом, вспомогательном трафике
ESXi. Каждый физический сетевой контроллер нам надо привязать к vSwitch.
Виртуальные контроллеры и VMkernel. Отличаются виртуальные сетевые контроллеры это принадлежностью. Принадлежать они могут
VMkernel (самому гипервизору) и виртуальным машинам.
Для начала настройки откроем в vSphere вкладку Configuration ->
93
Network Adapters. Видим адаптер Device –vmnic0, а в свойстве Switch должно стоять значение «None», т.к адаптер до этого не был задействован.
Рис. 3.9. Настройка виртуальной сети
Дальше вводим адаптер в действие, для этого переходим во вкладку
Networking и нажимаем на ссылку Add Networking.
Рис. 3.10. Добавление виртуальной сети в vSphere.
Запустится мастер настройки сетевого адаптера. Нам потребуется пробросить сетевой адаптер внутрь виртуальной машины. Для этого из предложенных вариантом нужно выбрать Virtual Machine.
Далее следует выбрать сетевой адаптер. Адаптер vmnic1, через него осуществляется управление. А через vmnic0 идет управление всеми виртуальными машинами.
Рис. 3.11. Выбор сетевого адаптера.
Обозначаем подключение, чтобы было удобнее его использовать.
94
Нажимаем Next и видим что на vmnic0 закреплена за созданной сетью.
Рис. 3.12. Связка адаптера с сетью.
Результатом действий, стала настройка виртуальной сети одного из серверов. Чтобы настроить второй сервер, проделываем аналогичные действия в vSphere.
Рис. 3.13. Схема взаимодействия виртуальных и физический адаптеров.
3.4.5. Подключение сетевых хранилищ данных.
Мы приобрели два СХД типа NAS, один основной для хранения виртуальных машин, второй нужен для хранения резервных копий различных данных. Хранилище будет подключено по NFS технологии.
Существуют два основных протокола инфраструктур NAS – NFS для *nix
систем и SMB для систем Windows. Так как у нас система основано на Linux,
то подключение будет происходить по NFS протоколу.
Подключение СХД к виртуальной инфраструктуре состоит из 2 этапов:
95
1.Создание сетевого интерфейса для СХД
2.Подключение СХД в ESXi
Создание сетевого интерфейса между СХД и ESXi аналогично настройки сети, описанной в предыдущем разделе. Это должно выглядеть,
как показано на рисунке 3.14.
Рис. 3.14. Схема взаимодействия виртуального и физического адаптера хранилища данных и ESXi.
Так как у нас два хранилища данных, то соответственно эту процедуру следует провести и для второго хранилища.
После создания интерфейса, нужно подключить СХД к серверу ESXi.
Для этого нужно в настройках самого сервера в vSphere пройти в
Configuration -> Storage -> Add Storage и выбрать подключение Network File System. На следующем шаге необходимо указать IP или имя системы хранения NFS и имя сетевого ресурса. В самом нижнем поле вы указываете метку, название хранилища – под этим именем этот ресурс будет отображаться в интерфейсе ESXi и vCenter.
96
Рис. 3.15. Подключение ресурса NFS к серверу ESXi.
Для подключения второго хранилища нужно проделать аналогичные действия чтобы оно стало доступно в vCenter.
На этом подключение сетевых хранищ данных закончено и можно приступать к созданию виртуальных машин. Но прежде нужно произвести настройки безопасности.
3.4.6. Настройки безопасности.
Безопасность важна как в физической, так и в виртуальной структуре важна. Существует несколько уровней виртуальной структуры, которым требуется защита.
Уровень виртуализации (гипервизор, VMkernel)
Уровень виртуальных машин
Системы хранения
vCenter Server
Виртуальные машины. Подход к обеспечению безопасности ВМ
97
(гостевых ОС и приложений) такой же, как и при развертывании тех же ОС и приложений на физической инфраструктуре, – антивирусы, сетевые экраны и прочее.
Несмотря на то что несколько ВМ работают на одном сервере, как-то перераспределяют его память, их совместная работа не ухудшает ситуацию с безопасностью. Изнутри одной ВМ нет способа получить доступ внутрь другой через гипервизор, кроме специализированных API. По умолчанию эти
API не используются никем. Чтобы они начали работать, потребуется в явном виде предпринять ряд действий: установить соответствующее ПО,
запустить его и настроить.
VMkernel. Гипервизор ESXi. Вопрос безопасности гипервизора достаточно важен, так как захват гипервизора позволит злоумышленнику перехватывать данные абсолютно незаметно для традиционных средств защиты, работающих внутри ВМ. Это и данные сетевых и дисковых контроллеров, и обращения к ОЗУ. Разумеется, под угрозой доступность виртуальных машин. Из средств внутренней защиты присутствуют система разграничения доступа.
VMware vCenter – это приложение для Windows. Каких-то специальных средств обеспечения безопасности для него не существует. Но стандартные для таких задач – это установка обновлений, настройка межсетевого экрана и антивирус, помещение vCenter в изолированную сеть.
Хранилища. Безопасность хранилищ для ВМ обуславливается к правильному зонированию. Так как сами ВМ не имеют сведений о физическом хранилище, с их стороны угроз безопасности хранилищ нет.
Разграничение доступа.
vCenter предлагает шибкую систему раздачи прав доступа.
Существуют Роли и Привилегии.
Роль – это конкретный набор привилегий, то есть разрешенных
действий. Роль можно дать пользователю или группе на какой-то уровень
98
иерархии vCenter
Привилегия – это право на действие. Существуют такие привилегии как: «Создать», «Удалить» и другие.
Управление ролями и привилегиями производится в меню
Home ->Administrations -> Roles
Рис. 3.16. Настройка привилегий в vCenter.
УvCenter нет собственной базы данных пользователей, он пользуется:
Локальными пользователями и группа, созданными на сервере на котором установлен vCenter
Доменными пользователями и группами того домена, в который
входит сервер (если он входит в домен)
.
Порядок выдачи прав пользователю:
1.Создаем пользователя или группу если они не созданы.
2.Создаем роль
3.Выбираем объекты на которые будет распространяться эта роль.
99
Объектами могут быть: серверы, пулы ресурсов, виртуальные машины,
шаблоны, хранилища, виртуальный коммутатор.
Правила применения прав доступа.
Если пользователю выданы разные права на разных уровнях иерархии vCenter, то результирующими для какого-то объекта являются первые встреченные снизу вверх права.
Рис. 3.17. Назначение разных прав на разные уровни иерархии.
Таким образом по правилам распространения привилегий vCenter, для пула «Production_Critical» и для входящих в него ВМ, пользователь не обладает правами администратора, только правами на чтение.
Так же при раздаче прав стоит обратить внимание на группы, в
которые входит пользователь. Если выдача прав на один и тот же объект в иерархии осуществляется сразу двум группам, а пользователь входит в обе, в
таком случае происходит объединение привилегий и пользователь будет обладать правами, которые входят в хотя бы одну роль.
3.4.7. Создание виртуальных машин.
vSphere позволяет создать виртуальную машину двумя способами:
1. Создание виртуальной машины с нуля.
100