Computer Manager (cách gọi khác của VMware vCenter trong NSX) là một ứng dụng quản lý các tài nguyên như máy chủ và máy ảo.
Trong bài viết trước mình đã hướng dẫn các bạn cách khởi tạo NSX Manager, tiếp theo để NSX Manager có thể quản trị được hệ thống vCenter bằng các tính năng như Firewall, Policy... ta cần thêm vCenter vào NSX Manager và mở quyền cho phép NSX Manager truy cập các resource bên trong hệ thống vCenter.
Việc tích hợp vCenter với NSX Manager sử dụng SSO giúp tăng tính bảo mật trong việc trao đổi thông tin thay vì sử dụng tài khoản admin trên vCenter.
Bước 1: Truy cập vào vCenter, vào phần Menu > Administration > Single Sign On > Users and Groups:
Bước 2: Chọn đúng domain đang sử dụng và chọn ADD để thêm 1 tài khoản SSO mới:
Bước 3: Cấu hình các thông tin cho tài khoản và chọn ADD:
Bước 4: Tiếp theo truy cập vào mục Access Control > Roles > NEW để thêm các quyền cho tài khoản SSO vừa mới tạo:
Bước 5: Đặt tên và đảm bảo thêm tối thiểu các quyền sau cho tài khoản SSO dùng để kết nối với NSX Manager:
Chọn Show > Selected để kiểm tra các quyền đã thêm, sau đó chọn CREATE:
Bước 6: Tiếp theo vào mục Access Control > Global Permissions > ADD:
Bước 7: Chọn thông tin domain, gán User và Role vừa mới tạo, tích chọn vào Propafate to children (tính năng cho phép user có thể truy cập các thành phần trong hệ thống phân cấp, nếu không tích chọn thì user chỉ có thể sử dụng một số quyền chung và khi thêm vCenter vào NSX Manager thì có thể sẽ bị lỗi), sau đó chọn OK:
Như vậy là xong quá trình tạo SSO, tiếp theo chúng ta sẽ thêm vCenter vào NSX Manager.
Trước khi thêm vCenter vào NSX Manager các bạn cần lưu ý và đảm bảo các thông tin sau:
Bước 1: Truy cập vào GUI của NSX Manager, vào phần System > Fabric > Computer Managers > ADD COMPUTER MANAGER:
Bước 2: Ở phần cấu hình, điền các thông tin của vCenter Server muốn thêm vào NSX Manager:
Sau khi chọn ADD, có thể hệ thống sẽ yêu cầu xác thực Thumbprint, chọn OK và chờ quá trình cài đặt giữa NSX Manager và vCenter hoàn tất như hình:
Chúc các bạn thành công :">
Trong bài viết trước mình đã hướng dẫn các bạn cách khởi tạo NSX Manager, tiếp theo để NSX Manager có thể quản trị được hệ thống vCenter bằng các tính năng như Firewall, Policy... ta cần thêm vCenter vào NSX Manager và mở quyền cho phép NSX Manager truy cập các resource bên trong hệ thống vCenter.
I. Cấu hình Single Sign-On
Việc tích hợp vCenter với NSX Manager sử dụng SSO giúp tăng tính bảo mật trong việc trao đổi thông tin thay vì sử dụng tài khoản admin trên vCenter.
Bước 1: Truy cập vào vCenter, vào phần Menu > Administration > Single Sign On > Users and Groups:
Bước 2: Chọn đúng domain đang sử dụng và chọn ADD để thêm 1 tài khoản SSO mới:
Bước 3: Cấu hình các thông tin cho tài khoản và chọn ADD:
Bước 4: Tiếp theo truy cập vào mục Access Control > Roles > NEW để thêm các quyền cho tài khoản SSO vừa mới tạo:
Bước 5: Đặt tên và đảm bảo thêm tối thiểu các quyền sau cho tài khoản SSO dùng để kết nối với NSX Manager:
| Extension.Register extension | Host.Local Operations.Delete virtual machine | Resource.Assign virtual machine to resource pool | VMware vSphere Lifecycle Manager.Lifecycle Manager: General Privileges.Read |
| Extension.Unregister extension | Host.Local Operations.Reconfigure virtual machine | Virtual Machine.Configuration | VMware vSphere Lifecycle Manager.Lifecycle Manager: Image Privileges.Read |
| Extension.Update extension | Tasks (All Tasks Privileges ) | Virtual Machine.Guest Operations | VMware vSphere Lifecycle Manager.Lifecycle Manager: Image Privileges.Write |
| Sessions.Message | Scheduled task (All Scheduled task Privileges) | Virtual Machine.Provisioning | VMware vSphere Lifecycle Manager.Lifecycle Manager: Image Remediation Privileges.Write |
| Sessions.Validate session | Global.Cancel task | Virtual Machine.Inventory | VMware vSphere Lifecycle Manager.Lifecycle Manager: Settings Privileges.Read |
| Sessions.View and stop sessions | Permissions.Reassign role permissions | Network.Assign network | VMware vSphere Lifecycle Manager.Lifecycle Manager: Settings Privileges.Write |
| Host.Configuration.Maintenance | Permissions.Modify permission | vApp (All vApps Privileges ) | VMware vSphere Lifecycle Manager.Lifecycle Manager: General Privileges.Write |
| Host.Configuration.NetworkConfiguration | Permissions.Modify role | Service Account Management.Administer | |
| Host.Local Operations.Create virtual machine | Resource.Assign vApp to resource pool | VMware vSphere Lifecycle Manager.ESXi Health Perspectives.Read |
Chọn Show > Selected để kiểm tra các quyền đã thêm, sau đó chọn CREATE:
Bước 6: Tiếp theo vào mục Access Control > Global Permissions > ADD:
Bước 7: Chọn thông tin domain, gán User và Role vừa mới tạo, tích chọn vào Propafate to children (tính năng cho phép user có thể truy cập các thành phần trong hệ thống phân cấp, nếu không tích chọn thì user chỉ có thể sử dụng một số quyền chung và khi thêm vCenter vào NSX Manager thì có thể sẽ bị lỗi), sau đó chọn OK:
Như vậy là xong quá trình tạo SSO, tiếp theo chúng ta sẽ thêm vCenter vào NSX Manager.
II. Thêm vCenter vào NSX Manager
1. Chuẩn bị
Trước khi thêm vCenter vào NSX Manager các bạn cần lưu ý và đảm bảo các thông tin sau:
- Kiểm tra tính tương thích giữa NSX Manager và vCenter: truy cập vào trang Product Interoperability Matrix và chọn version tương ứng
- Trước phiên bản NSX 3.2.2 thì cần đảm bảo vCenter chỉ được quản lý bởi 1 NSX Manager, còn 1 NSX Manager có thể quản lý nhiều Computer Manager (vCenter), cụ thể xem thông tin tại VMware Configuration Maximums. Tuy nhiên sau phiên bản NSX 3.2.2 thì hỗ trợ cho phép nhiều NSX cùng quản trị 1 vCenter Server
- vCenter và NSX Manager có khả năng giao tiếp thông qua IPv4 quản trị
- vCenter có tài khoản xác thực người dùng: chính là tài khoản SSO được tạo ở phần trên
2. Cấu hình
Bước 1: Truy cập vào GUI của NSX Manager, vào phần System > Fabric > Computer Managers > ADD COMPUTER MANAGER:
Bước 2: Ở phần cấu hình, điền các thông tin của vCenter Server muốn thêm vào NSX Manager:
- Name: tên hiển thị cho Computer Manager
- Type: mặc định hệ thống sẽ chọn là VMware vCenter
- Multi NSX: tính năng nhiều NSX Manager có thể cùng quản lý 1 vCenter, bắt đầu từ phiên bản NSX 3.2.2 thì bạn có thể đăng ký vCenter với nhiều NSX Manager, hỗ trợ từ vCenter 7.0 trở lên
- FQDN or IP Address: FQDN hoặc IP quản trị của Computer Manager
- HTTPs Port of Reverse Proxy: mặc định là port 443, trường hợp nếu sử dụng port khắc hoặc sử dụng Proxy thì các bạn cần khai báo thông tin tại phần này
- Username và Password: tài khoản đăng nhập SSO được tạo ở phần trên để xác thực Computer Manager
- SHA-256 Thumbprint (tùy chọn): nhập giá trị Thumbprint VMware vCenter SHA-256. Không nên sử dụng cùng với tính năng VMware vCenter WCP (Workload Control Plane), mặc định sẽ dùng SHA1
- Create Service Account (tùy chọn): sử dụng trong trường hợp vSphere Lifecycle Manager cần xác thực bằng API NSX, tài khoản này được tạo ra khi bạn đăng nhập bằng tài khoản administrator@vsphere.local để xác thực cho Computer Manager thay vì tạo SSO như trên
- Enable Trust (tùy chọn): sử dụng trong trường hợp muốn tạo tin cậy trong quá trình thiết lập kết nối giữa các dịch vụ của Computer Manager và NSX Manager.
- Access Level: cấu hình quyền truy cập cho Computer Manager vào NSX Manager, mặc định sẽ là Full Access (toàn quyền truy cập)
Sau khi chọn ADD, có thể hệ thống sẽ yêu cầu xác thực Thumbprint, chọn OK và chờ quá trình cài đặt giữa NSX Manager và vCenter hoàn tất như hình:
Chúc các bạn thành công :">
Attachments
Last edited: