Panoramica di vRealize Suite - vRealize Suite 7 · La Panoramica di vRealize Suite viene aggiornata...
48
Panoramica di vRealize Suite vRealize Suite 7.0
Transcript of Panoramica di vRealize Suite - vRealize Suite 7 · La Panoramica di vRealize Suite viene aggiornata...
Panoramica di vRealize SuitevRealize Suite 7.0
Panoramica di vRealize Suite
2 VMware, Inc.
È possibile consultare la documentazione tecnica più aggiornata sul sito Web all'indirizo:
https://docs.vmware.com/it/
Sul sito Web di VMware sono inoltre disponibili gli aggiornamenti più recenti del prodotto.
Inoltrare eventuali commenti sulla documentazione al seguente indirizzo:
Copyright © 2017 VMware Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi.
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware, Inc.P.le Biancamano 820121 Milanotel: 02-6203.2075fax: 02-6203.4000www.vmware.com/it
Contenuti
Introduzione di VMware vRealize Suite 5
Informazioni aggiornate 7
1 Introduzione a vRealize Suite 9
Funzionalità di vRealize Suite 9Versioni e prodotti di vRealize Suite 10Gestione delle licenze di vRealize Suite 12
2 Panoramica sull'architettura di vRealize Suite 15
Software-Defined Data Center (SDDC) 15Progettazione concettuale di un ambiente vRealize Suite 17Prodotti di vRealize Suite nel cluster di gestione 19Infrastruttura core di SDDC 20
Virtualizzazione e gestione dell'infrastruttura di vRealize Suite 21Gestione dell’infrastruttura core di vRealize Suite 24Monitoraggio dell'infrastruttura core di vRealize Suite 26Offerta di un servizio infrastruttura 26Offerta di Platform-as-a-Service 27
Considerazioni sulla sicurezza di vRealize Suite 28Autenticazione e autorizzazioni in vRealize Suite 29TLS e protezione dei dati 32Protezione del layer fisico 33Protezione dei layer virtuali 36Utilizzo di VMware NSX per la protezione dei carichi di lavoro 38
3 Elenco di controllo per l'installazione di vRealize Suite 43
4 Aggiornamento da versioni meno recenti di vRealize Suite o vCloud Suite 45
Indice 47
VMware, Inc. 3
Panoramica di vRealize Suite
4 VMware, Inc.
Introduzione di VMware vRealize Suite
La Panoramica di VMware vRealize Suite contiene i cenni generali sull'architettura e le informazioni suinstallazione, configurazione e utilizzo di vRealize Suite.
Per facilitare le fasi iniziali, le discussioni generali su installazione, configurazione e utilizzo indirizzanol'utente verso i gruppi dedicati di prodotti singoli per concetti dettagliati e procedure.
DestinatariQueste informazioni sono destinate a coloro che desiderano distribuire e utilizzare i prodotti divRealize Suite per monitorare e gestire un Software-Defined Data Center (SDDC). Le presenti informazionisono destinate ad amministratori Windows o Linux esperti che hanno familiarità con la tecnologia dellemacchine virtuali e le operazioni di data center.
Glossario delle pubblicazioni tecniche di VMwareIl sito delle pubblicazioni tecniche di VMware Technical fornisce un glossario dei termini che potrebberorisultare non familiari. Per le definizioni dei termini utilizzati nella documentazione tecnica di VMware,consultare la pagina http://www.vmware.com/support/pubs.
VMware, Inc. 5
Panoramica di vRealize Suite
6 VMware, Inc.
Informazioni aggiornate
La Panoramica di vRealize Suite viene aggiornata a ogni release del prodotto oppure quando necessario.
Nella tabella viene riportata la cronologia degli aggiornamenti della pubblicazione Panoramica di vRealizeSuite.
Revisione Descrizione
001965-06 Aggiornata per aggiungere supporto per vRealize Business for Cloud 7.3, vRealize Log Insight 4.5 evRealize Operations Manager 6.6.
001965-05 Aggiornata per aggiungere supporto per vRealize Automation 7.3, vRealize Log Insight 4.3 evRealize Operations Manager 6.5.
001965-04 Aggiornamenti minori al testo.
001965-03 Aggiornata per aggiungere il supporto a vRealize Automation 7.2, vRealize Business for Cloud 7.2, vRealizeLog Insight 4.0 e vRealize Operations Management 6.4.
001965-02 Aggiornata per aggiungere il supporto a vRealize Automation 7.1, vRealize Business for Cloud 7.1, vRealizeLog Insight 3.6 e vRealize Operations Management 6.3.
001965-01 Collegamenti aggiornati alla documentazione di vRealize Business for Cloud.
001965-00 Prima edizione
VMware, Inc. 7
Panoramica di vRealize Suite
8 VMware, Inc.
Introduzione a vRealize Suite 1vRealize Suite offre una completa piattaforma di gestione cloud per la fornitura, il monitoraggio e lagestione di applicazioni in VMware vSphere® e altri hypervisor, inclusi infrastruttura fisica e cloud privati epubblici. vRealize Suite è disponibile nelle versioni Standard, Advanced ed Enterprise Edition.
Questo capitolo include i seguenti argomenti:
n “Funzionalità di vRealize Suite”, pag. 9
n “Versioni e prodotti di vRealize Suite”, pag. 10
n “Gestione delle licenze di vRealize Suite”, pag. 12
Funzionalità di vRealize SuiteOperazioni intelligenti, IT automatizzato, Infrastructure as a Service (IaaS) e IT compatibile con DevOpssono gli usi più comuni di una soluzione di gestione del cloud. Le operazioni intelligenti consentono disemplificare e automatizzare le operazioni nel data center. IT automatizzato, IaaS e IT compatibile conDevOps permettono di offrire servizi di applicazioni e infrastruttura.
Gestione delle operazioni intelligentiLe operazioni intelligenti sono finalizzate alla gestione proattiva di integrità, prestazioni e capacità deiservizi IT in ambienti cloud eterogenei e ibridi, con l'obiettivo di migliorare le prestazioni e la disponibilitàdei servizi IT.
IT automatizzato e IaaSIT automatizzato e IaaS automatizzano la fornitura e la gestione corrente dell'infrastruttura IT per ridurre iltempo di risposta alle richieste di risorse IT e migliorare la gestione delle risorse con provisioning eseguito.
IT compatibile con DevOpsL'IT compatibile con DevOps permette di realizzare una soluzione cloud per i team di sviluppo in grado dioffrire uno stack di applicazioni completo con le seguenti funzionalità:
n Supporto delle scelte degli sviluppatori in forma di accesso alle risorse via API e GUI.
n Provisioning di risorse nell'ambito di un cloud ibrido.
n Estensione dell'ambito della soluzione attraverso l'offerta continua per velocizzare ulteriormente lafornitura di applicazioni.
VMware, Inc. 9
Versioni e prodotti di vRealize SuitevRealize Suite è disponibile nelle versioni Standard, Advanced ed Enterprise Edition. Una data versione divRealize Suite contiene singoli prodotti con diverse versioni di prodotto e diverse funzionalità.
Nella seguente tabella sono indicati i vari set di funzionalità offerti dalle edizioni Standard, Advanced edEnterprise di vRealize Suite.
Tavola 1‑1. Funzionalità della versione di vRealize Suite
Prodotto divRealize Suite Funzionalità di vRealize Suite
StandardEdition
AdvancedEdition
EnterpriseEdition
vRealize OperationsManager (includevRealize Log InsightevRealizeInfrastructureNavigator)
Analisi del registro Sì Sì Sì
Piattaforma delle operazioni Sì Sì Sì
Visualizzazione Sì Sì Sì
Gestione dei criteri Sì Sì Sì
Monitoraggio e analisi delleprestazioni
Sì Sì Sì
Gestione della capacità Sì Sì Sì
Bilanciamento del carico di lavoro Sì Sì Sì
Gestione di modifiche,configurazione e conformità
Sì Sì Sì
Mappatura delle dipendenzedell’applicazione
Sì Sì Sì
Monitoraggio dell'applicazione Sì Sì
vRealize Business forCloud
Misurazione, definizione dei costi edefinizione dei prezzidell’infrastruttura virtuale in modoautomatico
Sì Sì Sì
Definizione dei prezzi automaticadel catalogo dei servizi, integratocon vRealize Automation
Sì Sì Sì
Analisi del consumodell’infrastruttura virtuale
Sì Sì Sì
Serie di dati esportabili checonsentono i report automatici
Sì Sì Sì
Confronto dei costidell’infrastruttura divirtualizzazione e del cloudpubblico
Sì Sì Sì
Definizione dei costi, analisi deiconsumi e definizione dei prezzidel cloud pubblico
No Sì Sì
Showback basato sui ruolinell’infrastruttura virtuale e nelcloud pubblico
No Sì Sì
Ottimizzazione del data center,integrata convRealize Operations Manager
No Sì Sì
Panoramica di vRealize Suite
10 VMware, Inc.
Tavola 1‑1. Funzionalità della versione di vRealize Suite (Continua)
Prodotto divRealize Suite Funzionalità di vRealize Suite
StandardEdition
AdvancedEdition
EnterpriseEdition
Quantificazione delle opportunitàdi recupero dell’infrastrutturavirtuale, integrata convRealize Operations Manager
No Sì Sì
Report personalizzati, grafici visivie API per l’estrazione dei datiautomatica
No Sì Sì
vRealize Automation Self-service con funzioni API ecatalogo di servizio unificato
No Sì Sì
Supporto cloud virtuale, fisico epubblico per più fornitori
No Sì Sì
IaaS. Gestione singola emultilivello del ciclo di vitacompleto del provisioning dellamacchina
No Sì Sì
IaaS. Configurazione della rete edella sicurezza
No Sì Sì
Anything as a service (XaaS).Creazione di servizi ITpersonalizzati
No Sì Sì
XaaS. Può essere distribuito comeelemento di catalogo o operazioneday-2
No Sì Sì
Creazione dell'applicazione.Creazione del componentesoftware e provisioning dello stackdell’applicazione
No No Sì
Creazione dell'applicazione.Binding delle dipendenze escripting del software dinamico
No No Sì
Creazione dell'applicazione.Configurazione della rete e dellasicurezza basata sull’applicazione
No No Sì
Prodotti di vRealize SuiteVMware vRealize Suite include alcuni prodotti o un relativo sottogruppo, a seconda della versione divRealize Suite acquistata.
Tavola 1‑2. Prodotti inclusi con vRealize Suite
Nome prodotto Descrizione
vRealize Operations Manager Raccoglie dati sulle prestazioni da ciascun oggetto a ciascun livellodell’ambiente virtuale, da macchine virtuali e unità disco individuali a intericluster e data center. Archivia e analizza i dati, utilizzando le analisi perfornire informazioni in tempo reale relative a problemi, o problemi potenziali,presenti ovunque nell’ambiente virtuale.
vRealize Infrastructure Navigator Offre la scoperta automatica di servizi di applicazioni, visualizza relazioni emappa le dipendenze di applicazioni su risorse di elaborazione, storage e retevirtualizzate.
Capitolo 1 Introduzione a vRealize Suite
VMware, Inc. 11
Tavola 1‑2. Prodotti inclusi con vRealize Suite (Continua)
Nome prodotto Descrizione
vRealize Log Insight Offre aggregazione e indicizzazione di registro scalabili per vRealize Suite,incluse tutte le versioni di vSphere, con capacità di ricerca e analisi in temporeale. Log Insight raccoglie, importa e analizza i registri per fornire risposte intempo reale a problemi relativi a sistemi, servizi e applicazioni attraversoambienti fisici, virtuali e cloud.
vRealize Automation Aiuta a distribuire e fornire servizi cloud relativi all’azienda attraverso cloudprivati e pubblici, infrastrutture fisiche, hypervisor e provider di cloudpubblici. vRealize Automation Enterprise include vRealize AutomationApplication Services.
vRealize Orchestrator Semplifica l’automazione di attività IT complesse e si integra con i prodotti divRealize Suite per adattare ed estendere la consegna del servizio e la gestioneoperativa, lavorando in modo efficiente con l’infrastruttura, gli strumenti e iprocessi esistenti.
vRealize Business for Cloud Fornisce informazioni relative agli aspetti finanziari dell’infrastruttura cloud econsente di ottimizzare e migliorare queste operazioni.
Versioni di vRealize Suite e le relative versioni di prodottoAlcune versioni di prodotto sono disponibili come versioni Standard, Advanced ed Enterprise divRealize Suite.
Tavola 1‑3. Versioni di prodotto software di vRealize Suite nelle versioni Suite
Versione del prodotto vRealizevRealize SuiteStandard Edition
vRealize SuiteAdvanced Edition
vRealize SuiteEnterprise Edition
VMware vRealize Automation AdvancedEdition
No Sì No
VMware vRealize Automation EnterpriseEdition
No No Sì
VMware vRealize Operations ManagementSuite (Advanced)
Sì Sì Sì
Monitoraggio dell'applicazioneVMware vRealize Operations ManagementSuite
No No Sì
VMware vRealize Business for CloudStandardEdition
Sì No No
VMware vRealize Business for CloudAdvanced Edition
No Sì Sì
VMware vRealize Orchestrator AdvancedEdition
No Sì No
VMware vRealize Orchestrator EnterpriseEdition
No No Sì
VMware vRealize Log Insight Sì Sì Sì
VMware vRealize Infrastructure Navigator Sì Sì Sì
Gestione delle licenze di vRealize SuiteI prodotti in vRealize Suite possono essere concessi in licenza individualmente o come parte divRealize Suite 7.0.
Per concedere in licenza i prodotti vRealize Suite, è necessario ottenere e utilizzare un tipo di licenza.
Panoramica di vRealize Suite
12 VMware, Inc.
Tavola 1‑4. Tipi di licenza compatibili con i prodotti di vRealize Suite
Tipo di licenza Funzionalità della licenza
Licenza di prodotto individuale Alcuni prodotti sono disponibili come prodotti autonomiche è possibile concedere in licenza per macchina virtualeutilizzando la licenza del prodotto. Le licenze di prodottoindividuali sono pensate per carichi di lavoro di cloudpubblici o per carichi di lavoro su hardware fisico.
Unità con licenza portabile (Portable License Unit, PLU)vRealize Suite
Grazie a un’Unità con licenza portabile (PLU), è possibilefornire e gestire i carichi di lavoro attraverso ambientivSphere e ibridi, inclusi provider cloud pubblici e privati.Una PLU rappresenta una SKU che misura i carichi dilavoro in ambienti vSphere e ibridi, e supporta le metrichedi CPU e macchine virtuali. Ciascuna PLU concede inlicenza una CPU per un numero illimitato di macchinevirtuali o 15 istanze di sistema operativo.
Vedere VMware vRealize Suite e vCloud Suite: licenze, prezzi e confezioni per informazioni dettagliate sullePLU.
Capitolo 1 Introduzione a vRealize Suite
VMware, Inc. 13
Panoramica di vRealize Suite
14 VMware, Inc.
Panoramica sull'architettura divRealize Suite 2
L'architettura descrive l'interazione dei prodotti di vRealize Suite tra loro e con i sistemi nel data center perrealizzare un Software-Defined Data Center (SDDC).
Questo capitolo include i seguenti argomenti:
n “Software-Defined Data Center (SDDC)”, pag. 15
n “Progettazione concettuale di un ambiente vRealize Suite”, pag. 17
n “Prodotti di vRealize Suite nel cluster di gestione”, pag. 19
n “Infrastruttura core di SDDC”, pag. 20
n “Considerazioni sulla sicurezza di vRealize Suite”, pag. 28
Software-Defined Data Center (SDDC)Un Software-Defined Data Center (SDDC) offre diversi tipi di funzionalità, con le funzioni più complessebasate sull'infrastruttura sottostante. Per abilitare tutte le funzionalità di vRealize Suite, è necessario eseguireuna serie di operazioni di installazione e configurazione.
La fornitura delle complete funzionalità operative di vRealize Suite all'organizzazione o ai clienti è unprocesso strutturato. In una grande organizzazione, questo processo potrebbe prevedere cicli di valutazione,progettazione, distribuzione, trasferimento della conoscenza e convalida della soluzione. In baseall'organizzazione si potrebbe pianificare un processo esteso che coinvolga ruoli differenti.
Non tutti gli ambienti richiedono la gamma completa delle funzionalità di vRealize Suite in uno specificomomento. Iniziare dalla distribuzione dell'infrastruttura core del data center, che consente di aggiungerefunzionalità man mano che l'organizzazione ne ha bisogno. Ogni layer del SDDC potrebbe richiedere lapianificazione e l'esecuzione di un processo di distribuzione separato.
VMware, Inc. 15
Figura 2‑1. Layer del SDDC
Gestionedei servizi
Gestione del portafoglio
Gestionedelle operazioni
Layerdi gestionedel cloud
Catalogo dei servizi
Portale self-service
Orchestrazione
Businesscontinuity
Tolleranza di errore e disaster recovery
Backup e ripristino
Hypervisor
Pool di risorse
Controllo dellavirtualizzazione
Layerdell'infrastruttura
virtuale
Elaborazione
Storage
Rete
Layerfisico
Sicurezza
Replicazione Conformità
Rischio
Governance
Layer fisico Il layer più basso della soluzione include componenti di elaborazione, rete estorage. Il componente di elaborazione contiene i server con architettura x86che eseguono i carichi di lavoro di elaborazione per gestione, edge e tenant. Icomponenti di storage forniscono le fondamenta fisiche per il SDDC e ilcloud di automazione IT.
Layer dell'infrastrutturavirtuale
Il layer dell'infrastruttura virtuale include la piattaforma di virtualizzazionecon hypervisor, pooling delle risorse e controllo della virtualizzazione. Iprodotti VMware in questo layer sono vSphere, VMware NSX, ESXi evCenter Server. Questi prodotti costituiscono un robusto ambientevirtualizzato in cui si integrano tutte le altre soluzioni. L'astrazione dellerisorse dal layer fisico offre le fondamenta per l'integrazione di soluzioni diorchestrazione e monitoraggio di VMware. Processi e tecnologie aggiuntivesi basano sull'infrastruttura per abilitare Infrastructure as a Service (IaaS) ePlatform as a Service (PaaS).
Layer di gestione delcloud
Il layer di gestione del cloud include il catalogo dei servizi, che ospita lestrutture da distribuire, l'orchestrazione, che fornisce i workflow perdistribuire gli elementi di catalogo, e il portale self-service, che consente agliutenti finali di utilizzare SDDC. vRealize Automation fornisce il portale e ilcatalogo, mentre le funzionalità vRealize Orchestrator incorporate aiutano agestire i workflow per automatizzare processi IT complessi.
Gestione dei servizi Utilizzare la gestione dei servizi per tenere traccia e analizzare ilfunzionamento di origini dati multiple nell'SDDC multi-regione. DistribuirevRealize Operations Manager e vRealize Log Insight tra più nodi perottenere una disponibilità continua e percentuali maggiori di popolamentodei registri.
Business continuity Utilizzare la business continuity per creare lavori di backup invSphere Data Protection per vRealize Operations Manager,vRealize Log Insight, VMware NSX e vRealize Automation. Se si verifica unerrore hardware, è possibile ripristinare i componenti di questi prodotti daibackup salvati.
Sicurezza VMware fornisce il framework dell'architettura di riferimento di conformitàe la piattaforma conforme e pronta per il controllo. I clienti possonoutilizzare la piattaforma per soddisfare requisiti di conformità esigenti percarichi di lavoro virtualizzati e gestire il rischio di business. I prodotti
Panoramica di vRealize Suite
16 VMware, Inc.
VMware e i prodotti compatibili dei partner sono mappati attentamente persoddisfare i requisiti di origini autorevoli, come PCI DSS, HIPAA, FedRAMPe CJIS. I documenti del framework dell'architettura di riferimento dellaconformità del core sono:
n Le Guide sull'applicabilità dei prodotti forniscono le descrizioni dellesuite di prodotti VMware, prodotto per prodotto, illustrando laregolamentazione associata a una mappatura dei controlli normativi perle funzioni dei prodotti.
n Le Guide di progettazione dell'architettura illustrano le considerazionicorrelate alla creazione di un ambiente VMware vRealize sicuro econforme, che rispetta normative specifiche.
n I documenti sull'architettura di riferimento convalidata fornisconol'evidenza della normativa a partire da uno studio di controllo, che èpossibile applicare al proprio ambiente.
Per accedere ai documenti, passare a VMware Solution Exchange eselezionare Soluzioni di conformità.
È possibile potenziare il proprio ambiente vRealize Suite integrando prodotti e servizi VMware aggiuntivi.Questi prodotti hanno funzionalità quali il disaster recovery su cloud, Software-Defined Storage enetworking Software-Defined.
Progettazione concettuale di un ambiente vRealize SuitePer iniziare la distribuzione di vRealize Suite è sufficiente un piccolo numero di host fisici. Per essere certi dipoter scalare l'ambiente in maniera ottimale, è preferibile distribuire gli host in cluster di gestione, edge epayload in modo da stabilire le fondamenta di una distribuzione che successivamente potrà scalare senzaproblemi fino a decine di migliaia di VM.
I cluster eseguono l'intera infrastruttura di vRealize Suite, inclusi i carichi di lavoro dei clienti.
La distribuzione e l'uso di vRealize Suite implicano una trasformazione tecnologica e operativa. Quando sidistribuiscono nuove tecnologie nel data center, l'organizzazione deve anche implementare processiappropriati e assegnare i ruoli necessari. Ad esempio potrebbero essere richiesti processi per gestire nuoveinformazioni raccolte. Ogni prodotto di gestione richiede uno o più amministratori, alcuni dei qualipotrebbero avere livelli di accesso che cambiano.
Lo schema illustra le funzionalità tecnologiche e le strutture organizzative.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 17
Figura 2‑2. Progettazione concettuale di un ambiente vRealize Suite
Bilanciamento del carico
Tenant
Organizzazione
Provider
Operazioni
Portale Portale
Gestione della virtualizzazione
Cluster di edge Cluster di elaborazione
Motore IaaS, PaaS, ITaaSGestione delle
prestazionie della capacità
Controlloaziendale IT
Controllodel servizio
Controllodelle operazioni
Controllodell’infrastruttura
• Avvio con tre host• Avvio con due cluster
• Avvio con tre host
Cluster di gestione
• Avvio con tre host
Orchestrazione
I cluster, ognuno con un minimo di tre host, sono la base di una data implementazione di vRealize Suite.
Cluster di gestione Gli host nel cluster di gestione eseguono i componenti di gestione richiestiper supportare il Software-Defined Data Center. Per ogni luogo fisico, èrichiesto un singolo cluster di gestione. È possibile installare manualmentehost ESXi che eseguono il cluster di gestione e configurarli per utilizzareunità a disco rigido locali per l'avvio.
Un cluster di gestione fornisce isolamento delle risorse. Applicazioni diproduzione, applicazioni di test e altri tipi di applicazioni non possonoutilizzare le risorse del cluster riservate per la gestione, il monitoraggio e iservizi dell'infrastruttura. Grazie all'isolamento delle risorse, la gestione e iservizi dell'infrastruttura possono funzionare a un livello di prestazioniottimale. Un cluster separato può venire incontro a una politica aziendale cherichieda l'implementazione di un isolamento fisico tra la gestione el'hardware di payload dei clienti.
Cluster di edge Il cluster di edge supporta i dispositivi di rete che fornisconol'interconnettività tra gli ambienti. Esso offre la capacità protetta con cui lereti dei data center interne si connettono a reti esterne attraverso i gateway.Nel cluster vengono eseguiti i servizi edge di networking e la gestione deltraffico di rete. Tutta la connettività di rete rivolta verso l'esterno termina inquesto cluster.
Panoramica di vRealize Suite
18 VMware, Inc.
Gli host ESXi nel cluster di edge vengono gestiti da un'istanza vCenter Serverdedicata associata a VMware NSX. La stessa istanza di vCenter Servergestisce i cluster di payload che richiedono accesso a reti esterne.
Il cluster di edge può essere di dimensioni ridotte ed essere composto da hostESXi aventi meno capacità di quelli nei cluster di gestione e payload.
Cluster di payload Il cluster di payload si occupa di fornire tutti gli altri carichi di lavoro deiclient non edge. Il cluster resta vuoto finché un cliente dell'ambiente noninizia a popolarlo con macchine virtuali. È possibile scalare in verticaleaggiungendo altri cluster di payload.
Al crescere in dimensioni del data center, è possibile creare nuovi cluster diedge e payload, scalare in verticale aggiungendo risorse o scalare inorizzontale aggiungendo host.
Prodotti di vRealize Suite nel cluster di gestioneIl numero di prodotti di vRealize Suite nel cluster di gestione aumenta con l'aggiunta di funzionalità. Uncluster di gestione deve contenere un gruppo minimo di prodotti. È possibile espandere il gruppo diprodotti quando si rendono necessarie funzionalità aggiuntive.
Figura 2‑3. Prodotti VMware nel cluster di gestione
vRealizeBusiness
for Cloud
vRealizeInfrastructure
Navigator
Cluster di gestione
Gestioane
vCenter Server
Orchestrazione
vRealize Orchestration
Rete
VMwareNSX
Gestione delle prestazioni e della capacità
vRealizeOperationsManager
PaaS
vRealizeApplicationServices
Business continuity e disaster recovery
vSphereReplication
vSphereData
Protection
SiteRecoveryManager
IaaS
vRealizeAutomation
Replica in unsito secondario
Gruppo minimo di prodotti del cluster di gestioneIl cluster di gestione include sempre un'istanza di vCenter Server. Per preparare l'ambiente alle funzionalitàIaaS e PaaS, è possibile distribuire nelle primissime fasi un'appliance vRealize Orchestrator come prodottodi vRealize Suite.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 19
Per impostazione predefinita, vRealize Suite non include soluzioni di networking VMware. NSX for vSphereè in grado di adempiere alle funzioni di networking del cluster di gestione di vRealize Suite. NSX forniscevirtualizzazione di rete dal layer 2 al layer 7, con criteri di protezione che seguono i carichi di lavoro nel datacenter per una maggiore velocità nel provisioning e nella gestione delle reti. È possibile acquistareNSX for vSphere al prezzo ridotto di add-on.
Nota: nella versione precedente di vRealize Suite era incluso vCloud Networking and Security, il qualeeseguiva le funzioni di networking del cluster di gestione. vCloud Networking and Security non fa più partedi vRealize Suite.
Gruppo esteso di prodottiCon l'aumentare della complessità dell'ambiente è possibile installare e configurare prodotti aggiuntivi.vRealize Operations Manager e prodotti correlati ad esempio offrono funzionalità di monitoraggio avanzate.vRealize Automation è l'elemento chiave della soluzione IaaS perché consente di modellare ed eseguire ilprovisioning di server e desktop rapidamente su infrastrutture cloud virtuali, fisiche o ibride, private epubbliche. Un'istanza di vCenter Site Recovery Manager può fornire la replica verso un sito secondario ascopo di disaster recovery.
Infrastruttura core di SDDCL'infrastruttura core di SDDC è costituita da prodotti di vSphere e vRealize Suite, qualivRealize Operations Manager e vRealize Log Insight per il monitoraggio, vRealize Automation evRealize Orchestrator per la gestione dei workflow e vRealize Business for Cloud per la gestione dei costi.
L'infrastruttura core comprende il layer fisico, il layer dell'infrastruttura virtuale e il layer di gestione delcloud. La virtualizzazione del core fa parte del layer dell'infrastruttura virtuale e il catalogo dei servizi e iservizi di orchestrazione fanno parte del layer di gestione del cloud. Il layer dell'infrastruttura virtualeconsente di consolidare e riunire in pool le risorse fisiche sottostanti. Il layer di gestione del cloud fornisce lefunzionalità di orchestrazione e consente di ridurre i costi associati al funzionamento di un data center on-site. Il layer di gestione dei servizi fornisce le funzionalità di monitoraggio per identificare e risolverepreventivamente i problemi emergenti con analisi predittiva e avvisi avanzati, garantendo prestazioniottimali e disponibilità di applicazioni e infrastruttura.
I prodotti vRealize Suite dell'infrastruttura SDDC permettono di gestire efficacemente prestazioni,disponibilità e capacità di risorse in un ambiente cloud virtuale e ibrido. L'infrastruttura core consente dieseguire la gestione in ambienti cloud ibridi ed eterogenei, on-site e off-site, basati su vSphere o altretecnologie di terze parti.
Quando l'infrastruttura SDDC è operativa, è possibile estenderla per fornire Infrastructure as a Service (IaaS)e Platform as a Service (PaaS) ai clienti di risorse IT all'interno e all'esterno dell'organizzazione. IaaS e PaaScompletano la piattaforma SDDC e forniscono ulteriori opportunità per estendere le funzionalità. Con IaaS ePaaS è possibile aumentare l'agilità delle operazioni di personale IT e sviluppatori.
Figura 2‑4. Fasi della creazione dell'infrastruttura SDDC
OrchestrazioneVirtualizzazione MonitoraggioPronto
per l’infrastruttura SDDC
Panoramica di vRealize Suite
20 VMware, Inc.
Virtualizzazione e gestione dell'infrastruttura di vRealize SuiteI diversi prodotti VMware inclusi in vRealize Suite forniscono le funzionalità di virtualizzazione e gestionerichieste per l'implementazione di vRealize Suite. Per far sì che il proprio data center sia basato sufondamenta robuste, installare e configurare vCenter Server, ESXi e i componenti di supporto.
Distribuzione cloud ibridaCon vRealize Suite, le aziende possono estendere i loro carichi di lavoro cloud privati al cloud pubblico,capitalizzando il provisioning su richiesta, self-service ed elastico di endpoint, con il vantaggio di conservarelo stesso ambiente di gestione, la stessa affidabilità e le stesse prestazioni del cloud privato basato suvRealize Suite.
L'uso di vRealize Automation e vRealize Orchestrator nel layer di gestione del cloud in un SDDC permettealle aziende di eseguire il provisioning di macchine virtuali ed endpoint che si estendono oltre gli ambientivSphere verso ambienti non basati su vSphere. Gli ambienti non vSphere non basati su vSphere possonotrovarsi in data center privati o in provider di servizi di cloud pubblici. Il layer di gestione dei servizi diSDDC consente di monitorare endpoint vSphere ed endpoint non basati su vSphere.vRealize Operations Manager e vRealize Log Insight sono prodotti chiave del layer di gestione dei serviziche aiutano le aziende a fornire strumenti di analisi sulle macchine virtuali.
Considerazioni sulla progettazione di ESXi e vCenter ServerLe decisioni di progettazione per la virtualizzazione del SDDC devono essere correlate alla distribuzione esupportare le specifiche di ESXi e vCenter Server.
Considerare le seguenti decisioni di progettazione quando si pianifica la distribuzione di host ESXi.
ESXi
n Utilizzare uno strumento come VMware Capacity Planner per analizzare le prestazioni e l'uso deiserver esistenti.
n Utilizzare le piattaforme server supportate che sono elencate nella Guida alla compatibilità VMware.
n Verificare che l'hardware soddisfi i requisiti di sistema minimi richiesti per l'esecuzione di ESXi.
n Per eliminare la variabilità e realizzare un'infrastrutture gestibile e supportabile, standardizzare laconfigurazione fisica degli host ESXi.
n È possibile distribuire host ESXi manualmente o utilizzando un metodo d'installazione automatizzatocome vSphere Auto Deploy. Un valido approccio consiste nel distribuire il cluster di gestionemanualmente e implementare vSphere Auto Deploy al crescere dell'ambiente.
vCenter Server
n È possibile distribuire vCenter Server come appliance virtuale Linux o su una macchina fisica o virtualeWindows a 64 bit.
Nota: vCenter Server su Windows scala fino a supportare un massimo di 10.000 macchine virtualiaccese. L'appliance vCenter Server è una scelta alternativa che ha i vantaggi di essere preconfigurata edi permettere di distribuire più rapidamente e di ridurre i costi delle licenze dei sistemi operativi.Quando si utilizza un database Oracle esterno, l'appliance vCenter Server può supportare un massimodi 10.000 macchine virtuali.
n Fornire risorse di sistema virtuale sufficienti per vCenter Server.
n Distribuire vSphere Web Client e vSphere Client per le interfacce utente nell'ambiente. DistribuirevSphere Command Line Interface (vCLI) o vSphere PowerCLI per la riga di comando e la gestione delloscripting. vCLI e vSphere SDK for Perl sono inclusi in vSphere Management Assistant.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 21
Considerazioni sulla progettazione della reteMentre la virtualizzazione e il cloud computing diventano sempre più popolari nel data center, il modello direte a tre livelli tradizionale è in una fase di passaggio. Il modello tradizionale core-aggregato-accesso stainfatti per essere sostituito dalla topologia leaf-spine.
È necessario che la rete venga progettata per soddisfare le diverse esigenze di varie entità inun'organizzazione. Tali entità includono applicazioni, servizi, storage, amministratori e utenti.
n Utilizzare l’accesso controllato quando richiesto e l’isolamento quando necessario per garantire unlivello di sicurezza accettabile.
n Utilizzare una topologia leaf-spine per semplificare l’architettura di rete.
n Configurare nomi di gruppi di porte comuni tra host per supportare la migrazione e il failover dimacchina virtuale.
n Separare nella rete i servizi essenziali per garantire una maggiore sicurezza e migliori prestazioni.
L’isolamento della rete viene spesso indicato come procedura consigliata nel data center. In un ambientevRealize Suite, è possibile che siano presenti diverse reti VLAN essenziali, che occupano due o più clusterfisici.
Nell’illustrazione seguente, tutti gli host appartengono a gestione ESXi, vSphere vMotion, VXLAN e VLANNFS. L’host di gestione è inoltre connesso con la rete VLAN esterna, e ciascun host edge è connesso allarelativa rete VLAN specifica del cliente.
In questo caso, le connessioni utilizzano un protocollo LACP (Link Aggregation Control Protocol) fornito daun vSphere Distributed Switch per aggregare la larghezza di banda dei NIC fisici su host ESXi connessi acanali di porte LACP. È possibile creare più gruppi di aggregazione di collegamenti (LAG) in uno switchdistribuito. Un LAG include due o più porte e connette i NIC fisici alle porte. Le porte LAG vengonoraggruppate nel LAG per ridondanza, e il carico del traffico di rete viene bilanciato tra le porte utilizzandoun algoritmo LACP.
Vedere Supporto LACP su uno switch distribuito vSphere.
Panoramica di vRealize Suite
22 VMware, Inc.
Figura 2‑5. Tipi diversi di host ESXi vengono connessi a reti VLAN diverse
Gestione ESXi VLAN
VLAN vSphere vMotion
VLAN VTEP (VXLAN)
Cliente 1 VLAN(Host edge)
Cliente 2 VLAN(Host edge)
Switch distribuito vSphere
LAG 1-1LAG 1LAG 1-0
ESXiHost 1
vmnic1vmnic0
Canale porta LACP Switch fisico
NFS VLAN
Gestione esterna VLAN(Host di gestione)
ESXiHost 2
vmnic1vmnic0
Canaleporta LACP
Considerazioni sulla progettazione dello storage condivisoUna progettazione dello storage corretta fornisce le basi per un data center virtuale dalle prestazionicorrette.
n La progettazione dello storage deve essere ottimizzata per soddisfare le varie esigenze di applicazioni,servizi, amministratori e utenti.
n I livelli di storage presentano diverse caratteristiche di prestazioni, capacità e disponibilità.
n La progettazione di livelli di storage diversi garantisce l’efficienza dei costi, poiché non tutte leapplicazioni richiedono storage costoso, ad alte prestazioni e ad alta disponibilità.
n Fibre Channel, NFS e iSCSI rappresentano opzioni mature e attive per supportare le esigenze dellemacchine virtuali.
L’illustrazione seguente mostra in che modo diversi tipi di host sfruttino array di storage diversi. Gli hostnel cluster di gestione necessitano di storage per gestione, monitoraggio e portali. Gli host nel cluster edgerichiedono storage a cui il cliente possa accedere. Un host presente nel cluster del payload può accedere astorage specifico del cliente. Host di cluster di payload diversi possono accedere a storage diversi.
L’amministratore dello storage può gestire tutto lo storage, tuttavia non ha accesso ai dati del cliente.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 23
Figura 2‑6. Storage che supporta i vari host
Appliancevirtuale
Appliancevirtuale
Appliancevirtuale
APPOS
APPOS
APPOS
Appliancevirtuale
Appliancevirtuale
Appliancevirtuale
Tenant n
Cluster di gestione Cluster di edge Cluster di elaborazione
Tenant 1
Host ESXi Host ESXi Host ESXi
Datastore condivisi
Gest. Monitoraggio Portali
Datastore condivisi
EdgeGruppo 1
EdgeGruppo 2
EdgeGruppo N
Datastore condivisi
PayloadSLA 1
PayloadSLA 2
PayloadSLA N
Storage definito da software
Gestione dello storage basato su criteriServizi dati virtualizzati
Astrazione storage Hypervisor
SAN o NAS o DAS(Rete SAN virtuale di terza parte o VMware)
Dischi fisici
SSD FC15K FC10K SATA
VMDK
File di scambio + Registri
LUN di esempio
Livello 0 Livello 1 Livello 2 Livello 3
Amministratoredello storage
SSD FC15K FC10K SATA
Livello 0 Livello 1 Livello 2 Livello 3
Gestione dell’infrastruttura core di vRealize SuiteLa gestione di un SDDC comporta molte operazioni, spesso ripetitive. In vRealize Suite è possibile utilizzarevRealize Orchestrator per gestire processi complessi attraverso i workflow.
Con il layer di gestione cloud, è possibile creare workflow macro che automatizzano i processi manuali.L'orchestrazione consente di eseguire operazioni ripetibili.
All'interno del layer di gestione cloud, i workflow possono essere attivati automaticamente o manualmente.
n vRealize Automation può attivare i workflow di vRealize Orchestrator.
n È anche possibile pubblicare i workflow nel catalogo dei propri servizi e attivarli manualmente.
Definire il motore di orchestrazione in anticipo nel processo rappresenta un vantaggio per tutti i livelli dimaturità del cliente e offre le fondamenta su cui sviluppare il resto della soluzione. Distribuire almenoun’istanza di vCenter Server per ciascun sistema vCenter Server nel proprio ambiente a seconda dei proprirequisiti di scalabilità.
Panoramica di vRealize Suite
24 VMware, Inc.
Il layer di orchestrazione contiene i seguenti elementi principali.
n vRealize Orchestrator
n Plug-in di vRealize Orchestrator
Figura 2‑7. Progettazione del layer di orchestrazione di vRealize Suite
Plug-in vRO
vRealize Orchestrator Appliance
Database incorporato
AD, LDAP o vCenter Single Sign-On
Plug-in abilitati
vCenter Server
Più nodi
AD
Autenticazione
Configurazione di vRealize Orchestrator
Progettazione di vRealize Orchestrator
Tavola 2‑1. Componenti del layer di orchestrazione di vRealize Suite
Componente Descrizione
Appliance vRealize Orchestrator È possibile distribuire vRealize Orchestrator comeappliance virtuale. L’appliance di vRealize Orchestrator,eseguita in modalità autonoma, non a disponibilità elevata(HA, High Availability), rappresenta l’approccio consigliatoper le distribuzioni minori.
Autenticazione Fornita da Active Directory o vCenter Single Sign-On.
Interfaccia di configurazione di vRealize Orchestrator Utilizzare l’interfaccia di configurazione basata su Web perconfigurare il database dell’appliance, il certificato TLS, lalicenza ecc.
Interfaccia di progettazione di vRealize Orchestrator Utilizzare l’interfaccia di progettazione basata su Web percreare e personalizzare i workflow.
Plug-in di vCenter Server Utilizzare il plug-in vRealize Orchestrator per gestire piùistanze di vCenter Server. Il plug-in offre una libreria diworkflow standard che automatizzano le operazioni divCenter Server.
Plug-in per più nodi Utilizzare il plug-in per più nodi divRealize Orchestratorper gestire in remotovRealize Orchestrator e l’esecuzione del workflow.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 25
Monitoraggio dell'infrastruttura core di vRealize SuiteLa funzionalità di monitoraggio e un elemento necessario per un SDDC. L'elemento di monitoraggiofornisce funzionalità di gestione di prestazioni e capacità di componenti dell'infrastruttura correlata, inclusi irequisiti richiesti, le specifiche, la gestione e le loro relazioni.
I prodotti di monitoraggio di vRealize Suite includono diversi prodotti VMware.
Tavola 2‑2. Monitoraggio di prodotti in vRealize Suite
Prodotto di monitoraggio Descrizione
vRealize Operations Manager Fornisce informazioni su prestazioni, capacità e stato diintegrità dell'infrastruttura. Implementata come appliancevirtuale che può essere distribuita su host ESXi.Configurare l'appliance virtuale e registrarla in un sistemavCenter Server. Vedere la Centro informazioni di vRealizeOperations Manager.
vRealize Infrastructure Navigator Rileva servizi applicazioni, visualizza relazioni e mappa ledipendente di applicazioni su risorse di elaborazione,storage e rete virtualizzate. Vedere la Centrodocumentazione di vRealize Infrastructure Navigator.
vRealize Log Insight Raccoglie e analizza dati di registro per fornire risposte intempo reale a problemi correlati a sistemi, servizi eapplicazioni, e dedurre approfondimenti importanti.Vedere la Centro documentazione di VMware vRealize LogInsight.
È possibile distribuire tutti i prodotti di monitoraggio o solo alcuni dei prodotti senza danneggiare l'integritàdella soluzione.
Offerta di un servizio infrastrutturaLa capacità di offrire Infrastructure-as-a-Service (IaaS) rappresenta la trasformazione tecnologica eorganizzativa dalle operazioni del data center tradizionale al cloud. È possibile modellare VM e servizi edeseguirne il provisioning in un'infrastruttura cloud privata, pubblica o ibrida.
Nel SDDC, gruppi di provider o organizzazioni possono isolare e astrarre le risorse in forma di serviziinfrastruttura e applicazione, per poi renderli disponibili a gruppi di tenant o organizzazioni.
Il layer di gestione del cloud fornisce un portale utente self-service che riduce il carico amministrativoattraverso l'uso di criteri per il provisioning di servizi infrastruttura. Gli amministratori utilizzano i criteriper controllare in maniera dettagliata e flessibile il consumo di servizi. In ogni servizio possono essereinclusi requisiti di approvazione.
È possibile creare il servizio infrastruttura utilizzando diversi componenti.
Tavola 2‑3. Componenti del servizio infrastruttura
Sezione del servizio infrastruttura Componenti di progettazione
Appliance virtuale vRealize Automation n App server o Web Server portale vRealize Automationn Database vPostgreSQL vRealize Automation
vRealize Automation IaaS n Web Server vRealize Automation IaaSn Servizi di gestione vRealize Automation IaaS
Distributed Execution Manager I Distributed Wxecution Manager di vRealize Automationsono costituiti da istanze DEMOrchestrator e istanze DEMWorker.
Integrazione Macchine agenti vRealize Automation
Gestione dei costi vRealize Business for Cloud
Panoramica di vRealize Suite
26 VMware, Inc.
Tavola 2‑3. Componenti del servizio infrastruttura (Continua)
Sezione del servizio infrastruttura Componenti di progettazione
Infrastruttura di provisioning n Ambiente vSpheren Ambiente vRealize Orchestratorn Altro ambiente fisico, virtuale o cloud supportato
Infrastruttura di supporto n Ambiente database Microsoft SQLn Ambiente LDAP o Active Directoryn Ambiente SMTP ed email
La distribuzione di un servizio infrastruttura avviene in più fasi.
Figura 2‑8. Fasi della distribuzione di una IaaS
Portaleself-service
Componentidi infrastruttura
Servizi e tenant
Gestione dei costi
Pronto per il servizio diinfrastruttura
Per una discussione approfondita sui concetti chiave di IaaS, consultare le informazioni suvRealize Automation relative a Infrastructure as a Service.
Portale self-service vRealize Automation fornisce un portale protetto dove amministratoriautorizzati, sviluppatori o utenti aziendali possono richiedere nuovi serviziIT.
Componentidell'infrastruttura
Per distribuire vRealize Automation, configurare alcuni prodotti VMwarecome vSphere e vCloud Air, quindi configurare i componenti divRealize Automation come gli endpoint delle macchine fisiche, i gruppi distrutture e i blueprint.
Servizi e tenant Il catalogo dei servizi fornisce un portale self-service unificato per lafruizione dei servizi IT. Gli utenti possono sfogliare il catalogo per richiederegli elementi, per tenere traccia delle richieste e per gestire gli elementisottoposti a provisioning.
Gestione dei costi Le soluzioni che si integrano con vRealize Automation, comevRealize Business for Cloud, supportano l'esplorazione e la gestione deicosti.
Offerta di Platform-as-a-ServiceUtilizzare Platform-as-a-Service (PaaS) per modellare applicazioni ed eseguirne il provisioning ininfrastrutture cloud private, pubbliche e ibride.
PaaS è un tipo di servizio di cloud computing che attraverso un servizio fornisce una piattaforma dielaborazione e uno stack di soluzioni. Insieme a Software-as-a-Service (SaaS) e Infrastructure-as-a-Service(IaaS), PaaS è un modello di servizio di cloud computing che consente di utilizzare strumenti e librerie che ilprovider può offrire per creare un'applicazione, o servizio. È possibile controllare la distribuzione delsoftware e le impostazioni di configurazione. Il provider fornisce le reti, i server, lo storage e gli altri servizirichiesti per ospitare l'applicazione.
Automazione del provisioning delle applicazioniUno degli aspetti fondamentali di PaaS è la capacità di automatizzare il provisioning di applicazioni.vRealize Automation è una soluzione di provisioning basata su modelli che semplifica la creazione e lastandardizzazione di topologie per la distribuzione di applicazioni su infrastrutture cloud. Gli architettidelle applicazioni utilizzano le funzioni di selezione e trascinamento delle applicazioni per creare topologiedi distribuzione denominate blueprint delle applicazioni. I blueprint delle applicazioni definiscono la
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 27
struttura dell'applicazione, consentono l'uso di componenti infrastrutturali di applicazioni standardizzate eincludono dipendenze di installazioni e configurazioni predefinite per pacchetti di applicazioni aziendali eapplicazioni personalizzate. È possibile utilizzare il catalogo estensibile prepopolato di modelli logicistandard, servizi infrastrutturali delle applicazioni, componenti e script per modellare il blueprint diun'applicazione. I blueprint delle applicazioni sono topologie di distribuzione logiche portabili su cloudIaaS, come vRealize Automation, e attraverso cloud pubblici come Amazon EC2.
Utilizzando vRealize Automation, è possibile specificare la struttura dell'applicazione e del servizio dandoper assunto che l'infrastruttura cloud sottostante si occupi di fornire i necessari requisiti di elaborazione, retee storage. È possibile distribuire i blueprint di vRealize Automation su qualsiasi cloud privato o pubblicobasato su VMware vSphere. Questo modello di provisioning delle applicazioni libera gli sviluppatori e gliamministratori delle applicazioni dalla necessità di confrontarsi con la configurazione di infrastruttura,sistema operativo e middleware, permettendo all'azienda di concentrarsi sul valore di business offerto dallesue applicazioni.
Gli utenti enterprise possono standardizzare, distribuire, configurare e scalare applicazioni complesse inambienti cloud dinamici. Tali applicazioni vanno dalle semplici applicazioni Web alle applicazionipersonalizzate complesse, fino alle applicazioni con pacchetti. Con il suo catalogo di servizi e componentistandard, vRealize Automation Application Services automatizza e gestisce il ciclo di vita delle distribuzioniper le applicazioni aziendali multilivello negli ambienti cloud ibridi.
Monitoraggio delle prestazioni delle applicazioniIl monitoraggio fornisce funzionalità per la gestione delle prestazioni correlate alle applicazioni.
Componenti delle applicazioni precostruitiVMware Cloud Management Marketplace fornisce blueprint, servizi, script e plug-in che è possibilescaricare e utilizzare per sviluppare i proprio servizi di applicazione. I principali fornitori di soluzioni dimiddleware, networking, sicurezza e applicazioni offrono componenti precostruiti che impieganoconfigurazioni riutilizzabili e flessibili e che possono essere inseriti in qualsiasi piano di provisioning diapplicazioni multilivello.
Considerazioni sulla sicurezza di vRealize SuiteCiascun prodotto di vRealize Suite deve soddisfare requisiti di sicurezza precisi. È necessario prendere inconsiderazione l’autenticazione e l’autorizzazione per ciascun prodotto, assicurarsi che i certificati soddisfinoi requisiti aziendali e implementare l’isolamento di rete.
La documentazione di famiglie di prodotti o prodotti individuali può aiutare a proteggere il proprioambiente. Questo documento riguarda in modo particolare i passaggi aggiuntivi che è possibile eseguire perproteggere la suite di prodotti.
Tavola 2‑4. Documentazione di sicurezza per i prodotti di vRealize Suite
Prodotto Documentazione
vCenter ServerESXi Vedere la documentazione della Sicurezza di vSphere perinformazioni su diversi argomenti, inclusi la gestione deicertificati, la sicurezza di ESXi, la sicurezza divCenter Server, e infine l’autenticazione e l’autorizzazione.Vedere il white paper Sicurezza dell'hypervisor di VMwareper le informazioni di sicurezza di ESXi.
vSphere Vedere la Guide al rafforzamento della sicurezza divSphere per i propri prodotti vSphere.
vRealize Automation e prodotti correlati. Vedere Preparazione per l'installazione nel centroinformazioni di vRealize Automation per informazionirelative a certificati, passphrase, sicurezza dell’utente, usodei gruppi di sicurezza, ecc.
Panoramica di vRealize Suite
28 VMware, Inc.
Autenticazione e autorizzazioni in vRealize SuiteCon l'autenticazione tramite vCenter Single Sign-On, solo gli utenti presenti nelle origini di identitàsupportate possono accedere a vRealize Suite. L'autorizzazione è il processo che garantisce solo agli utentidotati dei privilegi corrispondenti la visualizzazione delle informazioni e l'esecuzione delle attività.L'autorizzazione si applica sia ai servizi che agli utenti fisici.
Autenticazione con vCenter Single Sign-OnvCenter Single Sign-On supporta l'autenticazione nell'infrastruttura di gestione. Solo gli utenti che possonoautenticarsi in vCenter Single Sign-On possono visualizzare e gestire componenti dell'infrastruttura. Èpossibile aggiungere origini di identità quali Active Directory o OpenLDAP a vCenter Single Sign-On.
Panoramica di vCenter Single Sign-On
vCenter Single Sign-On è un gestore di autenticazione e un'infrastruttura di scambio di token di protezioneper gli utenti e utenti di soluzione, i quali sono set di servizi VMware. Quanto un utente o un utente disoluzione si autentica in vCenter Single Sign-On, quell'utente riceve un token SAML. Successivamentel'utente può utilizzare il token SAML per autenticarsi nei servizi di vCenter Server. L'utente può quindivisualizzare le informazioni ed eseguire le azioni per cui ha i privilegi.
Utilizzando vCenter Single Sign-On, i prodotti di vRealize Suite comunicano tra loro attraverso unmeccanismo di scambio di token sicuro, che rende non necessaria l'autenticazione separata di un utente inciascun prodotto con un servizio di directory come Microsoft Active Directory. Durante l'installazione ol'aggiornamento, vCenter Single Sign-On crea un dominio di sicurezza interno, ad esempio vsphere.local,dove vengono registrate le soluzioni e i prodotti vSphere. Per evitare di utilizzare questo dominio disicurezza interno per le informazioni di autenticazione specifiche dell'azienda, è possibile aggiungere avCenter Single Sign-On una o più origini di identità, come ad esempio un dominio Active Directory.
Configurazione di vCenter Single Sign-On
È possibile configurare vCenter Single Sign-On da vSphere Web Client.
A partire da vSphere 6.0, vCenter Single Sign-On fa parte di Platform Services Controller.Platform Services Controller contiene servizi condivisi che supportano vCenter Server e componenti divCenter Server. Per gestire vCenter Single Sign-On occorre connettersi al Platform Services Controllerassociato al proprio ambiente. Vedere Autenticazione di vSphere con vCenter Single Sign-On per le nozionifondamentali e i dettagli sulla configurazione.
Autorizzazione in vRealize SuiteLe autorizzazioni determinano quali utenti o processi possono accedere o modificare quali componenti inuna specifica distribuzione di vRealize Suite. Prodotti differenti all'interno di vRealize Suite gestiscono leautorizzazioni con diversi livelli di granularità.
La responsabilità di fornire ai diversi tipi di utenti l'accesso a prodotti o componenti di prodotti differenti èsuddivisa tra svariate tipologie di amministratori.
Autorizzazioni di vCenter Server
Il modello di autorizzazioni di vCenter Server consente agli amministratori di assegnare ruoli a un utente oa un gruppo relativamente a un oggetto specifico della gerarchia di oggetti di vCenter Server. I ruoli sonoinsiemi di privilegi. vCenter Server dispone già di una serie di ruoli predefiniti, ma si possono creare ancheruoli personalizzati.
In molti casi, le autorizzazioni devono essere definite sia su un oggetto origine che su un oggettodestinazione. Se ad esempio si sposta una macchina virtuale, è necessario disporre di alcuni privilegi perquella macchina virtuale, ma anche di privilegi sul data center di destinazione.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 29
Esistono poi le autorizzazioni globali, che consentono di assegnare a determinati utenti privilegi per tutti glioggetti contenuti nella gerarchia di oggetti di vCenter. È essenziale prestare molta attenzione nell'uso delleautorizzazioni globali, specialmente se queste vengono propagate verso il basso nella gerarchia deglioggetti.
Consultare la documentazione sulla sicurezza di vSphere per informazioni dettagliate e video descrittivisulle autorizzazioni di vCenter Server.
Autenticazione in vRealize Automation
vRealize Automation consente di utilizzare ruoli predefiniti per determinare quale utente o gruppo puòeseguire specifiche attività. A differenza di vCenter Server non è possibile definire ruoli personalizzati, mal'insieme di ruoli predefiniti è comunque piuttosto nutrito.
Autenticazione e autorizzazione avvengono come segue:
1 L'amministratore di sistema esegue la configurazione iniziale per l'impostazione del tenant di base eSingle Sign-On, inclusa la designazione di almeno un archivio identità e un amministratore tenant perciascun tenant.
2 Successivamente, l'amministratore tenant può configurare gli archivi identità aggiuntivi e assegnarne iruoli agli utenti o ai gruppi.
Gli amministratori tenant possono inoltre creare gruppi personalizzati all'interno del tenant diappartenenza e aggiungere utenti e gruppi definiti nell'archivio identità ai gruppi personalizzati. Aigruppi personalizzati, analogamente agli utenti e ai gruppi degli archivi identità, è possibile assegnaredei ruoli.
3 Gli amministratori possono quindi assegnare ruoli a utenti e gruppi sulla base del ruolo a cui essi stessiappartengono.
n Sono presenti alcuni ruoli predefiniti validi nell'intero sistema, quali amministratore di sistema,amministratore IaaS e amministratore struttura.
n Inoltre esiste anche un set separato di ruoli tenant predefiniti, quali amministratore tenant eamministratore del catalogo di applicazioni.
Vedere la documentazione di vRealize Automation.
Gestione delle identità federateLa gestione delle identità federate consente di accettare e utilizzare identità elettroniche e attributiprovenienti da un dominio per accedere a risorse in altri domini. È possibile abilitare la gestione delleidentità federate tra vRealize Automation, vRealize Operations Manager e vSphere Web Client utilizzandovCenter Single Sign-On e VMware Identity Manager.
Gli ambienti di identità federate suddividono gli utenti in categorie chiamate identità in base a come essiinteragiscono con i sistemi di identità federate. Gli utenti utilizzano i sistemi per ricevere servizi. Gliamministratori configurano e gestiscono la federazione tra sistemi. Gli sviluppatori creano ed estendono iservizi utilizzati dagli utenti. Nella tabella seguente sono descritti i vantaggi della gestione delle identitàfederate per queste identità.
Panoramica di vRealize Suite
30 VMware, Inc.
Tavola 2‑5. Vantaggi per l'identità
Tipi di utenti Vantaggi delle identità federate
Utenti n Comodità di Single Sign-On per applicazioni multiplen Meno password da gestiren Maggiore sicurezza
Amministratori n Più controllo su permessi delle applicazioni e accessin Autenticazione basata su contesto e criterio
Sviluppatori n Semplice integrazionen Vantaggi di multi-tenancy, gestione utenti e gruppi,
autenticazione estendibile e autorizzazione delegatacon minimo sforzo
È possibile impostare la federazione tra VMware Identity Manager e vCenter Single Sign-On creando unaconnessione SAML tra le due parti. vCenter Single Sign-On agisce come provider di identità eVMware Identity Manager come provider di servizi. Un provider di identità fornisce un'identità elettronica.Un provider di servizi concede accesso alle risorse dopo aver valutato e accettato l'identità elettronica.
Per gli utenti da autenticare tramite vCenter Single Sign-On, lo stesso account deve esistere inVMware Identity Manager e vCenter Single Sign-On. Almeno lo userPrincipalName dell'utente devecoincidere in entrambe le estremità. Gli altri attributi possono essere diversi perché non utilizzati peridentificare il soggetto SAML.
Per gli utenti locali in vCenter Single Sign-On, come ad esempio [email protected], è necessario creareaccount corrispondenti in VMware Identity Manager, dove almeno lo userPrincipalName dell'utente devecoincidere). Gli account corrispondenti devono essere creati manualmente o tramite uno script che utilizzale API di creazione utenti locali di VMware Identity Manager.
L'impostazione di SAML tra SSO2 e vIDM implica le seguenti attività.
1 Importazione del token SAML da vCenter Single Sign-On a VMware Identity Manager prima diaggiornare l'autenticazione predefinita di VMware Identity Manager.
2 In VMware Identity Manager, configurare vCenter Single Sign-On come provider di identità di terzeparti su VMware Identity Manager e aggiornare l'autenticazione predefinita diVMware Identity Manager.
3 Su vCenter Single Sign-On, configurare VMware Identity Manager come provider di serviziimportando il file sp.xml di VMware Identity Manager.
Vedere la documentazione di prodotto seguenti:
n Per informazioni sulla configurazione di SSO2 come provider di identità per vRealize Automation,vedere Utilizzo di VMware vCenter SSO 5.5 U2 con VMware vCloud Automation Center 6.1.
n Per la documentazione di VMware Identity Manager di vRealize Automation, vedere Aggiornamentodella password Single Sign-On per VMware Identity Manager..
n Per informazioni su come configurare la federazione tra Gestione directory e SSO2, vedere Configurazione di Federazione SAML tra Gestione directory e SSO2.
n Per la documentazione di SSO di vRealize Operations Manager, vedere Configurazione di un'origineSingle Sign-On in vRealize Operations Manager.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 31
TLS e protezione dei datiI diversi prodotti di vRealize Suite utilizzano il protocollo TLS per codificare le informazioni delle sessionitra prodotti. Per impostazione predefinita, VMware Certificate Authority (VMCA), che fa parte diPlatform Services Controller, fornisce certificati per alcuni dei prodotti e dei servizi. Il provisioning di altricomponenti avviene tramite certificati autofirmati.
Se si desidera sostituire i certificati predefiniti con certificati della propria azienda o certificati firmati daun'autorità di certificazione, il procedimento cambia per i diversi componenti.
Il controllo dei certificati è abilitato per impostazione predefinita e per codificare il traffico di rete vengonoutilizzati certificati TLS. A partire da vSphere 6.0, VMCA assegna certificati a host ESXi e sistemivCenter Server come parte del processo di installazione. È possibile sostituire questi certificati per utilizzareVMCA come autorità di certificazione intermedia, oppure è possibile utilizzare certificati personalizzatiall'interno dell'ambiente. vSphere 5.5 e versioni precedenti utilizzano certificati autofirmati, i quali possonoessere impiegati o sostituiti secondo necessità.
È possibile sostituire i certificati di vSphere 6.0 utilizzando l'utilità vSphere Certificate Manager o le CLI digestione certificati. È possibile sostituire i certificati di vSphere 5.5 e versioni precedenti utilizzandoCertificate Automation Tool.
Prodotti che utilizzano VMCADiversi prodotti VMware ricevono certificati da VMCA durante l'installazione. Per questi prodotti sonopossibili diverse opzioni.
n Lasciare i certificati in uso per le distribuzioni interne, o considerare di sostituire i certificati rivolti versol'esterno, ma lasciando al tempo stesso in uso i certificati firmati da VMCA rivolti verso l'interno.
n Rendere VMCA un certificato intermedio. Successivamente verrà utilizzata la catena di firma completa.
n Sostituire i certificati firmati da VMCA con certificati personalizzati.
Vedere Certificati di sicurezza vSphere.
Prodotti che utilizzano certificati autofirmatiÈ possibile utilizzare prodotti che utilizzano certificati autofirmati così come sono. Al primo utilizzo, ibrowser richiedono all'utente di specificare se accetta o rifiuta un certificato autofirmato. Gli utenti possonofare clic su un collegamento per aprire e visualizzare i dettagli del certificato prima di accettarlo o rifiutarlo.I browser memorizzano localmente i certificati accettati e successivamente li utilizzano senza più richiedereconferma. Quando necessario è possibile evitare il passaggio dell'accettazione sostituendo i certificatiautofirmati con certificati aziendali o certificati firmati da un'autorità di certificazione. La documentazione diprodotto spiega come sostituire i certificati autofirmati.
Tavola 2‑6. Sostituzione di certificati autofirmati
Prodotto Documentazione
vSphere Replication Vedere Modifica del certificato SSL dell'appliance vSphereReplication.
vRealize Automation Vedere Aggiornamento dei certificati di vRealizeAutomation.
vRealize Log Insight Vedere Installazione di un certificato SSL personalizzato.
vRealize Orchestrator Vedere Modifica dei certificati SSL.
vRealize Operations Manager Vedere Aggiunta di un certificato personalizzato a vRealizeOperations Manager.
vRealize Business for Cloud Standard Vedere Modifica o sostituzione del certificato SSL divRealize Business for Cloud.
Panoramica di vRealize Suite
32 VMware, Inc.
Protezione del layer fisicoLa protezione del layer fisico include la messa in sicurezza o protezione dell'hypervisor, impostando la reteper la massima sicurezza e proteggendo la propria soluzione di storage.
Sicurezza delle porte di switch standardCome per le schede di rete fisiche, una scheda di rete virtuale può inviare frame che sembrano provenire dauna macchina diversa oppure che rappresentano un’altra macchina. Inoltre, come per le schede di retefisiche, una scheda di rete virtuale può essere configurata in modo da ricevere frame destinati ad altremacchine.
Quando viene creato uno switch standard, vengono aggiunti gruppi di porte per imporre unaconfigurazione di criteri per le macchine virtuali e i sistemi di storage collegati allo switch. Le porte virtualivengono create attraverso vSphere Web Client o vSphere Client.
Come parte dell'aggiunta di una porta o di un gruppo di porte standard a uno switch standard,vSphere Client configura un profilo di sicurezza per la porta. L’host potrà quindi impedire alle propriemacchine virtuali di rappresentare altre macchine sulla rete. Il sistema operativo guest responsabile dellarappresentazione non rileva il fatto che la rappresentazione è stata impedita.
Il profilo di sicurezza determina il livello con cui l’host applica la protezione da rappresentazioni e attacchidi intercettazione su macchine virtuali. Per utilizzare correttamente le impostazioni nel profilo di sicurezza,è necessario comprendere le basi delle modalità con cui le schede di rete virtuali controllano le trasmissionie come avvengono gli attacchi a questo livello.
Ciascuna scheda di rete virtuale dispone di un indirizzo MAC che è stato assegnato alla creazione dellascheda. Questo indirizzo viene denominato indirizzo MAC iniziale. Anche se è possibile riconfigurarlodall’esterno del sistema operativo, l’indirizzo MAC iniziale non può essere comunque modificato dalsistema operativo guest. In aggiunta, ciascuna scheda dispone di un indirizzo MAC effettivo che filtra iltraffico di rete in ingresso con un indirizzo MAC di destinazione diverso dall’indirizzo MAC effettivo. Ilsistema operativo guest è responsabile per l’impostazione dell’indirizzo MAC effettivo, e in genere abbinal’indirizzo MAC effettivo all’indirizzo MAC iniziale.
Quando invia pacchetti, il sistema operativo posiziona in genere l’indirizzo MAC effettivo della propriascheda di rete nel campo di indirizzo MAC di origine del frame Ethernet. Inoltre, l’indirizzo MAC per lascheda di rete di ricezione viene posizionato nel campo di indirizzo MAC di destinazione. La scheda diricezione accetta pacchetti solo quando l’indirizzo MAC di destinazione nel pacchetto corrisponde al proprioindirizzo MAC effettivo.
Alla creazione, l’indirizzo MAC effettivo della scheda di rete e l’indirizzo MAC iniziale corrispondono. Ilsistema operativo della macchina virtuale può modificare l’indirizzo MAC effettivo in un altro valore inqualsiasi momento. Se un sistema operativo modifica l’indirizzo MAC effettivo, la propria scheda di retericeverà traffico di rete destinato al nuovo indirizzo MAC. Il sistema operativo può inviare frame con unindirizzo MAC di origine di rappresentazione in qualsiasi momento. Ciò significa che un sistema operativopuò eseguire attacchi dannosi sui dispositivi di una rete rappresentando una scheda di rete autorizzata dallarete ricevente.
È possibile utilizzare profili di sicurezza di switch standard sugli host per la protezione da questo tipo diattacchi attraverso l’impostazione di tre opzioni. Se viene modificata una qualsiasi impostazione predefinitadi una porta, sarà necessario modificare il profilo di sicurezza modificando impostazioni di switch standardin vSphere Client.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 33
Protezione dello storage iSCSILo storage configurato per un host può includere una o più reti SAN (Storage Area Network) che utilizzanoil protocollo iSCSI. Quando viene configurato il protocollo iSCSI in un host, gli amministratori possonomantenere al minimo i rischi alla sicurezza in diversi modi.
Il protocollo iSCSI rappresenta un modo per accedere a dispositivi SCSI e record di dati di scambioutilizzando il protocollo TCP/IP su una porta di rete anziché attraverso una connessione diretta a undispositivo SCSI. Nelle transazioni iSCSI, i blocchi di dati SCSI grezzi vengono incapsulati in record iSCSI etrasmessi al dispositivo o all’utente richiedente.
Un modo per proteggere i dispositivi iSCSI da intrusioni indesiderate consiste nel richiedere che l’host, oiniziatore, venga autenticato dal dispositivo iSCSI, o destinazione, ogni volta in cui l’host tenta di accedere aidati sul LUN di destinazione. L’autenticazione prova che l'iniziatore dispone dei diritti di accesso a unadestinazione,
mentre ESXi e iSCSI supportano il protocollo CHAP (Challenge Handshake Authentication Protocol), cheverificano la legittimità degli iniziatori che accedono alle destinazioni sulla rete. Utilizzare vSphere Client ovSphere Web Client per determinare se viene eseguita l’autenticazione e per configurare il metodo diautenticazione. Per informazioni sulla configurazione del protocollo CHAP per iSCSI vedere ladocumentazione di vSphere Configurazione dei parametri CHAP per gli adattatori iSCSI.
Protezione delle interfacce di gestione ESXiLa sicurezza dell’interfaccia di gestione ESXi è essenziale per proteggere da intrusioni e usi scorretti. Se unhost risulta compromesso, è possibile che risultino compromesse anche le macchine virtuali con cuiinteragisce. Per ridurre al minimo il rischio di un attacco attraverso l’interfaccia di gestione, ESXi vieneprotetto con un firewall incorporato.
Per proteggere l’host da intrusioni non autorizzate e usi scorretti, VMware impone vincoli su diversiparametri, impostazioni e attività. I vincoli possono essere interrotti per soddisfare esigenze diconfigurazione, ma in questo caso è necessario adottare le misure necessarie per proteggere la rete nelcomplesso e i dispositivi connessi all’host.
Tenere presente i consigli seguenti in fase di valutazione della sicurezza e della gestione dell’host.
n Per migliorare la sicurezza, limitare l’accesso dell’utente all’interfaccia di gestione e applicare criteri disicurezza di accesso, come ad esempio l’impostazione di limitazioni alle password.
n Garantire l'accesso a ESXi Shell solo agli utenti attendibili. ESXi Shell dispone di accesso privilegiato adalcune parti dell’host.
n Quando possibile, eseguire solo processi, servizi e agenti essenziali quali i programmi antivirus e ibackup di macchine virtuali.
n Quando possibile, utilizzare vSphere Web Client o uno strumento di gestione di rete di terze parti pergestire host ESXi, anziché lavorare attraverso l’interfaccia della riga di comando come utente root.Quando si utilizza vSphere Web Client, la connessione all’host ESXi avviene sempre tramite un sistemavCenter Server.
L’host esegue diversi pacchetti di terze parti per supportare interfacce o attività di gestione eseguite da unoperatore. VMware supporta l'aggiornamento di questi pacchetti solo da origini VMware. Se si utilizza undownload o una patch proveniente da un’altra origine, è possibile che la sicurezza o le funzionidell’interfaccia di gestione risultino compromesse. Verificare regolarmente la presenza di avvisi di sicurezzanei siti di fornitori terze parti e nella knowledge base di VMware.
Panoramica di vRealize Suite
34 VMware, Inc.
In aggiunta all'implementazione del firewall, è possibile diminuire i rischi per gli host ESXi utilizzando altrimetodi.
n Assicurarsi che tutte le porte del firewall non necessarie in modo specifico per l'accesso di gestioneall’host siano chiuse. Le porte devono essere aperte in modo specifico se sono richiesti serviziaggiuntivi.
n Sostituire i certificati predefiniti e non abilitare metodi di codifica deboli. Per impostazione predefinita,eventuali metodi di codifica deboli vengono disattivati e tutte le comunicazioni dai client vengonoprotette tramite protocollo TLS. Gli algoritmi esatti utilizzati per la protezione del canale dipendonodall’handshake del protocollo TLS. I certificati predefiniti creati su ESXi utilizzano la codifica SHA-1con RSA come algoritmo di firma.
n Installare le patch di sicurezza. VMware monitora tutti gli avvisi di sicurezza che potrebbero influiresulla sicurezza di ESXi, e se necessario invia una patch di sicurezza.
n Servizi non sicuri quali FTP e Telnet non vengono installati, e le porte per questi servizi risultanochiuse. Poiché servizi più sicuri quali SSH e SFTP risultano facilmente disponibili, optare sempre perquesto tipo di alternative ed evitare i servizi non sicuri. Se è necessario utilizzare servizi non sicuri,implementare una protezione sufficiente per gli host ESXi e aprire le porte corrispondenti.
È possibile impostare gli host ESXi in modalità blocco. Quando viene abilitata la modalità blocco, l’host puòessere gestito solo da vCenter Server. Nessun utente, eccetto vpxuser, dispone di autorizzazioni diautenticazione, mentre le connessioni dirette all’host vengono rifiutate.
Protezione dei sistemi vCenter ServerLa protezione dei sistemi vCenter Server include la protezione della macchina in cui viene eseguitovCenter Server, oltre alle procedure consigliate per l'assegnazione di privilegi e ruoli, e la verificadell’integrità dei client connessi a vCenter Server.
Per aumentare la sicurezza del sistema, è necessario un controllo severo dei privilegi dell’amministratore divCenter Server.
n Rimuovere i diritti di amministratore completi per vCenter Server dall'account amministratoreWindows locale, e concederli solo a un account amministratore vCenter Server locale per scopi speciali.Concedere diritti di amministratore vSphere solo a quegli amministratori per cui sono obbligatori. Nonconcedere questo privilegio a qualsiasi gruppo i cui membri non siano rigorosamente controllati.
n Non consentire agli utenti di effettuare l'accesso al sistema vCenter Server direttamente. Consentirel'accesso solo agli utenti che devono eseguire attività legittime e assicurarsi che le loro azioni venganocontrollate.
n Installare vCenter Server utilizzando un account di servizio anziché un account Windows. È possibileutilizzare un account di servizio o un account Windows per eseguire vCenter Server. L’uso di unaccount di servizio consente l’autenticazione Windows in SQL Server, garantendo maggiore sicurezza.L’account di servizio deve appartenere a un amministratore nella macchina locale.
n Controllare la riassegnazione dei privilegi quando viene riavviato vCenter Server. Se non è possibileverificare la validità dell’utente o del gruppo di utenti a cui è assegnato il ruolo di amministratore nellacartella principale del server, i privilegi di amministratore verranno rimossi e assegnati al gruppo diamministratori locali Windows.
Concedere privilegi minimi agli utenti del database vCenter Server. Per gli utenti del database sononecessari solo alcuni privilegi specifici per l'accesso al database. In aggiunta, per l’installazione el’aggiornamento sono necessari solo alcuni privilegi. Questi potranno essere rimossi una volta installato oaggiornato il prodotto.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 35
Protezione dei layer virtualiIn aggiunta alla protezione dei layer fisici, che includono l’hardware, gli switch ecc., è necessario proteggerei layer virtuali. Proteggere le macchine virtuali, incluso il sistema operativo e il layer della rete virtuale.
Sicurezza e macchine virtualiLe macchine virtuali rappresentano i contenitori logici in cui vengono eseguite le applicazioni e i sistemioperativi guest. Per progettazione, tutte le macchine virtuali VMware risultano isolate tra loro. L’isolamentoconsente l’esecuzione sicura di più macchine virtuali mentre viene condiviso l’hardware, e garantisce lacapacità di accedere all’hardware e prestazioni senza interruzione.
Nemmeno un utente con privilegi da amministratore di sistema, presente in un sistema operativo guest dimacchina virtuale, potrà penetrare questo layer di isolamento per accedere a un’altra macchina virtuale serisulta privo di privilegi concessi esplicitamente dall’amministratore di sistema ESXi. Come conseguenzadell’isolamento della macchina virtuale, se si verifica un errore in un sistema operativo guest eseguito in unamacchina virtuale, le altre macchine virtuali presenti sullo stesso host continueranno ad essere eseguite. Gliutenti potranno sempre accedere ad altre macchine virtuali, le cui prestazioni verranno così garantite.
Ciascuna macchina virtuale viene isolata da altre macchine virtuali eseguite sullo stesso hardware. Anche sele macchine virtuali condividono risorse fisiche quali CPU, memoria e dispositivi di I/O, un sistemaoperativo guest su una macchina virtuale individuale potrà rilevare solo i dispositivi virtuali resi disponibili.
Figura 2‑9. Isolamento della macchina virtuale
CPU
ControllerSCSI
Memoria
Mouse
Disco
CD/DVD
Schede di retee video
Tastiera
Sistema operativo
Risorse della macchina virtuale
Macchina virtuale
Il VMkernel media tra le risorse fisiche. Tutto l’accesso all’hardware fisico avviene attraverso il VMkernel ele macchine virtuali non possono aggirare questo livello di isolamento.
Allo stesso modo in cui una macchina fisica comunica con le altre macchine in una rete attraverso unascheda di rete, una macchina virtuale comunica con altre macchine virtuali eseguite sullo stesso hostattraverso uno switch virtuale. Inoltre, una macchina virtuale comunica con la rete fisica, incluse le macchinevirtuali su altri host ESXi, attraverso una scheda di rete fisica.
Panoramica di vRealize Suite
36 VMware, Inc.
Figura 2‑10. Reti virtuali attraverso switch virtuali
Lo switch virtuale consente di collegare le macchine virtuali tra loro
Macchina virtuale
Schedadi retevirtuale
Macchina virtuale
ESXi
VMkernel
Layerdi retevirtuale
La scheda di rete hardware collega le
macchine virtuali allarete fisica
Rete fisica
Schedadi retevirtuale
L’isolamento della macchina virtuale influisce anche sulle reti virtuali.
n Se una macchina virtuale non condivide uno switch virtuale con qualsiasi altra macchina virtuale, vienecompletamente isolata dalle altre macchine virtuali all’interno dell’host.
n Se non viene configurata alcuna scheda di rete fisica per una data macchina virtuale, questa verràcompletamente isolata. Ciò include anche l’isolamento da qualsiasi rete fisica o virtuale.
n Le macchine virtuali sono sicure come le macchine fisiche se vengono protette dalla rete tramitefirewall, software antivirus ecc.
È possibile proteggere ulteriormente le macchine virtuali impostando prenotazioni e limiti delle risorsesull’host. Ad esempio, è possibile utilizzare l’allocazione delle risorse per configurare una macchina virtualein modo che riceva almeno il 10% delle risorse della CPU dell’host e mai più del 20%.
Le prenotazioni e i limiti delle risorse proteggono le macchine virtuali dalla diminuzione delle prestazioniche si potrebbe verificare se un’altra macchina virtuale consuma eccessive risorse hardware condivise. Adesempio, se una delle macchine virtuali di un host risulta inabilitata a causa di un attacco di tipo DoS(Denial of Service), un limite nelle risorse della macchina può impedire all’attacco di utilizzare una quantitàdi risorse hardware tale da influire anche su altre macchine virtuali. Allo stesso modo, una prenotazionedelle risorse su ciascuna delle macchine virtuali assicura che, nel caso di un’alta richiesta di risorse da partedella macchina virtuale destinazione dell’attacco DoS, tutte le altre macchine virtuali disporranno di risorsesufficienti per il funzionamento.
Per impostazione predefinita, ESXi impone una forma di prenotazione delle risorse applicando un algoritmodi distribuzione che suddivide le risorse host disponibili in modo equo tra le macchine virtuali, mantenendouna certa percentuale di risorse per l’uso da parte di altri componenti del sistema. Questo comportamentopredefinito offre un livello di protezione naturale da attacchi di tipo DoS e DDos (Distributed Denial ofService). Prenotazioni e limiti di risorse specifici vengono impostati su base individuale per personalizzare ilcomportamento predefinito, in modo da evitare una distribuzione uguale attraverso la configurazione dellamacchina virtuale.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 37
Reti virtuali e sicurezzaSe si effettua l’accesso a un host ESXi tramite vCenter Server, la protezione di vCenter Server avviene ingenere tramite firewall. Questo firewall fornisce una protezione di base per la rete.
Il firewall viene in genere posizionato in quello che viene considerato come il punto di ingresso al sistema. Èpossibile posizionare il firewall tra i client e vCenter Server. In alternativa, è possibile posizionare vCenterServer e i client dietro il firewall per la distribuzione.
Le reti configurate con vCenter Server possono ricevere comunicazioni tramite vSphere Client o client digestione di rete di terze parti. vCenter Server elenca i dati da host e client gestiti su porte dedicate. vCenterServer presuppone inoltre che gli host gestiti ascoltino i dati da vCenter Server su porte dedicate. Ènecessario che nei firewall tra ESXi, vCenter Server e altri componenti vSphere le porte siano aperte persupportare il trasferimento dati.
Si possono inoltre includere firewall in molti altri punti di accesso nella rete, a seconda della pianificazionedi utilizzo della rete stessa e del livello di sicurezza richiesto per i vari dispositivi. Selezionare le posizionidei firewall in base ai rischi per la sicurezza identificati per la configurazione di rete.
Utilizzo di VMware NSX per la protezione dei carichi di lavoroVMware NSX fornisce networking Software-Defined e servizi di sicurezza di networking virtuale confirewalling logico, switching logico e routing logico. I progettisti delle reti virtuali possono assemblarearbitrariamente questi servizi tramite programma in qualsiasi combinazione desiderata per realizzare retivirtuali isolate univoche. Questa tecnologia offre opzioni di sicurezza più dettagliate rispetto alle appliancehardware tradizionali. In ambienti virtuali, è possibile applicare questi servizi al livello di vNIC. I servizitradizionali vengono configurati sulla rete fisica.
Le funzionalità principali di VMware NSX sono descritte dettagliatamente nel documento Guida allaprogettazione per la virtualizzazione di rete di VMware NSX for vSphere (NSX). Le procedure perl'implementazione di queste funzionalità sono disponibili nella documentazione di VMware NSX forvSphere.
NSX è la piattaforma di sicurezza per la virtualizzazione di rete di VMware che è possibile utilizzare percostruire un ambiente di rete virtuale sicuro per il proprio Software-Defined Data Center. Utilizzare NSX percreare una rete virtualizzata sicura distribuendo e gestendo firewall, router e gateway Software-Defined e irispettivi criteri. Quando le VM sono indipendenti dalla piattaforma fisica sottostante e consentono ai tecniciIT di gestire gli host fisici come un pool di capacità di elaborazione, le reti virtuali sono indipendentidall'hardware di rete IP sottostante. I tecnici IT possono gestire la rete fisica come un pool di capacità ditrasporto che può essere occupata e riproposta su richiesta. Utilizzando NSX è possibile proteggere il trafficoedge verticale e il traffico orizzontale tra gli stack di reti e di elaborazione che devono conservare l'integritàdei dati. Ad esempio, i carichi provenienti da tenant differenti possono essere eseguiti in modo sicuro su retivirtuali isolate singole anche quando condividono la stessa rete fisica sottostante.
Funzionalità di NSXNSX offre un set completo di elementi di rete logici, protocolli di perimetro e servizi di sicurezza perorganizzare e gestire le reti virtuali. L'installazione di un plug-in di NSX in vCenter Server consente dicentralizzare il controllo per la creazione e la gestione dei componenti e dei servizi di NSX in tutto il datacenter.
Vedere la Guida all'amministrazione di NSX per le descrizioni delle funzionalità e capacità NSX.
Panoramica di vRealize Suite
38 VMware, Inc.
VMware NSX Edge
Fornisce routing verticale centralizzato tra le reti logiche distribuite in domini NSX e l'infrastruttura di retefisica esterna. NSX Edge supporta protocolli di routing dinamico come OSPF (Open Shortest Path First),iBGP (internal Border Gateway Protocol), eBGP (external Border Gateway Protocol) e può utilizzare ilrouting statico. La funzionalità di routing supporta i servizi stateful attivo-standby e routing ECMP (Equal-Cost Multipath). NSX Edge inoltre offre servizi edge standard quali NAT (Network Address Translation),bilanciamento del carico, VPN (Virtual Private Network) e servizi firewall.
Switching logico
Gli switch logici NSX consentono di implementare reti logiche L2 che applicano l'isolamento tra carichi dilavoro su reti logiche differenti. Gli switch distribuiti virtuali possono abbracciare più host ESXi in uncluster su una struttura L3 utilizzando la tecnologia VXLAN, con in più il vantaggio della gestionecentralizzata. È possibile controllare l'ambito dell'isolamento creando zone di trasporto con l'uso divCenter Server e assegnando switch logici alle zone di trasporto in base alle esigenze.
Routing distribuito
Il routing distribuito viene realizzato grazie a un elemento logico chiamato Distributed Logical Router(DLR). Il DLR è un router che connette direttamente le interfacce a tutti gli host in cui è richiesta connettivitàdi macchine virtuali. Gli switch logici sono connessi ai router logici per fornire connettività L3. La funzionedi supervisione, il control plane per controllare l'inoltro, viene importata da una macchina virtuale dicontrollo.
Firewalling logico
La piattaforma NSX supporta le seguenti funzioni essenziali per la protezione dei carichi di lavoromultilivello.
n Supporto nativo per la funzionalità di firewalling logico, che offre una protezione di tipo stateful deicarichi di lavoro multilivello.
n Supporto per servizi di sicurezza multi-fornitore e inserimento servizi, ad esempio scansione antivirus,per la protezione dei carichi di lavoro delle applicazioni.
La piattaforma NSX include un servizio firewall centralizzato fornito dai gateway di servizi di NSX Edge(ESG) e un firewall distribuito (DFW) abilitato nel kernel come pacchetto VIB su tutti gli host ESXi che fannoparte di un dato dominio NSX. Il DFW fornisce il firewalling con prestazioni di velocità di trasmissione"near-line", virtualizzazione, riconoscimento delle identità, monitoraggio delle attività, registrazione e altrefunzionalità di sicurezza native per la virtualizzazione della rete. È possibile configurare questi firewall perfiltrare il traffico al livello di vNIC per ogni macchina virtuale. Questa flessibilità è essenziale per lacreazione di reti virtuali isolate, persino per macchine virtuali singole se è richiesto un tale livello didettaglio.
Utilizzare vCenter Server per gestire le regole di firewall. La tabella delle regole è organizzata in sezioni,ognuna delle quali rappresenta un determinato criterio di protezione che può essere applicato a carichi dilavoro specifici.
Gruppi di sicurezza
NSX mette a disposizione criteri di raggruppamento che possono includere qualsiasi dei seguenti elementi.
n Oggetti vCenter Server come macchine virtuali, switch distribuiti e cluster
n Proprietà delle macchine virtuali quali vNIC, nomi delle macchine virtuali e sistemi operativi dellemacchine virtuali
n Oggetti NSX che includono switch logici, tag di sicurezza e router logici
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 39
I meccanismi di raggruppamento possono essere statici oppure dinamici, e un gruppo di sicurezza puòessere composto da qualsiasi combinazione di oggetti, inclusa qualsiasi combinazione di oggetti vCenter,oggetti NSX, proprietà delle macchine virtuali, oggetti di Identity Manager come ad esempio gruppi diActive Directory. Un gruppo di sicurezza in NSX è basato su tutti i criteri statici e dinamici, insieme ai criteridi esclusione statici definiti da un utente. I gruppi dinamici crescono e si riducono man mano che membrientrano ed escono dal gruppo. Ad esempio, un gruppo dinamico può contenere tutte le macchine virtualiche iniziano con il nome web_. I gruppi di sicurezza hanno diverse caratteristiche utili.
n A un gruppo di sicurezza si possono assegnare più criteri di protezione.
n Un oggetto può appartenere a più gruppi di sicurezza contemporaneamente.
n I gruppi di sicurezza possono contenere altri gruppi di sicurezza.
Utilizzare NSX Service Composer per creare i gruppi di sicurezza e applicare i criteri. NSX ServiceComposer si occupa in tempo reale del provisioning e dell'assegnazione dei criteri del firewall e dei servizidi sicurezza alle applicazioni. I criteri vengono applicati alle nuove macchine virtuali quando questevengono aggiunte al gruppo.
Tag di sicurezza
È possibile applicare tag di sicurezza a qualsiasi macchina virtuale, aggiungendo contesto relativo al caricodi lavoro secondo necessità. I gruppi di sicurezza possono essere basati su tag di sicurezza. I tag di sicurezzaindicano diverse classificazioni comuni.
n Stato di sicurezza. Ad esempio, identificata vulnerabilità.
n Classificazione per reparto.
n Classificazione in base ai tipi di dati. Ad esempio dati PCI.
n Tipo di ambiente. Ad esempio, produzione o sviluppo.
n Geografia o posizione delle macchine virtuali.
Criteri di protezione
Le regole dei gruppi di criteri di protezione sono controlli di sicurezza che vengono applicati a un gruppo disicurezza creato nel data center. Con NSX è possibile creare sezioni in una tabella di regole di firewall. Lesezioni permettono di gestire e raggruppare meglio le regole di firewall. Un singolo criterio di protezionerappresenta una sezione in una tabella di regole di firewall. Il criterio conserva la sincronizzazione tra leregole contenute in una tabella di regole di firewall e le regole scritte attraverso il criterio di protezione,garantendo l'implementazione della coerenza. Quando vengono scritti criteri di protezione per determinateapplicazioni o carichi di lavoro, queste regole vengono organizzate in sezioni specifiche all'interno di unatabella di regole di firewall. A una singola applicazione si possono applicare più criteri di protezione.Quando si applicano più criteri di protezione, l'ordine delle sezioni determina la precedenzanell'applicazione delle regole.
Servizi VPN
NSX fornisce servizi VPN denominati VPN L2 e VPN L3. Creare un tunnel VPN L2 tra una coppia didispositivi NSX Edge distribuiti in siti di data center separati. Creare una VPN L3 per fornire connettività L3sicura alla rete del data center da posizioni remote.
Controllo degli accessi basato sui ruoli
NSX dispone di ruoli utente incorporati che regolano l'accesso alle risorse di computer o reti all'interno diun'azienda. Gli utenti possono avere un solo ruolo.
Panoramica di vRealize Suite
40 VMware, Inc.
Tavola 2‑7. Ruoli utente di NSX Manager
Ruolo Autorizzazioni
Amministratore enterprise Operazioni e sicurezza di NSX.
Amministratore NSX Solo operazioni di NSX. Ad esempio installazione diappliance virtuali, configurazione dei gruppi di porte.
Amministratore sicurezza Solo sicurezza di NSX. Ad esempio definizione dei criteridi protezione dei dati, creazione di gruppi di porte,creazione di report per moduli di NSX.
Auditor Sola lettura.
Integrazione partner
I servizi forniti dai partner tecnologici di VMware si integrano nella piattaforma NSX all'interno dellefunzioni di gestione, controllo e dati per offrire un'esperienza utente unificata e una totale integrazione conqualsiasi piattaforma di gestione cloud. Per ulteriori informazioni, consultare il documento all'indirizzo: https://www.vmware.com/products/nsx/technology-partners#security.
Concetti di NSXGli amministratori SDDC configurano le funzioni di NSX per fornire isolamento e segmentazione di rete neldata center.
Isolamento di rete
L’isolamento rappresenta il fondamento della maggior parte della sicurezza di rete, sia per quanto riguardala conformità, il contenimento o l’isolamento degli ambienti di sviluppo, test e produzione. In genere, ACL,regole dei firewall e criteri di routing vengono utilizzati per stabilire e rafforzare isolamento e multi-tenancy.Con la virtualizzazione della rete, viene fornito un supporto specifico per queste proprietà. Grazie allatecnologia VXLAN, le reti virtuali vengono isolate da altre reti virtuali e dall’infrastruttura fisica sottostantein modo predefinito, garantendo il principio di sicurezza del privilegio minore. Le reti virtuali vengonocreate in isolamento e rimangono isolate a meno che non vengano connesse in modo esplicito. Non èrichiesta alcuna regola di subnet, VLAN, ACL o firewall fisico per abilitare l’isolamento.
Segmentazione di rete
La segmentazione di rete si riferisce all’isolamento, ma viene applicata in una rete virtuale multilivello. Ingenere, la segmentazione di rete è una funzione di un firewall o router fisico, progettata per consentire oimpedire il traffico tra segmenti o livelli di rete. Quando il traffico viene segmentato tra livelli Web, diapplicazione e di database, i processi di configurazione tradizionali richiedono molto tempo e sono a rischiodi errore umano, comportando una grossa percentuale di violazioni della sicurezza. L’implementazionerichiede competenza nella sintassi di configurazione dei dispositivi, negli indirizzi di rete e nei protocolli eporte delle applicazioni.
La virtualizzazione della rete semplifica la creazione e la verifica delle configurazioni dei servizi di rete perprodurre configurazioni comprovate che possono essere distribuite e duplicate in modo programmaticoattraverso la rete per eseguire la segmentazione. La segmentazione della rete, come l’isolamento,rappresenta una funzionalità di base della virtualizzazione della rete di NSX.
Microsegmentazione
La microsegmentazione isola il traffico a livello di vNIC utilizzando router e firewall di rete. Il controllodegli accessi applicato a livello di vNIC garantisce una maggiore efficienza rispetto alle regole applicatesulla rete fisica. È possibile utilizzare la microsegmentazione con un firewall distribuito NSX e un firewalldistribuito di implementazione per implementare la microsegmentazione per un’applicazione a tre livelli, adesempio, server Web, server delle applicazioni e database, dove più organizzazioni possono condividere lastessa topologia di rete logica.
Capitolo 2 Panoramica sull'architettura di vRealize Suite
VMware, Inc. 41
Modello zero-trust
Per ottenere impostazioni di sicurezza più rigorose, è possibile applicare un modello zero-trust in fase diconfigurazione dei criteri di sicurezza. Il modello zero-trust impedisce l'accesso a risorse e carichi di lavoro ameno che ciò non venga permesso in modo specifico da un criterio. In questo modello, per consentire iltraffico è necessario inserirlo in una white list. Assicurarsi di consentire il traffico di infrastruttura essenziale.Per impostazione predefinita, la gestione di NSX, i controller di NSX e i gateway di servizio di NSX Edgevengono esclusi dalle funzioni firewall distribuite. I sistemi vCenter Server non vengono esclusi e devonoessere esplicitamente consentiti per impedire il blocco prima di applicare tale criterio.
Protezione dei carichi di lavoro del cluster di gestione e del tenantGli amministratori SDDC possono utilizzare le funzionalità NSX per isolare e proteggere i carichi di lavorodel cluster e del tenant di vRealize Suite nel data center.
Il cluster di gestione include il sistema vCenter Server per il dominio, NSX Manager, i prodotti divRealize Suite e altri prodotti e componenti di gestione. Utilizzare il protocollo TLS (Transport LayerSecurity) e l’autenticazione per proteggere questi sistemi da accessi non autorizzati. Utilizzare lefunzionalità NSX per rafforzare l’isolamento e la segmentazione dei sistemi di reti virtuali del cluster digestione dai sistemi e cluster del carico di lavoro e del cluster edge. Consentire un accesso appropriato alleporte del sistema di gestione richieste, come descritto nei documenti di installazione e configurazione per isistemi di gestione distribuiti.
I carichi di lavoro del tenant nel data center possono essere implementati come applicazioni su tre livelli checonsistono di server Web, applicazioni e database. Utilizzare il protocollo TLS e l’autenticazione perproteggere questi sistemi da accessi non autorizzati. Utilizzare servizi di sicurezza forniti quali stringhe diconnessione al database per proteggere le connessioni e il protocollo SSH per proteggere l'accesso all’host.Quando possibile, applicare le funzionalità NSX a livello vNic per isolare e microsegmentare tra loro icarichi di lavoro del tenant.
Per maggiori informazioni sugli usi delle funzionalità NSX, vedere Guida alla progettazione per lavirtualizzazione di rete di VMware NSX for vSphere (NSX). Per le procedure su come configurare lefunzionalità di NSX, vedere la documentazione relativa a VMware NSX for vSphere.
Panoramica di vRealize Suite
42 VMware, Inc.
Elenco di controllo per l'installazionedi vRealize Suite 3
È possibile scaricare, installare e configurare i prodotti vRealize Suite separatamente in un ordine specifico. Iprodotti individuali presenti in vRealize Suite vengono forniti come pacchetti di installazione per macchinebasate su Windows o Linux, oppure come appliance virtuali che è possibile distribuire su macchine virtualieseguite su host ESXi. I prodotti installabili dipendono dalla propria edizione di vRealize Suite.
Per assicurare l'interoperabilità, verificare che i propri prodotti vRealize Suite rappresentino le versionicorrette. Per ulteriori informazioni sulla compatibilità certificata VMware, vedere Guide alla compatibilitàVMware.
Figura 3‑1. Flusso di distribuzione per vRealize Suite
Installare vRealize Infrastructure Navigator.
Si sta utilizzando vRealize Suite
versione Standard?
Sì
No
Installare vRealize Business Cloud.
Installare vRealize Automation.
Installare vRealize Log Insight.
Installare vRealize Operations Manager.
VMware, Inc. 43
Tavola 3‑1. Elenco di controllo per l'installazione di vRealize Suite
Prodotti vRealize Suite Ulteriori informazioni
Installare vRealize Operations Manager come appliancevirtuale oppure su un server Windows o Linux.
Vedere la documentazione di installazione per la propriaversione di vRealize Operations Manager.n Installazione di vRealize Operations Manager 6.6n Installazione di vRealize Operations Manager 6.5n Installazione di vRealize Operations Manager 6.4n Installazione di vRealize Operations Manager 6.3n Installazione di vRealize Operations Manager 6.2
Installare vRealize Log Insight come appliance virtuale. Vedere la documentazione di installazione per la propriaversione di vRealize Log Insight.n Installazione di vRealize Log Insight 4.5n Installazione di vRealize Log Insight 4.3n Guida introduttiva a VMware vRealize Log Insight 4.0n Guida introduttiva a VMware vRealize Log Insight 3.6n Guida introduttiva a VMware vRealize Log Insight
3.3.1
Installare vRealize Infrastructure Navigator comeappliance virtuale.
Vedere Guida all'installazione e alla configurazione divRealize Infrastructure Navigator.
Se si è acquistato vRealize Suite edizione Advanced oEnterprise, installare vRealize Automation. Viene installataun'appliance vRealize Automation che fornisce capacità diamministrazione e self-service, e un server WindowsInfrastructure as a Service (IaaS) che supporta capacità diinfrastruttura tra vari prodotti.
1 Pianificare la propria installazione. Vedere ladocumentazione dell'architettura di riferimento per lapropria versione di vRealize Automation.n Architettura di riferimento di vRealize Automation
7.3n Architettura di riferimento di vRealize Automation
7.2n Architettura di riferimento di vRealize Automation
7.1n Architettura di riferimento di vRealize Automation
7.0.12 Installare vRealize Automation. Vedere la
documentazione di installazione per la propriaversione di vRealize Automation.n Installazione di vRealize Automation 7.3n Installazione o aggiornamento di vRealize
Automation 7.2n Installazione o aggiornamento di vRealize
Automation 7.1n Installazione o aggiornamento di vRealize
Automation 7.0.1
Installare vRealize Business for Cloud come appliancevirtuale.
Vedere la documentazione di installazione per la propriaversione di vRealize Business for Cloud.n Installazione e amministrazione di vRealize Business
for Cloud 7.3n Installazione e amministrazione di vRealize Business
for Cloud 7.2n Guida di installazione di vRealize Business for Cloud
7.1n Guida di installazione di vRealize Business for Cloud
7.0.1
Panoramica di vRealize Suite
44 VMware, Inc.
Aggiornamento da versioni menorecenti di vRealize Suite o vCloudSuite 4
È possibile effettuare l'aggiornamento di vRealize Suite da vCloud Suite o da una versione meno recente divRealize Suite, effettuando l’aggiornamento dei prodotti individuali alle versioni correnti. Seguire l’ordine diaggiornamento consigliato per assicurarsi che gli aggiornamenti di vRealize Suite vengano eseguiti senzaproblemi.
Nota: I clienti con licenze di vCloud Suite e servizi di abbonamento e supporto attivi hanno diritto a tutti inuovi prodotti in vRealize Suite 7.0 e vCloud Suite 7.0.
Prima di effettuare l’aggiornamento, vedere la matrice di compatibilità dei prodotti VMware per ciascunprodotto da aggiornare per assicurarsi di disporre delle versioni di prodotto supportate e compatibili.Vedere il sito Web relativo alle matrici di compatibilità dei prodotti VMware.
Tavola 4‑1. Aggiornamento dei prodotti di vRealize Suite
Prodotto Ulteriori informazioni
VMware vRealize Operations Manager È possibile eseguire la migrazione dei dati da vCenterOperations Manager a una nuova installazione diVMware vRealize Operations Manager. Vedere Migrazionedi una distribuzione di vCenter Operations Manager aquesta versione.
vRealize Infrastructure Navigator Aggiornamento di vCenter Infrastructure Navigator
vRealize Log Insight Aggiornamento di vRealize Log Insight
vRealize Automation Aggiornamento di vRealize Automation
vRealize Business for Cloud Aggiornamento a vRealize Business for Cloud
VMware, Inc. 45
Panoramica di vRealize Suite
46 VMware, Inc.
Indice
Aaggiornamenti di prodotto, Componenti di
vRealize Suite 45amministrazione dello storage 23Architettura di vRealize Suite 15autenticazione 29autorizzazione 29
Bbusiness continuity 15
Ccluster di edge 17cluster di gestione 17cluster di payload 17codifica e certificati di sicurezza 32Componenti di vRealize Suite, aggiornamento
dei prodotti 45considerazioni sulla progettazione 21considerazioni sulla sicurezza 28controllo degli accessi basato sui ruoli 38criterio di protezione 38
Ddestinatari 5documentazione di sicurezza 28
Eedizioni, vRealize Suite 9ESXi e le interfacce di gestione ESX 34
Ffirewall 38firewalling logico 38
Ggestione dei servizi 15gestione delle identità federate 30gestione delle licenze, vRealize Suite 12Gestione SDDC 24glossario 5gruppi di sicurezza 38
IIaaS 26
informazioni aggiornate 7Infrastructure as a Service (IaaS) 26Infrastruttura di SDDC 20installazione, panoramica della distribuzione di
vRealize Suite 43isolamento, macchine virtuali 36isolamento di rete 41, 42
Llayer dell'infrastruttura virtuale 15layer di gestione del cloud 15Layer di orchestrazione 24layer fisico 15limiti e garanzie delle risorse, sicurezza 36
Mmacchine virtuali
prenotazioni e limiti delle risorse 36sicurezza 36
micro-segmentazione 41, 42Modalità blocco dell’host ESXi 34Monitoraggio 26
NNSX 38
PPaaS 27panoramica della distribuzione, vRealize
Suite 43Platform-as-a-Service 27PLU, vedere Unità con licenza portabileporte di switch standard 33prodotti del cluster di gestione 19prodotti, vRealize Suite 10progettazione concettuale 17progettazione di ESXi 21progettazione logica 19
Rrete 22rete privata virtuale 38reti virtuali 38routing distribuito 38
VMware, Inc. 47
SSAML 30segmentazione 41, 42servizi comuni 29servizi di networking virtuale 38sicurezza
garanzie e limiti delle risorse 36layer 36layer fisico 33macchine virtuali 36
Sicurezza dello storage iSCSI 34Single Sign-On 30Sistemi vCenter Server 35Software-Defined Data Center 15Software-Defined Data Center (SDDC) 15storage condiviso 23Storage iSCSI 34switching logico 38
Ttag di sicurezza 38
UUnità con licenza portabile 12
VvCenter Server e la protezione 35vCenter Single Sign-On 29virtualizzazione e gestione in SDDC 21vRealize Suite
gestione licenze 12panoramica della distribuzione 43
vRealize Suite, edizioni 9vRealize Suite, prodotti 10
Wworkflow 24
Panoramica di vRealize Suite
48 VMware, Inc.
