Your Way To Virtualization

KMS : Configuration KeyControl

Cet article décrit les étapes de Configuration KeyControl en tant cluster Key Management Server (KMS) de deux nœuds.

Configuration de la première Appliance KeyControl

  1. Lancez votre navigateur Web et accédez à l’adresse IP ou au nom de domaine complet (FQDN) de l’appliance KeyControl, puis utilisez les informations d’identifications suivantes pour vous connecter :
    • Nom d’utilisateur : secroot
    • Mot de passe : secroot
Ecran de connexion KeyControl
ECRAN DE CONNEXION KEYCONTROL
  1. Une fois connecté, lisez et acceptez la licence en cliquant sur J’accepte.
Licence KeyControl
Licence
  1. Puisqu’il s’agit du premier nœud KeyControl, cliquez sur Continue as a Standalone Node.
Bienvenue sur KeyControl
BIENVENUE SUR L’ÉCRAN KEYCONTROL
  1. Entrez un nouveau mot de passe pour le compte secroot, en veillant à suivre les règles de complexité du mot de passe, puis cliquez sur Update Password.
Mot de passe KeyControl
CHANGER LE MOT DE PASSE
  1. Configurez les paramètres de votre adresse e-mail et de votre serveur de messagerie.

Je vous déconseille de désactiver les notifications par e-mail.

Mail Server Configuration KeyControl
EMAIL ET DE SERVEUR DE MESSAGERIE
  1. Il s’agit d’une étape cruciale, veuillez télécharger et conserver la clé dans un endroit sûr et mémorable

Je tiens à souligner que si vous souhaitez effectuer une récupération de l’appliance, vous devez disposer de cette clé, sinon, comme l’indique le texte, vous risquez de perdre vos données (clés de cryptage).

Key Admin KeyControl
Key Admin
  1.  Cliquez sur Continue pour Vitals Reporting.
Vitals Reporting KeyControl
Vitals Reporting

Félicitations ?, vous avez terminé avec succès la configuration du premier nœud du cluster.

KeyControl Web

Deuxième Appliance KeyControl

  1. Lancez un navigateur Web et accédez à l’adresse IP ou au nom de domaine complet (FQDN) du deuxième Appliance, puis utilisez le même compte pour vous connecter :
    • Nom d’utilisateur : secroot
    • Mot de passe : secroot
  1. Une fois connecté, lisez et acceptez la licence en cliquant sur J’accepte.
  1. Cliquez sur Join an Existing Cluster.
Bienvenue KeyControl
Join an Existing Cluster
  1. Vérifiez les informations et cliquez sur Continue.
Get Started
  1. Cliquez sur Generate and Download CSR, puis sur Continue
Download CSR
GÉNÉRER ET TÉLÉCHARGER CSR
  1. A cette étape, vous devez ouvrir une nouvelle fenêtre de navigateur et vous connecter au premier nœud KeyControl.

NB: Ne cliquez pas sur le bouton Continuer sur cet écran ! (laisser cette fenêtre ouverte)

Join Existing Cluster KeyControl
AJOUT NŒUD
  1. Une fois connecté au premier nœud KeyControl, cliquez sur Cluster dans le menu du haut.

Ensuite, cliquez sur Actions et sélectionnez Add a Node.

Ajout Node
AJOUT NŒUD
  1. Cliquez sur le bouton Load File et sélectionnez le fichier .csr de l’étape 5.

Ensuite, saisissez une Passphrase d’au moins 12 caractères.

Cliquez sur Save and Download Bundle, un fichier zip sera télécharger dans votre ordinateur.

Le fichier zip contient à la fois un certificat SSL crypté au format .p12 et un certificat CA au format .pem.

Charger la CSR
CHARGER LA CSR
  1. Cliquez sur OK et revenez à la fenêtre du navigateur du deuxième nœud, que nous avons déjà laissée ouverte (étape 6).
Basculer vers le premier nœud
BASCULER VERS LE PREMIER NŒUD
  1. Maintenant, vous pouvez cliquer sur le bouton Continuer sur cet écran.
CLIQUEZ SUR CONTINUER
  1. sélectionnez le certificat SSL et le certificat CA et cliquez sur le bouton Upload File, puis saisissez la Passphrase que vous avez créée à l’étape 9.

Cliquez sur Join.

Télécharger des certificats
TÉLÉCHARGER DES CERTIFICATS
  1. Le processus de jointure affichera les étapes nécessaires pour joindre le nœud au cluster et le deuxième nœud sera redémarré.
Progression de l'adhésion au cluster
PROGRESSION DE L’ADHÉSION AU CLUSTER
  1. Une fois que le nœud a redémarré avec succès, cliquez sur le bouton Login et connectez-vous au nœud via le compte secroot (que vous avez défini lors de la configuration du premier nœud KeyControl).
Ajout de nœud réussi
AJOUT DE NŒUD RÉUSSI
Entrust KeyControl
Page d’authentification

Une fois connecté au deuxième nœud, vous remarquerez que le menu Cluster affiche deux nœuds.

Confirmer l'état du nœud
CLUSTER KMS à 2 Nœuds
Cluster KMS à 2 nœuds
CLUSTER KMS à 2 Nœuds

Félicitations? ??, vous avez configuré avec succès un cluster KeyControl KMS à 2 nœuds.

Si vous êtes arrivé jusqu’ici, vous méritez un cadeau ?.

Votre cadeau est cette vidéo qui résume toutes les étapes d’installation et de configuration ?

YouTube player
Entrust KeyControl – Déploiement d’un cluster KMS à 2 nœuds

Articles Liés ? :

Key Management Server : Installation KeyControl

Découvrez comment déployer un serveur de gestion de clés (KMS) HyTrust KeyControl v5.2.1 à 2 nœuds pour chiffrer les données sensibles dans les machines virtuelles.

Pour commencer, voici ce dont vous aurez besoin pour suivre les étapes de cet article :

  • KeyControl OVA.
  • vCenter Server et ESXi hébergent au moins la version 6.5 ou supérieure.
  • Ressources : 2 vCPU, 8 Go de RAM et 60 Go de disque par appliance KeyControl.
  • Informations réseau : adresses IP (une adresse par VM KeyControl)

Pour informations : Entrust a annoncé le 14 janvier 2021 l’acquisition de Hytrust, en conséquence le nom commercial du produit a été changé de [HyTrust KeyControl] à [Entrust KeyControl].

Déploiement de la première Appliance Entrust KeyControl

  1. Connectez-vous à vCenter Server, une fois connecté, faites un clic droit et sélectionnez Déployer un modèle OVF
KeyControl : Déployer un modèle OVF
DEPLOY OVF TEMPLATE
  1. Cliquez sur choisir des fichiers (UPLOAD FILES) et accédez au répertoire dans lequel vous avez placé HyTrust KeyControl OVA, sélectionnez-le, puis cliquez sur Ouvrir.
UPLOAD FILES
UPLOAD FILES
  1. Maintenant que vous avez sélectionné HyTrust KeyControl OVA, cliquez sur Suivant.
KeyControl : SELECT OVF TEMPLATE
SELECT OVF TEMPLATE
  1. Donnez un nom à l’appliance HyTrust KeyControl, sélectionnez un emplacement de déploiement, puis cliquez sur Suivant.
KeyControl : VM NAME
VM & FOLDER
  1. Sélectionnez le cluster ou l’hôte vSphere, puis cliquez sur Suivant.
RESSOURCE DE CALCUL
SÉLECTIONNEZ UNE RESSOURCE DE CALCUL
  1. Vérifiez les détails, puis cliquez sur Suivant.
REVIEW DETAILS
DETAILS
  1. Acceptez le contrat de licence, puis cliquez sur Suivant.
KeyControl : LICENCE
LICENCE
  1. Sélectionnez la configuration appropriée dans la liste, puis cliquez sur Suivant.
KeyControl : SIZE
CONFIGURATION
  1. Sélectionnez le stockage et le format de disque appropriés pour l’appliance, puis cliquez sur Suivant.

STOCKAGE
SÉLECTIONNEZ LE STOCKAGE
  1. Définir le réseau approprié, puis cliquez sur Suivant.
NETWORK
RÉSEAU
  1. Fournissez les informations requises, puis cliquez sur Suivant.
PROPRIETES PERSONNALISEES
  1. Passez en revue l’écran de résumé. Si tout est correct, cliquez sur Terminer.
KeyControl : PARAMETRES
EXAMINER LES PARAMÈTRES

Vous avez déployé avec succès le premier nœud HyTrust KeyControl.

Déploiement de la deuxième Appliance

Reprenez les mêmes étapes et déployez une deuxième appliance virtuelle.

Je vous recommande fortement de déployer deux Appliances KeyControl.

Car une fois que vous commencez à chiffrer les machines virtuelles, vous devez garantir la haute disponibilité de ce service critique.

Le service fourni par le cluster KMS est aussi critique que les services fondamentaux de votre infrastructure, tels que AD et DNS.

NB: dans un autre article, je vous explique comment configurer les deux appliances virtuelles dans un cluster HA.

KeyControl System Menu Tasks

Après avoir déployé les des Appliances, nous passons à la configuration du Systsem Menu Tasks.

  1. Démarrer la machine virtuelle hébergent l’appliance HyTrust KeyControl nouvellement déployée.
  2. Ouvrer VMware Remote Console.
  3. Définir le mot de passe du compte htadmin sur l’appliance.

REMARQUE : ce mot de passe contrôle l’accès à la console du système HyTrust KeyControl, permettant aux utilisateurs d’effectuer certaines tâches d’administration privilégiées.

Après avoir appuyé sur OK, la mise en réseau et les autres sous-systèmes sont configurés.

KeyControl : System Menu Tasks
MOT DE PASSE HTADMIN
  1. Une fois la configuration terminée, veuillez noter l’adresse IP de gestion car vous en aurez besoin pour se connecter via le navigateur.
System Menu Tasks Completed
CONFIGURATION TERMINÉE

Articles Liés ? :

Etat VMware Tools

La vérification de l’Etat VMware Tools est essentiel pour voir si la version à jour de VMware Tools est installée et s’il s’exécute sur vos machines virtuelles.

Cela vous permet de surveiller l’état de conformité et de remédier aux écarts.

Vous devez d’abord déterminer les machines virtuelles :

  • Sans VMware Tools.
  • Avec une version VMware Tools obsolète.

Le moyen le plus simple de vérifier si une machine virtuelle n’est pas conforme est de la visualiser via le client vSphere.

Cela vous montrera des détails tels que la version et la conformité.

VM sans VMware Tools
Cas1 : VM sans VMware Tools (non installé)
Cas2 : VM avec VMware Tools non à jour/obsolète

Pour plus d’efficacité et moins de charge de travail, parlons automatisation.

Je vais vous montrer comment vérifier l’Etat VMware Tools de manière automatisée à l’échelle d’une plateforme VMware via deux commandes à l’aide de PowerCLI.

  • Liste des VMs avec VMware Tools obsolètes

Get-Datacenter -name « DC NAME » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like « guestToolsNeedUpgrade »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Sort-Object Name

  • Liste des VMs sans VMware Tools (non installé)

Get-Datacenter -name « DC NAME » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like « guestToolsNotInstalled »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Sort-Object Name

Articles Liés :

Invalid server certificate – VMware PowerCLI

Parfois, lorsque vous essayez de vous connecter à VMware vCenter ou ESXi à l’aide de PowerCli, vous rencontrez un problème de certificat : Invalid server certificate

Invalid server certificate

Votre certificat n’est pas valide et c’est exactement la cause de ce message d’erreur « Invalid server certificate« .

La bonne approche pour résoudre ce problème consiste à remplacer le certificat vCenter/ESX par un certificat signé par une autorité de certification de confiance.

Mais si ce n’est pas possible pour vous !!

Vous pouvez résoudre ce problème en utilisant une solution de contournement.

Cela consiste à ignorer la vérification du certificat à l’aide de la commande suivante :

Set-PowerCLIConfiguration -InvalidCertificateAction Ignore -Confirm:$false

InvalidCertificateAction

Vous pouvez maintenant vous reconnecter au vCenter ou à l’ESXi sans l’erreur de certificat.

Connect-vIServer

Key Management Server

VMware Key Management Server a été introduit dans vSphere 6.5 et vSAN 6.6 pour améliorer la sécurité.

Un cluster Key Management Server (KMS) fournit les clés que vous pouvez utiliser pour chiffrer vos VMs et Banque de données vSAN.

Key Management Server

Pour activer le chiffrement sur votre plateforme VMware vSphere, vous devez configurer un cluster KMS pour prendre en charge le chiffrement.

Cette tâche comprend l’ajout et configuration du KMS au niveau de votre vCenter Server.

Cela permet d’obtenir les clés nécessaires pour chiffrer et déchiffrer les machines virtuelles à l’aide du protocole KMIP.

Donc, KMS doit prendre en charge le protocole KMIP (Key Management Interoperability Protocol).

vCenter Server établit une connexion au serveur KMS pour obtenir les clés à attribuer aux hôtes ESXi en conservant uniquement la liste des ID de clé (NB: aucune clé n’est stockée dans vCenter Server).

Une fois le disque virtuel [*.VMDK] chiffré, seule la machine virtuelle qui gère le disque possède la clé utilisée pour le chiffrement et déchiffrement.

Ainsi, si vous essayez d’accéder au VMDK crypté à partir d’une VM non autorisée, vous n’obtenez que des données illisibles.

YouTube player

VMware Tools

VMware Tools est un composant essentiel de votre infrastructure virtuelle, c’est un ensemble de services et de modules qui activent plusieurs fonctionnalités dans les produits VMware pour une meilleure gestion des systèmes d’exploitation et des interactions utilisateur.

Il fournit des pilotes pour les périphériques virtuels, des composants de sécurité et des fonctionnalités telles que les quiesced snapshots.

VMware Tools

VMware Tools peut :

  • Transmettre les instructions de l’hyperviseur au système d’exploitation invité.
  • Exécuter des scripts qui aident à automatiser les opérations du système d’exploitation
  • Synchroniser l’heure du système d’exploitation avec celle du noeud physique (Hyperviseur ESXi).


Lifecycle Management offre une approche simplifiée et évolutive de l’installation et de la mise à niveau de VMware Tools.

Bien qu’un système d’exploitation puisse s’exécuter au niveau d’une plateforme VMware sans VMTools, vous devez toujours vous assurer que vous exécutez la dernière version pour accéder aux dernières fonctionnalités et mises à jour.

Storage Performance Tester

Storage Performance Tester est un outil de test des performances de stockage, capable de collecter les IOPS, la latence et les cycles CPU par I/O pour la pile de stockage ESXi.

Cet outil automatise toutes les étapes de test, y compris :

  • Le déploiement de VM de test
  • L’exécution de la charge de travail des I/O
  • L’analyse des performances de stockage

Il affiche également les mesures de performance à travers des graphes.

La seule chose que les utilisateurs doivent faire est de saisir une commande et d’attendre le rapport de performances.

Storage Performance Tester est conçu pour être un outil convivial pour les développeurs qui aide à dépanner et à identifier les problèmes de performances de stockage.

Il pourrait être utilisé aussi pour valider les performances maximales des nouveaux matériels/pilotes de stockage et des configurations de vSphere/vSAN.

Téléchargement

L’outil est disponible au téléchargement via : URL

Les candidatures vExpert 2021 sont ouvertes

Les candidatures pour VMware vExpert 2021 sont ouvertes.

Ne manquez pas cette opportunité, assurez-vous de postuler avant le 9 janvier 2021.

Postuler pour vExpert 2021

VMarena vExpert 2021 Applications are Open

Le programme vExpert vise à promouvoir et à encourager le partage des connaissances avec la communauté.

Le programme n’est pas axé sur les certifications ou vos connaissances techniques, VMware recherche des technologues qui bloguent, préconisent VMware publiquement ou au sein des entreprises, donnent des conférences, écrivent des livres, partagent des scripts ou tout ce qui est directement lié au développement de la communauté VMware.

Voici une liste de certains des avantages d’être un vExpert :

  • Faites partie d’un réseau de plus de 2000 vExperts
  • Approfondir les connaissances sur VMware et les technologies des partenaires
  • Possibilité de postuler aux sous-programmes vExpert BU Lead
  • Accès direct aux VMware Business Units via les sous-programmes
  • Licences d’un an pour les labs à domicile pour presque tous les produits VMware et certains produits partenaires
  • Des sessions VMware privées et partenaires VMware
  • Cadeaux de VMware et de partenaires VMware
  • vExpert Celebration Parties à VMworld US et VMworld Europe avec le PDG de VMware, Pat Gelsinger
  • VMware Advocacy Platform Invite (partagez votre contenu avec des milliers d’employés vExperts et VMware qui amplifient votre contenu via leurs canaux sociaux)

vSAN 7.0 U1 : Nouveautés

Jetons un coup d’œil aux nouvelles fonctionnalités et améliorations du VMware vSAN 7.0 U1

HCI Mesh

Avec VMware vSAN HCI Mesh, les clusters vSAN peuvent essentiellement être rassemblés pour fournir une approche désagrégée des ressources de calcul et de stockage qui permet à plusieurs clusters de participer à une architecture inter-cluster.

Pour un cluster vSAN local surutilisé, vous avez désormais la possibilité de monter un stockage supplémentaire à partir d’un cluster vSAN distant disposant de stockage libre

Cela signifie que toute capacité vSAN peut être partagée avec un autre cluster vSAN.

Actuellement, les clients peuvent monter une banque de données vSAN du cluster vSAN A vers le cluster vSAN B, et vice versa.

Compression-only

Il s’agit d’un changement de VMware concernant la déduplication et la compression vSAN.

Cette nouvelle fonctionnalité est cruciale pour de nombreux clients qui souhaitent utiliser uniquement la compression sur leur cluster vSAN.

Aujourd’hui, les administrateurs vSAN peuvent choisir d’utiliser la compression uniquement sans avoir à utiliser la dédiplication.

Au niveau du cluster, l’interface utilisateur de vCenter Server présente désormais trois options:

  • None
  • Compression only
  • Deduplication and compression.
vSAN 7.0 U1 : Compression only

vSAN “Shared” Witness Appliance

Pour chaque cluster à 2 nœuds, une appliance témoin est nécessaire , cela signifie que si un client possède plusieurs clusters à 2 nœuds, il en aura plusieurs.

Avec cette nouvelle fonctionnalité, vSAN a changé le fonctionnement de l’appliance Witness.

Aujourd’hui, avec cette nouvelle appliance Shared Witness, les clients peuvent avoir jusqu’à 64 clusters à 2 nœuds avec un seul dShare Witness Appliance.

Cela réduira considérablement la quantité de CPU et de mémoire nécessaires à l’appliance Witness.

Améliorations du service de fichiers vSAN

Dans vSAN 7.0, VMware a démarré les services de fichiers, le service de fichiers vSAN natif inclut la prise en charge de :

  • Partages de Fichiers SMB
  • Microsoft Active Directory
  • Authentification Kerberos 

Il sera désormais possible de protéger tous vos dossiers partagés en fournissant des autorisations.

Augmentation de la capacité utile 

Les optimisations éliminent le besoin pour vSAN d’avoir 25 à 30% d’espace libre disponible pour les opérations internes et les reconstructions après une panne d’hôte. La quantité d’espace requise est une valeur déterministe basée sur des variables de déploiement, comme la taille du cluster et la densité des périphériques de stockage.

Ces modifications fournissent une capacité plus utilisable pour les charges de travail.

Aperçu des nouvelles fonctionnalités de vSAN 7.0 U1

vSphere 7.0 U1 : Nouveautés

Jetons un coup d’œil aux nouvelles fonctionnalités et améliorations du VMware vSphere 7.0 U1

vSphere Clustering Service (vCLS)

Le service de clustering vSphere (vCLS) permet d’utiliser les services de clustering et DRS sans avoir besoin de la disponibilité de vCenter Server pour ses opérations et ses configurations.

Cela signifie que même lorsque vSphere High Availability (HA) ou vCenter Server High Availability (VCHA) n’est pas disponible, vCLS fonctionnera toujours car il utilise ses propres agents VMs système.

Ces petits agents de VM fonctionneront comme un quorum de cluster :

  • Le nombre d’agents de VM système est de 3
  • Pour les clusters avec moins de 3 hôtes ESXi, les agents de VM sont égaux au nombre d’hôtes ESXi dans le cluster.

Même si vous supprimez ou mettez hors tension par erreur ces agents VM système, vCLS les recréera / rallumera automatiquement.

vSphere Lifecycle Manager (vLCM)

vLCM a été lancé avec 7.0, mais maintenant, en plus de la possibilité de mettre à jour ou de mettre à niveau les hôtes vSphere et vSAN, il est également possible de l’utiliser pour la configuration NSX.

NSX-T

La gestion des clusters et des nœuds NSX-T ne serait possible que dans les futures versions de NSX-T.

Il sera possible d’utiliser vLCM via NSX Manager et de gérer tous les aspects du cycle de vie de NSX-T.

Vous pourrez mettre à jour ou mettre à niveau votre NSX-T Cluster avec la remédiation de vos nœuds de cluster.

vSAN

Prise en compte de vSAN fault domains pour une mise à jour intelligente avec vLCM.

vLCM peut effectuer des mises à jour en respectant les zones de disponibilité tout au long du processus de cycle de vie des mises à jour.


vSphere Lifecycle Manager (vLCM) est conscient des topologies vSAN telles que les fault domains vSAN et de zone de disponibilité.

Certains des produits qui sont pris en charge lors de l’utilisation de vSphere Lifecycle Manager avec vSphere 7.0 U 1 :

  • Prise en charge de NSX-T (à partir des prochaines versions de NSX-T)
  • Prise en charge de vSAN
  • Intégration Firmware pour Lenovo ThinkAgile VX series

vSphere with Tanzu Kubernetes Grid (TKG)

vSphere with Tanzu a été introduit dans vSphere 7.0, mais maintenant la plus grande nouveauté avec TKG est que nous pouvons désormais l’utiliser dans vSphere sans avoir besoin d’utiliser le package VMware Cloud Foundation (comprenait vSphere, NSX-T et vRealize). 

Dans cette nouvelle version, il sera possible d’implémenter Kubernetes directement avec vSphere et d’utiliser les applications et les conteneurs.

Les administrateurs peuvent désormais utiliser leurs propres solutions :

  • Réseau (pas nécessairement NSX) en utilisant des vSwitches distribués pour fournir un réseau à Kubernetes.
  • Stockage (pas nécessairement vSAN ) à l’aide de vos banques de données vSphere.

Scalability : hosts et VMs

Avec cette nouvelle mise à jour, il sera possible d’avoir d’énormes VM avec 768 vCPU et 24 To de mémoire.

vSphere Cluster aura la possibilité d’avoir un maximum de 96 hôtes ESXi par cluster, il s’agit d’une augmentation de 50% par rapport à la capacité actuelle d’un cluster.

Remarque: cela concerne uniquement vSphere Cluster, pour vSAN, le maximum est toujours de 64 hôtes ESXi par cluster.

Les hôtes ESXi disposeront également d’un maximum de 24 Tb de mémoire physique, ces modifications sont disponibles uniquement avec le nouveau Virtual Hardware v18.

vSphere 7.0 U1 : vSphere Scalability

vCenter Connect

vCenter Connect vous permet de connecter votre vCenter à tous vos environnements vCenter on-premise, à distance et Cloud Partner (comme VMware sur AWS, sur Azure, IBM).

À partir d’un point de gestion central, les clients auront la possibilité de gérer l’ensemble de l’infrastructure VMware.

vSphere 7.0 U1 : vCenter Connect

Aperçu des nouvelles fonctionnalités de vSphere 7.0 U1

YouTube player

Badr Eddine CHAFIQ
En tant qu'Architecte et Expert Systèmes et Virtualisation, ce blog fait partie d'une approche de partage de connaissances «giving back» autour des technologies de virtualisation "en particulier VMware", Cloud et Hyper-convergence.Le but principal de ce blog est de partager les nouveautés, Tutoriels , conseils et apporter des solutions techniques.

Articles récents

Badr Eddine CHAFIQ