Cet article décrit les étapes de Configuration KeyControl en tant cluster Key Management Server (KMS) de deux nœuds.
Configuration de la première Appliance KeyControl
Lancez votre navigateur Web et accédez à l’adresse IP ou au nom de domaine complet (FQDN) de l’appliance KeyControl, puis utilisez les informations d’identifications suivantes pour vous connecter :
Nom d’utilisateur : secroot
Mot de passe : secroot
Une fois connecté, lisez et acceptez la licence en cliquant sur J’accepte.
Puisqu’il s’agit du premier nœud KeyControl, cliquez sur Continue as a Standalone Node.
Entrez un nouveau mot de passe pour le compte secroot, en veillant à suivre les règles de complexité du mot de passe, puis cliquez sur Update Password.
Configurez les paramètres de votre adresse e-mail et de votre serveur de messagerie.
Je vous déconseille de désactiver les notifications par e-mail.
Il s’agit d’une étape cruciale, veuillez télécharger et conserver la clé dans un endroit sûr et mémorable.
Je tiens à souligner que si vous souhaitez effectuer une récupération de l’appliance, vous devez disposer de cette clé, sinon, comme l’indique le texte, vous risquez de perdre vos données (clés de cryptage).
Cliquez sur Continue pour Vitals Reporting.
Félicitations ?, vous avez terminé avec succès la configuration du premier nœud du cluster.
Deuxième Appliance KeyControl
Lancez un navigateur Web et accédez à l’adresse IP ou au nom de domaine complet (FQDN) du deuxième Appliance, puis utilisez le même compte pour vous connecter :
Nom d’utilisateur : secroot
Mot de passe : secroot
Une fois connecté, lisez et acceptez la licence en cliquant sur J’accepte.
Cliquez sur Join an Existing Cluster.
Vérifiez les informations et cliquez sur Continue.
Cliquez sur Generate and Download CSR, puis sur Continue.
A cette étape, vous devez ouvrir une nouvelle fenêtre de navigateur et vous connecter au premier nœud KeyControl.
NB: Ne cliquez pas sur le bouton Continuer sur cet écran ! (laisser cette fenêtre ouverte)
Une fois connecté au premier nœud KeyControl, cliquez sur Cluster dans le menu du haut.
Ensuite, cliquez sur Actions et sélectionnez Add a Node.
Cliquez sur le bouton Load File et sélectionnez le fichier .csr de l’étape 5.
Ensuite, saisissez une Passphrase d’au moins 12 caractères.
Cliquez sur Save and Download Bundle, un fichier zip sera télécharger dans votre ordinateur.
Le fichier zip contient à la fois un certificat SSL crypté au format .p12 et un certificat CA au format .pem.
Cliquez sur OK et revenez à la fenêtre du navigateur du deuxième nœud, que nous avons déjà laissée ouverte (étape 6).
Maintenant, vous pouvez cliquer sur le bouton Continuer sur cet écran.
sélectionnez le certificat SSL et le certificat CA et cliquez sur le bouton Upload File, puis saisissez la Passphrase que vous avez créée à l’étape 9.
Cliquez sur Join.
Le processus de jointure affichera les étapes nécessaires pour joindre le nœud au cluster et le deuxième nœud sera redémarré.
Une fois que le nœud a redémarré avec succès, cliquez sur le bouton Login et connectez-vous au nœud via le compte secroot (que vous avez défini lors de la configuration du premier nœud KeyControl).
Une fois connecté au deuxième nœud, vous remarquerez que le menu Cluster affiche deux nœuds.
Félicitations? ??, vous avez configuré avec succès un cluster KeyControl KMS à 2 nœuds.
Si vous êtes arrivé jusqu’ici, vous méritez un cadeau ?.
Votre cadeau est cette vidéo qui résume toutes les étapes d’installation et de configuration ?
La vérification de l’Etat VMware Tools est essentiel pour voir si la version à jour de VMware Tools est installée et s’il s’exécute sur vos machines virtuelles.
Cela vous permet de surveiller l’état de conformité et de remédier aux écarts.
Vous devez d’abord déterminer les machines virtuelles :
Sans VMware Tools.
Avec une version VMware Tools obsolète.
Le moyen le plus simple de vérifier si une machine virtuelle n’est pas conforme est de la visualiser via le client vSphere.
Cela vous montrera des détails tels que la version et la conformité.
Pour plus d’efficacité et moins de charge de travail, parlons automatisation.
Je vais vous montrer comment vérifier l’Etat VMware Tools de manière automatisée à l’échelle d’une plateforme VMware via deux commandes à l’aide de PowerCLI.
Liste des VMs avec VMware Tools obsolètes
Get-Datacenter -name « DC NAME » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like « guestToolsNeedUpgrade »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Sort-Object Name
Liste des VMs sans VMware Tools (non installé)
Get-Datacenter -name « DC NAME » | Get-VM | % { get-view $_.id } |Where-Object {$_.Guest.ToolsVersionStatus -like « guestToolsNotInstalled »} |select name, @{Name=“ToolsVersion”; Expression={$_.config.tools.toolsversion}}, @{ Name=“ToolStatus”; Expression={$_.Guest.ToolsVersionStatus}}| Sort-Object Name
Parfois, lorsque vous essayez de vous connecter à VMware vCenter ou ESXi à l’aide de PowerCli, vous rencontrez un problème de certificat : Invalid server certificate
Votre certificat n’est pas valide et c’est exactement la cause de ce message d’erreur « Invalid server certificate« .
La bonne approche pour résoudre ce problème consiste à remplacer le certificat vCenter/ESX par un certificat signé par une autorité de certification de confiance.
Mais si ce n’est pas possible pour vous !!
Vous pouvez résoudre ce problème en utilisant une solution de contournement.
Cela consiste à ignorer la vérification du certificat à l’aide de la commande suivante :
VMware Key Management Server a été introduit dans vSphere 6.5 et vSAN 6.6 pour améliorer la sécurité.
Un cluster Key Management Server (KMS) fournit les clés que vous pouvez utiliser pour chiffrer vos VMs et Banque de données vSAN.
Pour activer le chiffrement sur votre plateforme VMware vSphere, vous devez configurer un cluster KMS pour prendre en charge le chiffrement.
Cette tâche comprend l’ajout et configuration du KMS au niveau de votre vCenter Server.
Cela permet d’obtenir les clés nécessaires pour chiffrer et déchiffrer les machines virtuelles à l’aide du protocole KMIP.
Donc, KMS doit prendre en charge le protocole KMIP (Key Management Interoperability Protocol).
vCenter Server établit une connexion au serveur KMS pour obtenir les clés à attribuer aux hôtes ESXi en conservant uniquement la liste des ID de clé (NB: aucune clé n’est stockée dans vCenter Server).
Une fois le disque virtuel [*.VMDK] chiffré, seule la machine virtuelle qui gère le disque possède la clé utilisée pour le chiffrement et déchiffrement.
Ainsi, si vous essayez d’accéder au VMDK crypté à partir d’une VM non autorisée, vous n’obtenez que des données illisibles.
VMware Tools est un composant essentiel de votre infrastructure virtuelle, c’est un ensemble de services et de modules qui activent plusieurs fonctionnalités dans les produits VMware pour une meilleure gestion des systèmes d’exploitation et des interactions utilisateur.
Il fournit des pilotes pour les périphériques virtuels, des composants de sécurité et des fonctionnalités telles que les quiesced snapshots.
VMware Tools peut :
Transmettre les instructions de l’hyperviseur au système d’exploitation invité.
Exécuter des scripts qui aident à automatiser les opérations du système d’exploitation
Synchroniser l’heure du système d’exploitation avec celle du noeud physique (Hyperviseur ESXi).
Lifecycle Management offre une approche simplifiée et évolutive de l’installation et de la mise à niveau de VMware Tools.
Bien qu’un système d’exploitation puisse s’exécuter au niveau d’une plateforme VMware sans VMTools, vous devez toujours vous assurer que vous exécutez la dernière version pour accéder aux dernières fonctionnalités et mises à jour.
Badr Eddine CHAFIQ
En tant qu'Architecte et Expert Systèmes et Virtualisation, ce blog fait partie d'une approche de partage de connaissances «giving back» autour des technologies de virtualisation "en particulier VMware", Cloud et Hyper-convergence.Le but principal de ce blog est de partager les nouveautés, Tutoriels , conseils et apporter des solutions techniques.