363n general de vrealize suite - vrealize suite 7 · vrealize infrastructure navigator proporciona...
TRANSCRIPT
Descripción general de vRealize SuitevRealize Suite 7.0
Descripción general de vRealize Suite
2 VMware, Inc.
Puede encontrar la documentación técnica más actualizada en el sitio web de WMware en:
https://docs.vmware.com/es/
En el sitio web de VMware también están disponibles las últimas actualizaciones del producto.
Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:
Copyright © 2017 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es
Contenido
Presentación de VMware vRealize Suite 5
Información actualizada 7
1 Introducción a vRealize Suite 9
Funciones de vRealize Suite 9Ediciones y productos de vRealize Suite 10Licencias de vRealize Suite 12
2 Descripción general de la arquitectura de vRealize Suite 15
Centro de datos definido por software 15Diseño conceptual de un entorno de vRealize Suite 17Productos de vRealize Suite en el clúster de administración 19Infraestructura base del SDDC 20
Virtualización y administración de la infraestructura de vRealize Suite 21Administrar la infraestructura base de vRealize Suite 24Supervisar la infraestructura base de vRealize Suite 26Proporcionar un servicio de infraestructura 26Proporcionar una plataforma como servicio 27
Consideraciones de seguridad de vRealize Suite 28Autenticación y autorización en vRealize Suite 29TLS y la protección de datos 32Asegurar la capa física 33Proteger las capas virtuales 36Uso de VMware NSX para asegurar las cargas de trabajo 38
3 Lista de comprobación para instalar vRealize Suite 43
4 Actualización de versiones anteriores de vRealize Suite o vCloud Suite 45
Índice 47
VMware, Inc. 3
Descripción general de vRealize Suite
4 VMware, Inc.
Presentación de VMware vRealize Suite
La Descripción general de VMware vRealize Suite proporciona una descripción general de la arquitectura einformación sobre la instalación, la configuración y el uso de vRealize Suite.
Para ayudarle a comenzar, la información de alto nivel sobre la instalación, la configuración y el uso lellevarán a los conjuntos dedicados de productos individuales con conceptos y procedimientos detallados.
Público objetivoEsta información está dedicada a todos los usuarios que deseen implementar y usar los productos devRealize Suite para supervisar y administrar un centro de datos definido por software (SDDC). Estainformación está destinada a los administradores de sistemas Windows o Linux con experiencia que esténfamiliarizados con la tecnología de máquinas virtuales y las operaciones de centros de datos.
Glosario de publicaciones técnicas de VMwareEl departamento de Publicaciones técnicas de VMware ofrece un glosario con términos que quizá usteddesconozca. Para consultar las definiciones de términos tal como se utilizan en la documentación técnica deVMware, visite http://www.vmware.com/es/support/pubs.
VMware, Inc. 5
Descripción general de vRealize Suite
6 VMware, Inc.
Información actualizada
La Descripción general de vRealize Suite se actualiza con cada versión del producto o cuando es necesario.
Esta tabla proporciona el historial de actualizaciones de la publicación Descripción general de vRealize Suite.
Revisión Descripción
001965-06 Actualización para añadir compatibilidad con vRealize Business for Cloud 7.3, vRealize Log Insight 4.5 yvRealize Operations Manager 6.6.
001965-05 Actualización para añadir compatibilidad con vRealize Automation 7.3, vRealize Log Insight 4.3 yvRealize Operations Manager 6.5.
001965-04 Actualizaciones menores de texto.
001965-03 Actualización para añadir compatibilidad con vRealize Automation 7.2, vRealize Business for Cloud 7.2,vRealize Log Insight 4.0 y vRealize Operations Management 6.4.
001965-02 Actualización para añadir compatibilidad con vRealize Automation 7.1, vRealize Business for Cloud 7.1,vRealize Log Insight 3.6 y vRealize Operations Management 6.3.
001965-01 Vínculos actualizados a la documentación de vRealize Business for Cloud.
001965-00 Primera edición
VMware, Inc. 7
Descripción general de vRealize Suite
8 VMware, Inc.
Introducción a vRealize Suite 1vRealize Suite proporciona una completa plataforma de administración de nube para la entrega, lasupervisión y la administración de aplicaciones en VMware vSphere® y otros hipervisores, incluidas lainfraestructura física y las nubes privadas y públicas. vRealize Suite está disponible en las edicionesestándar, avanzada y empresarial.
Este capítulo cubre los siguientes temas:
n “Funciones de vRealize Suite,” página 9
n “Ediciones y productos de vRealize Suite,” página 10
n “Licencias de vRealize Suite,” página 12
Funciones de vRealize SuiteLas operaciones inteligentes, TI automatizada, infraestructura como servicio (IaaS) y TI lista para DevOpsson los usos más comunes de una solución de administración de nube. Las operaciones inteligentes ayudana proporcionar operaciones de centros de datos automatizadas y optimizadas. La TI automatizada, IaaS y laTI lista para DevOps permiten la entrega de servicios de infraestructuras y aplicaciones.
Administración de operaciones inteligentesLas operaciones inteligentes abordan de manera proactiva el estado, el rendimiento y la administración de lacapacidad de los servicios de TI en entornos de nube heterogéneos e híbridos para mejorar el rendimiento yla disponibilidad del servicio de TI.
TI automatizada e IaaSTI automatizada e IaaS automatizan la entrega y la administración en curso de la infraestructura de TI parareducir el tiempo de respuesta de las solicitudes de recursos de TI y para mejorar la administración en cursode los recursos aprovisionados.
TI lista para DevOpsLa TI lista para DevOps ayuda a generar una solución de nube para los equipos de desarrollo que puedenproporcionar una pila de aplicaciones completa con estas funciones:
n Compatibilidad con la opción de desarrollador con la forma de acceso de la API y la GUI a los recursos.
n Aprovisionar recursos en una nube híbrida.
n Ampliar el ámbito de la solución abordando la entrega continua para acelerar más la entrega deaplicaciones.
VMware, Inc. 9
Ediciones y productos de vRealize SuitevRealize Suite está disponible en las ediciones estándar, avanzada y empresarial. Una edición devRealize Suite contiene productos individuales con diversas ediciones de productos y distintasfuncionalidades.
Las ediciones estándar, avanzada y empresarial de vRealize Suite proporcionan cada una un conjuntodistinto de características, que se describen en la tabla a continuación.
Tabla 1‑1. Funcionalidades de las ediciones de vRealize Suite
Producto devRealize Suite Funcionalidad de vRealize Suite
StandardEdition
AdvancedEdition
EnterpriseEdition
vRealize OperationsManager (incluyevRealize Log InsightyvRealizeInfrastructureNavigator)
Análisis de registro Sí Sí Sí
Plataforma de operaciones Sí Sí Sí
Visualización Sí Sí Sí
Administración de políticas Sí Sí Sí
Supervisión y análisis derendimiento
Sí Sí Sí
Administración de capacidad Sí Sí Sí
Equilibrio de cargas de trabajo Sí Sí Sí
Administración de cambios,configuraciones y cumplimiento
Sí Sí Sí
Asignación de dependencias deaplicaciones
Sí Sí Sí
Supervisión de aplicaciones Sí Sí
vRealize Business forCloud
Medición, definición de costos yasignación de precios automáticaspara la infraestructura virtual
Sí Sí Sí
Asignación automática de preciosdel catálogo de servicios, integradacon vRealize Automation
Sí Sí Sí
Análisis de consumo de lainfraestructura virtual
Sí Sí Sí
Conjunto de datos exportable quefacilita los informes automáticos
Sí Sí Sí
Comparación de costos entre lanube pública y la infraestructurade virtualización
Sí Sí Sí
Definición de costos, análisis deconsumo y asignación de preciosde la nube pública
No Sí Sí
Visibilidad completa y basada enfunciones de la infraestructuravirtual y la nube pública
No Sí Sí
Optimización del centro de datos,integrada convRealize Operations Manager
No Sí Sí
Cuantificación de oportunidadesde reclamación de lainfraestructura virtual, integradacon vRealize Operations Manager
No Sí Sí
Descripción general de vRealize Suite
10 VMware, Inc.
Tabla 1‑1. Funcionalidades de las ediciones de vRealize Suite (Continua)
Producto devRealize Suite Funcionalidad de vRealize Suite
StandardEdition
AdvancedEdition
EnterpriseEdition
Informes personalizados, gráficosvisuales y API para la extracciónautomática de datos
No Sí Sí
vRealize Automation Autoservicio con catálogounificado de servicios y funcionesde API
No Sí Sí
Soporte técnico para nube física,pública y virtual de variosproveedores
No Sí Sí
IaaS. Administración integral delciclo de vida en elaprovisionamiento de máquinas deuno o varios niveles
No Sí Sí
IaaS. Configuración de redes yseguridad
No Sí Sí
Todo como servicio (XaaS). Sistemade control de servicios de TIpersonalizados
No Sí Sí
XaaS. Se puede implementar comoelemento de catálogo u operaciónde día 2.
No Sí Sí
Autoría de aplicaciones. Autoría decomponentes de software yaprovisionamiento de pilas deaplicaciones
No No Sí
Autoría de aplicaciones. Scriptingde software dinámico y enlaces dedependencias
No No Sí
Autoría de aplicaciones.Configuración de redes yseguridad centrada en la aplicación
No No Sí
Productos vRealize SuiteVMware vRealize Suite incluye determinados productos o subconjuntos de productos, según la edición devRealize Suite que adquiera.
Tabla 1‑2. Productos incluidos con vRealize Suite
Nombre de producto Descripción
vRealize Operations Manager Recopila datos de rendimiento de cada objeto en todos los niveles del entornovirtual, tanto de máquinas virtuales y unidades de discos individuales, comode clústeres y centros de datos enteros. Almacena y analiza datos, y usa esosanálisis para proporcionar información en tiempo real sobre los problemas, oposibles problemas, en cualquier parte del entorno virtual.
vRealize Infrastructure Navigator Proporciona detección automática de servicios de aplicaciones, visualizarelaciones y asigna dependencias de aplicaciones en recursos virtualizadosinformáticos, de almacenamiento y de red.
Capítulo 1 Introducción a vRealize Suite
VMware, Inc. 11
Tabla 1‑2. Productos incluidos con vRealize Suite (Continua)
Nombre de producto Descripción
vRealize Log Insight Proporciona indexación y agregación de registros escalables paravRealize Suite, incluidas todas las ediciones de vSphere, con funcionalidadesde búsqueda y análisis en tiempo real. Log Insight recopila, importa y analizaregistros para proporcionar respuestas en tiempo real a los problemasrelacionados con sistemas, servicios y aplicaciones en entornos físicos,virtuales y de nube.
vRealize Automation Ayuda a implementar y aprovisionar servicios de la nube de relevanciaempresarial en nubes públicas y privadas, infraestructuras físicas,hipervisores y proveedores de nube pública. vRealize Automation Enterpriseincluye vRealize Automation Application Services.
vRealize Orchestrator Simplifica la automatización de tareas de TI complejas y se integra conproductos vRealize Suite para adaptar y extender la prestación de servicios yla administración operativa con la implementación efectiva deinfraestructuras, herramientas y procesos actuales.
vRealize Business for Cloud Proporciona información sobre los aspectos financieros de la infraestructurade nube y permite optimizar y mejorar esas operaciones.
Ediciones de vRealize Suite y sus ediciones de productosHay ediciones de productos que están disponibles en las ediciones Standard, Advanced y Enterprise devRealize Suite.
Tabla 1‑3. Ediciones de productos de software vRealize Suite en ediciones Suite
Edición de productos vRealizevRealize SuiteStandard Edition
vRealize SuiteAdvanced Edition
vRealize SuiteEnterprise Edition
VMware vRealize Automation AdvancedEdition
No Sí No
VMware vRealize Automation EnterpriseEdition
No No Sí
VMware vRealize Operations ManagementSuite (Advanced)
Sí Sí Sí
VMware vRealize Operations ManagementSuite Application Monitoring
No No Sí
VMware vRealize Business for Cloud StandardEdition
Sí No No
VMware vRealize Business for CloudAdvanced Edition
No Sí Sí
VMware vRealize Orchestrator AdvancedEdition
No Sí No
VMware vRealize Orchestrator EnterpriseEdition
No No Sí
VMware vRealize Log Insight Sí Sí Sí
VMware vRealize Infrastructure Navigator Sí Sí Sí
Licencias de vRealize SuitePuede conceder licencias para los productos de vRealize Suite de modo individual o como parte devRealize Suite 7.0.
Obtiene y usa un tipo de licencia para autorizar los productos vRealize Suite.
Descripción general de vRealize Suite
12 VMware, Inc.
Tabla 1‑4. Tipos de licencias compatibles con los productos vRealize Suite
Tipo de licencia Funcionalidades de la licencia
Licencia de producto individual Algunos productos están disponibles de maneraindependiente. Puede concederles licencias por máquinavirtual a través de la licencia de productos. Las licencias deproductos individuales están destinadas a las cargas detrabajo en la nube pública o en hardware físico.
Portable License Unit (PLU) para vRealize Suite Con Portable License Unit (PLU), puede aprovisionar yadministrar cargas de trabajo en entornos híbridos y devSphere, incluidos los proveedores de la nube pública yprivada. Una PLU es una sola SKU que mide las cargas detrabajo en entornos híbridos y de vSphere, y que admitemétricas de CPU y máquinas virtuales. Cada PLU concedeuna licencia a una CPU para una cantidad ilimitada demáquinas virtuales o 15 instancias de sistema operativo.
Consulte la Licencias, precios y paquetes de VMware vRealize Suite y vCloud Suite para obtener detallessobre las PLU.
Capítulo 1 Introducción a vRealize Suite
VMware, Inc. 13
Descripción general de vRealize Suite
14 VMware, Inc.
Descripción general de laarquitectura de vRealize Suite 2
La arquitectura describe la forma en que los productos de vRealize Suite interactúan entre sí y con lossistemas en el centro de datos para proporcionar un centro de datos definido por software (SDDC).
Este capítulo cubre los siguientes temas:
n “Centro de datos definido por software,” página 15
n “Diseño conceptual de un entorno de vRealize Suite,” página 17
n “Productos de vRealize Suiteen el clúster de administración,” página 19
n “Infraestructura base del SDDC,” página 20
n “Consideraciones de seguridad de vRealize Suite,” página 28
Centro de datos definido por softwareEl centro de datos definido por software (SDDC) proporciona distintos tipos de funcionalidades, en las quelas funciones más complejas se generan en la infraestructura subyacente. Para habilitar todas las funcionesde vRealize Suite, deberá realizar una serie de operaciones de instalación y configuración.
Proporcionar todas las capacidades operativas de vRealize Suite a su organización o a sus clientes es unproceso estructurado. En una organización grande, podría suponer la ejecución de ciclos de evaluación,diseño, implementación, transferencia de conocimientos y validación de las soluciones. Según laorganización, deberá planificar un proceso ampliado que requiere la implicación de varias funciones.
No todos los entornos necesitan la gama completa de funcionalidades de vRealize Suite en un momentodeterminado. Comience implementando la infraestructura de centro de datos básica, que le permite agregarfunciones a medida que las requiera su organización. Cada una de las capas de SDDC podría requerir laplanificación y la realización de un proceso de implementación aparte.
VMware, Inc. 15
Figura 2‑1. Capas del SDDC
Administración de servicios
Administración de carteras
Administración de operaciones
Capa de administración
en la nube
Catálogo de servicios
Portal de autoservicio
Orquestación
Continuidadempresarial
Tolerancia a fallos y recuperación ante
desastres
Copia de seguridad y restauración
Hipervisor
Grupos de recursos
Control de virtualización
Capa de infraestructura
virtual
Cómputo
Almacenamiento
Red
Capa física
Seguridad
Replicación Cumplimiento
Risk (Riesgo)
Gestión
Capa física La capa inferior de la solución incluye los componentes informáticos, de redy de almacenamiento. El componente informático contiene los servidores x86que ejecutan las cargas de trabajo informáticas de administración,perimetrales y de tenants. Los componentes de almacenamientoproporcionar la base física del SDDC y de la nube de automatización de TI.
Capa de infraestructuravirtual
La capa de infraestructura virtual incluye la plataforma de virtualización conel hipervisor, la agrupación de recursos y el control de virtualización. Losproductos de VMware en esta capa son vSphere, VMware NSX, ESXi yvCenter Server. Estos productos establecen un fuerte entorno virtualizado enel que se integran todas las demás soluciones. La extracción de recursos de lacapa física proporciona la base para la integración de la orquestación deVMware y las soluciones de supervisión. Los procesos y las tecnologíasadicionales se generan en la infraestructura para habilitar la infraestructuracomo servicio (IaaS) y la plataforma como servicio (PaaS).
Capa de administraciónde nube
La capa de administración de nube incluye el catálogo de servicios, quecontiene las utilidades que se van a implementar, la orquestación, queproporciona los flujos de trabajo para implementar elementos del catálogo, yel portal de autoservicio, que permite que los usuarios finales puedan usar elSDDC. vRealize Automation proporciona el portal y el catálogo, y lasfunciones integradas de vRealize Orchestrator administran los flujos detrabajo para automatizar los complejos procesos de TI.
Administración deservicios
Use la administración de servicios para llevar el seguimiento y analizar laoperación de varios orígenes de datos en el SDDC de varias regiones.Implemente vRealize Operations Manager y vRealize Log Insight en variosnodos para obtener una disponibilidad continuada y unas tasas de ingesta deregistros aumentada.
Descripción general de vRealize Suite
16 VMware, Inc.
Continuidadempresarial
Utilice la continuidad empresarial para crear trabajos de copia de seguridaden vSphere Data Protection para vRealize Operations Manager,vRealize Log Insight, VMware NSX y vRealize Automation. Si se produce unerror de hardware, podrá restaurar los componentes de estos productosdesde las copias de seguridad guardadas.
Seguridad VMware proporciona las plataformas Compliance Reference ArchitectureFramework y Compliance Capable, Audit Ready. Los clientes usan laplataforma para cumplir los requisitos de cumplimiento de las cargas detrabajo virtualizadas y para administrar el riesgo empresarial. Los productosde VMware y los productos de partners compatibles se asignandetenidamente para cumplir los requisitos de los orígenes de autoridadcomo PCI DSS, HIPAA, FedRAMP y CJIS. Los documentos base deCompliance Reference Architecture Framework son:
n Guías de aplicabilidad de productos: proporcionan descripciones de losconjuntos de utilidades de VMware por producto que tratan laregulación y la asignación de los controles regulatorios de las funcionesde los productos.
n Guías de diseño de la arquitectura: proporcionan consideraciones paragenerar un entorno de VMware vRealize que cumpla los requisitos y lasregulaciones específicas.
n Documentos de Arquitectura de referencia validada: proporcionan laevidencia de regulación de un estudio de auditoría que puede aplicar asu entorno.
Para acceder a los documentos, desplácese hasta VMware Solution Exchangey seleccione Soluciones de cumplimiento.
Puede mejorar su entorno de vRealize Suite integrando productos y servicios adicionales de VMware. Estosproductos tienen funciones como la recuperación ante desastres en la nube, almacenamiento definido porsoftware y redes definidas por software.
Diseño conceptual de un entorno de vRealize SuitePara comenzar la implementación de vRealize Suite, solo necesita una pequeña cantidad de hosts físicos. Lamejor base y la más segura para escalar el entorno consiste en distribuir los hosts en clústeres deadministración, perimetrales y de carga para establecer los cimientos de una implementación que se puedaescalar después a miles de máquinas virtuales.
El clúster se ejecuta en toda la infraestructura de vRealize Suite, incluidas las cargas de trabajo del cliente.
La implementación y el uso de vRealize Suite supone una transformación tecnológica y operativa. A medidaque se implementan nuevas tecnologías en el centro de datos, la organización también debe implementar losprocesos adecuados y asignar las funciones necesarias. Por ejemplo, es posible que necesite procesos paragestionar la nueva información que se recopile. Cada producto de administración necesita uno o variosadministradores, algunos de los cuales podrían tener diferentes niveles de acceso.
El diagrama muestra la funcionalidad tecnológica y la estructura organizativa.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 17
Figura 2‑2. Diseño conceptual de un entorno de vRealize Suite
Equilibrador de carga
Tenant
Organización
Proveedor
Operaciones
Portal Portal
Administración de virtualización
Clúster de perímetro Clúster informático
Motor IaaS, PaaS, ITaaSAdministración de
rendimiento y capacidad
Control del negocio de TI
Control deservicios
Control de operaciones
Control deinfraestructura
• Comenzar con tres hosts• Comenzar con dos clústeres
• Comenzar con tres hosts
Clúster de administración
• Comenzar con tres hosts
Orquestación
Los clústeres, cada uno de ellos con un mínimo de tres hosts, son la base de su implementación devRealize Suite.
Clúster deadministración
Los hosts del clúster de administración ejecutan los componentes deadministración requeridos para dar soporte al SDDC. Se necesita un únicoclúster de administración por cada ubicación física. Puede instalarmanualmente hosts ESXi que se ejecuten en el clúster de administración yconfigurarlos para que usen las unidades de disco duro locales para arrancar.
Un clúster de administración proporciona aislamiento de recursos. Lasaplicaciones de producción, de prueba y de otro tipo no pueden usar losrecursos de clúster reservados para los servicios de administración,supervisión e infraestructura. El aislamiento de recursos permite que losservicios de administración e infraestructura alcancen un nivel óptimo derendimiento. Un clúster aparte puede satisfacer la directiva de unaorganización para lograr un aislamiento físico entre el hardware deadministración y de carga de clientes.
Clúster perimetral El clúster perimetral es compatible con los dispositivos de red queproporcionan interconectividad entre los entornos. Proporciona unacapacidad protegida con la que las redes de centros de datos internas seconectan mediante puertas de enlace con redes externas. Los serviciosperimetrales de red y la administración del tráfico de red se ejecutan en elclúster. Toda la conectividad de red externa finaliza en este clúster.
Descripción general de vRealize Suite
18 VMware, Inc.
Una instancia dedicada de vCenter Server que está emparejada con VMwareNSX administra los hosts ESXi del clúster perimetral. La misma instancia devCenter Server administra los clústeres de carga que requieren acceso a redesexternas.
El clúster perimetral puede ser pequeño y estar formado por hosts ESXi conmenos capacidad que los clústeres de administración y carga.
Clúster de carga El clúster de carga admite la entrega de todas las demás cargas de trabajo delos clientes no perimetrales. El clúster permanece vacío hasta que unconsumidor del entorno comienza a llenarlo con máquinas virtuales. Esposible agregar más clústeres de carga para realizar un escalado vertical.
A medida que el centro de datos aumenta su tamaño, es posible crear nuevosclústeres perimetrales y de carga, agregar recursos para realizar un escaladovertical o agregar hosts para realizar un escalado horizontal.
Productos de vRealize Suite en el clúster de administraciónEl número de productos de vRealize Suite en el clúster de administración aumenta a medida que se agreganfuncionalidades. Un clúster de administración debe contener un conjunto mínimo de productos. Puedeexpandir el conjunto de productos cuando requiera funcionalidades adicionales.
Figura 2‑3. Productos de VMware en el clúster de administración
vRealizeBusinessfor Cloud
vRealizeInfrastructure
Navigator
Clúster de administración
Administración
vCenter Server
Orquestación
vRealizeOrchestration
Red
VMwareNSX
Administración de rendimiento y capacidad
vRealizeOperationsManager
PaaS
vRealizeApplication
Service
Continuidad empresarial y recuperación ante desastres
vSphereReplication
vSphereData
Protection
SiteRecoveryManager
IaaS
vRealizeAutomation
Replicación asitio secundario
Conjunto mínimo de productos del clúster de administraciónEl clúster de administración siempre incluye una instancia de vCenter Server. Para preparar el entorno deIaaS y las funcionalidades de PaaS, puede implementar un dispositivo de vRealize Orchestrator comoproducto de vRealize Suite en una fase temprana.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 19
De manera predeterminada, vRealize Suite no incluye soluciones de redes de VMware. NSX for vSpherepuede satisfacer las funciones de red del clúster de administración de vRealize Suite. NSX proporcionavirtualización de red de capa 2 a capa 7, con directivas de seguridad que siguen las cargas de trabajo en elcentro de datos para acelerar la administración y el aprovisionamiento de redes. Puede comprarNSX for vSphere a un precio reducido como complemento.
NOTA: vCloud Networking and Security se incluía en la versión anterior de vRealize Suite y ejecutabafunciones de red en el clúster de administración. vCloud Networking and Security ya no forma parte devRealize Suite.
Conjunto ampliado de productosA medida que aumenta la complejidad del entorno, se suelen instalar y configurar productos adicionales.Por ejemplo, vRealize Operations Manager y los productos relacionados proporcionan funciones desupervisión avanzadas. vRealize Automation es el elemento clave de la solución de IaaS porque permite unrápido modelado y aprovisionamiento de servidores y equipos de escritorio en infraestructuras virtuales yfísicas, privadas y públicas, o de nube híbridas. Una instancia de vCenter Site Recovery Manager puedeproporcionar la replicación de un sitio secundario para la recuperación ante desastres.
Infraestructura base del SDDCLa infraestructura base del SDDC consta de productos de vSphere y vRealize Suite comovRealize Operations Manager y vRealize Log Insight para la supervisión, vRealize Automation yvRealize Orchestrator para la administrar de flujos de trabajo y vRealize Business for Cloud para laadministración de costes.
La infraestructura base incluye la capa física, la capa de infraestructura virtual y la capa de administraciónde la nube. La virtualización base forma parte de la capa de infraestructura virtual y el catálogo de serviciosy los servicios de orquestación forman parte de la capa de administración de nube. La capa deinfraestructura virtual permite la consolidación y la agrupación de recursos físicos subyacentes. La capa deadministración de nube proporciona las funciones de orquestación y reduce los costes asociados a laoperación de un centro de datos en las instalaciones. La capa de administración de servicios proporciona lasfunciones de supervisión para identificar y solucionar de manera proactiva los problemas emergentes conun análisis predictivo y alertas inteligentes, de forma que se garantiza el rendimiento óptimo y ladisponibilidad de las aplicaciones y la infraestructura.
Los productos de vRealize Suite de la infraestructura de SDDC ayudan a administrar eficazmente elrendimiento, la disponibilidad y la funcionalidad de los recursos en un entorno de nube virtual e híbrida. Lainfraestructura base ayuda a administrar entornos de nube híbridos y heterogéneos, tanto dentro comofuera de las instalaciones, basándose en vSphere o en otras tecnologías de terceros.
Cuando la infraestructura de SDDC esté implantada, podrá ampliarla para proporcionar la infraestructuracomo servicio (IaaS) y la plataforma como servicio (PaaS) a los consumidores de TI de dentro o fuera de laorganización. IaaS y PaaS completan la plataforma de SDDC y proporcionan más oportunidades paraampliar la funcionalidad. Con IaaS y PaaS puede incrementar la agilidad de las operaciones de TI y de losdesarrolladores.
Figura 2‑4. Fases para la creación de una infraestructura de SDDC
OrquestaciónVirtualización SupervisiónPreparado para
infraestructuras de SDDC
Descripción general de vRealize Suite
20 VMware, Inc.
Virtualización y administración de la infraestructura de vRealize SuiteLos distintos productos de VMware que se incluyen en vRealize Suite proporcionan las capacidades devirtualización y administración requeridas para establecer los cimientos de vRealize Suite. Para establecerunos cimientos fuertes en el centro de datos, instale y configure vCenter Server, ESXi y los componentes desoporte.
Implementación de nube híbridaCon vRealize Suite, las empresas pueden ampliar sus cargas de trabajo de nube privada a la nube pública,capitalizando el aprovisionamiento a petición, de autoservicio y elástico de los terminales mientras seaprovecha el mismo entorno de administración, la fiabilidad y el rendimiento de la nube privadaproporcionada por vRealize Suite.
El uso de vRealize Automation y vRealize Orchestrator en la capa de administración de nube en un SDDCpermite que las empresas aprovisionen máquinas virtuales y terminales que van más allá de los entornos devSphere a los entornos que no están basados en vSphere. Los entornos que no son de vSphere que no estánbasados en vSphere pueden estar en centros de datos privados o proveedores de servicios de nubespúblicas. La capa de administración de servicios de SDDC permite supervisar terminales de vSphere yterminales que no están basados en vSphere. vRealize Operations Manager y vRealize Log Insight son losproductos clave de la capa de administración de servicios que ayudan a las empresas a proporcionar análisisen las máquinas virtuales.
Consideraciones de diseño para ESXi y vCenter ServerLas decisiones de diseño para la virtualización de SDDC deben abordar temas específicos deimplementación y compatibilidad de ESXi y vCenter Server.
Considere las siguientes decisiones sobre el diseño cuando planifique la implementación de hosts ESXi.
ESXi
n Use una herramienta como VMware Capacity Planner para analizar el rendimiento y el uso deservidores existentes.
n Use las plataformas de servidor compatibles que se enumeran en la Guía de compatibilidad deVMware.
n Compruebe que el hardware cumpla con los requisitos mínimos del sistema para ejecutar ESXi.
n Para eliminar la variabilidad y lograr una infraestructura administrable y compatible, estandarice laconfiguración física de los hosts ESXi.
n Puede implementar hosts ESXi manualmente o con un método de instalación automatizada, comovSphere Auto Deploy. Un enfoque válido consiste en implementar el clúster de administraciónmanualmente e implementar vSphere Auto Deploy a medida que crece el entorno.
vCenter Server
n Puede implementar vCenter Server como dispositivo virtual con Linux o en una máquina física ovirtual con Windows de 64 bits.
NOTA: vCenter Server en Windows realiza un escalado vertical para soportar 10.000 máquinasvirtuales encendidas. vCenter Server Appliance es una alternativa preconfigurada con la que es posibleacelerar las implementaciones y reducir los costos de concesión de licencias. Al usar una base de datosde Oracle externa, vCenter Server Appliance puede soportar un máximo de 10.000 máquinas virtuales.
n Proporcione suficientes recursos de sistemas virtuales para vCenter Server.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 21
n Implemente vSphere Web Client y vSphere Client para las interfaces de usuario en el entorno.Implemente vSphere Command Line Interface (vCLI) o vSphere PowerCLI para la administración delíneas de comandos y scripts. vCLI y vSphere SDK for Perl están incluidos envSphere Management Assistant.
Consideraciones del diseño de redA medida que la virtualización y la informática en la nube van ganando más popularidad en el centro dedatos, va cambiando el modelo tradicional de redes de tres niveles. El diseño de hoja y estructura estáreemplazando al modelo tradicional de núcleo, agregación y acceso.
El diseño de la red debe cumplir con las distintas necesidades de las diversas entidades dentro de unaorganización. Entre esas entidades se incluyen aplicaciones, servicios, almacenamiento, administradores yusuarios.
n Use el acceso controlado y el aislamiento cuando sea necesario para proporcionar un nivel de seguridadaceptable.
n Use un diseño de hoja y estructura para simplificar la arquitectura de la red.
n Configure los nombres de grupos de puertos comunes entre los hosts para admitir la migración y laconmutación por error de máquinas virtuales.
n Separe las redes para servicios clave a fin de aumentar la seguridad y mejorar el rendimiento.
El aislamiento de la red normalmente es una práctica recomendada para el centro de datos. En un entornode vRealize Suite, puede haber varias VLAN clave, que se expanden a dos o más clústeres físicos.
En la siguiente ilustración, todos los hosts integran las VLAN de administración de ESXi, vSphere vMotion,VXLAN y NFS. El host de administración también está conectado a la VLAN externa, y cada host deperímetro se conecta a la VLAN específica del cliente.
En este caso, las conexiones usan el protocolo de control de agregación de vínculos (Link AggregationControl, LACP) proporcionado por un vSphere Distributed Switch para sumar el ancho de banda de las NICfísicas a los hosts ESXi conectados a los canales de puerto LACP. Puede crear varios grupos de agregación devínculos (LAG) en un conmutador distribuido. Un LAG incluye dos o más puertos, y conecta NIC físicas alos puertos. En un LAG, los puertos se agrupan por redundancia, y se realiza un equilibrio de carga deltráfico de la red entre los puertos mediante un algoritmo de LACP.
Consulte Compatibilidad con LACP en vSphere Distributed Switch.
Descripción general de vRealize Suite
22 VMware, Inc.
Figura 2‑5. Diversos tipos de hosts ESXi conectados a distintas VLAN
VLAN ESXi Management
VLAN vSphere vMotion
VLAN VTEP (VXLAN)
Cliente de VLAN 1(host de perímetro)
Cliente de VLAN 2(host de perímetro)
vSphere Distributed Switch
LAG 1-1LAG 1LAG 1-0
Host ESXi 1
vmnic1vmnic0
Canal de puertosLACP Conmutador físico
VLAN NFS
Administración externa de VLAN(host de administración)
Host ESXi 2
vmnic1vmnic0
Canal de puertos LACP
Consideraciones de diseño de almacenamiento compartidoEl diseño adecuado del almacenamiento será fundamental para que un centro de datos virtual tenga unbuen rendimiento.
n El diseño del almacenamiento debe estar optimizado para cumplir con las diversas necesidades deaplicaciones, servicios, administradores y usuarios.
n Los niveles de almacenamiento tienen distintas características de rendimiento, capacidad ydisponibilidad.
n Diseñar diversos niveles de almacenamiento resulta rentable, ya que no todas las aplicaciones requierenalmacenamiento costoso, de alto rendimiento y de gran disponibilidad.
n Entre las opciones viables y maduras para respaldar las necesidades de las máquinas virtuales, están elcanal de fibra, NFS e iSCSI.
En la siguiente ilustración, se observa de qué manera los distintos tipos de hosts sacan provecho a lasdiferentes matrices de almacenamiento. Los hosts del clúster de administración necesitan almacenamientopara la administración, la supervisión y los portales. Los hosts del clúster de perímetro necesitan un tipo dealmacenamiento al que puedan acceder los clientes. El host del clúster de carga útil tiene acceso alalmacenamiento específico del cliente. Los distintos hosts del clúster de carga útil tienen acceso a diferentesalmacenamientos.
El administrador del almacenamiento puede gestionar todo el almacenamiento; sin embargo, no puedeacceder a datos del cliente.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 23
Figura 2‑6. Almacenamiento compatible con distintos hosts
Dispositivovirtual
Dispositivovirtual
Dispositivovirtual
Dispositivovirtual APP
SOAPPSO
APPSO
Dispositivovirtual
Dispositivovirtual
Tenant n
Clúster de administración Clúster de perímetro Clúster informático
Tenant 1
Host ESXi Host ESXi Host ESXi
Almacenes dedatos compartidos
Admin. Supervisión Portales Grupo de perímetros 1
Cargas útilesSLA 1
Almacenamiento definido por software
Administración de almacenamiento basado en políticasServicios de datos virtualizados
Abstracción de almacenamiento de hipervisor
SAN o NAS o DAS(VMware Virtual SAN o de terceros)
Discos físicos
SSD FC15K FC10K SATA SSD FC15K FC10K SATA
VMDK
Archivos de intercambio + registros
LUN de muestra
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 0 Nivel 1 Nivel 2 Nivel 3
Administrador dealmacenamiento
Almacenes dedatos compartidos
Grupo deperímetros 2
Grupo deperímetros N
Cargas útilesSLA 2
Cargas útilesSLA N
Almacenes dedatos compartidos
Administrar la infraestructura base de vRealize SuiteLa administración de un SDDC implica varias operaciones, a veces recurrentes. En vRealize Suite, puedeusar vRealize Orchestrator para administrar varios procesos complejos mediante flujos de trabajo.
Con la capa de administración en la nube, puede crear flujos de trabajo similares a las macros queautomatizan los procesos manuales. La orquestación posibilita la realización de operaciones recurrentes.
En la capa de administración en la nube, los flujos de trabajo pueden activarse manual o automáticamente.
n vRealize Automation puede activar flujos de trabajo de vRealize Orchestrator.
n También puede publicar flujos de trabajo en el catálogo de servicios y activarlos manualmente.
Si logra definir el motor de orquestación en las etapas iniciales del proceso, podrá mejorar todos los nivelesde maduración del cliente y proporcionar una base sobre la cual apoyar el resto de la solución. Implementeal menos una instancia de vCenter Server para cada sistema vCenter Server en el entorno según losrequisitos de escalamiento.
Descripción general de vRealize Suite
24 VMware, Inc.
La capa de orquestación contiene los siguientes elementos principales.
n vRealize Orchestrator
n Complementos de vRealize Orchestrator
Figura 2‑7. Diseño de la capa de orquestación de vRealize Suite
Complementos de vRO
Dispositivo vRealize Orchestrator
Base de datos integrada
AD, LDAP o vCenter: inicio de sesión único
Complementos habilitados
vCenter Server
Nodos múltiples
AD
Autenticación
Configuración de vRealize Orchestrator
Diseño de vRealize Orchestrator
Tabla 2‑1. Componentes de la capa de orquestación de vRealize Suite
Componente Descripción
Dispositivo de vRealize Orchestrator Puede implementar vRealize Orchestrator comodispositivo virtual. El dispositivo vRealize Orchestrator,que se ejecuta en modo independiente y no de altadisponibilidad, es el enfoque recomendado para lasimplementaciones más pequeñas.
Autenticación La proporciona Active Directory o vCenter Single Sign-On.
Interfaz de configuración de vRealize Orchestrator Use la interfaz de configuración web para definir la base dedatos del dispositivo, el certificado TLS, la licencia, etc.
Interfaz del diseñador de vRealize Orchestrator Use la interfaz de diseñador web para crear y personalizarflujos de trabajo.
Complemento de vCenter Server Use el complemento de vRealize Orchestrator paraadministrar varias instancias de vCenter Server. Elcomplemento proporciona una biblioteca de flujos detrabajo estándar que automatizan las operaciones devCenter Server.
Complemento de nodos múltiples Use el complemento de nodos múltiplesvRealize Orchestratorpara administrar de manera remotavRealize Orchestrator y la ejecución de flujos de trabajo.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 25
Supervisar la infraestructura base de vRealize SuiteLa funcionalidad de supervisión es un elemento obligatorio de un SDDC. El elemento de supervisiónproporciona funciones para el rendimiento y la administración de capacidades de los componentes deinfraestructura relacionados, incluido el cumplimiento de requisitos, especificaciones, administración y susrelaciones.
Los productos de supervisión de vRealize Suite incluyen varios productos de VMware.
Tabla 2‑2. Supervisar productos en vRealize Suite
Supervisar productos Descripción
vRealize Operations Manager Proporciona información sobre el rendimiento, lacapacidad y el estado de la infraestructura. Distribuidocomo un dispositivo virtual que puede implementar enhosts ESXi. Configure el dispositivo virtual y regístrelo conun sistema de vCenter Server. Consulte Centro deinformación de vRealize Operations Manager.
vRealize Infrastructure Navigator Detecta servicios de aplicaciones, visualiza relaciones yasigna dependencias de aplicaciones en recursosvirtualizados informáticos, de almacenamiento y de red.Consulte Centro de documentación de vRealizeInfrastructure Navigator.
vRealize Log Insight Recopila y analiza datos de registros para proporcionarrespuestas en tiempo real a problemas relacionados con lossistemas, los servicios y las aplicaciones, y para obtenerperspectivas importantes. Consulte Centro dedocumentación de VMware vRealize Log Insight.
Puede implementar todos los productos de supervisión o solo algunos de los productos sin dañar laintegridad de la solución.
Proporcionar un servicio de infraestructuraLa capacidad de proporcionar una infraestructura como servicio (IaaS) implica una transformacióntecnológica y organizativa desde las operaciones de los centros de datos tradicionales hasta la nube. Puedecrear modelos de máquinas virtuales y servicios, y aprovisionarlos en infraestructuras privadas, públicas ode nube híbridas.
En el SDDC, los grupos o las organizaciones de proveedores pueden aislar y extraer recursos en forma deservicios de infraestructura y aplicaciones, y hacer que estén disponibles para las organizaciones y losgrupos de tenants.
La capa de administración de nube proporciona un portal de usuario de autoservicio que reduce lasobrecarga administrativa mediante el uso de directivas para aprovisionar los servicios de infraestructura.Los administradores usan directivas para controlar el consumo de servicios de modo detallado y flexible.Los requisitos de aprobación pueden formar parte de cada servicio.
Puede generar el servicio de infraestructura mediante varios componentes.
Tabla 2‑3. Componentes del servicio de infraestructura
Sección del servicio de infraestructura Componentes de diseño
Dispositivo virtual de vRealize Automation n Servidor de aplicaciones o servidor web del portal devRealize Automation
n Base de datos de vPostgreSQL de vRealize Automation
IaaS para vRealize Automation n Servidor web de Iaas para vRealize Automationn Servicios de administrador de IaaS para
vRealize Automation
Descripción general de vRealize Suite
26 VMware, Inc.
Tabla 2‑3. Componentes del servicio de infraestructura (Continua)
Sección del servicio de infraestructura Componentes de diseño
Distributed Execution Manager vRealize Automation Distributed Execution Managerconsta de instancias de Orchestrator de DEM e instanciasde máquina de trabajo de DEM.
Integración Máquinas de agente de vRealize Automation
Administración de costos vRealize Business for Cloud
Infraestructura de aprovisionamiento n Entorno de vSpheren Entorno de vRealize Orchestratorn Otros entornos físicos, virtuales o de nube compatibles
Infraestructura compatible n Entorno de base de datos de Microsoft SQLn Entorno de LDAP o Active Directoryn Entorno de SMTP y correo electrónico
Un servicio de infraestructura se implementa en varias fases.
Figura 2‑8. Fases de una implementación de IaaS
Portal de autoservicio Componentes deinfraestructura Servicios y tenants Administración
de costosPreparado para
infraestructuraservicios de
Para ver argumentos en profundidad de los conceptos clave de IaaS, consulte la información devRealize Automation sobre Infraestructura como servicio.
Portal de autoservicio vRealize Automation proporciona un portal seguro en el que losadministradores, desarrolladores o usuarios empresariales autorizadospueden solicitar nuevos servicios de TI.
Componentes deinfraestructura
Para implementar vRealize Automation, configure algunos productos deVMware como vSphere y vCloud Air, y configure componentes devRealize Automation como terminales de máquinas físicas, grupos de tejidosy blueprints.
Servicios y tenants El catálogo de servicios proporciona un portal de autoservicio unificado paraconsumir servicios de TI. Los usuarios pueden examinar el catálogo parasolicitar elementos, realizar un seguimiento de sus solicitudes y administrarlos elementos aprovisionados.
Administración decostos
Las soluciones que se integran con vRealize Automation, comovRealize Business for Cloud, admiten la exploración y la administración decostos.
Proporcionar una plataforma como servicioUse la plataforma como servicio (PaaS) para crear modelos de aplicaciones y aprovisionarlas eninfraestructuras privadas, públicas o de nube híbridas.
PaaS es un servicio de informática en la nube que proporciona una plataforma informática y una pila desoluciones como servicio. Junto con el software como servicio (SaaS) y la infraestructura como servicio(IaaS), PaaS es un modelo de servicio de informática en la nube que le permite usar herramientas ybibliotecas que suministra el proveedor para crear una aplicación o un servicio. Puede controlar laimplementación y la configuración del software. El proveedor proporciona las redes, los servidores, elalmacenamiento y otros servicios requeridos para hospedar la aplicación.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 27
Automatizar el aprovisionamiento de aplicacionesUn aspecto clave de PaaS es la capacidad de automatizar el aprovisionamiento de aplicaciones.vRealize Automation es una solución de aprovisionamiento de aplicaciones basada en modelos quesimplifica la creación y la estandarización de topologías de implementación de aplicaciones eninfraestructuras en la nube. Los arquitectos de aplicaciones utilizan las funciones de arrastrar y soltar de laaplicación para crear topologías de implementación de aplicaciones llamadas blueprints de aplicación. Losblueprints de aplicación definen la estructura de la aplicación, permiten usar componentes deinfraestructuras de aplicaciones estandarizados e incluyen dependencias de instalación y configuracionespredeterminadas para aplicaciones empresariales personalizadas y empaquetadas. Puede usar el catálogorellenado previamente y extensible de plantillas lógicas estándar, el servicio de infraestructura deaplicaciones, los componentes y los scripts para crear el modelo de un blueprint de aplicación. Losblueprints de aplicación son topologías de implementación lógicas que se pueden transferir entre nubes deIaaS como vRealize Automation y entre nubes públicas como Amazon EC2.
Con vRealize Automation, puede especificar la estructura de aplicaciones y servicios suponiendo que lainfraestructura de nube subyacente proporcionará los requisitos informáticos, de red y de almacenamientonecesarios. Puede implementar los blueprints de vRealize Automation en cualquier nube privada o públicaque esté basada en VMware vSphere. Con este modelo de aprovisionamiento de aplicaciones, losdesarrolladores y los administradores de aplicaciones no necesitan realizar la configuración de lainfraestructura, el sistema operativo y el middleware, y la empresa puede enfocarse en proporcionar valorcomercial con sus aplicaciones.
Los usuarios empresariales pueden normalizar, implementar, configurar, actualizar y escalar aplicacionescomplejas en entornos de nube dinámicos. Estas aplicaciones van desde sencillas aplicaciones web hastacomplejas aplicaciones personalizadas y aplicaciones empaquetadas. Con su catálogo de componentesestándar, o servicios, vRealize Automation Application Services automatiza y administra el ciclo de vida deactualización de las implementaciones de aplicaciones empresariales de varios niveles en entornos de nubehíbridos.
Supervisar el rendimiento de las aplicacionesLa supervisión ofrece funcionalidades para administrar el rendimiento relacionado con las aplicaciones.
Componentes de aplicaciones preconfiguradosVMware Cloud Management Marketplace proporciona blueprints, servicios, scripts y complementos quepuede descargar y usar para desarrollar sus propios servicios de aplicaciones. Los principales proveedoresde middleware, redes, seguridad y aplicaciones proporcionan componentes preconfigurados que utilizanconfiguraciones reutilizables y flexibles que puede insertar en cualquier plan de aprovisionamiento deaplicaciones de varios niveles.
Consideraciones de seguridad de vRealize SuiteCada producto vRealize Suite debe cumplir con requisitos de seguridad. Debe tener en cuenta laautenticación y autorización para cada producto, asegurar que los certificados cumplan con los requisitos dela empresa e implementar el aislamiento de redes.
La documentación para las familias de productos o los productos individuales pueden ayudarlo a protegerel entorno. Este documento está orientado especialmente a los pasos adicionales que puede realizar paraproteger el conjunto de productos.
Descripción general de vRealize Suite
28 VMware, Inc.
Tabla 2‑4. Documentación de seguridad para productos vRealize Suite
Producto Documentación
vCenter ServerESXi Consulte la documentación de Seguridad de vSphere paraobtener información sobre muchos temas, incluidas laadministración de certificados, la protección de ESXi y devCenter Server, y la autenticación y autorización.Consulte el informe técnico de Seguridad del hipervisor deVMware para obtener información sobre seguridad deESXi.
vSphere Consulte Guías de protección de la seguridad de vSpherepara sus productos vSphere.
vRealize Automation y productos relacionados. Consulte el tema Preparar la instalación en el Centro deinformación de vRealize Automation para obtenerinformación sobre certificados, frases de contraseña,seguridad de usuarios, uso de grupos de seguridad, etc.
Autenticación y autorización en vRealize SuiteLa autenticación con vCenter Single Sign-On garantiza que solo los usuarios de los orígenes de identidadpuedan iniciar sesión en vRealize Suite. La autorización garantiza que solo un usuario con los privilegioscorrespondientes pueda ver la información o realizar tareas. La autorización se aplica tanto a servicios comoa usuarios humanos.
Autenticación con vCenter Single Sign-OnvCenter Single Sign-On admite la autenticación en su infraestructura de administración. Solo los usuariosque puedan autenticarse en vCenter Single Sign-On pueden ver y administrar los componentes de lainfraestructura. Puede agregar orígenes de identidades como Active Directory o OpenLDAP avCenter Single Sign-On.
Descripción general de vCenter Single Sign-On
vCenter Single Sign-On es un agente de autenticación y una infraestructura de intercambio de tokens deseguridad para los usuarios y los usuarios de las soluciones, que son conjuntos de servicios de VMware.Cuando un usuario o un usuario de solución se autentica en vCenter Single Sign-On, el usuario recibe untoken de SAML. Más adelante, el usuario puede utilizar el token de SAML para autenticarse en los serviciosde vCenter Server. El usuario puede ver después la información y realizar las acciones para las que tieneprivilegios.
Al utilizar vCenter Single Sign-On, los productos de vRealize Suite se comunican entre sí mediante unmecanismo de intercambio de tokens seguros en vez de que cada producto tenga que autenticar a unusuario por separado con un servicio de directorios como Microsoft Active Directory. Durante la instalacióno la actualización, vCenter Single Sign-On construye un dominio de seguridad interno, por ejemplo,vsphere.local, donde se registran las soluciones y los productos de vSphere. En vez de utilizar este dominiode seguridad interno para la información de autenticación específica de la empresa, puede agregar uno ovarios orígenes de identidades, como un dominio de Active Directory, a vCenter Single Sign-On.
Configurar vCenter Single Sign-On
Puede configurar vCenter Single Sign-On desde vSphere Web Client.
Desde vSphere 6.0, vCenter Single Sign-On forma parte de Platform Services Controller.Platform Services Controller contiene servicios compartidos que son compatibles con los componentes devCenter Server y vCenter Server. Para administrar vCenter Single Sign-On, conéctese alPlatform Services Controller asociado a su entorno. Consulte Autenticar vSphere con vCenter Single Sign-On para ver información de fondo y detalles sobre la configuración.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 29
Autorización en vRealize SuiteLa autorización determina qué usuario o proceso puede acceder o modificar determinados componentes enla implementación de vRealize Suite. Los distintos productos de vRealize Suite administran la autorizaciónen distintos niveles de granularidad.
Distintos tipos de administradores son responsables de conceder acceso a diferentes tipos de usuarios paradiversos productos o componentes de productos.
Autorización de vCenter Server
El modelo de permisos de vCenter Server permite que los administradores puedan asignar funciones a unusuario o a un grupo para un objeto determinado en la jerarquía de objetos de vCenter Server. Las funcionesson conjuntos de privilegios. vCenter Server incluye funciones predefinidas, pero también se pueden crearfunciones personalizadas.
En muchos casos. los permisos se deben definir tanto en el objeto de origen como en el objeto de destino. Porejemplo, si mueve una máquina virtual, necesitará algunos privilegios en esa máquina virtual, pero tambiénnecesitará privilegios en el centro de datos de destino.
Además, los permisos globales permiten conceder a determinados usuarios privilegios para todos losobjetos de la jerarquía de objetos de vCenter. Use los permisos globales con cuidado, en especial si lospropaga por la jerarquía de objetos.
Consulte la documentación de seguridad de vSphere para obtener información detallada y viídeos coninstrucciones sobre los permisos de vCenter Server.
Autenticación de vRealize Automation
vRealize Automation le permite usar funciones predefinidas para determinar qué usuario o grupo puederealizar determinadas tareas. A diferencia de vCenter Server, no se permite definir funcionespersonalizadas, pero se proporciona un amplio conjunto de funciones predefinidas.
La autenticación y la autorización se realizan de la siguiente manera:
1 El administrador del sistema realiza la configuración inicial de los ajustes básicos de tenant y de SingleSign-On, incluida la designación de al menos un almacén de identidades y un administrador de tenantspara cada tenant.
2 A partir de entonces, un administrador de tenants podrá configurar almacenes de identidadesadicionales y asignar funciones a los usuarios o grupos de los almacenes de identidades.
Los administradores de tenants también pueden crear grupos personalizados en sus propios tenants yagregar usuarios y grupos definidos en el almacén de identidades a los grupos personalizados. Esposible asignar funciones a los grupos personalizados, como los grupos y los usuarios de un almacén deidentidades.
3 A continuación, los administradores pueden asignar funciones a los usuarios y los grupos, según lafunción a la que ellos mismos pertenezcan.
n Se proporciona un conjunto de funciones predefinidas, como administrador del sistema,administrador de IaaS y administrador de tejidos, para todo el sistema.
n También se proporciona un conjunto de funciones predefinidas para tenants, como administradorde tenants o administrador de catálogo de aplicaciones.
Consulte la documentación de vRealize Automation.
Descripción general de vRealize Suite
30 VMware, Inc.
Administración de identidad federadaLa administración de identidad federada permite que las identidades y los atributos electrónicos de undominio se acepten y se usen para acceder a los recursos de otros dominios. Puede habilitar laadministración de identidad federada entre vRealize Automation, vRealize Operations Manager yvSphere Web Client con vCenter Single Sign-On y VMware Identity Manager.
Los entornos de identidad federada dividen a los usuarios en categorías denominados roles en función decómo interactúen con los sistemas de identidad federada. Los usuarios usan los sistemas para recibirservicios. Los administradores configuran y administran la federación entre los sistemas. Losdesarrolladores crean y amplían los servicios consumidos por los usuarios. La siguiente tabla describe lasventajas de la administración de identidad federada que pueden utilizar estos roles.
Tabla 2‑5. Ventajas para los roles
Tipos de usuarios Ventaja de la identidad federada
Usuarios n Cómodo inicio de sesión único para varias aplicacionesn Menos contraseñas que administrarn Seguridad mejorada
Administradores n Más control sobre las autorizaciones y el acceso a lasaplicaciones
n Autenticación basada en contextos y directivas
Desarrolladores n Integración sencillan Ventajas de la administración de usuarios, grupos y
varios tenants, autenticación extensible y autorizacióndelegada con poco esfuerzo
Puede configurar la federación entre VMware Identity Manager y vCenter Single Sign-On creando unaconexión de SAML entre las dos partes. vCenter Single Sign-On actúa como proveedor de identidad yVMware Identity Manager como proveedor de servicios. El proveedor de identidad proporciona unaidentidad electrónica. El proveedor de servicios concede acceso a los recursos después de evaluar y aceptarla identidad electrónica.
Para que los usuarios realicen la autenticación con vCenter Single Sign-On, debe existir la misma cuenta enVMware Identity Manager y vCenter Single Sign-On. Como mínimo, el valor userPrincipalName delusuario debe coincidir en los dos extremos. Los demás atributos pueden ser diferentes porque no se usanpara identificar el firmante de SAML.
Para usuarios locales en vCenter Single Sign-On, como [email protected], es necesario crear las cuentascorrespondientes en VMware Identity Manager, donde coincide al menos el userPrincipalName del usuario.Las cuentas correspondientes deberán crearse de forma manual o con un script que use API de creación deusuarios locales de VMware Identity Manager.
La configuración de SAML entre SSO2 y vIDM requiere las siguientes tareas.
1 Importe el token de SAML de vCenter Single Sign-On a VMware Identity Manager antes de actualizarla autenticación predeterminada de VMware Identity Manager.
2 En VMware Identity Manager, configure vCenter Single Sign-On como proveedor de identidad deterceros en VMware Identity Manager y actualice la autenticación predeterminada deVMware Identity Manager.
3 En vCenter Single Sign-On, configure VMware Identity Manager como proveedor de serviciosimportando el archivo VMware Identity Manager sp.xml.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 31
Consulte la siguiente documentación del producto:
n Para obtener información cobre la configuración de SSO2 como proveedor de identidad devRealize Automation, consulte Uso de VMware vCenter SSO 5.5 U2 con VMware vCloud AutomationCenter 6.1.
n Para ver la documentación de vRealize Automation VMware Identity Manager, consulte Actualizar lacontraseña de Single Sign-On para VMware Identity Manager.
n Para obtener información sobre cómo configurar la federación entre Directories Management y SSO2,consulte Configurar federación de SAML entre administración de directorios y SSO2.
n Para ver la documentación de vRealize Operations Manager SSO, consulte Configurar una fuente deinicio de sesión en vRealize Operations Manager.
TLS y la protección de datosLos distintos productos de vRealize Suite usan TLS para cifrar la información de las sesiones entreproductos. De manera predeterminada, VMware Certificate Authority (VMCA), que forma parte dePlatform Services Controller, suministra certificados para algunos de los productos y servicios. Otroscomponentes se aprovisionan con certificados autofirmados.
Si desea reemplazar los certificados predeterminados con sus propios certificados de empresa o certificadosfirmados por una entidad de certificación, el proceso será diferente para los distintos componentes.
La comprobación de certificados está habilitada de manera predeterminada y se usan los certificados TLSpara cifrar el tráfico de la red. Desde la versión 6.0 de vSphere, VMCA asigna certificados a los hosts ESXi ylos sistemas vCenter Server como parte del proceso de instalación. Puede reemplazar estos certificados parausar VMCA como entidad de certificación intermedia, o puede usar certificados personalizados en suentorno. En vSphere 5.5 y las versiones anteriores, se usan certificados autofirmados, pero el usuario puedeoptar por usar estos certificados o reemplazarlos según sea necesario.
Puede reemplazar los certificados de vSphere 6.0 con la utilidad de administración de certificados devSphere o con la interfaz de línea de comandos de administración de certificados. Puede reemplazar loscertificados de vSphere 5.5 y anteriores con la herramienta de automatización de certificados.
Productos que usan VMCAVarios productos de VMware reciben certificados de VMCA durante la instalación. Dispone de variasopciones para esos productos.
n Deje los certificados tal cual para las implementaciones internas o considere reemplazar los certificadosexternos, pero dejar los certificados internos firmados por VMCA tal cual.
n Convierta a VMCA en un certificado intermedio. Más adelante se usa la cadena completa para firmar.
n Reemplace los certificados firmados por VMCA con certificados personalizados.
Consulte Certificados de seguridad de vSphere.
Productos que usan certificados autofirmadosPuede usar productos que usan certificados autofirmados. Los exploradores solicitan a los usuarios aceptaro rechazar cada certificado autofirmado la primera vez que se usa. Los usuarios pueden hacer clic en unvínculo para abrir y ver los detalles del certificado antes de aceptarlo o rechazarlo. Los exploradoresalmacenan los certificados aceptados localmente y los aceptan sin avisar en los usos siguientes. Puede evitarel paso de aceptación reemplazando los certificados autofirmados con certificados de empresa o certificadosfirmados por una entidad de certificación cuando sea necesario. La documentación del producto explicacómo reemplazar los certificados autofirmados.
Descripción general de vRealize Suite
32 VMware, Inc.
Tabla 2‑6. Reemplazar certificados autofirmados
Producto Documentación
vSphere Replication Consulte Cambiar el certificado SSL para el dispositivo devSphere Replication.
vRealize Automation Consulte Actualizar certificados de vRealize Automation.
vRealize Log Insight Consulte Instalar un certificado SSL personalizado.
vRealize Orchestrator Consulte Cambiar certificados SSL.
vRealize Operations Manager Consulte Añadir un certificado personalizado a vRealizeOperations Manager.
vRealize Business for Cloud Standard Consulte Cambiar o reemplazar el certificado SSL devRealize Business for Cloud.
Asegurar la capa físicaAsegurar la capa física incluye asegurar o proteger el hipervisor, establecer la máxima seguridad para la redfísica y asegurar la solución de almacenamiento.
Protección de puertos del conmutador estándarAl igual que con los adaptadores de red física, un adaptador de red virtual puede enviar tramas queaparentemente provienen de otra máquina o suplantar otra máquina. Además, al igual que los adaptadoresde red física, un adaptador de red virtual puede configurarse para que reciba tramas destinadas a otrasmáquinas.
Cuando se crea un conmutador estándar, se agregan grupos de puertos para imponer una configuración depolíticas para las máquinas virtuales y los sistemas de almacenamiento conectados al conmutador. Lospuertos virtuales se crean por medio de vSphere Web Client o de vSphere Client.
Mientras agrega un puerto o grupo de puertos estándar a un conmutador estándar, vSphere Clientconfigura un perfil de seguridad para el puerto. El host luego puede evitar que cualquiera de sus máquinasvirtuales suplante otras máquinas de la red. El sistema operativo invitado que es responsable de lasuplantación no detecta que se evitó la suplantación.
El perfil de seguridad determina con qué rigidez el host aplica la protección contra ataques de suplantacióne interceptación en las máquinas virtuales. Para usar correctamente la configuración en el perfil deseguridad, debe comprender los aspectos básicos del modo en que los adaptadores de red virtual controlanlas transmisiones y de cómo se manipulan los ataques en este nivel.
A cada adaptador de red virtual se le asigna una dirección MAC cuando se crea el adaptador. Se denominadirección MAC inicial. Si bien la dirección MAC inicial se puede volver a configurar desde fuera del sistemaoperativo invitado, ese sistema no podrá cambiarla. Además, cada adaptador tiene una dirección MACefectiva que filtra el tráfico de red entrante con una dirección MAC de destino, que no es la dirección MACefectiva. El sistema operativo invitado tiene la responsabilidad de configurar la dirección MAC efectiva. Porlo general, la dirección MAC efectiva coincide con la dirección MAC inicial.
Cuando se envían paquetes, el sistema operativo normalmente agrega la propia dirección MAC efectiva deladaptador de red en el campo de la dirección MAC de origen de la trama Ethernet. También agrega ladirección MAC para el adaptador de red de recepción en el campo de la dirección MAC de destino. Eladaptador de recepción acepta paquetes únicamente cuando la dirección MAC de destino del paquetecoincide con su propia dirección MAC efectiva.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 33
Después de la creación, la dirección MAC efectiva del adaptador de red y la dirección MAC inicial son lasmismas. El sistema operativo de la máquina virtual puede cambiar los valores de la dirección MAC efectivaen cualquier momento. Si un sistema operativo cambia la dirección MAC efectiva, el adaptador de red recibeel tráfico de red destinado para la nueva dirección MAC. El sistema operativo puede, en cualquier momento,enviar tramas con una dirección MAC de origen suplantada. Esto significa que el sistema operativo puedemanipular los ataques maliciosos en los dispositivos de una red mediante la suplantación del adaptador dered que autorice la red de recepción.
Los perfiles de seguridad del conmutador estándar se pueden usar en los hosts para protegerlo de este tipode ataque. Deben configurarse tres opciones. Si se altera cualquiera de los ajustes predeterminados para unpuerto, el perfil de seguridad deberá modificarse con la edición de los ajustes del conmutador estándar envSphere Client.
Protección del almacenamiento iSCSIEl almacenamiento configurado para un host podría incluir una o varias redes de área de almacenamiento(SAN) que usen iSCSI. Cuando se configura iSCSI en un host, los administradores pueden tomar variasmedidas para reducir los riesgos de seguridad.
iSCSI es una forma de acceder a dispositivos SCSI y de intercambiar recursos de datos por medio de TCP/IPsobre un puerto de red y no por medio de una conexión directa con un dispositivo SCSI. En transaccionesiSCSI, se encapsulan bloques de datos SCSI sin procesar en registros iSCSI y se transmiten al dispositivo ousuario que los requiere.
Una de las formas de proteger los dispositivos iSCSI de la intrusión no deseada es solicitar que el host oiniciador estén autenticados por el dispositivo iSCSI (o destino) cuando el host intente acceder a los datos dela LUN de destino. La autenticación demuestra que el iniciador tiene el derecho de acceder al destino.
ESXi y iSCSI admiten el protocolo Challenge Handshake Authentication (CHAP), que verifica laautenticidad de los iniciadores que acceden a los destinos de la red. Use vSphere Client ovSphere Web Client para determinar si se realiza la autenticación y para configurar el método deautenticación. Para obtener información sobre cómo configurar CHAP para iSCSI, consulte ladocumentación de vSphere Configurar parámetros CHAP para adaptadores de iSCSI.
Protección de las interfaces de administración de ESXiEs esencial la seguridad de la interfaz de administración de ESXi para brindar protección contra la intrusiónno autorizada y el uso indebido. Si hay algún host comprometido de alguna manera, las máquinas virtualescon las que interactúa también podrían quedar comprometidas. Para reducir el riesgo de un ataque a travésde la interfaz de administración, ESXi recibe la protección de un firewall integrado.
Para proteger al host de la intrusión no autorizada y el uso indebido, VMware impone restricciones enalgunos parámetros, ajustes y actividades. Las restricciones se pueden flexibilizar para cumplir con lasnecesidades de configuración. No obstante, si lo hace, debe tomar las medidas para proteger a la red enconjunto y a los dispositivos conectados al host.
Tenga en cuenta las siguientes recomendaciones a la hora de evaluar la administración y la seguridad delhost.
n Para mejorar la seguridad, limite el acceso del usuario a la interfaz de administración y aplique políticasde seguridad de acceso, como restricciones con contraseña.
n Solo proporcione a usuarios confiables acceso para iniciar sesión en ESXi Shell. ESXi Shell tiene accesoprivilegiado a determinadas instancias del host.
n Siempre que sea posible, ejecute solamente procesos, servicios y agentes esenciales, como los controlesde virus y las copias de seguridad de la máquina virtual.
Descripción general de vRealize Suite
34 VMware, Inc.
n Siempre que sea posible, use vSphere Web Client, o alguna herramienta de administración de redes deterceros, para administrar los hosts ESXi en lugar de trabajar en la interfaz de línea de comandos comousuario raíz. Cuando use vSphere Web Client, conéctese siempre al host ESXi a través de un sistemavCenter Server.
El host ejecuta varios paquetes de terceros para admitir las tareas o interfaces de administración que debeemplear un operador. VMware no admite la actualización de esos paquetes si no se realiza desde un origenVMware. Si se usa alguna descarga o revisión de otro origen, podrían verse comprometidas las funciones ola seguridad de la interfaz de administración. Visite con frecuencia los sitios de proveedores de terceros y labase de conocimientos de VMware para conocer las alertas de seguridad.
Además de implementar el firewall, puede mitigar riesgos en el host ESXi por medio de otros métodos.
n Asegúrese de dejar cerrados los puertos del firewall que no sean específicamente necesarios para elacceso de administración al host. Los puertos deben abrirse puntualmente si se requieren serviciosadicionales.
n Reemplace los certificados predeterminados y no habilite cifrados débiles. De manera predeterminada,los cifrados débiles están deshabilitados, y todas las comunicaciones de los clientes están protegidas porTLS. Los algoritmos exactos que se usan para proteger el canal dependen del protocolo de enlace deTLS. Los certificados predeterminados que se crean en ESXi usan SHA-1 con cifrado RSA comoalgoritmo de firma.
n Instale las revisiones de seguridad. VMware supervisa todas las alertas de seguridad que podríanafectar la seguridad de ESXi y, si fuera necesario, emite una revisión de seguridad.
n Los servicios no seguros, como FTP y Telnet, no se instalan; los puertos para esos servicios estáncerrados. Como se dispone fácilmente de servicios más seguros como SSH y SFTP, evite siempre usaresos servicios inseguros en favor de las alternativas más seguras. Si debe usar servicios no seguros,implemente la suficiente protección para los hosts ESXi y abra los puertos correspondientes.
Puede ejecutar los hosts ESXi en modo de bloqueo. Cuando el modo de bloqueo está habilitado, el host solopuede administrarse desde vCenter Server. No hay ningún usuario aparte de vpxuser que cuente conpermisos de autenticación; quedan denegadas las conexiones directas con el host.
Protección de sistemas vCenter ServerLa protección de vCenter Server incluye la seguridad de la máquina donde se ejecuta vCenter Server, elcumplimiento con las prácticas recomendadas para asignar privilegios y funciones, y el control de laintegridad de los clientes que se conectan a vCenter Server.
Controle estrictamente los privilegios de administrador de vCenter Server para aumentar la seguridad delsistema.
n Elimine todos los derechos administrativos para vCenter Server desde la cuenta de administrador localde Windows y otórgueselos únicamente a a una cuenta de administrador local de vCenter Server defines específicos. Otorgue los derechos administrativos completos de vSphere solo a losadministradores que los requieren. No otorgue este privilegio a ningún grupo que tenga unapertenencia sin control estricto.
n No permita que los usuarios inicien sesión en el sistema vCenter Server de manera directa. Otorgueacceso solo a los usuarios que tengan tareas legítimas y que confirmen el control de sus acciones.
n Instale vCenter Server con una cuenta de servicio y no con una cuenta de Windows. Para ejecutarvCenter Server se puede usar una cuenta de servicio o una cuenta de Windows. Si usa una cuenta deservicio, se facilita la autenticación de Windows en SQL Server, lo cual aporta más seguridad. La cuentade servicio debe ser de administrador en la máquina local.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 35
n Controle la reasignación de privilegios cuando reinicie vCenter Server. Si el usuario o grupo deusuarios al que se asigna la función de administrador en la carpeta raíz del servidor no se puedeverificar como usuario o grupo válido, los privilegios de administrador se quitan y se asignan al grupolocal de administradores de Windows.
Otorgue privilegios mínimos al usuario de la base de datos de vCenter Server. El usuario de la base de datossolo requiere algunos privilegios específicos para el acceso a la base de datos. Además, se requieren algunosprivilegios solo para la instalación y la actualización. Esos privilegios pueden quitarse tras instalar oactualizar el producto.
Proteger las capas virtualesDebe proteger las capas virtuales además de proteger las capas físicas, que incluyen el hardware, losconmutadores, etc. Proteja las máquinas virtuales, incluido el sistema operativo y la capa de red virtual.
Seguridad y máquinas virtualesLas máquinas virtuales son los contenedores lógicos donde se ejecutan aplicaciones y sistemas operativosinvitados. Según su diseño, todas las máquinas virtuales VMware están aisladas entre sí. Este aislamientopermite la ejecución segura de varias máquinas virtuales, al tiempo que se comparte el hardware.Proporciona la capacidad para acceder al hardware y un rendimiento ininterrumpido.
Un usuario con privilegios de administrador del sistema en un sistema operativo invitado de una máquinavirtual no podrá violar esta capa de aislamiento para acceder a otra máquina virtual si el administrador delsistema de ESXi no le otorga privilegios de manera explícita. Gracias al aislamiento de máquinas virtuales, sifalla un sistema operativo invitado que se ejecuta en una máquina virtual, seguirán funcionando otrasmáquinas virtuales del mismo host. Los usuarios podrán seguir accediendo a las otras máquinas virtuales, yno se verá afectado el rendimiento de esas máquinas.
Cada máquina virtual queda aislada de las demás máquinas virtuales que se ejecutan en el mismohardware. Aunque las máquinas virtuales comparten recursos físicos, como CPU, memoria y dispositivos deE/S, el sistema operativo invitado de una máquina virtual individual solo podrá detectar los dispositivosvirtuales para los que tiene disponibilidad.
Figura 2‑9. Aislamiento de máquinas virtuales
CPU
ControladoraSCSI
Memoria
Mouse
Disco
CD/DVD
Tarjetas de redy v�eo
Teclado
Sistema operativo
Recursos de la máquina virtual
Máquina virtual
El VMkernel sirve de mediador con todos los recursos físicos. Todo el acceso del hardware físico se producea través del VMkernel, y las máquinas virtuales no pueden evadir ese nivel de aislamiento.
Descripción general de vRealize Suite
36 VMware, Inc.
Así como las máquinas físicas se comunican entre sí en una red a través de una tarjeta de red, las máquinasvirtuales se comunican entre sí cuando se ejecutan en el mismo host, a través de un conmutador virtual.Además, una máquina virtual se comunica con la red física, incluidas las máquinas virtuales de otros hostsESXi, a través de un adaptador de red física.
Figura 2‑10. Redes virtuales a través de conmutadores virtuales
El conmutador virtual conecta las máquinas
virtuales entre sí
Máquina virtual
adaptadorde red virtual
Máquina virtual
adaptadorde red virtual
ESXi
VMkernel
Capa de red virtual
El adaptador de red de hardware conecta
las máquinas virtuales a la red física
Red física
Las redes virtuales también se ven afectadas por el aislamiento de máquinas virtuales.
n Si una máquina virtual no comparte un conmutador físico con ninguna otra máquina virtual, quedarácompletamente aislada de las máquinas virtuales del mismo host.
n Si no se configura ningún adaptador de red física para una máquina virtual, quedará completamenteaislada. Se incluye el aislamiento de cualquier red física o virtual.
n Las máquinas virtuales serán tan seguras como las máquinas físicas si las protege de la red confirewalls, software antivirus, etc.
Si desea aumentar la protección de las máquinas virtuales, puede configurar reservas y límites de recursosen el host. Por ejemplo, puede usar la asignación de recursos y configurar una máquina virtual para quesiempre reciba al menos un 10 % de los recursos de CPU del host, pero jamás más del 20 %.
Las reservas y límites de recursos protegen a las máquinas virtuales de la degradación del rendimiento quepodría originarse si otra máquina virtual consume en exceso recursos de hardware compartido. Por ejemplo,si una de las máquinas virtuales del host queda inhabilitada a causa de algún ataque por denegación deservicio (DoS), un límite de recursos en esa máquina podría evitar que el ataque consuma recursos dehardware de más como para que perjudique también a las demás máquinas virtuales. De manera similar,una reserva de recursos en cada máquina virtual asegura que todas las demás máquinas virtuales tendránsuficientes recursos para funcionar si la máquina virtual afectada por el ataque DoS requiere más recursos.
De manera predeterminada, ESXi impone cierta forma de reserva de recursos con la aplicación de unalgoritmo de distribución que divide equitativamente los recursos disponibles del host entre las máquinasvirtuales. Al mismo tiempo, mantiene un determinado porcentaje de recursos para que lo usen componentesde otros sistemas. Este comportamiento predeterminado proporciona cierto grado de protección naturalcontra los ataques DoS y DoS distribuidos. Las reservas y los límites de recursos específicos se definen demanera individual a fin de personalizar el comportamiento predeterminado y que la distribución no seaequitativa en todas las configuraciones de la máquina virtual.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 37
Seguridad y redes virtualesSi usa vCenter Server para acceder a un host ESXi, vCenter Server normalmente se protege con un firewall.Ese firewall proporciona protección básica para la red.
Normalmente se proporciona un firewall donde se reconoce un punto de entrada para el sistema. Unfirewall puede situarse entre los clientes y vCenter Server. También, vCenter Server y los clientes podríansituarse detrás del firewall para la implementación.
Las redes configuradas con vCenter Server pueden recibir comunicaciones a través de vSphere Client o declientes de administración de redes de terceros. vCenter Server escucha los datos de los hosts y clientesadministrados en los puertos designados. vCenter Server también supone que los hosts administradosescuchan datos de vCenter Server en los puertos designados. Los firewalls entre ESXi, vCenter Server yotros componentes vSphere deben tener puertos abiertos para admitir la transferencia de datos.
Los firewalls también podrían incluirse en varios otros puntos de acceso de la red en función de cómo sepensó usar la red y del nivel de seguridad que requieren los distintos dispositivos. Seleccione lasubicaciones de los firewalls en función de los riesgos de seguridad que se identificaron para la configuraciónde la red.
Uso de VMware NSX para asegurar las cargas de trabajoVMware NSX proporciona redes definidas por software, servicios de seguridad de redes virtuales defirewall lógico, conmutación lógica y enrutamiento lógico. Los diseñadores de redes virtuales ensamblanmediante programación estos servicios en cualquier combinación arbitraria para producir redes virtualesaisladas únicas. Esta tecnología proporciona una seguridad más detallada que los dispositivo de hardwaretradicionales. En entornos virtuales, puede aplicar estos servicios en el nivel de vNIC. Los serviciostradicionales se configuran en el red física.
Puede ver descripciones de determinadas funciones de VMware NSX en Guía de diseño de virtualización deredes de VMware NSX for vSphere (NSX). Los procedimientos para implementar estas funcionalidades sedetallan en la documentación de VMware NSX for vSphere.
NSX es la plataforma de seguridad de la virtualización de red de VMware que puede utilizar para construirun entorno de red virtual seguro para su centro de datos definido por software. Utilice NSX para construiruna red virtualizada segura mediante la implementación y la administración de firewalls definidos porsoftware, enrutadores, puertas de enlace y sus directivas. Donde las máquinas virtuales son independientesde la plataforma física subyacente y permiten que los sistemas de TI traten los hosts físicos como un grupode capacidad informática, las redes virtuales son independientes del hardware de red de IP subyacente. Lossistemas de TI pueden tratar la red física como un grupo de capacidad de transporte que se puede consumiry cambiar la finalidad a petición. Con NSX puede proteger el tráfico perimetral norte-sur y el tráfico este-oeste en la red y en las pilas informáticas que deben mantener la integridad de los datos. Por ejemplo, lascargas de trabajo de los distintos tenants pueden ejecutarse con seguridad en redes virtuales aisladasindividuales, aunque compartan la misma red física subyacente.
Funciones de NSXNSX ofrece un completo conjunto de elementos de red lógicos, protocolos de límites y servicios deseguridad para organizar y administrar las redes virtuales. La instalación de un complemento de NSX envCenter Server le ofrece un control centralizado para crear y administrar componentes y servicios de NSXen su centro de datos.
Consulte Guía de administración de NSX para obtener descripciones de las características y funcionalidadesde NSX.
Descripción general de vRealize Suite
38 VMware, Inc.
VMware NSX Edge
Proporciona enrutamiento norte-sur centralizado entre las redes lógicas implementadas en los dominios deNSX y la infraestructura de red física externa. NSX Edge admite los protocolos de enrutamiento dinámico,como Open Shortest Path First (OSPF), internal Border Gateway Protocol (iBGP) y external Border GatewayProtocol (eBGP), y puede usar el enrutamiento estático. La funcionalidad de enrutamiento admite losservicios con estado activo-en espera y el enrutamiento de varias rutas de igual coste (ECMP). NSX Edgetambién proporciona servicios perimetrales estándar, como los servicios de traducción de direcciones de red(NAT), equilibrio de carga, red privada virtual (VPN) y firewall.
Conmutación lógica
Los conmutadores lógicos de NSX proporcionan redes lógicas L2 que aplican el aislamiento entre las cargasde trabajo en las distintas redes lógicas. Los conmutadores distribuidos virtuales pueden abarcar varioshosts ESXi en un clúster en un tejido L3 mediante la tecnología VXLAN, lo que agrega la ventaja de laadministración centralizada. Puede controlar el ámbito de aislamiento creando zonas de transporte convCenter Server y asignando conmutadores lógicos a las zonas de transporte cuando sea necesario.
Enrutamiento distribuido
El enrutamiento distribuido lo proporciona un elemento lógico denominado enrutador lógico distribuido(DLR). El DLR es un enrutador con interfaces conectadas directamente a todos los hosts en los que serequiere conectividad con máquinas virtuales. Los conmutadores lógicos se conectan a los enrutadoreslógicos para proporcionar conectividad L3. La función de supervisión, el plano de control para controlar elenrutamiento, se importa desde una máquina virtual de control.
Firewall lógico
La plataforma NSX admite las siguientes funciones críticas para asegurar las cargas de trabajo de variosniveles.
n Compatibilidad nativa con la funcionalidad de firewall lógico, que proporciona protección con estadode las cargas de trabajo de varios niveles.
n Compatibilidad con los servicios de seguridad de varios proveedores y la inserción de servicios (porejemplo, la exploración de antivirus) para la protección de cargas de trabajo de aplicaciones.
La plataforma NSX incluye un servicio de firewall centralizado ofrecido por la puerta de enlace de serviciosde NSX Edge (ESG) y un firewall distribuido (DFW) habilitado en el kernel como paquete de VIB en todoslos hosts de ESXi que formen parte de un dominio determinado de NSX. El DFW proporciona firewall conrendimiento de tasa por línea, virtualización, reconocimiento de identidades, supervisión de actividad,registro y otras funciones de seguridad de red nativas en la virtualización de red. Configure estos firewallspara filtrar el tráfico en el nivel de vNIC de cada máquina virtual. Esta flexibilidad es fundamental paracrear redes virtuales aisladas, incluso para máquinas virtuales individuales si ese nivel de detalle esnecesario.
Use vCenter Server para administrar reglas de firewall. La tabla de reglas está organizada como secciones enlas que cada sección constituye una directiva de seguridad específica que se puede aplicar a cargas detrabajo específicas.
Grupos de seguridad
NSX proporciona criterios de mecanismos de agrupación que pueden incluir cualquiera de los siguienteselementos.
n Objetos de vCenter Server, como máquinas virtuales, conmutadores distribuidos y clústeres
n Propiedades de las máquinas virtuales, como los vNIC, los nombres de las máquinas virtuales y lossistemas operativos de las máquinas virtuales
n Objetos de NSX, incluidos los conmutadores lógicos, las etiquetas de seguridad y los enrutadoreslógicos
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 39
Los mecanismos de agrupación pueden ser estáticos o dinámicos, y un grupo de seguridad puede sercualquier combinación de objetos, incluida cualquier combinación de objetos de vCenter, objetos de NSX,propiedades de máquinas virtuales u objetos del administrador de identidades, como los grupos de AD. Elgrupo de seguridad en NSX está basado en todos los criterios estáticos y dinámicos, junto con criterios deexclusión estáticos definidos por un usuario. Los grupos dinámicos crecen y se reducen a medida que losmiembros entran o salen del grupo. Por ejemplo, un grupo dinámico podría contener todas las máquinasvirtuales que comiencen por el nombre web_. Los grupo de seguridad tienen varias características útiles.
n Puede asignar varias directivas de seguridad a un grupo de seguridad.
n Un objeto puede pertenecer a varios grupos de seguridad al mismo tiempo.
n Los grupos de seguridad pueden contener otros grupos de seguridad.
Use NSX Service Composer para crear grupos de seguridad y aplicar directivas. NSX Service Composeraprovisiona y asigna directivas de firewall y servicios de seguridad a las aplicaciones en tiempo real. Lasdirectivas se aplican a las nuevas máquinas virtuales a medida que se agregan al grupo.
Etiquetas de seguridad
Puede aplicar etiquetas de seguridad a cualquier máquina virtual, agregando contexto sobre la carga detrabajo según sea necesario. Puede basar los grupos de seguridad en etiquetas de seguridad. Las etiquetasde seguridad indican varias clasificaciones comunes.
n Estado de seguridad. Por ejemplo, vulnerabilidad identificada.
n Clasificación por departamento.
n Clasificación de tipos de datos. Por ejemplo, datos de PCI.
n Tipo de entorno. Por ejemplo, producción o desarrollos.
n Geografía o ubicación de las máquinas virtuales.
Directivas de seguridad
Las reglas del grupo de directivas de seguridad son controles de seguridad que se aplican a un grupo deseguridad creado en el centro de datos. Con NSX puede crear secciones en una tabla de reglas de firewall.Las secciones permiten mejorar la administración y el agrupamiento de las reglas de firewall. Una únicadirectiva de seguridad es una sección de una tabla de reglas de firewall. Esta directiva mantiene lasincronización entre las reglas de tuna tabla de reglas de firewall y las reglas escritas mediante la directivade seguridad, lo que garantiza una implementación coherente. A medida que se escriben las directivas deseguridad para aplicaciones o cargas de trabajo específicas, estas reglas se organizan en secciones específicasen una tabla de reglas de firewall. Puede aplicar varias directivas de seguridad a una sola aplicación. Elorden de las secciones cuando se aplican varias directivas de seguridad determina la prioridad de laaplicación de la regla.
Servicios de red privada virtual
NSX proporciona servicios de VPN denominadaos VPN L2y VPN L3. Cree un túnel VPN L2 entre un par dedispositivos de NSX Edge implementados en sitios de centros de datos distintos. Cree una VPN L3 paraproporcionar conectividad L3 segura a la red del centro de datos desde ubicaciones remotas.
Control de acceso basado en funciones
NSX incluye funciones de usuario que regulan el acceso a los recurso de red o informáticos de una empresa.Los usuarios solo pueden tener un tipo de función.
Descripción general de vRealize Suite
40 VMware, Inc.
Tabla 2‑7. Funciones de usuario de NSX Manager
Función Permisos
Administrador empresarial Operaciones y seguridad de NSX.
Administrador de NSX Solo operaciones de NSX. Por ejemplo, instalar dispositivosvirtuales o configurar grupos de puertos.
Administrador de seguridad Solo seguridad de NSX. Por ejemplo, definir directivas deseguridad de datos, crear grupos de puertos, crearinformes par módulos de NSX.
Auditor Solo lectura.
Integración de partners
Los servicios de los partners de tecnología de VMware están integrados con la plataforma de NSX en lasfunciones de administración, control y datos para proporcionar una experiencia de usuario unificada y unaintegración perfecta con cualquier plataforma de administración de nube. Vea más información en: https://www.vmware.com/products/nsx/technology-partners#security
Conceptos de NSXLos administradores de un SDDC configuran las características de NSX para proporcionar segmentación yaislamiento de redes en el centro de datos.
Aislamiento de redes
El aislamiento es la base para una gran proporción de seguridad de red, independientemente de que se tratedel cumplimiento, la contención o el aislamiento de entornos de desarrollo, prueba y producción. Desdesiempre se usaron ACL, reglas de firewall y políticas de enrutamiento para definir y aplicar el aislamiento yla funcionalidad de varios tenants. Con la virtualización de redes, esas propiedades se admiten de manerainherente. Con la tecnología VXLAN, las redes virtuales se aíslan entre sí y de la infraestructura físicasubyacente de forma predeterminada para proporcionar el principio de seguridad de mínimo privilegio. Lasredes virtuales se crean en el aislamiento y se mantienen aisladas a menos que se conecten explícitamente.No se requieren subredes físicas, VLAN, ACL ni reglas de firewall para habilitar el aislamiento.
Segmentación de redes
La segmentación de redes está relacionada con el aislamiento, pero se aplica en una red virtual de variosniveles. Desde siempre, la segmentación de redes ha sido una función de un enrutador o firewall físico,diseñado para permitir o denegar tráfico entre los segmentos o niveles de la red. Cuando se segmenta eltráfico entre los niveles de la Web, la aplicación y la base de datos, los procesos de configuracióntradicionales son muy lentos y están sumamente expuestos al error humano. Por ende, el porcentaje debrechas en la seguridad es bastante alto. Para la implementación, hay que tener experiencia en la sintaxis deconfiguración de dispositivos, en las direcciones de redes y en los puertos y protocolos de aplicación.
La virtualización de redes simplifica las configuraciones de compilación y prueba de los servicios de red afin de elaborar configuraciones comprobadas que puedan implementarse y duplicarse de maneraprogramática en toda la red y así aplicar la segmentación. Tanto la segmentación como el aislamiento deredes son funcionalidades básicas de la virtualización de redes de NSX.
Microsegmentación
La microsegmentación aísla el tráfico al nivel de la vNIC con enrutadores y firewalls distribuidos. Loscontroles de acceso que se aplican en la vNIC proporcionan más eficiencia a las reglas ya aplicadas en la redfísica. Puede usar la microsegmentación con un firewall distribuido de implementación y un firewalldistribuido de NSX para implementar la microsegmentación en una aplicación de tres niveles. Por ejemplo,servidor web, servidor de aplicación y base de datos, donde es probable que varias organizacionescompartan la misma topología de red lógica.
Capítulo 2 Descripción general de la arquitectura de vRealize Suite
VMware, Inc. 41
Modelo de confianza cero
Si desea definir la configuración de seguridad más estricta, aplique un modelo de confianza cero durante laconfiguración de políticas de seguridad. Un modelo de confianza cero deniega el acceso a recursos y cargasde trabajo, a menos que una política lo autorice de manera específica. En este modelo, el tráfico debe estaraprobado antes de recibir autorización. Asegúrese de autorizar el tráfico de infraestructura fundamental. Demanera predeterminada, NSX Manager, NSX Controller y las puertas de enlace de servicio NSX Edgequedan excluidos de las funciones del firewall distribuido. Los sistemas vCenter Server no quedanexcluidos; deben autorizarse explícitamente para evitar un bloqueo antes de aplicar esa política.
Protección del clúster de administración y las cargas de trabajo de tenantsSi es administrador de un SDDC, puede usar las funcionalidades de NSX para aislar y proteger el clúster deadministración y las cargas de trabajo de tenants de vRealize Suite en el centro de datos.
El clúster de administración incluye vCenter Server para el dominio, los productos NSX Manager yvRealize Suite, y otros productos y componentes de administración. Use la seguridad de la capa detransporte (Transport Layer Security, TLS) y la autenticación para proteger esos sistemas del acceso noautorizado. Use las funcionalidades de NSX para reforzar el aislamiento y la segmentación de los sistemasde redes virtuales del clúster de administración desde el clúster de perímetro y los clústeres y sistemas decargas de trabajo. Autorice el acceso adecuado a los puertos requeridos del sistema de administración, talcomo se describe en los documentos de instalación y configuración para los sistemas de administraciónimplementados.
Las cargas de trabajo de tenants del centro de datos podrían implementarse como aplicaciones de tresniveles, con servidores web, de aplicación y de base de datos. Use TLS y la autenticación para proteger esossistemas del acceso no autorizado. Use los servicios de seguridad proporcionados, como las cadenas deconexión de la base de datos para proteger las conexiones, y SSH para proteger el acceso al host. Aplique lasfuncionalidades de NSX en el nivel de la vNic donde sea posible para aislar y microsegmentar las cargas detrabajo de tenants entre sí.
Para obtener más información sobre los usos de las funcionalidades de NSX, consulte Guía de diseño devirtualización de redes de VMware NSX for vSphere (NSX). Para ver los procedimientos necesarios paraconfigurar las funcionalidades de NSX, consulte la documentación de VMware NSX for vSphere.
Descripción general de vRealize Suite
42 VMware, Inc.
Lista de comprobación para instalarvRealize Suite 3
Los productos de vRealize Suite se descargan, instalan y configuran por separado en un orden específico.Los productos individuales de vRealize Suite se ofrecen como paquetes de instalación para máquinasbasadas en Windows o Linux, o como dispositivos virtuales que puede implementar en las máquinasvirtuales que se ejecutan en hosts ESXi. Los productos que deberá instalar dependen de su edición devRealize Suite.
Para garantizar la interoperabilidad, compruebe que la versión de sus productos de vRealize Suite sea lacorrecta. Para obtener más información sobre la compatibilidad certificada de VMware, consulte Guías decompatibilidad de VMware.
Figura 3‑1. Flujo de implementación de vRealize Suite
Instale vRealize Infrastructure Navigator.
¿Está usandovRealize Suite
Standard?
Sí
No
Instale vRealize Business Cloud.
Instale vRealize Automation.
Instale vRealize Log Insight.
Instale vRealize Operations Manager.
VMware, Inc. 43
Tabla 3‑1. Lista de comprobación para instalar vRealize Suite
Productos de vRealize Suite Más información
Instale vRealize Operations Manager como dispositivovirtual o en un servidor de Windows o Linux.
Consulte la documentación de instalación de su versión devRealize Operations Manager.n Instalación de vRealize Operations Manager 6.6n Instalación de vRealize Operations Manager 6.5n Instalación de vRealize Operations Manager 6.4n Instalación de vRealize Operations Manager 6.3n Instalación de vRealize Operations Manager 6.2
Instale vRealize Log Insight como un dispositivo virtual. Consulte la documentación de instalación de su versión devRealize Log Insight.n Instalación de vRealize Log Insight 4.5n Instalación de vRealize Log Insight 4.3n Primeros pasos con VMware vRealize Log Insight 4.0n Guía de primeros pasos con VMware vRealize Log
Insight 3.6n Guía de primeros pasos con VMware vRealize Log
Insight 3.3.1
Instale vRealize Infrastructure Navigator como undispositivo virtual.
Consulte Guía de instalación y configuración de vRealizeInfrastructure Navigator.
Si ha comprado la edición vRealize Suite Advanced oEnterprise, instale vRealize Automation. Instalará undispositivo de vRealize Automation, que proporcionafunciones de administración y autoservicio, y un servidorde Windows infraestructura como servicio (Infrastructureas a Service, IaaS), que admite funciones de infraestructuraentre productos.
1 Planifique la instalación. Consulte la documentación dearquitectura de referencia para su versión devRealize Automation.n Arquitectura de referencia de vRealize Automation
7.3n Arquitectura de referencia de vRealize Automation
7.2n Arquitectura de referencia de vRealize Automation
7.1n Arquitectura de referencia de vRealize Automation
7.0.12 Instale vRealize Automation. Consulte la
documentación de instalación de su versión devRealize Automation.n Instalación de vRealize Automation 7.3n Instalación o actualización de vRealize Automation
7.2n Instalación o actualización de vRealize Automation
7.1n Instalación o actualización de vRealize Automation
7.0.1
Instale vRealize Business for Cloud como un dispositivovirtual.
Consulte la documentación de instalación de su versión devRealize Business for Cloud.n Instalación y administración de vRealize Business for
Cloud 7.3n Instalación y administración de vRealize Business for
Cloud 7.2n Guía de instalación de vRealize Business for Cloud 7.1n Guía de instalación de vRealize Business for Cloud
7.0.1
Descripción general de vRealize Suite
44 VMware, Inc.
Actualización de versiones anterioresde vRealize Suite o vCloud Suite 4
Si desea actualizar vRealize Suite desde la versión vCloud Suite o desde una versión anterior devRealize Suite, puede implementar las versiones actuales de los productos individuales. Siga el pedido deactualización recomendado para asegurarse de que las actualizaciones de vRealize Suite se completen sininconvenientes.
NOTA: Los clientes que tienen licencias de vCloud Suite y una suscripción activa y servicios de soportetécnico están autorizados a usar todos los productos nuevos de vRealize Suite 7.0 y vCloud Suite 7.0.
Antes de actualizar, revise la matriz de interoperabilidad de productos de VMware para cada producto queplanea actualizar a fin de asegurarse de contar con las versiones compatibles y admitidas. Visite el sitio webde Matrices de interoperabilidad de productos de VMware.
Tabla 4‑1. Actualización de productos vRealize Suite
Producto Más información
VMware vRealize Operations Manager Puede migrar datos desde vCenter Operations Managerhasta una instalación reciente deVMware vRealize Operations Manager. Consulte Migrar unaimplementación de vCenter Operations Manager a estaversión.
vRealize Infrastructure Navigator Actualizar vCenter Infrastructure Navigator
vRealize Log Insight Actualizar vRealize Log Insight
vRealize Automation Actualizar vRealize Automation
vRealize Business for Cloud Actualizar a vRealize Business for Cloud
VMware, Inc. 45
Descripción general de vRealize Suite
46 VMware, Inc.
Índice
Aactualizaciones de productos, Componentes de
vRealize Suite 45administración de almacenamiento 23administración de identidad federada 31administración de SDDC 24administración de servicios 15aislamiento, máquinas virtuales 36aislamiento de redes 41, 42almacenamiento compartido 23almacenamiento iSCSI 34Arquitectura de vRealize Suite 15autenticación 29autorización 29, 30
Ccapa de administración de nube 15capa de infraestructura virtual 15Capa de orquestación 24capa física 15centro de datos definido por software 15Centro de datos definido por software
(SDDC) 15certificados de cifrado y seguridad 32clúster de administración 17clúster de carga 17clúster perimetral 17Componentes de vRealize Suite, actualización
de productos 45conmutación lógica 38consideraciones de diseño 21consideraciones de seguridad 28continuidad empresarial 15control de acceso basado en funciones 38
Ddescripción general de la implementación,
vRealize Suite 43directiva de seguridad 38diseño conceptual 17diseño de ESXi 21diseño lógico 19documentación de seguridad 28
Eediciones, vRealize Suite 9enrutamiento distribuido 38etiquetas de seguridad 38
Ffirewall 38firewall lógico 38flujo de trabajo 24
Gglosario 5grupos de seguridad 38
IIaaS 26información actualizada 7Infraestructura como servicio 26infraestructura de SDDC 20inicio de sesión único 31instalación, descripción general de la
implementación de vRealize Suite 43interfaces de administración de ESXi y ESX 34
Llicencias, vRealize Suite 12límites y garantías de recursos, seguridad 36
Mmáquinas virtuales
reservas y límites de recursos 36seguridad 36
microsegmentación 41, 42modo de bloqueo del host ESXi 34
NNSX 38
PPaaS 27plataforma como servicio 27PLU, Véase Portable license unitPortable license unit 12productos de clúster de administración 19productos, vRealize Suite 10público objetivo 5
VMware, Inc. 47
puertos del conmutador estándar 33
Rred 22red privada virtual 38redes virtuales 38
SSAML 31segmentación 41, 42seguridad
capa física 33capas 36garantías y límites de recursos 36máquinas virtuales 36
seguridad del almacenamiento iSCSI 34servicios comunes 29servicios de redes virtuales 38sistemas vCenter Server 35Supervisión 26
VvCenter Server y seguridad 35vCenter Single Sign-On 29virtualización y administración en SDDC 21vRealize Suite
descripción general de la implementación 43licencia 12
vRealize Suite, ediciones 9vRealize Suite, productos 10
Descripción general de vRealize Suite
48 VMware, Inc.