Tags: Active Directory, vCenter
Seit vSphere 5 gibt es eine vorkonfigurierte Linux-VM als Alternative zu einer Windows-basierten Installation von vCenter. Dieses Virtual Appliance bietet nicht den vollen Funktionsumfang und kann nur eine geringere Zahl an ESXi-Hosts verwalten. Das relativ einfache Setup macht es aber für kleinere Umgebungen interessant.
Update: Das Vorgehen hat sich in der Version 6 geändert. Siehe dazu meine Anleitung zur Installation des vCSA 6.0.
Das vCenter Server Appliance (vCSA) beruht auf SuSE Linux Enterprise Server und enthält neben den vCenter-Komponenten auch eine Datenbank. Damit fällt nicht nur einiger Installationsaufwand an, sondern man spart sich auch eine Lizenz von Windows- und SQL-Server. Die eingebettete Datenbank lässt in der Version 5.1 aber nur das Management von maximal 5 ESXi-Hosts oder 50 virtuellen Maschinen zu. Unter vSphere 5.5 wurde dieser Wert auf 100 Hosts und 3000 VMs erhöht. Braucht man mehr, dann kann man eine externe Datenbank ansprechen, wobei das vCSA nur Oracle unterstützt.
Weitere Limits des vCenter Server Appliance
Zusätzliche Einschränkungen des vCSA bestehen darin, dass man den Update Manager für das Patching von vSphere separat auf einem Windows-Rechner installieren muss, und dass es nicht mit vCenter Heartbeat kompatibel ist. Zudem unterstützt es weder IPv6 noch den Linked Mode (für einen detaillierten Vergleich zwischen vCenter Server und vCSA siehe diese Übersicht von Viktor van den Berg).
Beim Download des vCenter Server Appliance kann man sich für das ganze Paket im OVA-Format entscheiden oder alternativ die zwei VMDKs und die OVF-File separat herunterladen. Normalerweise wird man die erste Variante wählen. Nachdem diese Variante von vCenter Server als VM vorliegt, muss man sie auf einen ESXi-Host übertagen (für Testzwecke kann man sie auch unter der VMware Workstation starten).
Import des OVA-Appliance
Der Import des vCSA erfolgt über den vSphere Client, so dass es nicht notwendig ist, die OVA-Datei manuell in einen ESXi-Datastore hochzuladen. Zuständig ist dafür der Befehl OVF-Vorlage bereitstellen im Menü Datei. Er startet einen Import-Wizard, der weitgehend selbsterklärend ist. Die einzig wesentlichen Entscheidungen, die man zu treffen hat, sind die Auswahl des VMDK-Typs und des Speicherorts.
Per Voreinstellung ist das vCSA mit einer Speicherausstattung von 8 GB und einem Plattenplatz von 85 GB konfiguriert, wenn man sich für eine VMDK mit fixer Größe entscheidet. Beim Thin Provisioning belegt die VM am Anfang 4,2 GB. Abhängig von den Anforderungen kann man die RAM-Zuteilung nachträglich in den Einstellungen der VM bis auf 4 GB zurückfahren.
Nach dem Import startet man die VM über den vSphere Client und öffnet die Konsole, um dort nach dem erfolgten Boot-Vorgang die benötigten Informationen für den nächsten Schritt ablesen zu können. Dies sind in erster Linie die IP- und Port-Adresse für die folgende Konfiguration des vCSA sowie einige Hinweise über das weitere Vorgehen.
Konfiguration über Web-Konsole
Wenn man die angegebene URL nach dem Muster https://192.168.100.100:5480 im Browser öffnet, dann gelangt man zum Anmeldedialog des vCenter Server Appliance. Das voreingestellte Passwort für root ist vmware. Nach erfolgreicher Anmeldung öffnet sich die Web-basierte Konsole, in der alle wesentlichen Einstellungen vorgenommen werden können, so dass Administratoren mit dem zugrunde liegenden Linux nicht in Berührung kommen.
Nach der Authentifizierung startet sofort der Setup-Wizard, der gleich darauf aufmerksam macht, dass man ihn abbrechen müsse, wenn man eine feste IP-Adresse vergeben will. Das wird in den meisten Fällen erwünscht sein, so dass man nach dem Ausstieg aus dem Wizard zur Registerkarte Network wechselt und dort unter Address die IP-Einstellungen anpasst. Dazu gehören auch Angaben zum Standard-Gateway und der Hostname. Anschließend kann man den Wizard unter dem Reiter vCenter Server => Summary => Utilities erneut starten.
Standardkonfiguration versus angepasste Einstellungen
Für eine frische Installation kommen unter den 4 angebotenen Optionen prinzipiell nur Configure with default settings und Set custom configuration in Frage. Letztere wählt man vor allem dann, wenn man eine externe Oracle-Datenbank einbinden möchte. Normalerweise nimmt man die Standardeinstellungen, bei denen der Wizard das System weitgehend selbständig einrichtet.
Nicht berücksichtigt wird dabei die AD-Konfiguration, die der mit vSphere 5 eingeführte SSO-Dienst benötigt. Er überträgt die Authentifizierung der Benutzer an externe Identitätssysteme wie AD oder OpenLDAP, so dass eine direkte Anmeldung am vCenter Server entfällt. Dieser erhält im Gegenzug ein Security Token, das für den Zugriff auf vSphere-Komponenten verwendet wird (für eine detaillierte Beschreibung von vCenter SSO siehe diesen Beitrag in den VMware Blogs).
Integration mit Active Directory
Der Beitritt des vCenter Server Appliance zu einer AD-Domäne erfolgt über vCenter Server => Authentication. Wie bei einem Domain Join eines Windows-PCs benötigt man hier den Namen der Domäne und die Anmeldedaten eines berechtigten Users. Eine weitere Voraussetzung ist natürlich, dass die DNS-Einstellungen des vCSA korrekt sind, damit es den Domain Controller finden kann.
Wenn hier Probleme auftreten und die AD-Anbindung fehlschlägt, dann erhält man nur die lapidare Fehlermeldung "Error: Enabling Active Directory failed" und keinen Hinweis zu den Ursachen. Eine solche kann beispielsweise sein, dass der Neustart nach dem Ändern der IP-Adresse den Hostnamen auf localhost zurücksetzt.
In solchen Fällen empfiehlt es sich, eine SSH-Verbindung mit vCSA aufzubauen und nach /opt/likewise/bin zu wechseln. Dort ruft man
./domainjoin-cli join <Domäne> <User>
auf. Verschiedenen Foreneinträgen zufolge soll diese Operation gelingen, nachdem sie vorher im Web-Client fehlgeschlagen ist. In jedem Fall erhält man hier eine Fehlermeldung, die auf die Ursachen des Problems schließen lässt.
Start des vSphere Web-Client
Im nächsten Schritt öffnet man den vSphere Web Client über eine URL nach dem Muster https://<vcsa>:9443/vsphere-client. Allerdings wird die Anmeldung mit dem Hinweis auf ein ungültiges Zertifikat scheitern, wenn man eine feste IP-Adresse vergeben oder den Hostnamen geändert hat.
In diesem Fall muss man in der vCSA-Konfiguration unter der Registerkarte Admin auf den Button Toggle certificate setting klicken. Dies bewirkt das Generieren neuer Zertifikate beim nächsten Boot-Vorgang. Nach dem erfolgten Neustart sollte man nicht vergessen, diese Einstellung wieder zurückzusetzen.
Active Directory als Identitätsquelle eintragen
Die Anbindung des AD erfolgt dann über Verwaltung => Anmeldung und Erkennung => Konfiguration. Sie ist notwendig, um im vCSA die Benutzer und Gruppen aus dem Microsoft-Verzeichnis abrufen zu können. Hier könnte man neben verschiedenen AD-Domänen auch ein OpenLDAP-Verzeichnis oder die lokale Benutzerverwaltung von vCSA eingeben.
Zu diesem Zweck klickt man im rechten Fenster auf das grüne Plus-Icon und füllt das folgende Formular mit den Daten zur Identitätsquelle aus (für ein Beispiel siehe Screenshot). Bevor man die Eingaben abschickt, sollte man über den Button Testverbindung ausprobieren, ob sie korrekt sind.
Nun kann man sich unter vCenter Server => localhost => Verwalten => Berechtigungen eine Liste von AD-Konten anzeigen lassen und diesen Rechte für das Management von vSphere zuteilen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Platform Services Controller und vCenter SSO: Konzept und Konfiguration
- Mit VMware vCenter 6 einer AD-Domäne beitreten
- VMware vCenter 5.5 in Active Directory integrieren
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- ModernAD: Kostenloses Reporting-Tool für Active Directory
Weitere Links
14 Kommentare
Anzumerken ist noch bei folgender Limitierung:
Die eingebettete Datenbank lässt aber nur das Management von maximal 5 ESXi-Hosts oder 50 virtuellen Maschinen zu.
Die besteht nur auf dem Papier, bzw. VMware supportet keine grösseren Umgebungen auf der VCA basierend. Trotzdem lassen sich mehr als 5 Hosts oder 50 VMs damit administrieren.
Wir bedienen zur Zeit mit SQL Express 8 Hosts und 60 VMs
Die Datenbank behält Logfiles nur noch 5 Tage zurück und ist immer noch 3.8GB gross.
Ist das "Standard" oder gibt es weiter Möglichkeiten die Datenbank schlanker zu kriegen?
Gruss, André
Hallo André
Die Datenbank wird nicht automatisch kleiner.. ;)
Die Grösse könnte schon hin kommen. Es kommt sehr auf den Loglevel an. Level 1 sammelt die wenigsten Daten. Ich hoffe aber nur du setzt das so nicht in einer produktiven Umgebung ein.
Gruss
Dominik
Hallo,
zuerst mal vielen Dank für die tolle Anleitung.
Leider fehlt bei mir beim Punkt "Active Directory als Identitätsquelle eintragen" der Punkt "Anmeldung und Erkennung". Ich habe da nur die Punkte "Verwaltung", "Lizenzierung" und Lösungen" zur Auswahl.
Somit kann ich auch den zweiten Schritt der Zuweisung der Domänenbenutzer zu Vmware-Rollen nicht durchführen.
Im vSphere Client habe ich statt der Domäne nur einen leeren Eintrag, also "vsphere.local", " " und "(Server)".
Kannst du mir da weiterhelfen? :)
Vielen Dank!
Lösung gefunden: Man darf sich nicht als root anmelden, sondern muss den Administrator@vsphere.local mit dem Passwort, das man beim SSO-Konfig vergeben hat, nutzen. Dann kann man auch das AD als Identitätsquelle nutzen. Geht auch unter vCenter 5.5
Grüße und Danke,
Christoph.
Hallo,
ich beschäftige mich gerade mit der VMa5.5.0.0 Build 1387931
dort gibt es nach dem Initial-setting lediglich
die Reiter System, Network, Update
im Web-Interface.
ein Update-Versuch schlägt auch mit komplexer Fehlermeldung schwer..
gibt es hierzu schon Erkenntnisse?
Danke
Joe
Hallo zusammen,
ich verwende aktuell vCenter 4 und bin mit dem Web Client in seinem Aufbau sehr zufrieden. Nun
will ich auf vCenter 6 umstellen. Der Web Client enthält nun Berge von Funktionen die für meine
Anwender irrelevante sind. Wie kann ich den vCenter Web Client so konfigurieren, dass er für den
normalen Benutzer wie in Version 4 aussieht. Er soll also nur seine VMs sehen. Sonst nichts.
Terminalserver und VMware View kommen NICHT in Frage. Gibt es vielleicht noch eine andere
Möglichkeit VMware vCenter so einzurichten, dass meine Anwender nur ihre VMs und sonst nichts
sehen? Gibt es hier zum vCenter Server Web Client noch alternative Software-Lösungen die man
installieren könnte? So das ich den Zugriff auf den vCenter Server für die Standardnutzer ganz
sperren könnte.
Gruß und Dank, FM
Hallo FM
Du kannst das einzig und alleine über die Benutzerberechtigungen (Rollen) im vCenter lösen. Dort kannst du rel. granular einstellen welcher Benutzer was machen darf. Ihm werden dann auch nur die Systeme angezeigt auf welche er Zugriff hat. Funktionen die er nicht nutzen darf sind ausgegraut.
Gruss
Dominik
Das war nicht meine Frage. Ich will wissen wie man die
Ansicht des Web Clients so ändern kann. Es reicht mir nicht,
dass der Anwender
beim anklicken eines Menüs die Info erhält, dass er dafür nicht
berechtigt ist. Ein solches Menü soll überhaupt nicht angezeigt
werden. Ich möchte einfach eine glasklare Trennung zwischen der
Anwender- und der Administratorebene haben. Im Moment ist das
zusammengewürfelter Murx.
Das war in Version 4 deutlich besser
Sorry aber Version 4 hatte noch keinen richtigen Web-Client, der kam erst mit Version 5. Das was du möchtest ist so nicht angedacht. Der vSphere Web Client ist ein Administratoren Werkzeug. Das was du möchtest ist wohl eher sowas wie ein Kunden Portal. Da müsstest du dir mal die vCloud Suite anschauen.
Falls du nur 1 ESXi Host hast, dann schau dir das mal an:
https://labs.vmware.com/flings/esxi-embedded-host-client
http://kb.vmware.com/kb/2042252
Generating a virtual machine's remote console URL (2042252)
Gelegentlich benutze ich diese Methode wenn es um eine einzelne VM geht. Für die Nutzer die auf mehrere VMs zugreifen müssen, gehört das eher in die Kategorie "nicht ganz ernst gemeint".
Ich habe gerade mal nachgesehen. Wir haben Version ESX 4.1.0
Build 502767 via vCenter. Und sorry, aber ich habe hier klar
und deutlich den Web-Client vor mir. Damit arbeiten wir nun
schon seit Jahren recht zufrieden. Was mit Version 5 kam weiss
ich allerdings nicht. Das was wir im Moment haben ist aber genau
das was ich brauche. Ein richtiger Web-Client!!! Ohne Admin
Funktionen.
Wir haben natürlich mehr als einen ESX Host. Ich werde mir nun mal
die vCloud Suite ansehen. Aber umständlich ist das schon wenn erst
noch Zusatzkomponenten für den Zugriff installieren muss.
Besten Dank für den Tipp.
Ich habe mir nun vCloud angesehen. Das ist wie mit Atombomben auf
Ameisen werfen. Für meinen Anwendungsbereich vollkommen
überdimensioniert. Ich habe da auch nichts gefunden womit man
einfach nur die Konsolen via Web Access bereitstellen kann. Ich
habe mir nun Horizon View angesehen. Das ist offenbar die
Weiterentwicklung von VMware View das ich an anderer Stelle im
Einsatz habe. Auch hier scheint es nicht möglich zu sein einfach
nur die nackte VMware Konsole bereit zu stellen. Ich habe zumindest
nichts gefunden vor lauter Funktionsvielfalt. Die Anwendererfahrung,
auf die VMware so viel wert legt, ist im Keller. Die Version 6
kann ich so nicht gebrauchen. Hier fehlt eine klare Skalierbarkeit
der Zugangsmethoden. Die muss von ganz einfach bis sehr
anspruchsvoll reichen. Die erste Kategorie fehlt derzeit komplett.