VMware vCenter Server Appliance 5.5 installieren und konfigurieren

    Mit vCenter Server Appliance einer AD-Domäne beitretenSeit vSphere 5 gibt es eine vorkonfigurierte Linux-VM als Alternative zu einer Windows-basierten Installation von vCenter. Dieses Virtual Appliance bietet nicht den vollen Funktionsumfang und kann nur eine geringere Zahl an ESXi-Hosts verwalten. Das relativ einfache Setup macht es aber für kleinere Umgebungen interessant.

    Update: Das Vorgehen hat sich in der Version 6 geändert. Siehe dazu meine Anleitung zur Installation des vCSA 6.0.

    Das vCenter Server Appliance (vCSA) beruht auf SuSE Linux Enterprise Server und enthält neben den vCenter-Komponenten auch eine Datenbank. Damit fällt nicht nur einiger Installationsaufwand an, sondern man spart sich auch eine Lizenz von Windows- und SQL-Server. Die eingebettete Datenbank lässt in der Version 5.1 aber nur das Management von maximal 5 ESXi-Hosts oder 50 virtuellen Maschinen zu. Unter vSphere 5.5 wurde dieser Wert auf 100 Hosts und 3000 VMs erhöht. Braucht man mehr, dann kann man eine externe Datenbank ansprechen, wobei das vCSA nur Oracle unterstützt.

    Weitere Limits des vCenter Server Appliance

    Zusätzliche Einschränkungen des vCSA bestehen darin, dass man den Update Manager für das Patching von vSphere separat auf einem Windows-Rechner installieren muss, und dass es nicht mit vCenter Heartbeat kompatibel ist. Zudem unterstützt es weder IPv6 noch den Linked Mode (für einen detaillierten Vergleich zwischen vCenter Server und vCSA siehe diese Übersicht von Viktor van den Berg).

    Beim Download des vCenter Server Appliance kann man sich für das ganze Paket im OVA-Format entscheiden oder alternativ die zwei VMDKs und die OVF-File separat herunterladen. Normalerweise wird man die erste Variante wählen. Nachdem diese Variante von vCenter Server als VM vorliegt, muss man sie auf einen ESXi-Host übertagen (für Testzwecke kann man sie auch unter der VMware Workstation starten).

    Import des OVA-Appliance

    Der Import des vCSA erfolgt über den vSphere Client, so dass es nicht notwendig ist, die OVA-Datei manuell in einen ESXi-Datastore hochzuladen. Zuständig ist dafür der Befehl OVF-Vorlage bereitstellen im Menü Datei. Er startet einen Import-Wizard, der weitgehend selbsterklärend ist. Die einzig wesentlichen Entscheidungen, die man zu treffen hat, sind die Auswahl des VMDK-Typs und des Speicherorts.

    Per Voreinstellung ist das vCSA mit einer Speicherausstattung von 8 GB und einem Plattenplatz von 85 GB konfiguriert, wenn man sich für eine VMDK mit fixer Größe entscheidet. Beim Thin Provisioning belegt die VM am Anfang 4,2 GB. Abhängig von den Anforderungen kann man die RAM-Zuteilung nachträglich in den Einstellungen der VM bis auf 4 GB zurückfahren.

    Nach dem Import startet man die VM über den vSphere Client und öffnet die Konsole, um dort nach dem erfolgten Boot-Vorgang die benötigten Informationen für den nächsten Schritt ablesen zu können. Dies sind in erster Linie die IP- und Port-Adresse für die folgende Konfiguration des vCSA sowie einige Hinweise über das weitere Vorgehen.

    Nach dem Start des vCenter Server Appliance kann man in der Konsole des vSphere Client die benötigte URL auslesen.

    Konfiguration über Web-Konsole

    Wenn man die angegebene URL nach dem Muster https://192.168.100.100:5480 im Browser öffnet, dann gelangt man zum Anmeldedialog des vCenter Server Appliance. Das voreingestellte Passwort für root ist vmware. Nach erfolgreicher Anmeldung öffnet sich die Web-basierte Konsole, in der alle wesentlichen Einstellungen vorgenommen werden können, so dass Administratoren mit dem zugrunde liegenden Linux nicht in Berührung kommen.

    Wenn man die Netzwerkeinstellungen ändern möchte, dann sollte man den Setup Wizard unterbrechen.

    Nach der Authentifizierung startet sofort der Setup-Wizard, der gleich darauf aufmerksam macht, dass man ihn abbrechen müsse, wenn man eine feste IP-Adresse vergeben will. Das wird in den meisten Fällen erwünscht sein, so dass man nach dem Ausstieg aus dem Wizard zur Registerkarte Network wechselt und dort unter Address die IP-Einstellungen anpasst. Dazu gehören auch Angaben zum Standard-Gateway und der Hostname. Anschließend kann man den Wizard unter dem Reiter vCenter Server => Summary => Utilities erneut starten.

    Standardkonfiguration versus angepasste Einstellungen

    Für eine frische Installation kommen unter den 4 angebotenen Optionen prinzipiell nur Configure with default settings und Set custom configuration in Frage. Letztere wählt man vor allem dann, wenn man eine externe Oracle-Datenbank einbinden möchte. Normalerweise nimmt man die Standardeinstellungen, bei denen der Wizard das System weitgehend selbständig einrichtet.

    Wenn man die eingebettete Datenbank nutzt, dann kann man vCSA mit den Standardeinstellungen konfigurieren.

    Nicht berücksichtigt wird dabei die AD-Konfiguration, die der mit vSphere 5 eingeführte SSO-Dienst benötigt. Er überträgt die Authentifizierung der Benutzer an externe Identitätssysteme wie AD oder OpenLDAP, so dass eine direkte Anmeldung am vCenter Server entfällt. Dieser erhält im Gegenzug ein Security Token, das für den Zugriff auf vSphere-Komponenten verwendet wird (für eine detaillierte Beschreibung von vCenter SSO siehe diesen Beitrag in den VMware Blogs).

    Integration mit Active Directory

    Der Beitritt des vCenter Server Appliance zu einer AD-Domäne erfolgt über vCenter Server => Authentication. Wie bei einem Domain Join eines Windows-PCs benötigt man hier den Namen der Domäne und die Anmeldedaten eines berechtigten Users. Eine weitere Voraussetzung ist natürlich, dass die DNS-Einstellungen des vCSA korrekt sind, damit es den Domain Controller finden kann.

    Wenn hier Probleme auftreten und die AD-Anbindung fehlschlägt, dann erhält man nur die lapidare Fehlermeldung "Error: Enabling Active Directory failed" und keinen Hinweis zu den Ursachen. Eine solche kann beispielsweise sein, dass der Neustart nach dem Ändern der IP-Adresse den Hostnamen auf localhost zurücksetzt.

    Wenn der Beitritt des vCenter Server Appliance zu einer AD-Domäne scheitert, dann kann die Kommandozeile weiterhelfen.

    In solchen Fällen empfiehlt es sich, eine SSH-Verbindung mit vCSA aufzubauen und nach /opt/likewise/bin zu wechseln. Dort ruft man

    ./domainjoin-cli join <Domäne> <User>

    auf. Verschiedenen Foreneinträgen zufolge soll diese Operation gelingen, nachdem sie vorher im Web-Client fehlgeschlagen ist. In jedem Fall erhält man hier eine Fehlermeldung, die auf die Ursachen des Problems schließen lässt.

    Start des vSphere Web-Client

    Im nächsten Schritt öffnet man den vSphere Web Client über eine URL nach dem Muster https://<vcsa>:9443/vsphere-client. Allerdings wird die Anmeldung mit dem Hinweis auf ein ungültiges Zertifikat scheitern, wenn man eine feste IP-Adresse vergeben oder den Hostnamen geändert hat.

    In diesem Fall muss man in der vCSA-Konfiguration unter der Registerkarte Admin auf den Button Toggle certificate setting klicken. Dies bewirkt das Generieren neuer Zertifikate beim nächsten Boot-Vorgang. Nach dem erfolgten Neustart sollte man nicht vergessen, diese Einstellung wieder zurückzusetzen.

    Active Directory als Identitätsquelle eintragen

    Die Anbindung des AD erfolgt dann über Verwaltung => Anmeldung und Erkennung => Konfiguration. Sie ist notwendig, um im vCSA die Benutzer und Gruppen aus dem Microsoft-Verzeichnis abrufen zu können. Hier könnte man neben verschiedenen AD-Domänen auch ein OpenLDAP-Verzeichnis oder die lokale Benutzerverwaltung von vCSA eingeben.

    Nach dem Domain Join des vCSA muss man das AD als Identitätsquelle einbinden, so dass man auf dessen User zugreifen kann.

    Zu diesem Zweck klickt man im rechten Fenster auf das grüne Plus-Icon und füllt das folgende Formular mit den Daten zur Identitätsquelle aus (für ein Beispiel siehe Screenshot). Bevor man die Eingaben abschickt, sollte man über den Button Testverbindung ausprobieren, ob sie korrekt sind.

    Nach erfolgreicher Integration des AD kann man von dort Konten anzeigen lassen und ihnen Rechte zuteilen.

    Nun kann man sich unter vCenter Server => localhost => Verwalten => Berechtigungen eine Liste von AD-Konten anzeigen lassen und diesen Rechte für das Management von vSphere zuteilen.

    14 Kommentare

    Bild von Dominik
    Dominik sagt:
    18. Juni 2013 - 15:10

    Anzumerken ist noch bei folgender Limitierung:
    Die eingebettete Datenbank lässt aber nur das Management von maximal 5 ESXi-Hosts oder 50 virtuellen Maschinen zu.

    Die besteht nur auf dem Papier, bzw. VMware supportet keine grösseren Umgebungen auf der VCA basierend. Trotzdem lassen sich mehr als 5 Hosts oder 50 VMs damit administrieren.

    Bild von André Zeilinger
    André Zeilinger sagt:
    13. August 2013 - 11:22

    Wir bedienen zur Zeit mit SQL Express 8 Hosts und 60 VMs
    Die Datenbank behält Logfiles nur noch 5 Tage zurück und ist immer noch 3.8GB gross.

    Ist das "Standard" oder gibt es weiter Möglichkeiten die Datenbank schlanker zu kriegen?

    Gruss, André

    Bild von Dominik
    Dominik sagt:
    13. August 2013 - 12:59

    Hallo André

    Die Datenbank wird nicht automatisch kleiner.. ;)

    Die Grösse könnte schon hin kommen. Es kommt sehr auf den Loglevel an. Level 1 sammelt die wenigsten Daten. Ich hoffe aber nur du setzt das so nicht in einer produktiven Umgebung ein.

    Gruss
    Dominik

    Bild von Christoph Ostermayer
    Christoph Ostermayer sagt:
    19. November 2013 - 13:31

    Hallo,

    zuerst mal vielen Dank für die tolle Anleitung.
    Leider fehlt bei mir beim Punkt "Active Directory als Identitätsquelle eintragen" der Punkt "Anmeldung und Erkennung". Ich habe da nur die Punkte "Verwaltung", "Lizenzierung" und Lösungen" zur Auswahl.

    Somit kann ich auch den zweiten Schritt der Zuweisung der Domänenbenutzer zu Vmware-Rollen nicht durchführen.
    Im vSphere Client habe ich statt der Domäne nur einen leeren Eintrag, also "vsphere.local", " " und "(Server)".

    Kannst du mir da weiterhelfen? :)

    Vielen Dank!

    Bild von Christoph Ostermayer
    Christoph Ostermayer sagt:
    19. November 2013 - 13:58

    Lösung gefunden: Man darf sich nicht als root anmelden, sondern muss den Administrator@vsphere.local mit dem Passwort, das man beim SSO-Konfig vergeben hat, nutzen. Dann kann man auch das AD als Identitätsquelle nutzen. Geht auch unter vCenter 5.5

    Grüße und Danke,
    Christoph.

    Bild von Joe
    Joe sagt:
    19. Dezember 2013 - 12:27

    Hallo,
    ich beschäftige mich gerade mit der VMa5.5.0.0 Build 1387931

    dort gibt es nach dem Initial-setting lediglich
    die Reiter System, Network, Update
    im Web-Interface.

    ein Update-Versuch schlägt auch mit komplexer Fehlermeldung schwer..
    gibt es hierzu schon Erkenntnisse?

    Danke
    Joe

    Bild von Frank Meyer
    Frank Meyer sagt:
    26. November 2015 - 14:49

    Hallo zusammen,

    ich verwende aktuell vCenter 4 und bin mit dem Web Client in seinem Aufbau sehr zufrieden. Nun
    will ich auf vCenter 6 umstellen. Der Web Client enthält nun Berge von Funktionen die für meine
    Anwender irrelevante sind. Wie kann ich den vCenter Web Client so konfigurieren, dass er für den
    normalen Benutzer wie in Version 4 aussieht. Er soll also nur seine VMs sehen. Sonst nichts.

    Terminalserver und VMware View kommen NICHT in Frage. Gibt es vielleicht noch eine andere
    Möglichkeit VMware vCenter so einzurichten, dass meine Anwender nur ihre VMs und sonst nichts
    sehen? Gibt es hier zum vCenter Server Web Client noch alternative Software-Lösungen die man
    installieren könnte? So das ich den Zugriff auf den vCenter Server für die Standardnutzer ganz
    sperren könnte.

    Gruß und Dank, FM

    Bild von Dominik
    Dominik sagt:
    26. November 2015 - 14:55

    Hallo FM

    Du kannst das einzig und alleine über die Benutzerberechtigungen (Rollen) im vCenter lösen. Dort kannst du rel. granular einstellen welcher Benutzer was machen darf. Ihm werden dann auch nur die Systeme angezeigt auf welche er Zugriff hat. Funktionen die er nicht nutzen darf sind ausgegraut.

    Gruss
    Dominik

    Bild von Frank Meyer
    Frank Meyer sagt:
    27. November 2015 - 12:09

    Das war nicht meine Frage. Ich will wissen wie man die
    Ansicht des Web Clients so ändern kann. Es reicht mir nicht,
    dass der Anwender
    beim anklicken eines Menüs die Info erhält, dass er dafür nicht
    berechtigt ist. Ein solches Menü soll überhaupt nicht angezeigt
    werden. Ich möchte einfach eine glasklare Trennung zwischen der
    Anwender- und der Administratorebene haben. Im Moment ist das
    zusammengewürfelter Murx.

    Das war in Version 4 deutlich besser

    Bild von Dominik
    Dominik sagt:
    27. November 2015 - 14:27

    Sorry aber Version 4 hatte noch keinen richtigen Web-Client, der kam erst mit Version 5. Das was du möchtest ist so nicht angedacht. Der vSphere Web Client ist ein Administratoren Werkzeug. Das was du möchtest ist wohl eher sowas wie ein Kunden Portal. Da müsstest du dir mal die vCloud Suite anschauen.

    Falls du nur 1 ESXi Host hast, dann schau dir das mal an:
    https://labs.vmware.com/flings/esxi-embedded-host-client

    Bild von MS
    MS sagt:
    30. November 2015 - 11:53

    http://kb.vmware.com/kb/2042252

    Generating a virtual machine's remote console URL (2042252)

    Bild von Frank Meyer
    Frank Meyer sagt:
    30. November 2015 - 12:04

    Gelegentlich benutze ich diese Methode wenn es um eine einzelne VM geht. Für die Nutzer die auf mehrere VMs zugreifen müssen, gehört das eher in die Kategorie "nicht ganz ernst gemeint".

    Bild von Frank Meyer
    Frank Meyer sagt:
    27. November 2015 - 15:41

    Ich habe gerade mal nachgesehen. Wir haben Version ESX 4.1.0
    Build 502767 via vCenter. Und sorry, aber ich habe hier klar
    und deutlich den Web-Client vor mir. Damit arbeiten wir nun
    schon seit Jahren recht zufrieden. Was mit Version 5 kam weiss
    ich allerdings nicht. Das was wir im Moment haben ist aber genau
    das was ich brauche. Ein richtiger Web-Client!!! Ohne Admin
    Funktionen.

    Wir haben natürlich mehr als einen ESX Host. Ich werde mir nun mal
    die vCloud Suite ansehen. Aber umständlich ist das schon wenn erst
    noch Zusatzkomponenten für den Zugriff installieren muss.

    Besten Dank für den Tipp.

    Bild von Frank Meyer
    Frank Meyer sagt:
    3. Dezember 2015 - 19:00

    Ich habe mir nun vCloud angesehen. Das ist wie mit Atombomben auf
    Ameisen werfen. Für meinen Anwendungsbereich vollkommen
    überdimensioniert. Ich habe da auch nichts gefunden womit man
    einfach nur die Konsolen via Web Access bereitstellen kann. Ich
    habe mir nun Horizon View angesehen. Das ist offenbar die
    Weiterentwicklung von VMware View das ich an anderer Stelle im
    Einsatz habe. Auch hier scheint es nicht möglich zu sein einfach
    nur die nackte VMware Konsole bereit zu stellen. Ich habe zumindest
    nichts gefunden vor lauter Funktionsvielfalt. Die Anwendererfahrung,
    auf die VMware so viel wert legt, ist im Keller. Die Version 6
    kann ich so nicht gebrauchen. Hier fehlt eine klare Skalierbarkeit
    der Zugangsmethoden. Die muss von ganz einfach bis sehr
    anspruchsvoll reichen. Die erste Kategorie fehlt derzeit komplett.