Bienvenue à l’installation de Vmware vCenter 5.1 U1! Compte tenu de tous les nouveaux composants et l’architecture de Vmware vCenter 5.1, je suis partie sur une installation vierge de vCenter 5.1. Les étapes qui vont suivre utilisent vSphere 5.1 Update 1, qui a été publié en avril 2013. Vous pouvez trouver plus d’information sur cette version sur le site de Vmware.

L’installation de vSphere 5.1 Update 1 est très différente des versions version précédentes (5.0 et 4.x), donc ne partez pas du principe que vous devez juste cliquer sur Suivant et avoir une installation fonctionnelle et sécurisée. La version 5.1 de vCenter a, dirons nous, quelques bugs et problèmes liés au service SSO et sur la couche SSL. La version 5.1.0b a  résolue certain de ces problèmes, et la dernière (5.1 U1), d’autres bugs ont été corrigés.

Les 15 parties de ce tutoriel couvrent les points suivants:

• Installation de vCenter 5.1 Update 1 sur Windows Server 2008 R2
• les services SSO, Inventory, Serveur vCenter, client vSphere, client Web vSphere et Update Manager (VUM)
• Configurer des certificats SSL pour tous les services vSphere 5.1
• Cryptage SSL SQL pour les bases vCenter et VUM

Récemment Vmware a publié son outils d’automatisation de certificat vCenter v1.0, qui simplifie un peu le remplacement des certificats SSL.

La version vCenter 5.1 Update 1 est entièrement compatible avec Windows Server 2012 et SQL 2012.

Voici le plan des 15 parties de ce tutoriel

• Partie 2 (Création de certificat SSL)
• Partie 3 (Installation du certificat SSL pour le service SSO)
• Partie 4 (Service Inventory)
• Partie 5 (Installation du certificat SSl pour service Inventory)
• Partie 6 (Création des base de données pour vCenter et VUM)
• Partie 7 (vCenter Server)
• Partie 8 (Web Client)
• Partie 9 (Configuration SSO optionnelle)
• Partie 10 (Création DSN VUM)
• Partie 11 (VUM)
• Partie 12 (Configuration SSL VUM)
• Partie 13 (Configuration VUM)
• Partie 14 (Web Client et Logs SSL)
• Partie 15 (Certificat SSL pour ESXi)

Certificats SSL

vCenter s’articule autour de certificat SSL auto signé. Je vous recommande donc d’utiliser l’outils d’automatisation de certificat vCenter pour installer tous les certificats de confiance.  Il est conseillé de toujours utiliser les certificats SSL de confiance. Bien que l’outil n’est pas entièrement automatisé, il facilite les étapes d’intégration des certificats.

Pré requis serveur SQL

Avec les versions précédentes de vCenter, il était facile de configurer le serveur SQL et le lien ODBC pour utiliser des communications chiffrés. L’utilisation du chiffrement des communications SQL est la bonne pratique, mais n’est pas obligatoire. Depuis la version vCenter 5.1, le service SSO utilise un connecteur JDBC, que je n’ai pas pu configurer de manière chiffré.

Si le serveur SQL servant a héberger les bases de données pour vCenter est configuré pour forcer le cryptage SSL, il sera impossible de d’aller au delà de l’installation du service SSO. Afin de vérifier si le cryptage est activé sur le serveur SQL, ouvrez SQL Configuration Manager et vérifiez les propriétés des protocoles de l’instance. Si Force Encryption est activé, mettez le paramètre à No et redémarrez les services SQL

Le serveur SQL doit aussi permettre l’authentification Windows et SQL. L’authentification SQL est très faible, ce qui rend l’utilisation de SSL pour la connexion à la base de donnée impératif. De plus, si le serveur SQL ne permet pas l’authentification Windows, le message d’erreur suivant pourrait apparaître

Error 29115.Cannot authenticate to DB.

Afin de s’assurer de la bonne installation de vCenter, ouvrez SQL Studio et vérifiez que dans les propriétés du serveur que l’authentification Windows est activé. Redémarrez ensuite les services SQL

Installation vCenter 5.1 – Provisionning des VM

• Il est conseillé de provisionner plusieurs VM afin de séparer les rôles vCenter. Dans ce blog, je vais utiliser 2 VMs, 1 pour le SQL et l’autre pour le vCenter. Pour les grands environnements, il est conseillé de séparer les rôles vCenter sur plusieurs VM.La première VM pour le SQL est provisionné selon les pré requis Microsoft pour un système Windows 2008 R2. La seconde est provisionnée pour un Windows 2008 R2 avec 8 Go de RAM, 1 disque de 60 Go et 2 vCPU.
• Créez ensuite un compte de service sur le contrôleur de domaine et mettez ce compte dans le groupe Administrateurs Local du serveur vCenter. Vous devez aussi mettre le compte avec les droits « Act as part of the operating system » sur le serveur vCenter. Si le groupe Administrateur Local a déjà les droits, ce n’est pas la peine de rajouter le compte.

• Ouvrez le Server Manager et installez le .NET Framework 3.5

Configuration de la base SQL

Les version précédentes de vCenter (5.1GA, 5.1.0a, 5.1.0b) ne supportaient pas les ports dynamiques au niveau de la configuration SQL. Depuis la version 5.1 Update 1, il est désormais possible de mettre cette configuration.Pour rappel, Vmware ne supporte pas officiellement le cluster SQL, même si le support vous assistera dans cette configuration.

Le service SSO requiert une base de donnée, comme les autres services vCenter. Dans mon exemple j’utilise un serveur SQL 2008 R2 SP2, mais depuis la version 5.1 U1 il est possible d’utiliser un SQL 2012. il existe des des restrictions su au service SSO notamment sur le nommage de la base. En effet, seul les lettres, chiffre, underscore (_), trait d’union (-), arobase (@) et dièse (#) sont acceptés.

Création de la base SQL

J’ai créé un script personnalisé pour créer la base de donnée sur mon serveur SQL. Ce script est basé sur le script fourni sur l’ISO de vCenter. Dans mon exemple, ma base se nomme DB_Vmware_SSO. Exécutez ce script dans SQL Management Studio pour créer la base. il est important de ne surtout pas changer le nom des bases (RSA_DATA et RSA_INDEX) sous peine de voir l’installation du service SSO échouer.

USE MASTER
GO
CREATE DATABASE DB_VMware_SSO ON PRIMARY(
NAME='RSA_DATA',
FILENAME='K:\Microsoft SQL Server\MSSQL\Data\DB_VMware_SSO_Data.mdf',
SIZE=10MB,
MAXSIZE=UNLIMITED,
FILEGROWTH=10%),
FILEGROUP RSA_INDEX(
NAME='RSA_INDEX',
FILENAME='K:\Microsoft SQL Server\MSSQL\Data\DB_VMware_SSO_Index.mdf',
SIZE=10MB,
MAXSIZE=UNLIMITED,
FILEGROWTH=10%)
LOG ON(
NAME='translog',
FILENAME='L:\Microsoft SQL Server\MSSQL\Data\Logs\DB_VMware_SSO_Log.ldf',
SIZE=10MB,
MAXSIZE=UNLIMITED,
FILEGROWTH=10% )
GO
ALTER DATABASE [DB_VMware_SSO] SET RECOVERY SIMPLE
GO
CHECKPOINT
GO

Copiez le script suivant dans SQL Management Studio et changez le nom de la base ainsi que les mots de passes. Pour info, le mot de passe ne doit pas dépasser 32 caractères et ne doit pas contenir le point-virgule (;) les guillemets (« ), l’apostrophe (‘), le circonflex (^) et le backslash ().

USE MASTER
GO
CREATE LOGIN RSA_DBA WITH PASSWORD = 'Your Password', DEFAULT_DATABASE = DB_VMware_SSO
GO
CREATE LOGIN RSA_USER WITH PASSWORD = 'Your Password', DEFAULT_DATABASE = DB_VMware_SSO
GO
USE DB_VMware_SSO
GO
ALTER AUTHORIZATION ON DATABASE::DB_VMware_SSO TO RSA_DBA
GO
CREATE USER RSA_USER FOR LOGIN RSA_USER
GO
CHECKPOINT
GO

Installation du service SSO

1. Authentifiez vous avec le compte de service précédemment créé et lancez le programme d’installation de vSphere depuis l’ISO

 

A ce stade, Vmware propose soit une installation « Simple Install » ou bien d’installer chaque composant séparément. Puisque nous voulons remplacer les certificats SSL de manière la plus simple possible, nous n’utiliserons pas le « Simple Install ». Nous allons installer chaque service et réaliser les étapes de configuration.

2. Cliquez sur vCenter Single Sign On et cliquez sur Install. Sélectionnez la langue et attendez le démarrage de l’assistant. Après avoir accepté la licence, une fenêtre avec plusieurs options apparaît.

Vmware propose plusieurs options pour installer plusieurs instances de service SSO en haute disponibilité. Etant donné que c’est notre première instance, sélectionnez « Create the primary node for a new vCenter Single Sign On installation » et cliquez sur « Next »

L’écran suivant nous propose 2 choix:

• Faire une installation basique du service vCenter Single Sign On
• Créer le prmier noeud pour une nouvelle installation vCenter Single Sign On

Nous allons choisir le deuxième choix même si, pour cet exemple, nous n’aurons qu’un seul noeud

3. L’écran suivant nous demande de rentrer un mot de passe pour le compte administrateur SSO par défaut. A ce stade, ce compte est un compte local. Après l’installation du service SSO, vous pourrez le configurer pour ajouter des comptes AD, donc pas de panique sur ce mot de passe mais notez le quelque part.

Le mot de passe doit avoir au minimum 8 caractères contenant au minimum 1 lettre minuscule, 1 lettre majuscule, 1 chiffre et 1 caractère spécial. La taille maximale du mot de passe est de 32 caractères.

IMPORTANT: n’utilisez pas les caractères suivants dans le mot de passe

• circonflex (^)
• asterisque (*)
• dollar ($)
• point-virgule (;)
• guillemet (« )
• apostrophe (‘)
• parenthèse droite ())
• plus petit que (<)
• plus grand que (>)
• eperluete (&)
• pipe (|)
• backslash

L’utilisation de ces caractères entrainent l’erreur suivante “Error 29133.Administrator login error.”

4. A ce moment, la fenêtre suivante vous demande quelle base de donnée vous voulez utiliser. Sélectionnez le deuxième choix et cliquez sur Next

5. Renseignez les informations de la base de donnée précédemment créée et cliquez sur Next

6. Maintenant que la base de donnée est configurée, nous pouvons maintenant installer le service SSO. Renseignez le nom FQDN du serveur vCenter et cliquez sur Next

7. A ce stade, renseignez le compte de service créé précédemment.

8. Laissez le chemin d’installation par défaut et cliquez sur Next

9. laissez le port HTTPS par défaut et patientez jusqu’à la fin de l’installation

Voilà, le service SSO de vCenter est installé. la prochaine étape va être de créer tous les certificats dont vCenter a besoin. Vous pouvez cliquer sur ce lien pour passer à l’étape 2