Академический Документы
Профессиональный Документы
Культура Документы
2015 VMware, Inc. Todos los derechos reservados. Este producto est protegido por las leyes de
propiedad intelectual y de copyright internacionales y de los Estados Unidos. Este producto est cubierto
por una o varias de las patentes que se detallan en http://www.vmware.com/download/patents.html.
VMware es una marca registrada o una marca comercial de VMware, Inc. en los Estados Unidos y otras
jurisdicciones. Todos los dems nombres y marcas mencionados aqu podran ser marcas comerciales
de sus respectivas compaas.
VMware, Inc.
3401 Hillview Ave
Palo Alto, CA 94304
www.vmware.com
Contenido
1.
Introduccin....................................................................................... 7
2.
3.
4.
5.
6.
Grupos de recursos......................................................................... 31
6.1 Componentes de administracin de grupos de recursos ............................................ 31
6.2 Recurso informtico ..................................................................................................... 31
6.3 Redes ........................................................................................................................... 32
6.4 Almacenamiento .......................................................................................................... 44
7.
8.
Escalabilidad ................................................................................... 64
8.1 Grupo de recursos ....................................................................................................... 64
8.2 Clster de administracin ............................................................................................ 65
8.3 Federacin de vCloud Director .................................................................................... 66
2015 VMware, Inc. Todos los derechos reservados.
Pgina 3 de 78
9.
10.
Seguridad.................................................................................... 69
10.1 Instrucciones ................................................................................................................ 69
10.2 Registro de auditora .................................................................................................... 71
11.
Lista de figuras
Figura 1. Zona de disponibilidad individual ................................................................................................. 12
Figura 2. Grupos de recursos distribuidos .................................................................................................. 13
Figura 3. Grupo de recursos ampliado ....................................................................................................... 14
Figura 4. Regiones ...................................................................................................................................... 15
Figura 5. DR con replicacin de almacenamiento ...................................................................................... 15
Figura 6. Componentes del clster de administracin................................................................................ 17
Figura 7. Diseo de la base de datos de mtricas de las mquinas virtuales............................................ 21
Figura 8. Extensiones de vCloud Director .................................................................................................. 24
Figura 9. Arquitectura de los mensajes AMQP ........................................................................................... 25
Figura 10. Ejemplo de RabbitMQ multiregional .......................................................................................... 26
Figura 11. Ejemplo de diseo de RabbitMQ ............................................................................................... 26
Figura 12. Flujo de trabajo de vCloud Usage Meter ................................................................................... 30
Figura 13. Arquitectura tradicional de acceso/adicin/ncleo .................................................................... 34
Figura 14. Leaf-spine con clster Edge/informtico ................................................................................... 35
Figura 15. Leaf-spine con clster Edge/informtico y VDC no elstico ...................................................... 36
Figura 16. Leaf-spine con clster Edge dedicado ...................................................................................... 37
Figura 17. Leaf-spine con clster Edge dedicado y Edge ECMP ............................................................... 38
Figura 18. Clster de NSX Controller universal .......................................................................................... 42
Figura 19. Servicios compartidos con firewall distribuido y DLR ................................................................ 43
Figura 20. NSX Edge de tenants ................................................................................................................ 44
Figura 21. Relaciones fsicas, virtuales y de abstraccin de nube ............................................................. 47
Figura 22. Clster de Edge compartido para instancias de VDC de organizacin de reserva .................. 55
Figura 23. Red de servicio .......................................................................................................................... 59
Lista de tablas
Tabla 1. Glosario ........................................................................................................................................... 9
Tabla 2. Propiedades avanzadas de las celdas de vCloud Director .......................................................... 19
Tabla 3. Mtricas de consumo de recursos y rendimiento de mquinas virtuales ..................................... 20
Tabla 4. Instrucciones de configuracin de Cassandra .............................................................................. 23
Tabla 5. Mtricas de vCenter Chargeback ................................................................................................. 27
Tabla 6. Resumen de las opciones de implementacin de clsteres Edge ............................................... 40
Tabla 7. Requisitos de caractersticas del clster de NSX Controller ........................................................ 41
Tabla 8. Definiciones de centros de datos virtuales ................................................................................... 47
Tabla 9. Notificaciones de token de OAuth................................................................................................. 51
Tabla 10. Tamaos de puertas de enlace Edge ......................................................................................... 58
Tabla 11. Rendimiento de puertas de enlace Edge .................................................................................... 58
Tabla 12. Copia de seguridad de componentes de administracin ............................................................ 67
Tabla 13. Direcciones URL de portal web permitidas por el firewall de aplicacin web ............................ 70
Tabla 14. Registros de celdas de vCloud Director ..................................................................................... 71
Tabla 15. Registros de vCenter Chargeback Manager .............................................................................. 73
Tabla 16. Registros de puertas de enlace Edge ......................................................................................... 74
Tabla 17. Formato de registro de puerta de enlace Edge .......................................................................... 74
Tabla 18. Supervisin de celdas de vCloud Director .................................................................................. 75
Tabla 19. Supervisin de vCenter Chargeback .......................................................................................... 76
Tabla 20. Registros de vCloud Director ...................................................................................................... 76
1.
Introduccin
Los proveedores de servicios de VMware vCloud Air Network con el distintivo VMware Hybrid Cloud
Powered Services ofrecen a sus clientes empresariales una verdadera experiencia de nube hbrida:
compatibilidad completa con las aplicaciones virtuales existentes que se ejecutan en un entorno VMware
vSphere interno mediante el uso del mismo conjunto de herramientas para administrar sus centros de
datos virtuales internos y en la nube.
El proveedor de servicios debe estar validado por VMware para comprobar que su nube pblica cumpla
con los siguientes requisitos hbridos:
Nube compatible con el formato de virtualizacin abierto (Open Virtualization Format, OVF) para
movimiento bidireccional de cargas de trabajo
Este documento incluye instrucciones sobre cmo disear vSphere, vCloud Director y otras tecnologas
complementarias para que todos los proveedores de servicios puedan obtener el distintivo VMware
Hybrid Cloud Powered Service.
2.
Descripcin de la tecnologa
Para disear una nube hbrida, es necesario utilizar un conjunto de tecnologas prescritivas con el fin de
asegurar la compatibilidad requerida y la movilidad de las cargas de trabajo con un acceso de API
estandarizado.
vSphere, junto con VMware NSX, es la base de la plataforma de virtualizacin informtica y de redes
subyacente, en la que se puede utilizar cualquier recurso fsico compatible (servidores, almacenamiento,
conmutadores de red y enrutadores).
vCloud Director se utiliza para el plano de administracin de la nube. Admite, agrupa y abstrae de
manera nativa la plataforma de virtualizacin en trminos de centros de datos virtuales. Ofrece
caractersticas multitenant y acceso de autoservicio para tenants a travs de una interfaz grfica de
usuario nativa o a travs de la API de vCloud, lo que permite un acceso programable para los tenants
(para consumo) y para el proveedor (administracin de la nube). Adems, la API de vCloud ofrece un
marco para servicios de extensin, mediante el cual los proveedores de servicios pueden agregar
servicios adicionales a objetos de API nuevos o existentes. La API de vCloud permite que los
proveedores de servicios se diferencien de los dems y brinda la posibilidad de disear una interfaz de
usuario propia o utilizar la de un tercero. El lado de usuario de una API de vCloud que se expone a los
tenants permite la utilizacin de las mismas herramientas de VMware o de terceros para la
administracin.
VMware vCloud Usage Meter recopila datos de consumo de distintos componentes de software de
VMware para ofrecer una concesin de licencias de paquetes VMware Service Provider Program (VSPP)
segn el uso.
De manera opcional, se pueden utilizar componentes adicionales de VMware para la integracin de
sistemas de soporte operativos y empresariales:
VMware vCloud Connector para simplificar migraciones de mquinas virtuales, plantillas e imgenes
ISO hacia y desde la nube pblica para clientes y proveedores (administracin de catlogo pblico).
VMware Site Recover Manager para proteccin de recuperacin ante desastres de componentes
de administracin de la nube.
De manera opcional, VMware Virtual SAN puede extender los servicios de virtualizacin de
plataformas como una alternativa convergente de hipervisor con capacidad de escalado horizontal a los
sistemas de almacenamiento SAN o NAS tradicionales.
2.1
Glosario de trminos
Tabla 1. Glosario
Trmino
Definicin
Grupo de asignacin
Zona de disponibilidad
Catlogo
Nube dedicada
Redes externas
Clster de administracin
Grupos de redes
Nube a peticin
Organizacin
Administrador de
organizacin
Redes de VDC de
organizacin
Definicin
Grupo de reserva
Grupo de recursos
vApp
vAppEdge
Red de vApp
vCenter Chargeback
API de vCloud
Definicin
vCloud Director
3.
3.1
Ofertas de servicios
Nota
Con un diseo apropiado de aplicaciones, el tenant puede evitar el tiempo de inactividad en las
aplicaciones.
Nota
Replicacin de almacenamiento genrica sncrona o asncrona con conmutacin por error manual o
generada por script al otro sitio. Para obtener ms detalles, consulte Caso de estudio de resistencia
de infraestructura de VMware vCloud Director (VMware vCloud Director Infrastructure Resiliency
Case), en http://www.vmware.com/files/pdf/techpaper/VMware-vCloud-Directore-Infrastructureresiliency-whitepaper.pdf.
Solucin de almacenamiento que admite vSphere MetroStorage Cluster con conmutacin por error
automatizada proporcionada por vSphere HA. Para obtener ms detalles, consulte Caso de estudio
de VMware vSphere Metro Storage Cluster (VMware vSphere Metro Storage Cluster Case Study), en
http://www.vmware.com/files/pdf/techpaper/vSPHR-CS-MTRO-STOR-CLSTR-USLET-102-HIRES.pdf.
Nube a peticin
Nube dedicada
4.
Los grupos de recursos son dominios de infraestructura independiente representados por recursos
informticos, de redes y de almacenamiento virtualizados, cada uno de ellos administrado por su propio
vCenter Server.
5.
5.1
A excepcin de los entornos pequeos, VMware recomienda que el clster de administracin sea
administrado por su propio vCenter Server. Esto permite una proteccin de recuperacin ante desastres
con Site Recovery Manager y mejora ms la separacin de grupos de recursos. El uso de
almacenamiento dedicado (por ejemplo, VMware Virtual SAN) significa que los grupos de recursos no
afectan el rendimiento de almacenamiento de los componentes de administracin.
5.2
vCloud Director
Implemente al menos N+1 celdas, donde N es la cantidad de grupos de recursos, o bien n/3000+1,
donde n es la cantidad esperada de mquinas virtuales encendidas (utilice la mayor de las dos
opciones).
Para evitar una situacin de cerebro dividido, compruebe que las celdas se comuniquen entre s a
travs del bus de mensajes en la interfaz de red principal.
vCloud Director inicia el proxy (agente de escucha) de vCenter Server para cada uno de las
instancias de vCenter Server conectadas. Distribuya el proxy de vCenter Server entre las celdas de
forma tal que ninguna ejecute ms de un proxy. Para realizar esta tarea manualmente, debe
dispararse la reconexin de vCenter Server. En la instancia de vCenter Server reconectada, se inicia
un nuevo proxy de vCenter Server en la celda de vCloud Director menos utilizada.
Se puede dirigir el trfico de equilibrio de carga a una celda especfica. Sin embargo, las celdas no
se basan en el sitio, y las tareas se distribuyen al azar entre ellas. VMware recomienda mantener las
celdas en un sitio con su base de datos y recurso compartido de transferencia, y recuperarlas de
forma conjunta en caso de una recuperacin ante desastres.
Utilice un firewall de aplicaciones web para finalizar el trfico HTTPS de vCloud en el equilibrador de
carga y para aplicar reglas de firewall de Capa 7. Puede filtrarse segn la URL, la direccin IP de
origen o el encabezado de autenticacin para proteger el acceso a ciertas organizaciones o llamadas
de API (mbito del proveedor). El trfico entre el equilibrador de carga y las celdas tambin debe
estar cifrado con HTTPS.
Habilite la insercin de encabezados HTTP X-Forwarded-For en el equilibrador de carga para
rastrear la direccin IP de origen de las solicitudes en los registros de vCloud Director.
El trfico del proxy de la consola remota de VMware no puede finalizarse en el equilibrador de carga
y debe pasar por las celdas, ya que se trata de una conexin de socket SSL propia.
2015 VMware, Inc. Todos los derechos reservados.
Pgina 18 de 78
Utilice un algoritmo de equilibrio de carga por turnos o segn la menor cantidad de conexiones para
compartir la carga.
Realice las siguientes comprobaciones de estado en el equilibrador de carga para el grupo de celdas:
http://<cell_HTTP_IP>/api/server_status (la respuesta esperada es Service is up [El servicio est en
funcionamiento]).
https://<cell_consoleproxy_IP>/sdk/vimServiceVersions.xml o una comprobacin simple del puerto
TCP 443.
Despus de instalar la primera celda de vCloud Director, realice una copia de seguridad de los
certificados y del archivo $VCLOUD_HOME/etc/responses.properties, que contenga toda la
informacin necesaria para implementar celdas nuevas o adicionales (por ejemplo, la contrasea de
la base de datos).
Compruebe que todas las celdas puedan acceder al recurso compartido de transferencia de celdas y
que el usuario Linux de vCloud tenga permisos de escritura. El recurso compartido de transferencia
debe tener el tamao suficiente para almacenar todas las importaciones/exportaciones o migraciones
de OVF o ISO simultneas entre grupos de recursos (por ejemplo, 10 transferencias de 50 GB
simultneas necesitan un mximo de 500 GB de capacidad de recursos compartidos de
transferencia).
Para redirigir los registros de vCloud Director a un syslog externo, edite el archivo
$VCLOUD_HOME/etc/log4j.properties.
Para entornos de gran tamao, aumente el tamao de pila de JVM, el grupo de conexiones de la
base de datos y la conexin Jetty en $VCLOUD_HOME/bin/vmware-vcd-cell. Consulte la tabla a
continuacin.
Ubicacin
Valor
predeterminado
Valor
recomendado para
entornos de gran
tamao
$VCLOUD_HOME/bin/vmware
-vcd-cell
Database.pool.maxActive
$VCLOUD_HOME/etc/global
.properties
75
200
vcloud.http.maxThreads
$VCLOUD_HOME/etc/global
.properties
128
200
vcloud.http.minThreads
$VCLOUD_HOME/etc/global
.properties
25
32
vcloud.http.acceptorThreads
$VCLOUD_HOME/etc/global
.properties
16
A partir de vCloud Director 5.6, se admiten servidores de bases de datos Microsoft SQL y Oracle con
las siguientes opciones de alta disponibilidad. Consulte el artculo de la base de conocimientos de
VMware: Opciones de alta disponibilidad admitidas para la base de datos de vCloud Director
(Supported high availability options for the vCloud Director database) (2037802)
(http://kb.vmware.com/kb/2037802).
Oracle RAC
Clster de conmutacin por error de Microsoft SQL
Nota
Siga las prcticas recomendadas de configuracin de base de datos de vCloud Director segn lo
especificado en el artculo de la base de conocimientos de VMware: Instalacin y configuracin de
una base de datos de vCloud Director 5.1 o 5.5 (Installing and configuring a vCloud Director 5.1 or
5.5 database) (2034540) (http://kb.vmware.com/kb/2034540).
Coloque la base de datos de vCloud Director con celdas de vCloud Director en el mismo sitio para
minimizar la latencia de red.
5.3
Tipo
Unidad
Descripcin
cpu.usage.average
Velocidad
Porcentaje
cpu.usagemhz.average
Velocidad
Megahercio
cpu.usage.maximum
Velocidad
Porcentaje
mem.usage.average
Absoluto
Porcentaje
disk.provisioned.latest
Absoluto
Kilobytes
disk.used.latest
Absoluto
Kilobytes
disk.read.average
Velocidad
Kilobytes por
segundo
disk.write.average
Velocidad
Kilobytes por
segundo
Las siguientes son consideraciones de diseo de la base de datos de mtricas de las mquinas virtuales:
El tamao de clster mnimo es de tres nodos (la cantidad de nodos debe ser mayor o igual al factor
de replicacin). Utilice un enfoque de escalado horizontal, no de escalado vertical, ya que el
rendimiento de Cassandra escala de manera lineal segn la cantidad de nodos.
Calcule los requisitos de E/S de acuerdo con la cantidad de mquinas virtuales esperada, y configure
adecuadamente el tamao del clster de Cassandra y su almacenamiento.
n: cantidad de mquinas virtuales esperada
m: cantidad de mtricas por mquina virtual (actualmente 8)
t: retencin (das)
r: factor de replicacin
E/S de escritura por segundo = n m r / 10
Almacenamiento = n m t r 114 kB
Para 30.000 mquinas virtuales, la cantidad estimada de E/S es de 72.000 IOPS de escritura y
3.288 GB de almacenamiento (en el peor de los casos, si la retencin de datos es de 6 semanas
y el factor de replicacin es 3).
Instale JNA (Java Native Access) versin 3.2.7 o posteriores en cada nodo, ya que puede mejorar el
uso de memoria de Cassandra (sin intercambio de JVM).
2015 VMware, Inc. Todos los derechos reservados.
Pgina 21 de 78
En casos de uso intensivo de lectura (muchos tenants que recopilan estadsticas de rendimiento) y
disponibilidad, VMware recomienda aumentar el factor de replicacin a 3.
Tamao recomendado de un nodo de Cassandra: 8 vCPU (una mayor cantidad de CPU mejora el
rendimiento de escritura), 16 GB de RAM (una mayor cantidad de memoria mejora el rendimiento de
lectura) y 2 TB de almacenamiento (cada uno de ellos respaldado por LUN/discos individuales con
un alto rendimiento de IOPS).
KairosDB no aplica la directiva de retencin de datos. Por lo tanto, los datos de mtricas antiguos
deben borrarse peridicamente con un script.
Nota
KairosDB v0.9.1 utiliza el nivel de consistencia Curum tanto para lectura como para escritura. Para
calcular el nivel Curum, se lo redondea hacia abajo (factor de replicacin + 1)/2 y, tanto para lectura
como para escritura, la cantidad de nodos de rplica de Curum debe estar disponible. Los datos se
asignan a nodos a travs de un algoritmo de hash, y cada rplica tiene la misma importancia. En la
siguiente tabla, se ofrecen instrucciones sobre las configuraciones del factor de replicacin y el
tamao del clster.
Tamao del
clster
Cantidad de datos
del nodo
Curum
Disponibilidad
100%
50%
33%
100%
67%
50%
100%
75%
60%
100%
80%
Tamao del
clster
Cantidad de datos
del nodo
Curum
Disponibilidad
100%
83%
5.4
Pivotal RabbitMQ
vCloud Director y la API de vCloud incluyen un marco para la integracin de servicios de extensiones
a los que un cliente de API de vCloud puede acceder como si fueran servicios nativos. Adems de
las operaciones y los objetos especficos de servicios que ofrecen, los servicios de extensin pueden
implementar nuevas operaciones para objetos de API existentes.
Los mensajes de vCloud permiten conectar vCloud Director con sistemas externos mediante la
publicacin de notificaciones o mensajes de tareas de bloqueo en agentes de mensajera
empresariales basados en AMQP.
Las dos opciones se basan en un agente de mensajes AMQP, que debe instalarse. El servicio AMQP
debe estar configurado en vCloud Director. VMware recomienda utilizar Pivotal RabbitMQ como agente
AMQP.
2015 VMware, Inc. Todos los derechos reservados.
Pgina 24 de 78
Las celdas de vCloud Director vuelven a intentar la entrega de mensajes al agente AMQP hasta que
se alcanza el tiempo de espera configurado.
vCloud System Administrator recibe una notificacin por correo electrnico cuando se pierde la
conexin con el servidor AMQP.
El agente RabbitMQ puede implementarse en clster para lograr alta disponibilidad. Todas las
definiciones (intercambios, enlaces, usuarios, etc.) estn reflejadas en todo el clster. Puede utilizar
nodos RabbitMQ con equilibrio de carga (configure el servicio AMQP en vCloud Director con la
direccin IP virtual del equilibrador de carga), o bien cada celda de vCloud puede tener instalado el
servicio RabbitMQ (apunte el servicio AMQP a la direccin de localhost).
Cuando RabbitMQ est implementado en clster, no controla bien las particiones de red. Por lo tanto,
no se recomienda implementar nodos entre sitios. Una situacin de cerebro dividido provocar que
algunos mensajes no se entreguen correctamente. Es esencial supervisar el estado de los clsteres.
De forma predeterminada, las colas residen solo en el nodo donde se declararon. Para obtener alta
disponibilidad, deben reflejarse en nodos con un maestro y varios esclavos; esto se logra a travs de
una directiva. Los mensajes publicados en la cola se replican a todos los esclavos. Los
consumidores se conectan al maestro ms all del nodo al que estn asociados, y los esclavos
descartan los mensajes que se confirmaron en el maestro.
El consumidor se suscribe a la misma cola a travs de todos los agentes RabbitMQ o con un agente
de equilibrio de carga, y puede recuperar mensajes en caso de errores en un nodo.
Aunque VMware an ofrece la descarga de VMware vFabric RabbitMQ, el sitio web de Pivotal tiene
la versin ms reciente. Pivotal tambin ofrece soporte para RabbitMQ.
RabbitMQ escala verticalmente hasta miles de mensajes por segundo, una cantidad mucho mayor a
la que puede publicar vCloud Director. Por lo tanto, no es necesario equilibrar la carga de los nodos
de RabbitMQ por motivos de rendimiento.
RabbitMQ puede utilizar SSL para la comunicacin con vCloud Director y los consumidores. Esta
opcin debe habilitarse cuando la comunicacin pase por redes no seguras.
En algunos casos poco frecuentes, es posible que los tenants necesiten acceder a mensajes de
vCloud especficos de la organizacin para conectar sus propias herramientas de orquestacin.
Aunque esta situacin es ms probable en entornos de nube dedicada, es posible satisfacer esta
solicitud con el complemento Shovel de RabbitMQ. El proveedor implementar la propia instancia del
tenant de RabbitMQ, mientras que el RabbitMQ del proveedor conectar mediante un proxy un
subconjunto de mensajes de vCloud a la instancia del tenant.
El complemento Shovel tambin puede utilizarse para mensajes de agregacin de varias instancias
de vCloud Director en un receptor RabbitMQ. Esto puede ser til en una configuracin multiregional,
donde el portal de la federacin consume mensajes de una instancia de RabbitMQ central agregada.
2015 VMware, Inc. Todos los derechos reservados.
Pgina 25 de 78
5.5
Chargeback Manager
VMware vCenter Chargeback Manager ofrece capacidad de medicin para permitir que los costos
sean transparentes. En entornos de proveedores de servicios, por lo general, se utiliza para medir el uso
que hacen los tenants de los recursos y tambin para proporcionar datos sin procesar a los sistemas de
facturacin existentes.
vCenter Chargeback se conecta con la base de datos de vCenter del grupo de recursos y recupera datos
de uso cada 30 minutos. La integracin con vCloud Director se maneja a travs de dos recopiladores de
datos adicionales, que recopilan datos en intervalos de 5 minutos:
El recopilador de datos de vCloud se conecta con vCloud Director a travs de la API de vCloud para
recopilar datos de uso de recursos para cada organizacin. vCenter Chargeback genera
automticamente las jerarquas de cada organizacin.
El recopilador de datos de vShield habla con VMware vCloud Networking and Security o con NSX
Manager y recopila informacin sobre los recursos de red que utilizan los tenants de vCloud.
Mtricas de Chargeback
CPU
Memoria
Red
Recuento de redes
Costo fijo
Concesin de licencias
Disco
Personalizado
Las directivas de facturacin definen la cantidad de unidades de recursos informticos cobrables que
deben considerarse. Los modelos de precios consisten en tarifas de recursos y directivas de facturacin.
Los informes incluyen el costo o el uso de una entidad jerrquica en particular durante un perodo segn
un precio determinado.
Las siguientes son consideraciones de diseo de vCenter Chargeback:
Los recopiladores de datos de vCenter Chargeback pueden instalarse en varios servidores para una
mayor escalabilidad. Implemente al menos dos de cada tipo para obtener alta disponibilidad.
Los datos medidos se conservan en la base de datos de vCenter Chargeback con trabajos de
acumulacin regulares. Hay una retencin de datos con una granularidad de datos de 5 minutos
disponible solo para las ltimas 24 horas. Luego se acumula en promedios mximos de 1 da, que se
conservan para siempre.
Puede utilizarse MS SQL u Oracle para la base de datos de vCenter Chargeback. Hay una
herramienta de dimensionamiento disponible en
https://www.vmware.com/support/vcbm/doc/CBM%20DB%20Size%20Calculator.xlsm.
Puede equilibrarse la carga de los nodos del servidor Chargeback a travs de un equilibrador de
carga integrado. No se admite un equilibrador de carga externo. Para obtener alta disponibilidad,
implemente el equilibrador de carga por separado en una mquina virtual de vCPU protegida por
VMware vSphere Fault Tolerance.
Los recopiladores de datos pueden implementarse externamente o integrarse en nodos del servidor
Chargeback. La carga se distribuye de manera uniforme entre ellos.
Por lo general, no se permite que los tenants vean directamente los informes de costo y uso.
vCenter Chargeback se integra con LDAP basado en Active Directory, pero el rol de superusuario de
vCenter Chargeback puede asignarse solo a un usuario local. vCenter Chargeback utiliza
autorizacin basada en recursos. Por lo tanto, antes de que un usuario de LDAP pueda acceder a
una determinada jerarqua de vCenter Chargeback, un superusuario debe habrsela asignado.
Los informes pueden programarse a travs de una API similar a REST y exportarse a un sistema de
facturacin en formato XML.
vCenter Chargeback solo tiene compatibilidad limitada para vCloud Director 8.0.
5.6
vRealize Orchestrator
vRealize Orchestrator ofrece orquestacin de servicios. Puede automatizar tareas entre productos de
VMware mediante el aprovechamiento de la API de vCloud, la API de VIM, las API de vCloud Networking
and Security/VMware NSX o la API de vCenter Chargeback. A travs de complementos genricos (SSH,
SOAP, HTTP REST, SQL, PowerShell, Active Directory) o especficos de terceros, tambin puede
orquestar otros sistemas. vRealize Orchestrator ofrece una gran biblioteca de flujos de trabajo y acciones
en su configuracin bsica, y su biblioteca crece con cada complemento que se instala. Pueden
disearse flujos de trabajo potentes con conocimientos escasos o nulos de una API.
vRealize Orchestrator puede tener dos roles distintos en entornos de vCloud Director.
Puede actuar como una extensin que est suscripta a RabbitMQ y consume mensajes de vCloud
Director. En este rol, vRealize Orchestrator ampla a vCloud Director al ofrecerle servicios
adicionales (copia de seguridad, controles adicionales, integracin con CMDB, etc.).
Acta como orquestador para tareas comunes de incorporacin o ciclo de vida de tenants. Las
tareas se activan a travs de un portal externo (VMware vRealize Automation Advanced Service
Designer o a travs de la API de REST de vRealize Orchestrator). Al utilizar complementos, el
servicio del tenant puede configurarse de extremo a extremo.
vRealize Orchestrator requiere una base de datos. Se admiten las siguientes bases de datos: MS
SQL, Oracle, PostgreSQL, base de datos integrada o base de datos de vCenter Server (versin de
Windows de vRealize Orchestrator nicamente).
En el modo de clster de alta disponibilidad, varios nodos de servidor de vRealize Orchestrator con
configuraciones idnticas de servidor y complementos funcionan de forma conjunta como clster y
comparten una base de datos. Solo los nodos activos responden a las solicitudes del cliente y
ejecutan flujos de trabajo. Todos los nodos del servidor se comunican entre s mediante el
intercambio de latidos (de forma predeterminada, cada 5 segundos, con un umbral de 12 latidos) a
travs de la base de datos. Si una instancia activa no enva latidos, se considera que no responde y
una de las instancias inactivas asume el control para reanudar todos los flujos de trabajo desde el
punto en que se interrumpieron. Debe utilizarse un equilibrador de carga de red para enviar las
solicitudes del cliente a un nodo activo.
Puede utilizarse un complemento multinodo para coordinar flujos de trabajo entre instancias
independientes de vRealize Orchestrator.
Escalabilidad: una sola instancia de vRealize Orchestrator admite un mximo de 300 instancias de
flujo de trabajo simultneas en estado de ejecucin, con 35.000 mquinas virtuales administradas en
el inventario.
5.7
5.8
vCloud Usage Meter es un dispositivo virtual que recopila datos de uso de vCenter Server y vCloud
Director con el fin de ofrecer datos para la concesin de licencias de VSPP. Debe tener acceso a
instancias de vCenter Server de grupos de recursos y a la API de vCloud Director.
Figura 12. Flujo de trabajo de vCloud Usage Meter
6.
Grupos de recursos
Lmites de objetos de vCloud Director (las redes VDC de proveedor o VDC de organizacin no
pueden expandir dominios de vCenter)
6.1
6.2
Recurso informtico
El recurso informtico est representado por un conjunto de clsteres de vSphere con VMware vSphere
High Availability y VMware vSphere Distributed Resource Scheduler (DRS) habilitados. Para obtener
detalles, consulte las consideraciones de diseo en el documento Arquitectura de plataformas
informticas de VMware vSphere para proveedores de servicios.
Las siguientes son consideraciones de diseo de recursos informticos:
VMware recomienda no mezclar generaciones de CPU dentro de la misma oferta de servicios (VDC
de proveedor), ya que el cliente puede tener una experiencia de rendimiento diferente debido a la
asignacin de CPU de vCloud Director basada en la velocidad de reloj en GHz.
La seleccin de una directiva de control de admisin de High Availability depende de los acuerdos de
nivel de servicio (Service Level Agreement, SLA) requeridos. La nica directiva que garantiza el
reinicio de todas las cargas de trabajo de un host con errores es Especificar hosts de conmutacin
por error.
La cantidad de ncleos fsicos con hiperproceso determina la cantidad mxima de vCPU que los
tenants pueden asignar a sus mquinas virtuales.
2015 VMware, Inc. Todos los derechos reservados.
Pgina 31 de 78
Debido a las implicancias de seguridad en entornos de varios tenants, deshabilite el uso compartido
transparente de pginas de memoria. Para obtener ms informacin, consulte el artculo de la base
de conocimientos de VMware Capacidades adicionales de administracin de uso compartido
transparente de pginas en las revisiones 5.5, 5.1 y 5.0 de ESXi, cuarto trimestre de 2014 (Additional
Transparent Page Sharing Management capabilities in ESXi 5.5, 5.1, and 5.0 patches in Q4, 2014)
(2091682), en http://kb.vmware.com/kb/2091682.
6.3
Redes
vCloud Director crea y administra redes y servicios de redes virtuales a travs de un componente externo,
como VMware vShield Manager o NSX Manager. vShield Manager es el componente de
administracin de vCloud Networking and Security, que ya no se desarrolla y dejar de tener soporte en
2016.
VMware NSX for vSphere ofrece compatibilidad completa con versiones anteriores, y una ruta de acceso
de actualizacin sencilla para vCloud Networking and Security que agrega las siguientes funcionalidades:
Modos de plano de control VXLAN hbrido y de unidifusin que simplifican la configuracin de la red
fsica subyacente (sin necesidad de enrutamiento PIM de multidifusin)
A partir de vCloud Director 8.0, las caractersticas de VMware NSX no estn disponibles para tenants, y
solo el proveedor puede aprovecharlas.
Algunas de las instrucciones de compatibilidad para el uso de caractersticas de NSX adems de vCloud
Director son las siguientes:
En general, VMware recomienda no alterar los objetos de red creados y administrados por vCloud
Director directamente a travs de NSX (por ejemplo, actualizar la puerta de enlace NSX Edge a la
versin 6). Realice todos los cambios de configuracin a travs de vCloud Director.
Puede utilizarse NSX Manager para aprovisionar objetos consumidos solo por vCloud Director.
Algunos ejemplos son enrutadores externos (Edge y DLR) y redes externas.
Puede utilizarse NSX Manager para alterar el modo de plano de control de la zona de transporte de
VXLAN de multidifusin a basada en controladoras (unidifusin o hbrido). Sin embargo, todas las
reconfiguraciones de VDC de proveedor que agreguen o quiten un clster modificarn el modo de
plano de control, que volver a ser de multidifusin.
Las reglas de firewall distribuido son transparentes para vCloud Director. Sin embargo, al aplicarlas a
redes de VDC de organizacin o vApp, debe utilizarse la opcin aplicado a, debido a la
superposicin de espacios de direcciones IP.
2015 VMware, Inc. Todos los derechos reservados.
Pgina 32 de 78
Nota
La zona de transporte creada por vCloud Director siempre utiliza el modo de plano de control de
VXLAN de multidifusin. Sin embargo, puede modificarse manualmente a unidifusin/hbrido. Al
agregar o quitar un clster en el VDC de proveedor se restablece su zona de control a modo de
multidifusin.
Esta opcin de diseo tiene todas las ventajas de escala de la arquitectura leaf-spine. Sin embargo, la
desventaja es la posibilidad de que las cargas de trabajo de los tenants ocupen el espacio limitado en el
clster Edge/informtico. Hay dos opciones para corregir esto:
El administrador del sistema vCloud siempre implementa las puertas de enlace Edge de vCloud
Director. Antes de la implementacin de las puertas de enlace Edge, el administrador puede
comprobar si existe capacidad suficiente en el clster Edge/informtico. Si no la hay, algunas cargas
de trabajo de los tenants pueden migrarse a otro clster. Esto debe realizarse desde dentro de
vCloud Director (opcin Grupo de recursos/Migrar a). La migracin en vivo solo es posible si el
clster Edge/informtico comparte el mismo VMware vSphere Distributed Switch (VDS) preparado
para VXLAN con el resto de los clsteres. Esta configuracin requiere al menos cuatro vnculos
superiores de red en los hosts del clster Edge/informtico (dos para el VDS Edge con VLAN
externas y dos para el VDS de VXLAN que se expande a todos los clsteres).
Limite artificialmente el tamao del clster Edge/informtico para que el motor de seleccin no lo
seleccione para cargas de trabajo normales de tenants. Esto puede lograrse aprovechando el grupo
de recursos, que el administrador del sistema crea manualmente en el clster Edge/informtico y
conecta con el VDC de proveedor, no con todo el clster. El administrador del sistema establece un
lmite artificial, que se aumenta solo cuando debe implementarse una nueva puerta de enlace Edge.
Pros
Contras
Simpleza
Implementacin simple
Sobrecarga de administracin
alrededor de la administracin de
capacidad del clster
Edge/informtico.
Implementacin compleja
Altamente escalable
Compatibilidad con caractersticas
adicionales de NSX administrado
por el proveedor
Para la migracin de vCloud Network and Security a VMware NSX, el clster de NSX Controller debe
implementarse antes de utilizar cualquiera de las caractersticas avanzadas de NSX que requiere.
A continuacin, se presentan las consideraciones de diseo del clster de NSX Controller:
El clster de NSX Controller consiste en nodos de NSX Controller, que NSX Manager implementa en
el entorno de vSphere con el que NSX Manager est comunicado en el mismo nivel. Por lo tanto,
NSX Controller se ejecuta en los clsteres de vSphere del grupo de recursos.
El clster de NSX Controller consiste en tres nodos, que son mquinas virtuales implementadas por
NSX Manager. Un clster de NSX Controller con una mquina virtual puede utilizarse solo con fines
de capacitacin y demostracin. No se permite una cantidad par de controladoras, ya que siempre
debe haber curum.
Para contar con alta disponibilidad, cada nodo de NSX Controller debe colocarse en un host
diferente. Esto puede lograrse con una regla de DRS de antiafinidad creada manualmente.
La mquina virtual del nodo de NSX Controller debe conectarse con un grupo de puertos estndar o
distribuido. No puede conectarse con un grupo de puertos basado en VXLAN (conmutador lgico).
Las instancias de NSX Controller deben tener conectividad de red con vmknics de administracin de
NSX Manager y ESXi. No es necesario implementarlas en la misma subred de Capa 2.
Nota
Nota
El firewall distribuido de NSX excluye automticamente todas las mquinas virtuales creadas
por VMware NSX. No se pueden crear reglas de firewall distribuido que se apliquen a puertas
de enlace Edge.
VPN de Capa 2 entre la infraestructura en las instalaciones del cliente y el centro de datos virtual en
la nube.
El proveedor de servicios implementa la puerta de enlace de NSX Edge en el clster Edge y
configura un servidor de VPN de Capa 2. La puerta de enlace Edge est directamente conectada, a
travs de una red externa de vCloud Director dedicada, con el VDC de organizacin del cliente. El
tenant implementa una instancia de NSX Edge independiente en la infraestructura de vSphere en las
instalaciones y la configura como un cliente VPN de Capa 2 (consulte la Gua de administracin de
VMware NSX en http://pubs.vmware.com/NSX-61/index.jsp#com.vmware.nsx.admin.doc/GUIDC9E2B0E4-F1C1-44A7-B142-F814F801FA42.html).
6.4
Almacenamiento
En un entorno de vCloud Director, los usuarios pueden autoaprovisionar vApps en centros de datos
virtuales que contienen un grupo de capacidad de almacenamiento. El usuario no puede acceder a los
detalles del almacenamiento fsico. Se elimina el control preciso del lugar en el cual residen las vApps en
la infraestructura fsica, debido a que la responsabilidad de aprovisionamiento pasa a ser del usuario final.
El dimensionamiento del almacn de datos es un delgado equilibrio entre la disponibilidad, la capacidad
de recuperacin, el rendimiento y los requisitos de administracin. Cuando el aprovisionamiento fino, el
aprovisionamiento rpido o las instantneas estn habilitados, los requisitos de almacenamiento de las
mquinas virtuales existentes pueden aumentar y crear condiciones de almacenes de datos sin espacio.
Debe recurrirse a los umbrales amarillo y rojo del almacn de datos de vCloud Director, las alarmas de
vSphere y otras herramientas de supervisin de almacenamiento.
Se crean etiquetas de almacenamiento definidas por el usuario (por ejemplo, bronce, plata, oro), que
se asignan a almacenes de datos de vSphere. Cada directiva de almacenamiento de mquina virtual
de vSphere se asigna a las etiquetas correspondientes con un conjunto de reglas. Despus de la
sincronizacin, las directivas de almacenamiento pueden asignarse a los VDC de proveedor en
vCloud Director. En trminos generales, no debe utilizarse el perfil de almacenamiento universal *
(cualquiera). (Si se utiliza, deshabilite el almacn de datos local).
vCloud Director hace referencia a los almacenes de datos por los nombres de la directiva de
almacenamiento de vSphere. El nombre no debe volver a cambiarse en el futuro dentro de vSphere.
Una sola mquina virtual de vCloud Director puede expandirse en varios almacenes de datos. Por
ejemplo, el disco 1 de la mquina virtual puede estar en el almacn de datos A y el disco 2 de la
mquina virtual en el almacn de datos B, donde los almacenes de datos A y B pertenecen a la
misma directiva de almacenamiento o a varias diferentes. La seleccin de los discos en diferentes
niveles de almacenamiento es posible solo a travs de la API de vCloud Director. Cuando el
aprovisionamiento rpido est habilitado en el nivel del VDC de organizacin, la mquina virtual no
puede expandirse en varios almacenes de datos.
Puede conectarse un solo disco a una sola mquina virtual de manera simultnea. Para el
almacenamiento compartido entre mquinas virtuales, puede utilizarse el almacenamiento IP de
invitados.
Los discos independientes (disponibles solo a travs de la API de vCloud Director) pueden moverse
con facilidad entre las mquinas virtuales.
El equilibrio de espacio continuo en los LUN con aprovisionamiento fino por parte de la matriz de
almacenamiento crea espacio en blanco inutilizable. La operacin de VMware vSphere Storage
vMotion reubica los archivos de discos de la mquina virtual (VMs disk, VMDK) en la capa de
vSphere. Sin embargo, la matriz de almacenamiento no sabe que se puede volver a utilizar el
espacio liberado en el LUN de origen. Los bloques eliminados deben reclamarse manualmente con
el comando vmkfstools en el aviso de la interfaz de lnea de comandos de ESXi.
2015 VMware, Inc. Todos los derechos reservados.
Pgina 45 de 78
Un clster de almacenes de datos con Storage DRS puede simplificar las migraciones y la
administracin del almacn de datos con el modo de mantenimiento de Storage DRS. Sin embargo,
ya no es posible administrar almacenes de datos individualmente (habilitar/deshabilitar, umbrales de
disco o VMware vSphere Storage APIs - Integracin de matrices para aprovisionamiento rpido).
Todos los almacenes de datos en un clster de almacenes de datos deben pertenecer a la misma
directiva de almacenamiento.
Las operaciones de clonacin y copia entre clsteres de vSphere que no tienen un almacenamiento
compartido comn utilizan la vmknic de administracin del host ESXI o, en el caso de vSphere 6, la
vmknic con el servicio de aprovisionamiento habilitado.
Los medios ISO se almacenan como archivos en el almacn de datos de catlogo. Los elementos
multimedia no pueden montarse en una mquina virtual que est en ejecucin en un host sin acceso
al almacn de datos.
Solo se puede acceder al almacn de datos de Virtual SAN a travs del clster de vSphere al que
pertenece.
Cuando se utiliza un VDC de organizacin elstico, el proveedor puede migrar las mquinas virtuales
en ejecucin de un clster o grupo de recursos a otro. Esta operacin, sin embargo, no admite la
compatibilidad mejorada de vMotion, y se requiere almacenamiento compartido entre los clsteres.
El almacn de datos de Virtual SAN es un objeto que est estrechamente relacionado con un solo
clster de vSphere. No puede proporcionar almacenamiento a diferentes clsteres de vSphere.
VMware no recomienda el uso del almacenamiento de Virtual SAN para catlogos. vCloud Director
carga todas las imgenes de medios de catlogo (archivos ISO) como objetos de archivos en una
estructura de directorio de una carpeta. Si se utiliza el mismo almacn de datos de Virtual SAN como
directiva de almacenamiento para diferentes catlogos, estos ltimos comparten un objeto de
espacio de nombres del directorio principal de la mquina virtual con un tamao mximo de 256 GB.
7.
vCloud Director agrega una capa de abstraccin de recursos para permitir que haya varios tenants y
brindar interoperabilidad entre nubes compiladas con el estndar de API de vCloud.
A continuacin, los grupos de recursos y los almacenes de datos se pasan a vCloud Director y se
asocian a los centros de datos virtuales del proveedor.
Los recursos virtuales informticos y de almacenamiento puros se muestran a los usuarios mediante
las construcciones del centro de datos virtual. Los usuarios consumen recursos virtuales puros de los
centros de datos mediante varios modelos de asignacin.
Para varios tenants, vCloud Director brinda las siguientes construcciones clave.
Tabla 8. Definiciones de centros de datos virtuales
Trmino
Definicin
Organizacin
Centro de datos
virtual de
proveedor
Definicin
Centro de datos
virtual de
organizacin
7.1
El centro de datos virtual (Virtual Datacenter, VDC) es el contenedor estndar de un grupo de recursos
informticos, de almacenamiento y de red. Hay dos tipos de centros de datos virtuales: de proveedor y
de organizacin. Los centros de datos virtuales de proveedor se pueden ensamblar desde grupos de
recursos y almacenes de datos representados por directivas de almacenamiento que administra una sola
instancia de vCenter Server de grupo de recursos.
Un VDC de proveedor puede expandirse a varios grupos de recursos (o clsteres dedicados) y formar
VDC de organizacin elsticos. Sin embargo, esto solo se admite para VDC de organizacin de pago por
uso y VDC de grupo de asignaciones. Los VDC de grupo de reservas nunca son elsticos y estn
restringidos por el tamao del grupo de recursos principal (clster) del VDC de proveedor.
Nota
El administrador de vCloud debe habilitar VDC de grupo de asignaciones elsticos. Esta es una
configuracin que se aplica en todo el sistema.
Las siguientes son consideraciones de diseo del centro de datos virtual de proveedor:
Aunque es posible mezclar los tipos de asignacin de VDC de organizacin con el VDC de
proveedor, esto complica la administracin de capacidad, especialmente cuando varios tipos de
asignacin tienen diferentes SLA de rendimiento.
Cada zona de disponibilidad debe tener su propio VDC de proveedor. Esto permite la creacin de
VDC de organizacin especficos del sitio.
Los VDC de organizacin dedicados se crean en un clster dedicado del cliente dentro de un VDC
de proveedor dedicado del cliente.
Los VDC de proveedor elsticos permiten realizar una expansin perfecta (y posibles migraciones)
para VDC de organizacin de asignacin y de pago por uso.
Ante la creacin de cada VDC de proveedor, se crea automticamente un grupo de redes VXLAN
desde la que se aprovisionan las redes de VDC de organizacin y vApp. Cada grupo de redes
VXLAN est representado por el mbito de redes VXLAN que abarca clsteres de un VDC de
proveedor determinado. Un VDC de organizacin puede utilizar cualquier grupo de redes (siempre
que sea uno solo).
7.1.2 Niveles
Un nico centro de datos virtual de proveedor puede brindar varios niveles de almacenamiento
representados por directivas de almacenamiento y solo un nivel de proceso. El VDC de proveedor puede
expandirse a varios clsteres (grupos de recursos) de vSphere, pero est enlazado a una sola instancia
de vCenter Server.
Se crean varios VDC de proveedor por los siguientes motivos:
La nube requiere ms capacidad informtica que la que puede proporcionar una sola instancia de
vCenter Server.
Se requiere un proceso en niveles. Cada VDC de proveedor se asigna a clsteres de vSphere con
diferentes caractersticas (rendimiento o SLA).
Se requiere que las cargas de trabajo se ejecuten en una infraestructura fsica diferente (zonas de
disponibilidad).
7.2
Organizaciones
Las organizaciones son una unidad de varios tenants dentro de vCloud Director y representan un nico
lmite lgico de seguridad. Una organizacin de vCloud Director se asigna a un consumidor final. Las
organizaciones pueden utilizar cuentas locales de vCloud Director o integracin de LDAP directa (con
SSPI opcional) o pueden integrarse con SAML2 u OAuth (versin 8.0 de vCloud Director) con un
proveedor de identidad compatible (FS de AD, OpenAM, etc.).
Una organizacin administrativa se crea generalmente para proporcionar catlogos globales y
posiblemente otros servicios compartidos (servidores de concesin de licencias, repositorios de
revisiones, etc.).
El acceso del administrador de sistemas de vCloud Director se puede administrar mediante la
autenticacin LDAP o a travs de la federacin con el servicio vCenter Single Sign-On, que permite la
integracin perfecta de administracin entre vCloud Director y los objetos de vSphere. Si vCenter Single
Sign-On est federado, al intentar iniciar sesin, se redirige al administrador de sistemas de vCloud
Director a VMware vSphere Web Client para autenticarlo. Por lo tanto, se requiere una conectividad de
red adecuada para los administradores, no solo a vCloud Director, sino tambin a una instancia de
vSphere Web Cliente en particular.
Las cuentas locales de vCloud Director tienen opciones limitadas de aplicacin de directivas de
contraseas.
La integracin de SSPI de Active Directory permite el inicio de sesin nico de los tenants que ya
estn autenticados en el dominio de Active Directory.
La autenticacin de OAuth 2.0 permite al usuario autenticarse con el token nico que proporciona el
proveedor de identidades externo. El proveedor del servicio puede revocar el derecho a configurar
OAuth del administrador de la organizacin y administrarlo a su nombre para la integracin del portal
de terceros o la federacin de varias instancias de vCloud Director.
Se pueden revocar los derechos del administrador de la organizacin para administrar usuarios. Esto
puede ser til si el proveedor administra cuentas en un proveedor de identidades centralizado y no
desea permitir que los tenants creen cuentas locales.
Nota
No es necesario que la llamada de API sea una solicitud de sesin de inicio (POST
/api/sessions). Puede ser cualquier solicitud de API. Por ejemplo, GET /api/session
devolvera un objeto de sesin que contendra el nombre de usuario y el vnculo de direccin
URL al objeto de la organizacin del usuario.
Descripcin
Notas
jti
sub
uname
cid
No se utiliza.
tvr
iat
exp
iss
authz
instances
Identificadores de organizacin
roles
Aqu, 34691574-7ccd-4fc1-b940-0bd2388bf3a5 y 48df38a4-aec8-4a34-b25ab8f372bd8c33 representan los identificadores de organizacin en los que el usuario tendr acceso con
el rol de administrador de la organizacin.
Nota
Mientras que una organizacin de vCloud Director puede utilizar varios proveedores de identidades
al mismo tiempo, un usuario de la organizacin se puede asociar con solo un proveedor de
identidades. Por ejemplo, no es posible que el mismo usuario inicie sesin mediante OAuth y la
autenticacin LDAP integrada.
El proveedor del servicio puede utilizar la autenticacin de OAuth para la federacin de varias
instancias de vCloud Director con el proveedor central de identidades, mientras que el tenant an
puede utilizar la autenticacin SAML para federar usuarios tenant con su instancia de Active
Directory de empresa (con Servicios de federacin [FS] de Active Directory). Los usuarios SAML no
existirn en el directorio central de identidades del proveedor.
Las herramientas externas que utilizan la API de vCloud (como vRealize Automation) y que
dependen de la autenticacin bsica no funcionarn con la autenticacin de OAuth. Para habilitar
OAuth, el proveedor del servicio debe implementar el siguiente proceso:
a. Interceptar llamadas de autenticacin de API (POST /api/sessions y /api/login).
b. Obtener el encabezado de autenticacin. Si no es una autenticacin bsica, pasarlo al endpoint
de la API de vCloud.
c.
d. Utilizar los valores de credenciales para autenticarse con el proveedor de identidad central del
proveedor.
7.3
Se trata del mismo comportamiento heredado que el de vCloud Director 1.5 o versiones anteriores.
El VDC de organizacin del grupo de asignaciones est restringido por el tamao del grupo principal
de recursos (un clster de VDC de proveedor).
Una vez creada la instancia de VDC de organizacin del grupo de asignaciones no elsticas, se crea
un grupo de recursos secundario con lmites de CPU y memoria establecidos para la asignacin de
VDC de organizacin y reservas definidas para garantizar el valor de porcentaje x asignado.
El tenant puede realizar una asignacin excesiva de vCPU (el uso de CPU est limitado por la
asignacin de CPU de VDC de organizacin).
La instancia de VDC de organizacin del grupo de asignaciones puede repartirte en varios grupos o
clsteres de recursos del VDC del proveedor.
Se debe especificar la velocidad de vCPU en GHz (el valor predeterminado es 1 GHz). Esta unidad
se utiliza para calcular la cantidad de vCPU que se podr implementar en VDC de organizacin
(asignacin (GHz)/velocidad (GHz) de vCPU).
Una vCPU no est limitada por la velocidad definida de vCPU, sino que, en realidad, las vCPU
comparten todos los GHz asignados.
VMware no recomienda el uso de un VDC de tipo de reserva en un clster compartido. El tenant puede
crear una mquina virtual arbitrariamente grande porque sus recursos informticos fsicos estn limitados
por el grupo de recursos de VDC de organizacin y no por los recursos de VDC asignados. (Por ejemplo,
dentro de una instancia de VDC de organizacin con 100 GB de RAM asignados, es posible encender
una mquina virtual con 200 GB de RAM). Si la memoria de la mquina virtual supera el lmite del grupo
de recursos, es muy probable que el host ESXi que ejecuta la mquina virtual intercambie la memoria
que no puede proporcionar por razones fsicas. Este intercambio puede crear mucha carga en el host y
su almacenamiento, y es posible que tenga un efecto negativo en las cargas de trabajo de otros tenants.
7.4
Redes
Para admitir varios tenants, vCloud Director se integra con vCloud Network and Security o NSX Manager
a fin de administrar la creacin de redes de Capa 2 aisladas. Los grupos de puertos de vSphere crean
copias de seguridad de todas las redes creadas en vCloud Director. El acceso a redes de la nube se
controla con los enrutadores virtuales de NSX Edge.
En vCloud Director 5.6 y versiones anteriores, en las que un grupo de puertos de un conmutador
lgico de la VXLAN creado manualmente se utiliza como red externa, se debe cambiar el nombre del
grupo de puertos para que no comience con la string vxw. Si comienza con dicha string, no aparece
visible en vCloud Director.
Si el conmutador lgico abarca varias instancias de vSphere Distributed Switch, varios grupos de
puertos harn una copia de seguridad de l. Se debe seleccionar el grupo de puertos correcto segn
las necesidades (por ejemplo, el grupo de puertos de vSphere Distributed Switch del clster
informtico).
Las redes externas se utilizan para proporcionar acceso a Internet, acceso dedicado a un servicio de
conexin directa o acceso a servicios compartidos (Syslog, concesin de licencias de sistema operativo y
revisiones).
Aislado
Los usuarios finales determinan si colocarn la vApp detrs de una red de vApp. La mayora de las
vApps se conectan a redes de VDC de organizacin. Si el usuario final decide colocar barreras para una
vApp, la red de vApp se crea automticamente cuando se implementa la vApp.
Consumo de recursos
Funcin recomendada
Compacta
Completa
Equilibrio de carga
Completa-4
Equilibrio de carga y
gran capacidad de
proceso
Capacidad de
proceso
3 Gb/s
9,7 Gb/s
Los administradores de sistemas de vCloud subasignan direcciones IP externas en las redes de Internet.
Los administradores de la organizacin utilizan estas direcciones para configurar NAT para mquinas
virtuales internas a fin de permitir el acceso de entrada y salida de Internet.
Las instancias Edge de vApp proporcionan conectividad entre una red de VDC de organizacin y una red
de vApp. Siempre tienen solamente una interfaz externa y una interna. vCloud Director tambin
implementa en el grupo de recursos de VDC de sistema de VDC de proveedor, y existen solo cuando la
vApp est en modo implementado (encendida).
Las instancias de Edge de un solo brazo se implementan en redes de VDC de organizacin aisladas y,
de forma opcional, en redes de vApp a fin de proporcionar el servicio DHCP.
Para proporcionar acceso a los servicios compartidos y enviar los registros a Syslog:
1. Configure el Syslog externo para puertas de enlace Edge en vCloud Director desde Administracin >
Configuracin del sistema > General (IP b.b.b.1).
2. Subasigne una direccin IP al tenant desde la red externa. Subred A de servicios.
3. Cree de forma anticipada una regla SNAT de puerta de enlace Edge para esta direccin IP aplicada
en la red de registro a fin de llegar a los servicios en la organizacin de administracin (SNAT
0.0.0.0/0 > a.a.a.n).
4. Cree reglas DNAT en la puerta de enlace Edge para llegar a las mquinas virtuales de servicio
internas (DNAT a.a.a.4 > x.x.x.x, DNAT a.a.a.5 > y.y.y.y).
Los tenants ahora pueden consumir servicios compartidos (concesin de licencias y revisiones) en las
direcciones IP a.a.a.4 y a.a.a.5 mientras Syslog recibe solo registros de las puertas de enlace Edge.
7.5
Almacenamiento
7.5.1 Instantneas
Los tenants pueden crear una instantnea de una vApp o una mquina virtual individual, incluido su
estado de ejecucin (memoria). Las siguientes son consideraciones de diseo de instantneas:
Al crear una instantnea, el rendimiento de E/S del disco se ve afectado. Con el tiempo, el tamao
de la instantnea aumenta, por lo que es algo que se debe tener en cuenta para la administracin de
capacidad. Adems, se deshabilitan las opciones de reconfiguracin de redes en la mquina virtual.
Es posible quitar la opcin "Crear, quitar y revertir una instantnea" de los roles de los tenants.
El agente NAS se debe instalar en todos los hosts ESXi del grupo de recursos.
vSphere Storage APIs: se debe habilitar la integracin de matrices (Array Integration, VAAI) en la
matriz de almacenamiento. Es posible que la matriz requiera licencias adicionales para crear clones
rpidos.
La VAAI se debe habilitar en vCloud Director en todos los almacenes de datos o clsteres de
almacenes de datos.
Un clon vinculado no puede existir en otro almacn de datos que no sea la mquina virtual original.
vCloud Director crea mquinas virtuales instantneas para admitir la creacin de clones vinculados a
travs de instancias de vCenter Server y almacenes de datos para las mquinas virtuales asociadas
con una plantilla de vApp. Una mquina virtual instantnea es una copia exacta de la mquina virtual
original creada en el almacn de datos donde se crea el clon vinculado. Es posible ver una lista de
las mquinas virtuales instantneas asociadas con una mquina virtual de plantilla.
Cuando se alcanza la longitud mxima de cadena (clon completo > clon vinculado > clon
vinculado > ), el siguiente clon pasa a ser un clon completo. La longitud predeterminada de la
cadena de clones vinculados de vSphere es 30. La longitud predeterminada de cadena VAAI es 256.
Si las matrices de almacenamiento admiten operaciones rpidas descargadas de clones de VAAI
con una longitud de cadena menor, la longitud de cadena VAAI se debe ajustar en la base de datos
de vCloud Director en la tabla config, fila VirtualMachine.AllowedMaxVAAIChainLength.
Nota
Cuando se alcanza el umbral amarillo en un almacn de datos en particular, se dejan de crear clones
aprovisionados rpidamente. En su lugar, se aprovisiona un clon completo en otro almacn de datos.
El uso manual (activado por vSphere) de Storage vMotion de un clon vinculado crea un clon
completo.
Storage DRS admite clones vinculados de vSphere tanto para la seleccin como para el equilibrio.
Solo la seleccin funciona con el aprovisionamiento rpido de VAAI.
El administrador del sistema vCloud puede crear un clon completo desde una mquina virtual
aprovisionada rpidamente con la accin Consolidar.
Debido a que las mquinas virtuales con aprovisionamiento rpido o fino y sus instantneas pueden
aumentar, es necesario disponer de suficiente reserva para evitar una condicin de falta de espacio en el
almacn de datos.
7.6
Catlogos
Los catlogos son el mecanismo de implementacin principal en vCloud Director, y sirven de repositorio
centralizado para las plantillas de vApp y los medios ISO. Los usuarios se autoaprovisionan vApps desde
plantillas de vApp ubicadas en catlogos internos o catlogos compartidos globales.
Los catlogos se pueden compartir, publicar y suscribir. Estos derechos se controlan con la
granularidad de la organizacin.
Los catlogos se pueden compartir con todas las organizaciones o con un subconjunto de ellas. Solo
un administrador del sistema vCloud puede compartir los catlogos con un subconjunto de
organizaciones, ya que este es el nico rol con acceso a la lista de organizaciones.
La publicacin de catlogos se puede utilizar para realizar copias intermedias de catlogos idnticos
compartidos globalmente entre los VDC de proveedor (instancias de vSphere) o las instancias de
vCloud Director (zonas y regiones de disponibilidad).
7.7
vApps
Al crear una mquina virtual dentro de una vApp, se debe seleccionar el sistema operativo correcto
en las propiedades de la mquina virtual. Si se especifica mal el sistema operativo, el hardware
virtual presentado se ve afectado.
Se debe instalar VMware Tools para aprovechar la accin de apagado de sistema operativo
invitado y los scripts de personalizacin de invitado (asignacin de direccin IP y dems).
Los lmites de configuracin de mquinas virtuales se pueden aplicar mediante la tarea de bloqueo
(consulte el artculo de la base de conocimientos de VMware Aplicacin de lmite de CPU y memoria
para vCloud Director [CPU and Memory Limit enforcement for vCloud Director] en
https://communities.vmware.com/docs/DOC-21694.) (Los sitios web de terceros no son
responsabilidad de VMware y el contenido disponible en ellos puede variar).
2015 VMware, Inc. Todos los derechos reservados.
Pgina 62 de 78
El estado de la vApp (memoria) se puede guardar en el catlogo. La vApp con un estado (en estado
suspendido) se puede mover entre los VDC de organizacin. Sin embargo, el estado no persiste
cuando se hace uso de la importacin y exportacin de OVF. (Esto tambin es vlido para las
migraciones de VDC de organizacin entre instancias de vSphere). vCloud Director no garantiza la
compatibilidad informtica (por ejemplo, la migracin entre un VDC de organizacin que se ejecuta
en una plataforma Intel y una plataforma AMD).
Solo es posible modificar el tamao de los discos SCSI. No se realiza ninguna extensin de la
particin de invitado. Los discos no se pueden reducir. Al modificar el tamao de un disco durante la
implementacin realizada desde el catlogo en un VDC de organizacin habilitado para
aprovisionamiento rpido, se crea un clon completo con mucho ms tiempo de implementacin.
No toda la configuracin adicional de OVF (consulte el artculo Configuracin de una lista blanca
para valores de configuracin avanzada de mquinas virtuales en vCloud Director [Configuring a
Whitelist for VM advanced settings in vCloud Director] en
http://www.virtuallyghetto.com/2014/05/configuring-a-whitelist-for-vm-advanced-settings-in-vclouddirector.html) es compatible con vCloud Director.
La personalizacin completa de invitado se ejecuta una vez que se implementa una mquina virtual
desde un catlogo o cuando se ejecuta de forma explcita mediante la tarea Encender y forzar volver
a personalizar.
Cuando se cambia la configuracin de red (se agrega una NIC nueva a una mquina virtual o se
cambia la asignacin de una direccin IP), se realiza una personalizacin parcial de invitado despus
del siguiente encendido y se cambia solo la configuracin de red.
La personalizacin de invitado de un sistema operativo Windows anterior (por ejemplo, 2003, XP,
etc.) requiere la instalacin adecuada de los archivos Sysprep en cada celda de vCloud Director.
8.
Escalabilidad
Lograr una economa de escala significa escalar recursos de vCloud de forma consistente y previsible.
La separacin de los componentes de carga de trabajo de los clientes y de la administracin permite
usar el enfoque de escalamiento con bloques de creacin.
8.1
Grupo de recursos
Los clsteres de grupos de recursos ejecutan cargas de trabajo de tenants. Por lo general, un enfoque
de escalado vertical (un aumento de la capacidad informtica de los hosts ESXi) es viable solo al final de
la vida til de los componentes de hardware, cuando los hosts ESXi se reemplazan por hardware ms
nuevo y potente. El hardware de los clsteres de vSphere pertenecientes al VDC de un mismo proveedor
debe ser idntico y no combinado a fin de proporcionar una experiencia coherente al cliente y garantizar
la eficiencia de vSphere DRS. VMware recomienda usar un enfoque de escalado horizontal. vCloud
Director puede escalar sus recursos dentro de un clster, dentro de un lmite de vCenter o fuera de los
lmites de vCenter.
Nota
8.1.5 Almacenamiento
Los almacenes de datos se asignan a los VDC de proveedor de vCloud Director mediante directivas de
almacenamiento de vSphere. Una forma fcil de escalar el almacenamiento es agregar nuevos
almacenes de datos a una directiva de almacenamiento en los clsteres que respaldan a los VDC de
proveedor. La cantidad mxima de almacenes de datos administrados de vCloud Director es 500.
8.1.6 Redes
La cantidad mxima admitida de redes externas es 750. Este valor puede afectar la cantidad de clientes
que se pueden conectar directamente y los casos de uso de puente de Capa 2 (consulte la seccin 6.3.6,
Otros servicios de red).
8.2
Clster de administracin
Todos los componentes de administracin de vCloud Director se deben colocar dentro de sus propios
clsteres ESXi administrados por su propia instancia de vCenter Server. Se pueden escalar
independientemente de los sistemas vCenter Server de grupos de recursos.
8.3
A pesar de que una sola instancia de lmites de escalabilidad de vCloud Director puede ser suficiente
para los proveedores de servicios pequeos, VMware recomienda crear una federacin de varias
instancias de vCloud Director (esto se describe en la seccin 3.1.3, Regiones mltiples de IaaS) para
proveedores de servicios ms grandes, particularmente debido a la separacin de los dominios de
errores lgicos.
9.
Capacidad de recuperacin
9.1
Descripcin general
9.2
Clster de administracin
Para la administracin de vCloud, se pueden utilizar los mtodos tradicionales para crear copias de
seguridad de mquinas virtuales y fsicas. En la siguiente tabla se enumeran las opciones de copias de
seguridad para varios componentes.
Tabla 12. Copia de seguridad de componentes de administracin
Elemento
Notas
Celdas de vCloud
Director
NSX Manager
vCenter Chargeback
Instancias de vCenter
Server
Bases de datos
Hosts ESXi
Nota
La restauracin de todos los componentes debe realizarse en el mismo punto en el tiempo para
evitar inconsistencias que se deban resolver manualmente.
9.3
El proveedor puede ofrecer la creacin de copias de seguridad como un servicio para las cargas de
trabajo de los tenants. Se deben utilizar soluciones de copia de seguridad de terceros compatibles con
vCloud Director para crear copias de seguridad adecuadas de las mquinas virtuales y los metadatos de
vCloud Director asociados. Este servicio se muestra en el portal de ese tercero o en extensiones de API
de vCloud.
10. Seguridad
10.1 Instrucciones
Las prcticas recomendadas para la seguridad incluyen las siguientes tareas:
Portal web
Los tenants acceden a la interfaz de usuario web con la siguiente direccin URL:
https://<vcloud_domain>/cloud/org/<company_name>, en la que <company_name> es el nombre corto
de la organizacin.
Los administradores de vCloud Director utilizan la siguiente direccin URL: https://<vcloud_domain>/cloud/.
Tabla 13. Direcciones URL de portal web permitidas por el firewall de aplicacin web
Direcciones URL permitidas
/cloud/transfer/.*
/cloud/org/.*
/cloud/vmrc/.*
/transfer/.*
Nota
Todas las llamadas API excepto /api/versions y /api/sessions se deben autenticar, y el control de
acceso se aplica segn los privilegios de la cuenta.
2015 VMware, Inc. Todos los derechos reservados.
Pgina 70 de 78
10.2.1.1.
En la siguiente tabla se enumeran las ubicaciones y los tipos de registros de las celdas de vCloud
Director.
Tabla 14. Registros de celdas de vCloud Director
Tipo de log
Ubicacin
Mtodo de recopilacin
Informacin de
vCloud Director y
registros de
depuracin
%VCLOUD%/logs/*
Eventos de vCloud
Director que se
pueden enviar a
Syslog
Enviado a travs de
Syslog
Registros del
sistema vCloud
Director
Ubicaciones estndar de
los registros de Linux:
%VCLOUD%/etc/global.properties y
%VCLOUD%/etc/responses.properties;
Destinos de Syslog mediante syslog.conf
o recuperacin de agentes.
/var/log/messages
/var/log/secure
Ubicacin
Mtodo de recopilacin
Registros de acceso
web a API
%VCLOUD%/logs/*.re
quest.log by date
Los registros relacionados con un cliente se pueden identificar mediante el identificador de organizacin
correspondiente. Una parte de una entrada de registro de vCloud Director contiene:
currentContext.login.org.id=###
Por ejemplo:
Jul 05 11:53:56 Event [id=1e523973-0620-4dc3-8ffc-865c0d4c61c1,
timestamp=1341442436853, type=com/vmware/vcloud/event/task/complete, properties={
currentContext.org.name=ACME,
currentContext.user.id=acmeadmin(com.vmware.vcloud.entity.user:3ec7999f-d732436c-bfd4-4919228c5146),
entity.type=com.vmware.vcloud.entity.task,
currentContext.login.user.id=com.vmware.vcloud.entity.user:3ec7999f-d732-436cbfd4-4919228c5146,
currentContext.user.name=acmeadmin,
currentContext.login.member.id=acmeadmin(com.vmware.vcloud.entity.user:0c9ec4a6
-351d-40da-94a8-0209b73393cd),
currentContext.o...<13>...rg.id=ACME(com.vmware.vcloud.entity.org:3c8970fb3b5b-482a-8056-b229744ad6f8),
task.ownerId=659e986c-21d5-49ed-b718-8a8d38e99811,
currentContext.success=true,
currentContext.login.org.id=com.vmware.vcloud.entity.org:3c8970fb-3b5b-482a8056-b229744ad6f8,
task.ownerType=com.vmware.vcloud.entity.vapp,
currentContext.user.clientIpAddress=,
task.name=VAPP_DEPLOY,
entity.name=VAPP_DEPLOY,
entity.id=VAPP_DEPLOY(com.vmware.vcloud.entity.task:f74b4e85-2608-4af6-b71030d62464a16f),
currentContext.cell.uuid=5252de5b-0a3c-4e75-822f-cbd9604b18f0,
currentContext.user.proxyAddress=,
10.2.1.2.
En la siguiente tabla se enumeran las ubicaciones y los tipos de registros de vCenter Chargeback
Manager.
Ubicacin
Mtodo de
recopilacin
Eventos del
sistema Windows
Syslog remoto
Eventos de la
aplicacin
Chargeback
%ProgramFiles%\VMware\VMware vCenter
Chargeback\apache-tomcat\logs
Se archiva en un
recurso compartido
de archivos central
LB de
Chargeback
%ProgramFiles%\VMware\VMware vCenter
Chargeback\Apache2.2\logs
Se archiva en un
recurso compartido
de archivos central
Recopilador de
datos
%ProgramFiles%\VMware\VMware vCenter
Chargeback\DataCollector-Embedded\logs
Se archiva en un
recurso compartido
de archivos central.
El proceso de
archivado almacena
registros de forma
diaria.
Recopilador de
datos
independiente de
vCloud
%ProgramFiles%\VMware\VMware vCenter
Chargeback VMware Cloud Director
DataCollector\\logs
Se archiva en un
recurso compartido
de archivos central.
El proceso de
archivado almacena
registros de forma
diaria.
Instalador
%ProgramFiles%\VMware\VMware vCenter
Chargeback\DataCollector-Embedded\logs
Se archiva en un
recurso compartido
de archivos central.
El proceso de
archivado almacena
registros de forma
diaria.
10.2.1.3.
Las direcciones IP de servidores de Syslog para puertas de enlace Edge se crean principalmente
mediante vCloud Director, al igual que para todos los Edges (puertas de enlace Edge o Edges en redes
de vApp). En vCloud Director 8.0, el tenant puede configurar su propio servidor de Syslog en su puerta
de enlace Edge mediante la API de vCloud.
Ubicacin
Mtodo de
recopilacin
No corresponde
Syslog remoto
Descripcin
Fecha y hora
Identificador de Edge
Programa/Nombre de daemon
PID
Tenant/Identificador de organizacin
Servicio Edge/Identificador de
accin
Mensaje
Motivo de la supervisin
Interrupcin de proceso
vmware-vcd
vmware-vcd-watchdog
Estado de puerto
Motivo de la supervisin
Interrupcin de proceso
vCenter Chargeback
Estado de puerto
8080 (http)
443 (https)
Descripcin
cell.log
vcloud-container-debug.log
vcloud-container.info.log
Descripcin
vcloud-console-debug.log
statsfeeder.log
cell-management-tool.log
vmware-vcd-watchdog.log
diagnostics.log
YYYY_MM_DD.request.log
Cada celda de vCloud Director expone varios MBeans a travs de Java Management Extension (JMX)
para administrar las operaciones en el servidor y proporcionar acceso a las estadsticas internas. Se
puede utilizar cualquier cliente para acceder al servicio JMX de vCloud Director (por ejemplo, JConsole).
Para obtener ms informacin sobre MBeans expuesto, consulte el artculo de la base de conocimientos
de VMware MBeans de vCloud Director en http://kb.vmware.com/kb/1026065.
Un evento no se produce por depender de otros eventos que se deban haber ejecutado en una
secuencia de tiempo especfica, pero no lo hicieron debido a una falta de sincronizacin de hora o
una hora incorrecta.