vRealize Automation – Domain-Join von vCloud Air VMs

Von | 22. Juli 2016
0 Kommentare

logo-vCAvRealize Automation unterstützt neben einer Vielfalt von Endpoints auch die Anbindung von vCloud Air Ressourcen. Ein gängiges Szenario dabei ist sicherlich die Nutzung von Windows Server VMs innerhalb von vCloud Air (vCA), die eine Integration in eine bestehende Active Directory Domäne in der Kundenumgebung haben sollen. Im Gegensatz zu einer klassischen Anbindung eines vSphere-Endpoints, können bei vCloud Air keine vSphere customization specs verwendet werden, um die Domänenintegration zu konfigurieren. Aus diesem Grund wird in diesem Artikel aufgezeigt, wie eine gehostete Windows-VM in eine lokale Domäne integriert werden kann und wie auch beim Löschen der VM das Computerkonto in der Domäne wieder automatisiert entfernt wird.

Konfiguration von vCloud Air

Auf die Netzwerkverbindung kommt es an

Da vCloud Air erstmal lediglich eine Verbindung ins Internet hat, ist damit noch nicht gewährleistet, dass die VM in der Cloud auch mit dem lokalen Rechenzentrum transparent kommunizieren kann. Um dies zu ermöglichen, kennt vCloudAir mehrere Varianten. In aller Regel findet die Anbindung über eine VPN-Verbindung statt. Dazu wird in vCloud Air die VPN-Verbindung des Netzwerks, in dem die Windows-VM liegen soll, konfiguriert. Auf Kundenseite kann z.B. ein NSX Edge-Gateway zur Verwaltung des IPsec-Tunnels verwendet werden.

In diesem Artikel wird nicht speziell auf die Details dieser Verbindung eingegangen. Nähere Informationen dazu finden sich im Handbuch bzw. in Links wie diesem: http://vcloud.vmware.com/de/using-vcloud-air/tutorials/creating-an-ipsec-vpn

Nach einer erfolgreichen VPN-Verbindung sollte eine VM, die in vCloud Air im entsprechenden Netzwerk deployed wurde, den Domänen-Controller im Kundennetzwerk erreichen können (ping).

 

Deployment einer Referenz-VM

Im ersten Schritt wird aus dem vCloud Air Katalog eine Windows-VM ausgerollt, die später der Domäne hinzugefügt wird. Die Betriebssystemversion und auch die Konfiguration werden dabei gemäß der Kundenanforderung gewählt. Es sollte darauf geachtet werden, dass die VM / vApp-Zuordnung 1:1 ist (d.h. am besten keine zweite VM in der gleichen vApp).

 

Richtige DNS-Konfiguration

Für die Domänen-Integration ist es insbesondere erforderlich, dass das beitretende Windows-System eine DNS-Auflösung der Domäne im Kundenrechenzentrum durchführen kann. Dementsprechend muss der DNS-Server der Kundenumgebung in der virtuellen Maschine von vCloud Air konfiguriert werden. VCloud Air führt die Netzwerk- und auch DNS-Konfiguration automatisch durch und setzt aber per Default den DNS, der auf dem jeweiligen Netzwerk konfiguriert ist (Standart: leer). D.h. es muss auf dem Netzwerk der DNS-Server des Kunden hinterlegt werden.

Diese Konfiguration wird in der vCloud Director-Oberfläche vorgenommen. Über die Netzwerkdetails in vCloud Air und den Knopf „Manage in vCloud Director“ wird die Verbindung zum vCloud Director gestartet.

vRA-vCA-image002

 

Danach sind unter „Administration à Org VDC Networks“ die verfügbaren Netzwerke sichtbar.

vRA-vCA-image003

 

Über rechte Maustaste/Properties kommt man zu den Netzwerkeinstellungen, die auch die DNS-Server-Konfiguration beinhalten. Dort wird der DNS-Server der lokalen Kundenumgebung sowie DNS suffix etc. hinterlegt. Die IP-Vergabe an sich übernimmt nach wie vor vCloud Air, da das Netzwerk selbst und damit die IP-Adressen auch von vCloud Air verwaltet werden.

vRA-vCA-image004

 

Vorbereitung der Windows VM

Als nächstes wird die Windows VM für den Domain-Join vorbereitet. Diesbzgl. ist es zu empfehlen, das lokale Administrator-Passwort innerhalb des Gastssystems auf einen festen Wert zu setzen. Per Default wird das lokale Administratorpasswort von vCloud Air generiert und über diese Oberfäche dem Benutzer angezeigt. Bei einem Deployment aus vRealize Automation heraus ist das Passwort für den Benutzer allerdings nicht sichtbar.

Danach wird die VM heruntergefahren und die Guest OS Customization konfiguriert. Wichtig ist, dass vCloud Air / vCloud Director den Domain-Join durchführen. Für vRealize Automation erscheint das Template lediglich als eine Vorlage, die beim Deployment automatisch sich zur Domäne verbindet.

Folgende Schritte sollten im Bereich „Guest OS Customization“ der VM-Properties durchgeführt werden:

  • Deaktivierung von „allow local administrator password“ (damit bleibt das lokale Administrator Passwort gesetzt, das in der VM vergeben wurde)
  • Aktivierung „Enable this VM to join a domain“
  • Spezifizierung der Benutzer- und Domänendetails

vRA-vCA-image005

 

Erzeugung der Vorlage

Anschließend wird im vCloud Director ein neuer Katalog-Eintrag erzeugt. Name und Parameter werden gemäß den Kundenanforderungen gewählt. Bzgl. Freigabeberechtigungen müssen keine Änderungen durchgeführt werden. Ist bereits ein eigener Katalog vorhanden, kann auch dieser genutzt werden.

vRA-vCA-image006

 

Über die „Add to Catalog…“ Funktion im Kontextmenü der vApp wird dann eine neue Vorlage im erstellten Katalog generiert.

vRA-vCA-image007

 

Konfiguration von vRealize Automation

In diesem Artikel wird vorausgesetzt, dass vCloud Air grundsätzlich als Endpoint eingebunden ist. Die notwendige Vorgehensweise ist in den entsprechenden Handbüchern zu finden.

Data Collection vCloud Air Endpoint

Sobald neue Objekte (wie z.B. ein Template) in vCloud Air hinzugefügt werden, muss die vRealize Automation Datenbank in Form einer Data Collection aktualisiert werden. Dies erfolgt normalerweise automatisch in bestimmten Zeitabständen, zur Beschleunigung ist ein manueller Start empfehlenswert.

vRA-vCA-image008

vRA-vCA-image009

 

Erstellung eines Blueprints

Als nächstes erfolgt die Erstellung des Blueprints über den Converged Blueprint Designer von vRealize Automation 7.x. Dort werden das entsprechende vCloud Air Template als Basis ausgewählt und die jeweiligen Parameter wie CPU, RAM etc. hinterlegt.

vRA-vCA-image010

 

Für die korrekte Bereitstellung des neuen Katalogeintrags muss dieser „ge-published“ und mit einem passenden Entitlement versehen werden.

Damit ist das Deployment des Blueprints richtig konfiguriert und ein berechtigter Benutzer kann die neue VM ausrollen. Soweit die Netzwerkverbindung zu vCloud Air steht und die Konfigurationen entsprechend richtig durchgeführt worden sind, sollte die VM in der Domäne automatisch registriert werden.

Beim Löschen der VM wird Standart-mäßig zwar die virtuelle Maschine gelöscht, der Computeraccount in der Domäne bleibt allerdings bestehen. Um auch das Domänenobjekt automatisiert zu löschen, enthält vRealize Automation eine entsprechende Funktionalität.

 

Automatisches Löschen des Computeraccounts nach Löschen der VM in vRealize Automation

vRealize Automation kann mit Hilfe von custom properties so konfiguriert werden, dass es beim Löschen einer VM automatisch den Domänenaccount entfernt. Mehr Details dazu sind auch in der offiziellen Dokumentation zu finden: Add Active Directory Cleanup

Gesteuert wird die Konfiguration von 2 custom properties, die auf Ebene der Blueprint VM hinterlegt werden.

vRA-vCA-image011

 

Mit dieser Funktion kann der Account nicht nur gelöscht, sondern z.B. auch deaktiviert oder verschoben werden. Näheres siehe Dokumentation.

print

Christian Ferber
Letzte Artikel von Christian Ferber (Alle anzeigen)
Kategorie: Aria Automation Unkategorisiert

Über Christian Ferber

Christian has joined VMware in July 2015 as Senior Systems Engineer Cloud Management. Through his work in various cloud projects before and at VMware he has gained experience in datacenter, server, storage, networking and cloud management technologies. Today his primary focus is on automation and operation topics with integration into many surrounding solutions like containers, configuration management, directory services and others. He is responsible for the management components in the VMware Cloud Foundation (VCF) product family for enterprise customers in Germany.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.