VMware Cloud Foundation 4.5

5.2 5.1 5.0 4.5
Deutsch Français Italiano 日本語 English

Éléments de conception
pour

Utilisez cette liste de conditions requises et de recommandations pour référence concernant
dans un environnement disposant d'une ou de plusieurs instances de
. Les éléments de conception déterminent également si le domaine de gestion dispose d'une ou de plusieurs zones de disponibilité.
Pour plus d'informations sur la conception, reportez-vous à la section Conception de pour.
Conditions requises pour la conception de
pour
ID de conditions requises
Conditions requises pour la conception
Justification
Implication
VCF-WSA-REQD-ENV-001
Créez un environnement global dans
pour prendre en charge le déploiement de
.
Un environnement global est requis par
pour déployer
.
Aucun.
VCF-WSA-REQD-SEC-001
Importez des certificats signés par une autorité de certification dans le référentiel Locker pour les opérations de cycle de vie du produit
.
  • Vous pouvez référencer des certificats signés par une autorité de certification et les utiliser pendant les opérations de cycle de vie du produit, telles que le déploiement et le remplacement du certificat.
Lorsque vous utilisez l'API, vous devez spécifier l'ID de Locker pour le certificat à utiliser dans la charge utile JSON.
VCF-WSA-REQD-CFG-001
Déployez une instance de
de taille appropriée en fonction du modèle de déploiement que vous avez sélectionné en utilisant
en mode
.
L'instance de
est gérée par
et importée dans l'inventaire de SDDC Manager.
Aucun.
VCF-WSA-REQD-CFG-002
Placez les dispositifs
sur un segment de réseau NSX reposant sur la superposition ou sur le VLAN.
Fournit un modèle de déploiement cohérent pour les applications de gestion dans un environnement disposant d'une ou de plusieurs instances de
.
Vous devez utiliser une mise en œuvre dans NSX pour prendre en charge cette configuration réseau.
VCF-WSA-REQD-CFG-003
Utilisez la base de données PostgreSQL intégrée avec
.
Ne nécessite pas de services de base de données externes.
Aucun.
VCF-WSA-REQD-CFG-004
Ajoutez un groupe de VM pour
et définissez les règles de celles-ci pour redémarrer le groupe de VM
avant les VM qui en dépendent pour l'authentification.
Vous pouvez définir l'ordre de démarrage des machines virtuelles concernant la dépendance des services. L'ordre de démarrage garantit que vSphere HA met sous tension les machines virtuelles
dans un ordre respectant les dépendances du produit.
Aucun.
VCF-WSA-REQD-CFG-005
Connectez l'instance de
à un fournisseur d'identité en amont pris en charge.
Vous pouvez intégrer votre annuaire d'entreprise à
pour synchroniser les utilisateurs et les groupes avec les services de gestion des identités et des accès de
.
Aucun.
VCF-WSA-REQD-CFG-006
Si vous utilisez une instance de
en cluster, configurez les deuxième et troisième connecteurs natifs qui correspondent aux deuxième et troisième nœuds de cluster
pour prendre en charge la haute disponibilité de l'accès aux services d'annuaire.
L'ajout de connecteurs natifs supplémentaires fournit une redondance et améliore les performances en équilibrant la charge des demandes d'authentification.
Chacun des nœuds de cluster
doit être joint au domaine Active Directory pour utiliser Active Directory avec l'authentification Windows intégrée avec le connecteur natif.
VCF-WSA-REQD-CFG-007
Si vous utilisez une instance de
en cluster, utilisez l'équilibrage de charge NSX configuré par SDDC Manager sur une passerelle de niveau 1 dédiée.
  • Lors du déploiement de
    à l'aide de
    , SDDC Manager automatise la configuration d'un équilibrage de charge NSX pour que
    facilite la montée en charge.
Vous devez utiliser l'équilibrage de charge configuré par SDDC Manager et l'intégration à
.
Conditions requises pour la conception de
pour les clusters étendus dans
ID de conditions requises
Conditions requises pour la conception
Justification
Implication
VCF-WSA-REQD-CFG-008
Ajoutez les dispositifs
au groupe de VM pour la première zone de disponibilité.
Garantit que, par défaut, les nœuds de cluster
sont mis sous tension sur un hôte dans la première zone de disponibilité.
  • Si l'instance de
    est déployée après la création du cluster de gestion étendu, vous devez ajouter manuellement les dispositifs au groupe de VM.
  • Une instance de
    en cluster peut nécessiter une intervention manuelle après une panne de la zone de disponibilité active.
Conditions requises pour la conception de
pour la fédération NSX dans
ID de conditions requises
Conditions requises pour la conception
Justification
Implication
VCF-WSA-REQD-CFG-009
Configurez les paramètres DNS de
afin d'utiliser des serveurs DNS dans chaque instance de
.
Améliore la résilience si une panne de services externes se produit pour une instance de
.
Aucun.
VCF-WSA-REQD-CFG-010
Configurez les paramètres NTP sur les nœuds de cluster
pour utiliser des serveurs NTP dans chaque instance de
.
Améliore la résilience si une panne de services externes se produit pour une instance de
.
Si vous passez d'un déploiement disposant d'une seule instance de
à un déploiement doté de plusieurs instances de
, vous devez mettre à jour les paramètres NTP sur
.
Recommandations en matière de conception de
pour
ID de recommandation
Recommandation en matière de conception
Justification
Implication
VCF-WSA-RCMD-CFG-001
Protégez tous les nœuds
à l'aide de vSphere HA.
Prend en charge la haute disponibilité pour
.
Aucun pour les déploiements standard.
Les déploiements de
en cluster peuvent nécessiter une intervention en cas de panne de l'hôte ESXi.
VCF-WSA-RCMD-CFG-002
Lorsque vous utilisez Active Directory comme fournisseur d'identité, utilisez Active Directory sur LDAP comme option de connexion au service d'annuaire.
Le connecteur natif (intégré)
se lie à Active Directory sur LDAP à l'aide d'une authentification de liaison standard.
  • Dans une forêt à plusieurs domaines, dans laquelle l'instance de
    se connecte à un domaine enfant, les groupes de sécurité Active Directory doivent présenter une étendue globale. Par conséquent, les membres ajoutés au groupe de sécurité global Active Directory doivent résider dans le même domaine Active Directory.
  • Si l'authentification sur plusieurs domaines Active Directory est requise, des annuaires
    supplémentaires sont requis.
VCF-WSA-RCMD-CFG-003
Lorsque vous utilisez Active Directory comme fournisseur d'identité, utilisez un compte d'utilisateur Active Directory avec un accès minimal en lecture seule aux DN de base des utilisateurs et des groupes comme compte de service pour la liaison Active Directory.
Fournit les fonctionnalités de contrôle d'accès suivantes :
  •  se connecte à Active Directory avec l'ensemble minimal d'autorisations requises pour lier l'annuaire et l'interroger.
  • Vous pouvez ajouter la responsabilité améliorée dans le suivi des interactions demande-réponse entre
    et Active Directory.
  • Vous devez gérer le cycle de vie du mot de passe de ce compte.
  • Si l'authentification sur plusieurs domaines Active Directory est requise, des comptes supplémentaires sont requis pour la liaison du connecteur
    à chaque domaine Active Directory sur LDAP.
VCF-WSA-RCMD-CFG-004
Configurez la synchronisation d'annuaire pour synchroniser uniquement les groupes requis pour les solutions SDDC intégrées.
  • Limite le nombre de groupes répliqués requis pour chaque produit.
  • Réduit l'intervalle de réplication pour les informations de groupe.
Vous devez gérer les groupes à partir de votre annuaire d'entreprise sélectionné pour la synchronisation avec
.
VCF-WSA-RCMD-CFG-005
Activez la synchronisation des membres du groupe d'annuaires d'entreprise lorsqu'un groupe est ajouté à l'annuaire
.
Lorsque cette option est activée, les membres des groupes d'annuaires d'entreprise sont synchronisés avec l'annuaire
lorsque des groupes sont ajoutés. Lorsqu'elle est désactivée, les noms de groupes sont synchronisés avec l'annuaire, mais les membres du groupe ne sont pas synchronisés tant que le groupe n'est pas autorisé à accéder à une application ou que le nom du groupe n'est pas ajouté à une stratégie d'accès.
Aucun.
VCF-WSA-RCMD-CFG-006
Activez
pour synchroniser les membres du groupe imbriqué par défaut.
Autorise
à mettre à jour l'appartenance à des groupes et à la mettre en cache sans interroger votre annuaire d'entreprise.
Les modifications apportées à l'appartenance au groupe ne sont pas appliquées avant l'événement de synchronisation suivant.
VCF-WSA-RCMD-CFG-007
Ajoutez un filtre aux paramètres de l'annuaire
pour exclure des utilisateurs de la réplication d'annuaire.
Limite le nombre d'utilisateurs répliqués pour
dans l'échelle maximale.
Pour vous assurer que les comptes d'utilisateur répliqués sont gérés dans les limites maximales, vous devez définir un schéma de filtrage qui fonctionne pour votre organisation selon les attributs de votre annuaire.
VCF-WSA-RCMD-CFG-008
Configurez les attributs mappés inclus lorsqu'un utilisateur est ajouté à l'annuaire
.
Vous pouvez configurer les attributs utilisateur minimaux requis et étendus pour synchroniser les comptes d'utilisateur de l'annuaire pour
à utiliser comme source d'authentification pour les solutions
de plusieurs instances.
Les attributs requis suivants doivent être mappés aux comptes d'utilisateur de l'annuaire d'entreprise de votre organisation :
  • firstname
    , par exemple
    givenname
     pour Active Directory
  • lastName
    , par exemple
    sn
     pour Active Directory
  • email
    , par exemple
    mail
     pour Active Directory
  • userName
    , par exemple
    sAMAccountName
     pour Active Directory
  • Si vous demandez aux utilisateurs de se connecter avec un autre identifiant unique, par exemple,
    userPrincipalName
    , vous devez mapper l'attribut et mettre à jour les préférences de gestion des identités et des accès.
VCF-WSA-RCMD-CFG-009
Configurez la fréquence de synchronisation de l'annuaire
sur une planification récurrente, par exemple, 15 minutes.
Garantit la disponibilité des modifications apportées aux appartenances au groupes dans l'annuaire d'entreprise pour les solutions intégrées dans les meilleurs délais.
Planifiez l'intervalle de synchronisation pour qu'il soit plus long que le délai de synchronisation à partir de l'annuaire d'entreprise. Si les utilisateurs et les groupes sont en cours de synchronisation avec
lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement à la fin de l'itération précédente. Avec cette planification., le processus est continu.
VCF-WSA-RCMD-SEC-001
Créez les groupes de sécurité correspondants dans les services d'annuaire de votre entreprise pour ces rôles
 :
  • Super administrateur
  • Administrateurs d'annuaire
  • Administrateur en lecture seule
Simplifie la gestion des rôles
aux utilisateurs.
  • Vous devez définir l'intervalle de synchronisation d'annuaire approprié dans
    pour vous assurer que les modifications sont disponibles dans un délai raisonnable.
  • Vous devez créer le groupe de sécurité en dehors de la pile du SDDC.
VCF-WSA-RCMD-SEC-002
Configurez une stratégie de mot de passe pour les utilisateurs de l'annuaire local
,
admin
 et
configadmin
.
Vous pouvez définir une stratégie pour les utilisateurs de l'annuaire local
qui répond aux stratégies et aux normes réglementaires de votre entreprise.
La stratégie de mot de passe s'applique uniquement aux utilisateurs de l'annuaire local et n'a aucune incidence sur l'annuaire de votre organisation.
Vous devez définir la stratégie conformément aux stratégies et aux normes réglementaires de votre organisation, le cas échéant.
Vous devez appliquer la stratégie de mot de passe sur les nœuds de cluster
.

Content feedback and comments