Instalacion vRealize Automation - Parte 2

vRAI

 

 

Luego de la resaca del VMworld 2015 continuamos con vRealize Automation. En este Post veremos la gestión de identidades en vRA. Decidiremos en qué caso desplegar el appliance de vRealize Identity y las buenas prácticas.

 

El appliance de vRealize Identity es, a todos los efectos, un simil al Single Sign On gestionando su identidad nativa (normalmente vsphere.local) y añadiendo otras externas entre las que pueden estar servicios OpenLDAP y/o Directorio Activos.

De hecho el default Tenant tiene el nombre de la identidad por defecto.

 

Este servicio es más que importante ya que tanto la gestión de los roles administrativos como, sobre todo, la asignación de privilegios a los elementos del catálogo será en base a usuarios y grupos de las diferentes identidades integradas a vRA.

 

Tenemos la opción de gestionar las Identidades en vRA con el appliance de vRealize Identity o simplemente utilizar una instancia de SSO.

Cuál sería la adecuada? Naturalmente, depende.

 

Veamos a continuación un par de ejemplos y quedará más que claro.

 

Ejemplo 1: Entorno simple

En este ejemplo disponemos de una Infraestructura compuesta por una única instancia de Active Directory gestionada por el servicio SSO.

El PSC (Platform Service Controller) gestiona la instancia de SSO con su correspondiente identidad local (normalmente vsphere.local) de cara a asignar privilegios al vCenter 1.
El vRA apunta, en este ejemplo, directamente al SSO para la gestión de sus identidades. Eso supone que podrá asignar privilegios en base a usuarios y grupos de ad1.lan sin necesidad de desplegar un appliance de vRealize Identity.


vRAIInfraestructura simple con vRA apuntando al SSO
 

Ejemplo 2: Multiples identidades

Podemos ver en este segundo ejemplo un PSC que, a través del servicio SSO, integra tres servicios de Active Directory a la vez que un par de instancias de vCenter.

Si bien hablamos de tres fuentes de identidades, al estar gestionadas por la misma instancia de SSO apuntamos a él desde nuestro vRA.

Ésto es así cuando no esperamos una mayor complejidad en la infraestructura.


vRI multiples instancias
Multiples identidades gestionadas por el mismo SSO y vRA apuntando al SSO
 

Ejemplo 3: Multiples identidades distribuidas

Aquí podemos ver un claro ejemplo de cuándo debemos utilizar el Appliance de vRealize Identity. Tenemos 4 servicios de Active Directory totalmente independientes entre sí y dos de ellos, a su vez, están conectados a diferentes instancias de SSO.

A todos los efectos lo que nos interesa en este punto es ser capaces de poder apuntar a grupos y usuarios de los 4 servicios de Active Directory de forma indistinta. Vemos que el vRI se encarga de ello.


vRI
Ejemplo de instancia de vRI apuntando a 4 identidades diferentes sin utilizar SSO
 

Entonces cuándo utilizo vRI?

Podemos utilizar vRI en todos los casos, incluyendo infraestructuras simples de un único OpenLDAP o Active Directory.

De hecho al utilizar vRI en lugar de un SSO pre-existente eliminamos esa dependencia.

Como hemos mencionado, por más simple que sea nuestro entorno, siempre podemos utilizar vRI aunque eso suponga un appliance adicional para gestionar.

Para los casos algo mas complejos de múltiples instancias de vCenter con sus correspondientes SSO y considerando servicios adicionales de OpenLDAP/Active Directory conectados (o no) a un vCloud Director es obligado utilizar vRI.

 

Mi recomendación es que siempre utilices un appliance de vRI por mas simple que sea la infraestructura que tengamos por debajo.

 

En el próximo Post veremos la gestión de identidades y la improtancia del servicio NTP así como también mostraremos lo simple que es desplegar un vRI.

 

Como siempre, ha sido un placer. Me ayudas a compartirlo?

Deja un comentario

Muchas gracias por tus comentarios!!
Tras la revisión rutinaria, será publicado.