Dans l’article précédent nous avons déployé nos appliances. Avant de les mettre en service nous allons modifier quelques éléments de configuration, puis générer et appliquer des certificats issus d’une autorité de certification interne. Enfin nous allons connecter deux appliances entre elles pour pouvoir envoyer des réplications de l’une à l’autre.
Remarque : la partie concernant les certificats est optionnelle, elle n’a de sens que si vous avez également généré des certificats pour les autres composants de votre environnement vSphere (voir ici pour l’appliance vCenter, par exemple). Pour le reste, allons-y !
Configuration
Commencez par vous connecter en root à l’adresse https://fqdn-appliance:5480 (si vous n’avez pas créé d’enregistrement DNS, c’est le moment !). Ignorez les avertissements de certificat.
Puis cliquez sur Configuration. Le paramètre qui nous intéresse pour l’instant est le nom de l’appliance (VRM Host). C’est sur la base de ce champ que nous émettrons le certificat tout à l’heure. Nous allons donc remplacer cette adresse IP par le nom d’hôte et cliquer sur Save and Restart Service.
Le redémarrage du service va prendre quelques minutes. Puis nous allons configurer le fuseau horaire dans System, Time Zone, puis Save Settings.
Vous pouvez également vérifier et également corriger les paramètre réseau dans l’onglet Network, comme par exemple ajouter un serveur DNS.
Voilà, rien de bien méchant comme vous pouvez le voir. Répétez l’opération pour la seconde appliance. Si vous ne souhaitez pas configurer de certificats personnalisés pour votre appliance vous pouvez vous arrêter là et passer à la partie suivante : Connexion des appliances. Si les certificats ne vous font pas peur, on enchaîne !
Configuration des certificats
Contrairement au vCenter, il n’existe pas encore de procédure automatisée pour générer les certificats de l’appliance et les configurer. On va donc réaliser toute la procédure à la main en se basant sur la kb de VMware ici. C’est assez fastidieux mais sans grande difficulté, alors allons-y ! Attention, je pré-suppose que vous avez déjà paramétré des certificats pour votre vCenter (au minimum), et donc que l’environnement est prêt : vous avez déjà créé un modèle de certificat adapté, OpenSSL est installé… Si ce n’est pas le cas, commencez par ça !
Création du certificat
Sur un serveur d’administration Windows, créez un dossier pour mettre les certificats de vos appliances de réplication, un dossier par appliance. Et dans chaque dossier, nous allons créer un fichier de configuration pour faire la demande de certificat.
Le contenu de ce fichier doit être le suivant (en gras, les paramètres à éditer selon votre environnement).
[ req ] default_bits = 2048 default_keyfile = rui.key distinguished_name = req_distinguished_name encrypt_key = no prompt = no string_mask = nombstr req_extensions = v3_req [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth, clientAuth subjectAltName = DNS: server1, IP: 192.168.100.10, DNS: server1.domain.com [ req_distinguished_name ] countryName = FR stateOrProvinceName = MaTropGrandeRégion localityName = Ma Ville 0.organizationName = Ma société organizationalUnitName = vSphere Replication Appliance commonName = server1.domain.com
Enregistrez le fichier avec le nom mon-serveur.cfg (ici, server1.cfg). Réalisons maintenant la demande de certificat. Cela va créer le fichier .csr (requête) et le fichier .key (clé privée). En ligne de commande depuis le dossier où se trouve votre fichier cfg, saisissez :
c:\OpenSSL\bin\openssl.exe req -new -nodes -out server1.csr -keyout server1-orig.key -config server1.cfg
Il faut remplacer les zones en gras par le nom de votre appliance. Le contenu du dossier doit maintenant ressembler à ça :
On effectue la demande auprès de l’autorité de certification (ici, une autorité Microsoft). En gras les champs à modifier.
certreq -submit -attrib CertificateTemplate:VMware-Certificate -config "mon-serveur-CA\mon-autorité" server1.csr server1.crt
CertificateTemplate doit être suivi du nom de votre modèle de certificat configuré pour VMware et “mon-serveur-CA\mon-autorité” doit pointer sur votre autorité de certification. Le fichier .crt qui est produit est notre nouveau certificat :
Le certificat est bon, par contre la clé privée n’est pas au bon format. Nous allons la convertir au format RSA :
C:\OpenSSL\bin\OpenSSL.exe rsa -in server1-orig.key -out server1.key
Enfin, on crée un certificat au format PKCS#12 :
c:\OpenSSL\bin\OpenSSL.exe pkcs12 -export -in server1.crt -inkey server1.key -name "server1" -passout pass:replication55 -out server1.p12
Et voilà notre beau certificat!
Application du certificat à l’appliance
Il ne nous reste plus qu’à importer notre certificat sur l’appliance. Retournez sur l’interface web de l’appliance (https://appliance-fqdn:5480), si possible depuis la machine qui héberge le certificat, et connectez-vous en root. Puis allez dans Configuration.
Commencez par cliquer sur Choose File, puis allez chercher votre fichier p12. Cliquez sur Upload and Install.
Saisissez le mot de passe du certificat (si vous n’avez rien changé, c’est replication55).
Après deux ou trois minutes d’attente, l’appliance va demander de fermer la session. Dites OK. Profitez-en pour fermer le navigateur, puis rouvrez-le et retournez sur l’appliance :
Félicitations ! Votre nouveau certificat est appliqué. Répétez maintenant l’opération pour votre seconde appliance.
Connexion des appliances
Nous pouvons maintenant connecter nos deux appliances. Pour rappel, dans notre scénario nous avons deux vCenter disposants chacun d’une appliance de réplication. L’un est utilisé en production sur le site principal (il pourrait également gérer des ESXi sur d’autres sites), l’autre se trouve sur un site de secours.
Bien que notre flux principal soit “VM de production -> Environnement de reprise d’activité”, comme nous le verrons plus tard il peut également être utile de configurer le flux inverse, si vous devez un jour renvoyer des VMs depuis le site de secours vers un site de production. Nous allons donc maintenant associer les deux appliances.
Connectez-vous au premier vCenter (disons, celui de production), et cliquez sur la nouvelle icône vSphere Replication.
Nous avons principalement deux options: Surveiller et Gérer. Pour associer les deux appliances, nous allons aller sur Gérer.
L’écran qui vient vous permettra de vérifier que l’appliance est bien enregistrée avec le vCenter. Si tout est bon, cliquez sur Sites cibles. (sinon, il faut résoudre le problème avant de continuer !)
Nous allons maintenant ajouter notre cible cible : cliquez sur la petite icône en haut à gauche.
Pointez sur le vCenter de secours et saisissez des informations d’authentification valides pour ce site. Nous utilisons ici un compte de service disposant de droits d’admin sur le vCenter distant.
Vous pouvez ignorer l’avertissement de certificat si vous en voyez un. Après quelques secondes, le nouveau site apparaît, ainsi que l’appliance de réplication qui y est installée.
Nous pouvons maintenant configurer des réplications à destination de ce site ! Mais avant de rentrer dans l’utilisation, configurons tout de suite la réplication dans l’autre sens en reprenant ces étapes sur depuis notre second vCenter.
Petite variante en configuration le second sens de réplication : le vCenter sera déjà visible dans les sites cibles, il faudra juste le sélectionner et cliquer sur Reconnecter. Vous pourrez ainsi saisir des identifiants valides et activer la connexion.
Et maintenant ?
La configuration est terminée ! Nous avons maintenant deux appliances de réplication installées sur deux sites différents, chacune connectée à son vCenter. Tout est prêt pour commencer à répliquer !
Dans la prochaine partie, nous passerons donc aux choses sérieuses en configurant une réplication et en voyant les outils à notre disposition pour la surveiller !