Externalisation de notre PSC vCenter de production : check !

Il y a quelques mois, je vous avais présenté en détail la méthode vous permettant de transformer un vCenter initialement déployé en mode “embedded Platform Service Controller” vers une infrastructure de type “vCenter / PSC externe” (voir ce billet). A l’époque, il s’agissait de tester cette procédure par curiosité, pour le cas où.

Depuis, les choses ont grandement évolué et avec notre projet de cluster d’administration indépendant, nous allons devoir monter un nouveau vCenter sur notre infra VxRAIL toute neuve (voir ce billet). Du coup, pour intégrer cela le mieux possible avec nos outils d’administration existants, nous allons connecter cette nouvelle instance via l’utilisation du mode “Enhanced Linked mode” propre à vSphere 6.

Voyons cela de plus près !

La théorie

Sans décrire à nouveau la PSC de vCenter 6 (si vous souhaitez plus d’information, le KB#2113115 VMware lui est consacré), celui-ci est dédié aux activités de gestion des certificats, des permissions et de relations d’approbation avec le ou les services d’authentification externes. Accessoirement, il s’occupe également de centraliser les licences vSphere ainsi que les tags utilisés par vCenter. Typiquement, ce genre de service est un bon candidat à la mutualisation : les déclarations ne sont faites qu’à un endroit et tous les “clients de la PSC” en bénéficient directement.

Un vCenter 6 est donc un client d’un PSC soit interne (déployé en même temps que le vCenter, sur la même machine), soit externe (déployé séparément). La plupart du temps, les petites et moyennes installations démarrent avec un PSC intégrés (Embedded Platform Service Controller). Mais si vos environnements grossissent et que vous envisagez de déployer des vCenter complémentaires, l’externalisation du PSC est une option plus qu’intéressante. En plus de mutualiser vos licences, vos droits d’accès, votre gestion de certificats etc. … tous les vCenter clients d’un PSC donné se retrouvent connectés ensemble et apparaissent de manière unifié au sein de chaque client vSpgere (Web Client, HTML Client, Client lourd C#). Enfin, et pour ne rien gâcher, le fameux “Enhanced Linked Mode” constitutif de ce mode de mutualisation de PSC permet aussi de déplacer directement une VM d’un vCenter à un autre, sans être obligé de faire des manipulations compliquées (de-register, re-register). Même le vMotion est possible, sous réserve de compatibilité CPU, comme toujours.

La pratique

DONC ! Vue l’arrivée prochaine de notre nouvelle instance vCenter, nous avons procédé à l’externalisation du PSC de notre vCenter généraliste actuel. Même si la première fois s’était très bien passée dans notre bac à sable, toucher à un vCenter de production chargé de piloter nos quelques 1600 VMs aujourd’hui est toujours un moment de stress, vous en conviendrez sans doute. Pour autant, comme attendu, l’opération s’est globalement très bien passée.

Nous avons malgré tout été confrontés à un petit souci post-migration. Lors de la préparation de l’appliance PSC, nous avions choisi d’utiliser une VCSA par simplicité, contrairement à la première fois, où c’était un déploiement Windows qui avait servi de support à cette fonction. Toute la première partie s’est correctement déroulée, avec les mêmes étapes initiales.

Par contre, une fois le vCenter “changé de PSC”, impossible de se connecter avec autre chose que les users locaux @vsphere.local. Nous avons vite diagnostiqué un souci d’intégration Active Directory. Et oui ! Autant, un vCenter sous Windows bénéficie directement d’une intégration de l’OS à l’AD de production, autant une VCSA doit être jointe au domaine manuellement pour ensuite pouvoir l’interroger sans problème. Nous avons donc effectué cette jointure a posteriori puis relancé celle-ci et tout est rentré dans l’ordre. Pour réaliser cette opération, il vous suffit de vous logger avec le compte administrator@vsphere.local puis vous rendre dans “Administration->System Configuration. Enfin, sélectionnez le node correspondant à votre PSC, puis rendez-vous dans l’onglet “Manage->Settings->Active Directory” et cliquez sur le bouton “Join” (et en utilisant un compte ayant les droits minimum pour cela sur l’AD cible). Après ce petit hic, le vCenter se comportait à nouveau parfaitement, comme si de rien n’était.

Cette première opération de préparation de notre production étant terminée, il ne reste plus qu’à attendre l’installation de notre cluster VxRAIL avec son vCenter dédié ! Il sera intéressant de voir si l’assistant de configuration fourni par Dell EMC permet de déployer un vCenter en mode “external PSC”, car si ce n’est pas le cas, nous devrons l’installer au préalable. Nous serons désormais vite fixés :)

Merci à Mikael pour son aide et sa caution professionnelle pendant cette phase délicate !

6 thoughts on “Externalisation de notre PSC vCenter de production : check !

  1. jihefge says:

    Hello,
    merci pour ce retour très intéressant. Pas de pb pour la jonction au domaine ? quel type de domaine est-ce (2008,2012) ? Ici, infichu de faire une jonction entre une VCSA et un domaine 2012. Le PSC Windows,lui, y arrive sans souci……

    • Cédric Cédric says:

      C’est un domaine 2008 de notre coté. Surprenant votre problème de connexion AD 2012 :/ Vous obtenez un message d’erreur quelconque ? Vous utilisez un compte administrateur du domaine ou juste un compte ayant le droit d’ajouter des comptes ordinateurs ?

  2. Cédric Cédric says:

    une erreur en retour ? j’imagine que vous avez tenté d’appeler le support VMware ? (question bête, mais bon… même s’ils ne sont pas parfait, ils répondent de temps en temps à nos questions ^^)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *