1. On Premises
2. Runecast
3. Runecast

Verificare la compliance degli ambienti VMware con Runecast Analyzer

Runecast Analyzer è una soluzione di analisi predittiva utilizzata in ambienti VMware (VMware vSphere) per verificare la compliance rispetto alle esigenze di funzionalità ed è configurato in maniera ottimale per l’utilizzo con l’ambiente di virtualizzazione VMware.

Runecast Analyzer fornisce supporto software definite per mitigare le interruzioni del servizio, aumentare la sicurezza e la conformità e ridurre i tempi di risoluzione dei problemi.

Runecast Analyzer automatizza i controlli dell’infrastruttura virtuale per VMware vSphere /vSAN/NSX/Horizon e AWS IAM/EC2/VPC/S3.

Con Runecast è possibile verificare proprio a livello di driver e di firmware che il nostro ambiente sia in HCL Vmware. HCL vuol dire il sistema è nella Hardware Compatibility List di VMware, vale a dire quella che è una sorta di specifica tecnica degli ambienti virtualizzati basati su Vmware: quindi HCL compliant significa che il sistema ha una configurazione che risponde alle aspettative di Vmware, ossia che i suoi driver e tutti i firmware all’interno dell’hardware sono compatibili con la versione di WMware che si sta andando a installare, così se per caso emergono problemi si è certi di trovare supporto.

Il concetto di compliance non è sempre considerato nel modo dovuto da chi installa, utilizza o gestisce macchine virtuali, giacché molti si accontentino che funzionino; questo in realtà non basta, perché possono esistere problemi latenti che in particolari situazioni si manifestano nella maniera meno desiderata. Un problema può essere un errore nel kernel, non funziona qualcosa, le repliche non stanno andando, piuttosto che facendo la vSAN si scopre che e c’è un problema di comunicazione di rete eccetera, quando bisogna accedere al supporto di WMware ci si trova a fare i conti con la compliance: la prima cosa su cui il supporto tecnico si sofferma è l’analisi della configurazione, in modo da escludere che sia un errore dovuto a VMware in sé. Quindi si va a verificare ad esempio se si sta usando un driver che non è compatibile, piuttosto che una scheda di rete che non è compatibile o uno storage (un’unità disco) che ha dei problemi e quindi spesso finisce che se non si hanno elementi per ribattere, il malfunzionamento viene addebitato al sistema, perché non è compatibile.

In questo tutorial verrà spiegato come installare Runecast Analyzer, iniziando con la capacità e i requisiti di configurazione per l'implementazione di Runecast Analyzer.

Runecast Analyzer - Requisiti di sistema

Partiamo dalle piattaforme supportate, ossia le soluzioni di virtualizzazione e Cloud sulle quali è possibile distribuire l'applicazione:

• VMware vSphere come immagine OVA preconfezionata disponibile su Runecast Portal o VMware Marketplace;
• Amazon AWS come immagine AMI predefinita disponibile su AWS Marketplace;
• Microsoft Azure come immagine predefinita disponibile su Azure Marketplace;
• Kubernetes tramite la carta di Helm ospitata nel repository della carta di Runecast Helm.

Per accedere all'interfaccia Web di Runecast Analyzer dopo la distribuzione, dovete utilizzare uno dei browser supportati.

Requisiti VMware vSphere

L'infrastruttura VMware vSphere dovrebbe essere già distribuita e gli host ESXi devono essere v6.xe superiori e questi devono essere gestiti da vCenter v6.xo v7.x.

L'applicazione Runecast Analyzer viene in genere distribuita in un'infrastruttura vSphere esistente. L'allocazione delle risorse appropriata per l'appliance viene selezionata durante il processo di distribuzione. Le opzioni di dimensionamento standard sono Small, Medium e Large, ciascuna con risorse allocate come segue:                                                                       

• Small (configurazione adatta per ambienti piccoli: fino a 50 host);

• 2 vCPU;
• 6 GB di RAM;
• 120 GB di spazio di archiviazione;
• LAN ethernet da 100 Mbit (consigliato 1 Gbit o superiore);

• Medium (configurazione idonea per ambienti medi: fino a 150 host):

• 4 vCPU;
• 8 GB di RAM;
• 120 GB di spazio di archiviazione;
• LAN ethernet da 100 Mbit (consigliato 1 Gbit o superiore);

• Large (questa configurazione è adatta ad ambienti di grandi dimensioni: fino a 1.200 host);

• 8 vCPU;
• 32 GB di RAM;
• 120 GB di spazio di archiviazione;
• LAN ethernet da 100 Mbit (consigliato 1 Gbit o superiore).

Per quanto riguarda la connettività Internet, Runecast Analyzer viene fornito come un'appliance virtuale in formato OVA che viene distribuita nell'infrastruttura virtuale; tutti i dati e la logica necessari per il pieno funzionamento sono contenuti in essa e nessun dato viene trasmesso da Runecast Analyzer al di fuori del vostro Data Center. Facoltativamente, è possibile connettere Runecast Analyzer a Internet per scaricare aggiornamenti zero-touch per definizioni di knowledge e aggiornamenti delle applicazioni. Viene fornito un meccanismo di aggiornamento completamente off-line utilizzando i file (.ISO e .bin) resi disponibili dal portale utente.

Requisiti per ambienti AWS

Per distribuire Runecast Analyzer è necessario disporre di un account AWS attivo. La distribuzione richiede le seguenti risorse (i clienti possono riutilizzare le risorse esistenti):
        ◦ VPC
        ◦ Sottorete di rete con gateway Internet collegato
        ◦ Gruppo di sicurezza che consente la seguente comunicazione:
            ▪ Comunicazione in entrata sulle porte 443 (HTTPS) e 22 (SSH)

Requisiti per ambienti Microsoft Azzure

Per distribuire Runecast Analyzer è necessario disporre di un un account cloud Microsoft Azure attivo. La distribuzione richiede le seguenti risorse (i clienti possono riutilizzare le risorse esistenti):

• Azure Active Directory;
• abbonamento attivo;
• rete virtuale (VLAN);
• sottorete;
• IP pubblico per l'accesso su Internet;
• gruppo di sicurezza di rete con HTTPS(443) aperto per l'accesso all'interfaccia web.

Requisiti per l’ambiente Kubernetes

Runecast Analyzer può essere installato edd eseguotop su qualsiasi cluster K8s che supporti Helm: cluster basato sulla versione Kubernetes open-source on-premise o soluzioni commerciali come HPE Ezmeral, Amazon EKS, Microsoft AKS o Google GKE. È richiesto Helm 3 (Helm 2.2.0+ dovrebbe funzionare ma non è convalidato).

Per impostazione predefinita, l’applicazione viene distribuita con le seguenti impostazioni:

• minimo 1.1 CPU, 2,1 GB di RAM;
• massimo 3 CPU, 3,5 GB di RAM e 50 GB di memoria persistente.

Runecast - Privilegi dei sistemi analizzati

Per eseguire Runecast Analyzer è necessario disporre di alcuni privilegi che differiscono in base all’ambiente di virtualizzazione; sono descritti qui di seguito.

Server VMware vCenter
Per connettersi a un server VMware vCenter è necessario un utente con il privilegio, a livello di vCenter, di Sola lettura, ovvero l’autorizzazione minima richiesta per l'Analizzatore per eseguire la scansione è Sola lettura. Tuttavia, in questo caso, la raccolta non sarà completamente completa e non sarà possibile segnalare problemi relativi ad alcune aree della configurazione, come le informazioni specifiche del dispositivo dagli host ESXi (driver, firmware). Ciò è dovuto al modo in cui i dati specifici vengono esposti tramite il modello di autorizzazioni vSphere.
Per fornire un'analisi completa, i privilegi aggiuntivi forniti di seguito garantiranno la raccolta di informazioni sufficienti per il 100% dei controlli eseguiti da Runecast Analyzer.

I requisiti raccomandati sono invece quelli riportati nella tabella seguente.

Uno script PowerCLI per creare automaticamente un ruolo Runecast con le autorizzazioni di cui sopra è disponibile nel repository https://github.com/Runecast/public/blob/master/PowerCLI/createRunecastRole.ps1.
Attenzione che i controlli di compatibilità hardware vengono eseguiti su ESXi v6.0 e versioni successive.

VMware NSX-V

NSX-V è supportato collegandosi a un NSX-V Manager quando è associato a un’istanza vCenter. Runecast Analyzer supporta NSX-V Manager v6.2 e versioni successive.
Per la connessione a NSX-V, è necessario un utente con i seguenti privilegi in NSX Manager:

 Requisito minimo = Auditor;

• Requisito consigliato = Amministratore della sicurezza (necessario per sfruttare il widget dashboard personalizzato NSX-V per Runecast).

A causa dei vincoli di NSX-V Manager precedenti alla v6.3.3, Runecast Analyzer non può convalidare automaticamente che un NSX-V Manager sia registrato in un vCenter specifico. Vi verrà chiesto di confermare durante il processo di connessione.

Fonte di autenticazione

Dominio: gli utenti di dominio sono supportati su NSX-V 6.4 e versioni successive.
Locale: l’utente CLI locale può essere creato seguendo la procedura seguente:

1. aprire la sessione della console su NSX-V Manager e accedere con l’account amministratore;
2. passare alla modalità Privilegio utilizzando il comando enable;
3. passare alla modalità Configuration utilizzando il comando configure terminal;
4. aggiungere un account utente CLI attraverso il comando user password (hash | plaintext) (ad esempio: user cliuser password plaintext abcd1234);
5. salvare la configurazione con il comando write memory;
6. consentire all’utente CLI creato di eseguire la chiamata REST API utilizzando il comando user privilege web-interface;
7. generare una richiesta POST verso l’endpoint https:///api/2.0/services/usermgmt/role/?isCli=true da un utente che abbia i privilegi di amministratore, per assegnare un ruolo al nuovo utente CLI appena creato; un esempio di body content per l’assegnazione del privilegio auditor è:

auditor

globalroot-0

Adesso siete in grado di utilizzare il nuovo utente CLI per la connessione all’NSX-V Manager.

VMware NSX-T

VMware NSX-T Data Center è supportato attraverso il collegamento ad un NSX-T Manager o a un Cluster Virtual IP. Runecast Analyzer supporta NSX-T Manager versione 2.4 e successive.
Per la connessione a NSX-T, è necessario un utente con i privilegi in NSX-T Manager che siano almeno a livello Auditor.

VMware Horizon

VMware Horizon è supportato collegandosi a un Connection Server. Per i Connection Server che fanno parte di un unico gruppo di replica, è necessario stabilire la connessione ad uno solo di essi purché appartenga al gruppo. Inoltre, se è presente un Load Balancer configurato con la persistenza della sessione, può essere utilizzato per connettersi a un Connection Server in un gruppo di replica. Runecast Analyzer supporta Horizon v6.x e versioni successive.
Per la connessione a un Connection Server, è necessario un utente con il seguente privilegio minimo in Horizon: Amministratore (sola lettura).

VMware Cloud Director

VMware Cloud Director è supportato attraverso la connessione al portale del provider. Runecast Analyzer supporta VMware Cloud Director versione 10.0 e successive.
Per la connessione a VMware Cloud Director, è necessario un utente che abbia almeno il seguente privilegio a livello di provider vCD: un ruolo con autorizzazioni di sola visualizzazione.

AWS

Amazon Web Services è supportato attraverso il collegamento ad un account AWS.
Per la connessione a un account AWS, è necessario soddisfare questo requisito minimo: si consiglia di utilizzare solo un account con accesso programmatico. Per limitare il sovraccarico operativo, suggeriamo di utilizzare la policy ReadOnlyAccess gestita da AWS. Ciò coprirà le funzionalità future e le capacità di analisi fornite da Analyzer, senza la necessità di modificare la politica molto spesso.

Microsoft Azure

Azure AD è supportato connettendo un'applicazione Azure. Per creare l'applicazione Azure e assegnare le autorizzazioni necessarie, dovete svolgere la seguente procedura:

1.  accedere al portale di Azure;
2. passare ad Azure Active Directory;
3. dal menu a sinistra, fare clic su App registrations, quindi fare clic su New registration;

    

   
   
   

    

    4. fornire un nome per l'applicazione e selezionare Account solo in questa directory dell'organizzazione (Demo-directory only - Single tenant); lasciare vuoto Redirect URI;
   

   

   5. una volta creata l'applicazione, prendere nota dell'ID dell’ Application (client) e dell'ID directory (tenant) mostrati nella pagina Overview dell’applicazione;

   6. fare clic su Certificates & secrets in Manage nel menu a sinistra dell'app;

   7. nella sezione Client secrets, fare clic su New Client secret;

   

   8. fornire una descrizione adeguata per il segreto client e selezionare la scadenza secondo la politica dell'organizzazione; consigliamo una scadenza di 1 anno per i Client secrets;
   9. prendere nota del valore del Client secret appena creato;
   10. fare clic sulle autorizzazioni API in Gestisci nel menu a sinistra dell'app;
   11. nella sezione Configured permissions, aggiungere l'autorizzazione all'applicazione per Directory.Read.All dall'API Graph e fare clic su Grant Admin Consent for Demo-directory; se non si disponete dei privilegi di amministratore, consultate il link
   https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-user-consent?tabs=azure-portal, allorché con l'aiuto del vostro amministratore potrete modificare le impostazioni del consenso dell'utente;
   
   
   
       12. passare alla pagina Subscriptions e selezionare l'abbonamento per il quale si desidera scansionare da Runecast Analyzer;
       13. dal menu a sinistra dell'abbonamento, fare clic su Access control (IAM) e selezionare Role assignments, quindi fare clic su Add e selezionare Add role assignment;
       14. selezionare  Reader come ruolo e impostare Assign access to all'opzione User, User o service principal, dopodiché in Select fornite il nome della vostra app creata nel passaggio       4) di questa procedura e fate clic sul pulsante Salva.
   

Kubernetes

Kubernetes è supportato collegandosi all'indirizzo del server API utilizzando l'autenticazione del token dell'account di servizio.

Runecast Analyzer segue una versione estesa della policy del ciclo di vita di Kubernetes, testando e convalidando rispetto all'attuale versione di Kubernetes, nonché alle tre versioni precedenti. Sono supportati gli ambienti Kubernetes gestiti, inclusi Amazon EKS, Microsoft AKS, Google GKE e HPE Ezmeral Container Platform. Tuttavia, siccome tali servizi possono limitare l'accesso al piano di controllo, Runecast Analyzer non può fornire risultati per il piano di controllo (in quanto tali, i risultati in questi ambienti sono riservati ai cluster o ai carichi di lavoro distribuiti dal cliente).
Runecast Analyzer può connettersi all'API tramite un indirizzo di bilanciamento del carico o direttamente a uno dei nodi master. Per ottenere il token dell'account di servizio, devi prima creare un account di servizio. L'account del servizio può avere autorizzazioni limitate e deve essere associato a un ruolo del cluster.
Per ottenere l'indirizzo API, la porta e il token dell'account di servizio, dalla workstation di gestione in cui è configurato l'accesso K8s, bisogna innanzitutto passare al contesto del cluster cui vi connetterete in Runecast Analyzer; allo scopo dovete impartire il comando:

kubectl config use-context

Notate che in VMware Tanzu dovete impartire il comando:

kubectl vsphere login –server = --vsphere-username

per accedere al cluster e quindi il comando sopra menzionato per passare al contesto del cluster del carico di lavoro richiesto. Per ulteriori informazioni sulla connessione a Tanzu Kubernetes Cluster, consultare la documentazione ufficiale del prodotto accessibile dal link https://docs.vmware.com/en/VMware-vSphere/7.0/vmware-vsphere-with-tanzu/GUID-AA3CA6DC-D4EE-47C3-94D9-53D680E43B60.html.

Inviate quindi i seguenti comandi per trovare l’indirizzo e le porte delle API:

bash

• CURRENT_CONTEXT=$(kubectl config view -o jsonpath="{.current-context}")

CURRENT_CLUSTER=$(kubectl config view -o jsonpath="{.contexts[?(@.name=='$CURRENT_CONTEXT')].context.cluster}")

echo $(kubectl config view -o jsonpath="{.clusters[?(@.name=='$CURRENT_CLUSTER')].cluster.server}")

PowerShell

• create un account di servizio e leggetene il token; potete quindi utilizzare i seguenti comandi per eseguire il task:

bash                            

1. # set the namespace where the service account will be created

NAMESPACE="kube-system"

# create the service account

kubectl create serviceaccount runecast-analyzer-scan -n ${NAMESPACE}

# create clusterrole

kubectl create clusterrole runecast-analyzer-scan --verb=get,list,watch --resource=nodes,namespaces,pods,replicationcontrollers,serviceaccounts,services,daemonsets.apps,deployments.apps,replicasets.apps,statefulsets.apps,cronjobs.batch,jobs.batch,networkpolicies.networking.k8s.io,podsecuritypolicies.policy,clusterrolebindings.rbac.authorization.k8s.io,clusterroles.rbac.authorization.k8s.io,rolebindings.rbac.authorization.k8s.io,roles.rbac.authorization.k8s.io

# bind the clusterrole

kubectl create clusterrolebinding runecast-analyzer-scan --clusterrole=runecast-analyzer-scan --serviceaccount=${NAMESPACE}:runecast-analyzer-scan

# output the service account token

kubectl get serviceaccounts runecast-analyzer-scan -n ${NAMESPACE} -o jsonpath='{.secrets[].name}' | xargs kubectl get secret -n ${NAMESPACE} -o jsonpath='{.data.token}' | base64 -d | awk '{print "copy the service account token:\n"$1"\n"}'

PowerShell

Sistemi operativi

L'analisi dei sistemi operativi (OS) viene operata da Runecast Analyzer attraverso due componenti:

• servizio di analisi del sistema operativo in esecuzione sull'appliance Runecast Analyzer;
• agenti del sistema operativo in esecuzione sui sistemi operativi, che raccolgono dati e inviano rapporti al servizio di analisi del sistema operativo.

Prima di attivare l'analisi del sistema operativo in Runecast Analyzer dovete:

• assicurarvi di eseguire OVA di dimensioni medie o grandi per soddisfare le esigenze di prestazioni;
• preparare un nome host DNS o un record FQDN che punta a Runecast Analyzer, che verrà utilizzato dagli agenti del sistema operativo per comunicare con il servizio di analisi del sistema operativo; in alternativa, potete utilizzare l'indirizzo IP di Runecast Analyzer.

Dopo aver abilitato il servizio di analisi del sistema operativo, sarà necessario scaricare i pacchetti di installazione dell'agente del sistema operativo e distribuirli ai sistemi operativi di destinazione. I pacchetti sono preconfigurati per la connessione al servizio di analisi del sistema operativo e contengono un certificato di servizio per la verifica dell'attendibilità e il segreto di registrazione per consentire all'agente di registrarsi al servizio.
Per distribuire gli agenti del sistema operativo (OS Agents) dovrete essere in possesso dei diritti amministrativi sul computer di destinazione dove andrete a installare gli agenti; l’agente OS di Runecast Analyzer è in esecuzione con l'account SYSTEM su Windows, e con l’account root su Linux.

Quando l'agente del sistema operativo viene avviato per la prima volta, tenta di connettersi al servizio di analisi del sistema operativo utilizzando un nome host o un FQDN definito dall'utente (fornito durante l'abilitazione del servizio), verifica che il certificato del servizio sia attendibile ed esegue la registrazione. Dopo che l'agente del sistema operativo è stato registrato, invierà periodicamente un messaggio di stato al servizio di analisi del sistema operativo e raccoglierà i dati su richiesta.

La connettività di rete relativa a Runecast Analyzer è meglio descritta nella tabella seguente.