Con VMware VMware Cloud Director è possibile creare cloud multi-tenant sicuri eseguendo il pooling delle risorse dell'infrastruttura virtuale in virtual data center (VDC) ed esponendole agli utenti tramite portali basati su Web e interfacce programmatiche come un servizio completamente automatizzato basato su catalogo.

La Guida all'amministrazione del provider di servizi di VMware Cloud Director fornisce informazioni sull'aggiunta di risorse al sistema, sulla creazione e sul provisioning delle organizzazioni, sulla gestione delle risorse e delle organizzazioni, nonché sul monitoraggio del sistema.

Provider di servizi, provider secondari e tenant

VMware Cloud Director 10.6 introduce il concetto di provider secondari oltre ai provider di servizi e ai tenant. Un provider secondario è un'identità tenant che può creare organizzazioni tenant e gestirle. Un provider può consentire a un'organizzazione tenant di diventare un provider secondario concedendo a tale organizzazione i diritti amministrativi necessari e il diritto di attraversare altre organizzazioni. Gli amministratori dei provider secondari non possono concedere questi diritti ai loro tenant.

Se si desidera che un'organizzazione tenant esistente diventi un'organizzazione di provider secondario, è necessario pubblicarla nel bundle dei diritti Default Sub-Provider Entitlement e pubblicare il ruolo Amministratore provider secondario nell'organizzazione tenant oppure un bundle di diritti e un ruolo che includano un set di diritti equivalente. Quando si crea un'organizzazione, se si seleziona l'opzione del provider secondario, VMware Cloud Director pubblica automaticamente il bundle dei diritti Default Sub-Provider Entitlement e il ruolo Amministratore provider secondario nell'organizzazione appena creata.

L'amministratore del provider secondario opera all'interno dell'organizzazione del provider secondario e può eseguire le seguenti operazioni:
  • Creazione di organizzazioni
  • Creazione, visualizzazione, gestione ed eliminazione di VDC dell'organizzazione
  • Creazione, visualizzazione, gestione ed eliminazione di reti VDC dell'organizzazione
  • Passaggio tra le organizzazioni
  • Configurazione dei provider di identità dell'organizzazione
  • Esecuzione di tutte le operazioni standard del tenant
  • Creazione e pubblicazione di ruoli
  • Creazione e pubblicazione di bundle di diritti
  • Visualizzazione di reti esterne
  • Condivisione e pubblicazione di cataloghi
  • Gestione delle sottoscrizioni dei cataloghi
Figura 1. Esempio di distribuzione greenfield
Il provider gestisce i VDC del provider e concede le risorse. I provider secondari gestiscono le loro organizzazioni e le risorse concesse. I tenant gestiscono le loro organizzazioni e i VDC delle organizzazioni.
Figura 2. Esempio di distribuzione brownfield
Un provider concede innanzitutto i diritti di provider secondario ai tenant. Quindi, il provider concede le risorse al provider secondario e il provider secondario può iniziare a creare i propri tenant.

Limitazioni delle organizzazioni tenant gestite dai provider secondari

In VMware Cloud Director 10.6, se un'organizzazione tenant non è vuota, la modifica dell'organizzazione di gestione comporta limitazioni. Un'organizzazione viene considerata vuota quando non sono configurati VDC o risorse di rete.
  • Non è possibile riassegnare un'organizzazione tenant gestita dall'organizzazione System a un provider secondario.
  • Non è possibile riassegnare all'organizzazione System un'organizzazione tenant gestita da un provider secondario.
  • Non è possibile riassegnare a un altro provider secondario un'organizzazione tenant già gestita da un provider secondario.

Risorse di vSphere e NSX

VMware Cloud Director utilizza le risorse di vSphere per fornire CPU e memoria per l'esecuzione delle macchine virtuali. Gli archivi dati di vSphere forniscono inoltre spazio di storage per i file delle macchine virtuali e per gli altri file necessari per le operazioni relative alle macchine virtuali. VMware Cloud Director utilizza anche commutatori distribuiti di vSphere, gruppi di porte di vSphere e NSX Data Center for vSphere per supportare servizi di rete delle macchine virtuali.

VMware Cloud Director può inoltre utilizzare le risorse da NSX. Per informazioni sulla registrazione di un'istanza di NSX Manager nel cloud, vedere l'argomento Registrazione di un'istanza di NSX Manager con VMware Cloud Director o la Guida alla programmazione dell'API di VMware Cloud Director per i provider di servizi.

È possibile utilizzare le risorse di vSphere e NSX sottostanti per creare risorse cloud.

VMware Cloud Director può fungere da server proxy HTTP, con cui è possibile consentire alle organizzazioni di accedere all'ambiente vSphere sottostante.

Risorse Cloud

Le risorse cloud rappresentano un'astrazione delle risorse di vSphere sottostanti corrispondenti e forniscono le risorse di calcolo e memoria per le macchine virtuali VMware Cloud Director e le vApp. Una vApp è un sistema virtuale che contiene una o più macchine virtuali, insieme ai parametri che definiscono i dettagli operativi. Le risorse Cloud consentono inoltre di accedere allo spazio di storage e alla connettività di rete.

Le risorse Cloud includono VDC di provider e organizzazioni, reti esterne, reti VDC dell'organizzazione e pool di reti.

Per poter aggiungere risorse cloud a VMware Cloud Director, è necessario aggiungere risorse di vSphere.

Overprovisioning di elaborazione

La quantità totale di CPU e capacità di prenotazione della memoria concessa dai provider non può superare la capacità della memoria fisica. Tuttavia, i provider possono utilizzare i limiti di Allocazione CPU e Allocazione memoria per eseguire l'overprovisioning delle risorse di elaborazione nei provider secondari. I provider secondari possono anche eseguire l'overprovisioning di CPU e memoria nei loro tenant, ma le risorse di elaborazione garantite non possono superare le rispettive concessioni. Ad esempio, se un provider ha una capacità di memoria fisica di 100 GB in un VDC del provider, può concedere il VDC del provider a un provider secondario con una memoria allocata di 200 GB e una capacità di prenotazione della memoria di 50 GB. Nell'esempio, il provider esegue l'overprovisioning dell'allocazione della memoria, ma limita la capacità di memoria prenotata del provider secondario a 50 GB. Il provider secondario può creare un VDC dell'organizzazione con una capacità totale di 200 GB. Tuttavia, la capacità di memoria prenotata totale in tutti i tenant del provider secondario non può superare i 50 GB.
Figura 3. Esempio di allocazione della memoria
Il provider concede la memoria fisica ai provider secondari, che allocano la memoria ai loro tenant.

L'allocazione e l'overprovisioning di CPU e memoria sono uguali.

Provisioning dello storage

I provider possono concedere criteri di storage del VDC del provider ai loro tenant. I provider secondari possono utilizzare i criteri di storage concessi pubblicandoli nei rispettivi VDC dell'organizzazione tenant. A differenza di quanto avviene per CPU e memoria, non è possibile eseguire l'overprovisioning dello storage. I provider secondari non possono allocare ai loro tenant più della loro allocazione di storage. Ad esempio, se un provider dispone di 100 GB di storage e concede a un provider secondario un criterio di storage con solo 50 GB, il provider secondario può allocare ai VDC dell'organizzazione tenant un totale di 50 GB.

Un provider può concedere più storage di quello disponibile fisicamente. Tuttavia, i provider secondari non hanno alcuna visibilità su quanto overprovisioning stanno eseguendo nei loro tenant perché non conoscono la quantità di storage fisico disponibile.

Figura 4. Esempio di allocazione dello storage
Il provider concede lo storage fisico ai provider secondari, che allocano lo storage ai loro tenant.

Istanze e proxy di vCenter dedicati

Un'istanza di vCenter dedicata è una risorsa cloud che incapsula un'intera installazione di vCenter. Un'istanza di vCenter dedicata include uno o più proxy che sono punti di accesso a diversi componenti dell'ambiente vSphere sottostante. Il provider può creare e abilitare istanze e proxy di vCenter dedicati. Il provider può pubblicare un'istanza di vCenter dedicata nei tenant.

Per creare e gestire le istanze e i proxy di vCenter dedicati, è possibile utilizzare il Service Provider Admin Portal o vCloud OpenAPI. Vedere Gestione di istanze di vCenter dedicate in VMware Cloud Director e Guida introduttiva di VMware Cloud Director OpenAPI.

Virtual data center del provider

Un VDC del provider combina le risorse di elaborazione e memoria di un singolo pool di risorse di vCenter con le risorse di storage di uno o più archivi dati disponibili per tale pool di risorse.

Un VDC del provider può utilizzare risorse di rete provenienti da un'istanza di NSX-V Manager associata all'istanza di vCenter o da un'istanza di NSX Manager registrata nel cloud.

nonché creare più VDC del provider per gli utenti che si trovano in posizioni geografiche o in business unit differenti o per gli utenti con requisiti di prestazioni differenti.

Virtual data center dell'organizzazione

Un VDC dell'organizzazione fornisce risorse a un'organizzazione e viene partizionato da un VDC del provider. I VDC dell'organizzazione forniscono un ambiente in cui è possibile archiviare, distribuire e utilizzare sistemi virtuali. Forniscono inoltre lo spazio di storage per media virtuali, quali dischi floppy e CD ROM.

Una singola organizzazione può disporre di più VDC.

Servizi di rete di VMware Cloud Director

VMware Cloud Director supporta tre tipi di rete.
  • Reti esterne
  • Reti VDC dell'organizzazione
  • Reti di vApp

Alcune reti VDC dell'organizzazione e tutte le reti di vApp sono supportate dai pool di reti.

Reti esterne

Una rete esterna è una rete logica differenziata, basata su un gruppo di porte di vSphere. Le reti VDC dell'organizzazione possono connettersi a reti esterne per fornire connettività Internet alle macchine virtuali in una vApp.

VMware Cloud Director supporta le reti esterne IPv6. Una rete esterna IPv6 supporta le subnet IPv4 e IPv6 e una rete esterna IPv4 supporta le subnet IPv4 e IPv6.

Per impostazione predefinita, le reti esterne possono essere create e gestite solo dagli amministratori di sistema.

Reti del virtual data center dell'organizzazione

Una rete VDC dell'organizzazione appartiene a un VDC dell'organizzazione di VMware Cloud Director ed è disponibile per tutte le vApp dell'organizzazione. Una rete VDC dell'organizzazione consente la comunicazione tra le vApp di un'organizzazione. Per la connettività esterna, è possibile connettere la rete di VDC dell'organizzazione a una rete esterna. È anche possibile creare una rete VDC dell'organizzazione isolata che sia interna all'organizzazione.

VMware Cloud Director supporta IPv6 per le reti VDC dell'organizzazione dirette e instradate.

Gli amministratori di sistema possono creare reti VDC isolate supportate da un commutatore logico NSX. Gli amministratori dell'organizzazione possono creare reti VDC isolate supportate da pool di reti.

VMware Cloud Director utilizza la rete inter-VDC configurando reti estese nei gruppi di VDC.

Per impostazione predefinita, solo gli amministratori di sistema possono creare reti dirette e inter-VDC. Gli amministratori di sistema e gli amministratori dell'organizzazione possono gestire le reti di VDC dell'organizzazione, anche se le operazioni che gli amministratori dell'organizzazione possono eseguire hanno alcuni limiti.

Reti di vApp

Una rete di vApp appartiene a una vApp e consente la comunicazione tra le macchine virtuali della vApp. Per abilitare la comunicazione di una vApp con le altre vApp dell'organizzazione, è possibile connettere la rete di vApp a una rete VDC dell'organizzazione. Se la rete VDC dell'organizzazione è connessa a una rete esterna, la vApp può comunicare con le vApp di altre organizzazioni. Le reti di vApp sono supportate da pool di reti.

La maggior parte degli utenti con accesso a una vApp può creare e gestire le proprie reti di vApp. Per informazioni sull'utilizzo delle reti in una vApp, vedere Guida ai tenant e ai provider secondari di VMware Cloud Director.

Pool di reti

Un pool di reti è un gruppo di reti indifferenziate disponibili all'interno di un VDC dell'organizzazione. Un pool di reti è supportato dalle risorse di rete di vSphere quali ID VLAN o gruppi di porte. VMware Cloud Director utilizza i pool di reti per creare reti VDC dell'organizzazione interne e instradate da NAT e tutte le reti di vApp. Il traffico di rete su ogni rete di un pool è isolato al livello del layer 2 rispetto alle altre reti.

Ogni VDC dell'organizzazione in VMware Cloud Director può includere un solo pool di reti. Più VDC dell'organizzazione possono condividere un pool di reti. Il pool di reti di un VDC dell'organizzazione fornisce le reti create per soddisfare la quota di rete di un VDC dell'organizzazione.

I pool di reti possono essere creati e gestiti solo dagli amministratori di sistema.

Organizzazioni

VMware Cloud Director supporta la multi-tenancy mediante le organizzazioni. Un'organizzazione è un'unità di amministrazione di una raccolta di utenti, gruppi e risorse di calcolo. L'autenticazione degli utenti avviene a livello dell'organizzazione mediante la specifica delle credenziali definite da un amministratore dell'organizzazione al momento della creazione o dell'importazione dell'utente. Gli amministratori di sistema creano le organizzazioni e ne eseguono il provisioning, mentre gli amministratori dell'organizzazione gestiscono i cataloghi, i gruppi e gli utenti dell'organizzazione. Le attività degli amministratori dell'organizzazione sono descritte in Guida ai tenant e ai provider secondari di VMware Cloud Director.

Utenti e gruppi

Un'organizzazione può contenere un numero arbitrario di utenti e gruppi. Gli amministratori dell'organizzazione possono creare utenti e importare utenti e gruppi da un servizio di directory come LDAP. L'amministratore di sistema gestisce il set di diritti disponibili per ogni organizzazione. L'amministratore di sistema può creare e pubblicare i ruoli tenant globali in una o più organizzazioni. L'amministratore dell'organizzazione può creare ruoli locali nelle proprie organizzazioni.

Cataloghi

Le organizzazioni utilizzano i cataloghi per l'archiviazione dei modelli di vApp e dei file multimediali. I membri di un'organizzazione che possono accedere a un catalogo possono utilizzare i file multimediali e i modelli di vApp del catalogo per creare le proprie vApp. Un amministratore di sistema può consentire a un'organizzazione la pubblicazione di un catalogo per renderlo disponibile per le altre organizzazioni. Gli amministratori delle organizzazioni possono quindi scegliere quali voci di catalogo rendere disponibili per i propri utenti.