Un vCenter Server può essere spostato da un dominio vSphere a un altro dominio vSphere. I servizi come l'assegnazione di tag e le licenze vengono conservati e migrati nel nuovo dominio.

Sono supportati i seguenti casi d'uso:

Repointing di un singolo nodo di vCenter Server a un dominio esistente senza un partner di replica

È possibile eseguire il repointing di un singolo vCenter Server da un dominio Single Sign-On a un dominio Single Sign-On esistente senza un partner di replica. Ogni dominio Single Sign-On contiene un singolo vCenter Server.

Vedere Come individuare un singolo vCenter Server da un dominio a un dominio esistente per un esempio di repointing di un singolo vCenter Server da un dominio a un altro dominio esistente. Questo è uno dei molti modi per creare un nodo in modalità collegata avanzata. In questo caso, non è presente alcuna replica.
Figura 1. Come individuare un singolo vCenter Server da un dominio a un dominio esistente
Nodi di vCenter Server prima e dopo il repointing da un dominio a un dominio esistente.

Prerequisiti

  • Il repointing è supportato solo con vCenter Server 6.7 Update 1 e versioni successive.
  • È necessario eseguire il repointing a un vCenter Server con la stessa versione e a nodi con la stessa versione e lo stesso numero di build.
  • Per garantire che i dati non vengano persi, eseguire un backup basato su file di ciascun nodo prima di procedere con il repointing di vCenter Server.

Procedura

  1. Prima di iniziare il processo di repointing, assicurarsi che entrambi i nodi di vCenter Server siano attivati.
  2. (Facoltativo) Eseguire il comando in modalità di verifica preliminare. La modalità di verifica preliminare recupera i dati di assegnazione tag (tag e categorie) e autorizzazione (ruoli e privilegi) da vCenter Server. La verifica preliminare non esegue la migrazione di alcun dato, ma controlla i conflitti tra il vCenter Server di origine e quello di destinazione. Ad esempio, eseguire la verifica preliminare con la seguente CLI: 
    cmsso-util domain-repoint -m pre-check --src-emb-admin Administrator --replication-partner-fqdn FQDN_of_destination_node --replication-partner-admin PSC_Admin_of_destination_node --dest-domain-name destination_PSC_domain
    Nota: La verifica preliminare non è necessaria se non esiste un partner di replica (repointing a un dominio appena creato).
    Vedere Sintassi del comando di repointing del dominio per le definizioni degli argomenti per il comando cmsso-util domain-repoint.
    La verifica preliminare scrive i conflitti nella directory /storage/domain-data.
  3. (Facoltativo) Rivedere i conflitti e applicare soluzioni per tutti i conflitti o applicare una risoluzione separata per ogni conflitto.
    Le risoluzioni dei conflitti sono:
    • Copia: creare una copia duplicata dei dati nel dominio di destinazione.
    • Ignora: consente di copiare i dati nel dominio di destinazione.
    • Unisci: unisce il conflitto senza creare duplicati.
    Nota: La modalità di risoluzione predefinita per i conflitti di tag e autorizzazioni è Copia, a meno che non venga sostituita nei file di conflitto generati durante la verifica preliminare.
  4. Eseguire il comando execute. In modalità di esecuzione, i dati generati durante la modalità di verifica preliminare vengono letti e importati nel nodo di destinazione. Quindi, vCenter Server viene reindirizzato al dominio di destinazione. Ad esempio, per il repointing senza un partner di replica, eseguire il comando di execute con i seguenti dati: 
    cmsso-util domain-repoint -m execute --src-emb-admin Administrator --replication-partner-fqdn FQDN_of_destination_node --replication-partner-admin PSC_Admin_of_destination_node --dest-domain-name destination_PSC_domain
    Vedere Sintassi del comando di repointing del dominio per le definizioni degli argomenti per il comando cmsso-util domain-repoint.

Repointing di un nodo di vCenter Server a un dominio esistente con un partner di replica

È possibile eseguire il repointing di un vCenter Server da un dominio Single Sign-On a un dominio esistente utilizzando un partner di replica.

Vedere Repointing di un vCenter Server da un dominio a un dominio esistente per un esempio di repointing di un dominio esistente. In questo caso, è presente una replica.
Figura 2. Repointing di un vCenter Server da un dominio a un dominio esistente
Nodi di vCenter Server prima e dopo il repointing da un dominio a un dominio esistente con un partner di replica.

Prerequisiti

  • Il repointing è supportato solo con vCenter Server 6.7 Update 1 e versioni successive.
  • È necessario eseguire il repointing a un vCenter Server con la stessa versione e a nodi con la stessa versione e lo stesso numero di build.
  • Per garantire che i dati non vengano persi, eseguire un backup basato su file di ciascun nodo prima di procedere con il repointing di vCenter Server.

Procedura

  1. Arrestare il nodo (ad esempio, il nodo C) di cui viene eseguito il repointing (spostamento in un dominio diverso).
  2. Rimuovere le autorizzazioni del nodo di vCenter Server di cui viene eseguito il repointing. Ad esempio, per rimuovere le autorizzazioni dal nodo C, accedere al nodo B (nel dominio originale) ed eseguire il comando seguente: 
    cmsso-util unregister --node-pnid Node_C_FQDN --username Node_B_sso_administrator@sso_domain.com --passwd Node_B_sso_adminuser_password
    Dopo aver annullato la registrazione del nodo C, i servizi vengono riavviati. I riferimenti al nodo C vengono eliminati dal nodo B e da tutti gli altri nodi collegati al nodo C nel dominio originale.
  3. Accendere il nodo C per iniziare il processo di repointing.
  4. (Facoltativo) Eseguire il comando in modalità di verifica preliminare. La modalità di verifica preliminare recupera i dati di assegnazione tag (tag e categorie) e autorizzazione (ruoli e privilegi) da vCenter Server. La verifica preliminare non esegue la migrazione di alcun dato, ma controlla i conflitti tra il vCenter Server di origine e quello di destinazione. Ad esempio, eseguire la verifica preliminare con la seguente CLI: 
    cmsso-util domain-repoint -m pre-check --src-emb-admin Administrator --replication-partner-fqdn FQDN_of_destination_node --replication-partner-admin PSC_Admin_of_destination_node --dest-domain-name destination_PSC_domain
    Nota: La verifica preliminare non è necessaria se non esiste un partner di replica (repointing a un dominio appena creato).
    Vedere Sintassi del comando di repointing del dominio per le definizioni degli argomenti per il comando cmsso-util domain-repoint.
    La verifica preliminare scrive i conflitti nella directory /storage/domain-data.
  5. (Facoltativo) Verificare i conflitti e applicare soluzioni per tutti i conflitti o applicare una risoluzione separata per ogni conflitto.
    Le risoluzioni dei conflitti sono:
    • Copia: creare una copia duplicata dei dati nel dominio di destinazione.
    • Ignora: consente di copiare i dati nel dominio di destinazione.
    • Unisci: unisce il conflitto senza creare duplicati.
    Nota: La modalità di risoluzione predefinita per i conflitti di tag e autorizzazioni è Copia, a meno che non venga sostituita nei file di conflitto generati durante la verifica preliminare.
  6. Eseguire il comando execute. In modalità di esecuzione, i dati generati durante la modalità di verifica preliminare vengono letti e importati nel nodo di destinazione. Quindi, vCenter Server viene reindirizzato al dominio di destinazione. Ad esempio, eseguire il comando execute con quanto segue: 
    cmsso-util domain-repoint -m execute --src-emb-admin Administrator --replication-partner-fqdn FQDN _of_destination_node --replication-partner-admin destination_node_PSC_Admin_user_name --dest-domain-name destination_PSC_domain
    Vedere Sintassi del comando di repointing del dominio per le definizioni degli argomenti per il comando cmsso-util domain-repoint.

Repointing di un nodo di vCenter Server a un nuovo dominio

È possibile eseguire il repointing di un vCenter Server da un dominio esistente a un dominio appena creato.

Vedere Repointing di un vCenter Server da un dominio a un nuovo dominio per un esempio di repointing di un nuovo dominio. In questo caso, non è presente alcun partner di replica.
Figura 3. Repointing di un vCenter Server da un dominio a un nuovo dominio
Nodi di vCenter Server prima e dopo il repointing da un dominio a un nuovo dominio senza un partner di replica.

Prerequisiti

  • Il repointing è supportato solo con vCenter Server 6.7 Update 1 e versioni successive.
  • È necessario eseguire il repointing a un vCenter Server con la stessa versione e a nodi con la stessa versione e lo stesso numero di build.
  • Per garantire che i dati non vengano persi, eseguire un backup basato su file e uno snapshot in stato di spento di ciascun nodo prima di procedere con il repointing di vCenter Server.

Procedura

  1. Arrestare il nodo (ad esempio, il nodo C) di cui viene eseguito il repointing (spostamento in un dominio diverso).
    Nota:

    Se vCenter Server fa parte di un cluster HA vCenter Server, rimuovere la configurazione HA di vCenter Server prima di procedere con il ripuntamento del dominio. Per ulteriori informazioni, vedere Disponibilità vSphere.

  2. Rimuovere le autorizzazioni del nodo di vCenter Server di cui viene eseguito il repointing. Ad esempio, per rimuovere le autorizzazioni dal nodo C, accedere al nodo B (nel dominio originale) ed eseguire il comando seguente: 
    cmsso-util unregister --node-pnid Node_C_FQDN --username Node_B_sso_administrator@sso_domain.com --passwd Node_B_sso_adminuser_password
    Dopo aver annullato la registrazione del nodo C, i servizi vengono riavviati. I riferimenti al nodo C vengono eliminati dal nodo B e da tutti gli altri nodi collegati al nodo C nel dominio originale.
  3. Accendere il nodo C per iniziare il processo di repointing.
  4. Eseguire il comando execute. In modalità di esecuzione, i dati generati durante la modalità di verifica preliminare vengono letti e importati nel nodo di destinazione. Quindi, vCenter Server viene reindirizzato al dominio di destinazione. Ad esempio, per il repointing senza partner di replica (facendo riferimento a un nuovo dominio), eseguire il comando execute con il seguente: 
    cmsso-util domain-repoint -m execute --src-emb-admin Administrator  --dest-domain-name destination_PSC_domain
    Vedere Sintassi del comando di repointing del dominio per le definizioni degli argomenti per il comando cmsso-util domain-repoint.

Sintassi del comando di repointing del dominio

È possibile utilizzare gli argomenti del comando per impostare i parametri di esecuzione del comando di repointing del dominio.

La CLI cmsso-util domain-repoint esegue il repointing di vCenter Server da un dominio a un altro.

È possibile aggiungere un elenco di argomenti separati da spazi al comando di repointing della CLI

Utilizzare il comando seguente per il repointing di un vCenter Server a un altro nodo di vCenter Server: 
cmsso-util domain-repoint -m execute --src-emb-admin Administrator --replication-partner-fqdn FQDN _of_destination_node --replication-partner-admin destination_node_PSC_Admin_user_name --dest-domain-name destination_PSC_domain
Argomento Descrizione
-m, --mode La modalità può essere pre-check o execute. L'argomento pre-check esegue il comando in modalità di verifica preliminare. L'argomento execute esegue il comando in modalità di esecuzione.
-spa, --src-psc-admin Nome utente dell'amministratore SSO per il vCenter Server di origine. Non aggiungere il @dominio.
-dpf, --dest-psc-fqdn Il nome di dominio completo di vCenter Server di cui eseguire il repointing.
-dpa, --dest-psc-admin Nome utente dell'amministratore SSO per il vCenter Server di destinazione. Non aggiungere il @dominio.
-ddn, --dest-domain-name Nome di dominio SSO del vCenter Server di destinazione.
-dpr, --dest-psc-rhttps (Facoltativo) Porta HTTPS per il vCenter Server di destinazione. Se non impostato, viene utilizzata la porta 443 predefinita.
-dvf, --dest-vc-fqdn Il nome di dominio completo del vCenter Server che punta a un vCenter Server di destinazione. Il vCenter Server viene utilizzato per verificare la presenza di conflitti di dati dei componenti nella modalità di verifica preliminare. Se non specificato, i controlli dei conflitti vengono ignorati e viene applicata la risoluzione predefinita (COPY) per eventuali conflitti trovati durante il processo di importazione.
Nota: Questo argomento è facoltativo solo se il dominio di destinazione non dispone di un vCenter Server. Se esiste un vCenter Server nel dominio di destinazione, questo argomento è obbligatorio.
-sea, --src-emb-admin Amministratore del vCenter Server con vCenter Server incorporato. Non aggiungere @domain all'ID amministratore.
-rpf, --replication-partner-fqdn (Facoltativo) Il nome di dominio completo del nodo partner di replica in cui è replicato il vCenter Server.
-rpr, --replication-partner-rhttps (Facoltativo) Porta HTTPS per il nodo di replica. Se non impostato, il valore predefinito è 443.
-rpa, --replication-partner-admin (Facoltativo) Nome utente dell'amministratore SSO del partner di replica vCenter Server.
-dvr, --dest-vc-rhttps (Facoltativo) Porta HTTPS del vCenter Server che punta al vCenter Server di destinazione. Se non impostato, viene utilizzata la porta 443 predefinita.
--ignore-snapshot (Facoltativo) Ignorare gli avvisi relativi agli snapshot.
--no-check-certs (Facoltativo) Ignorare le convalide dei certificati.
--debug (Facoltativo) Recupera i dettagli di esecuzione dei comandi.
-h, --help (Facoltativo) Visualizza il messaggio della guida per il comando cmsso-util domain repoint.

Informazioni sui conflitti relativi a tag e autorizzazioni

Quando si esegue il comando di repointing del dominio in modalità di verifica preliminare, i dati di vCenter Server vengono esportati ed esaminati e i conflitti vengono scritti in un file.

I seguenti dati vengono esportati nella cartella /storage/domain-data/ o ProgramData/VMWare/vCenterServerdata/domain-data:

  • All_Privileges.json
  • All_Roles.json
  • All_TagCategories.json
  • All_Tags.json

Questi file contengono tutti i dati (autorizzazione e assegnazione tag) del vCenter Server in cui è stato eseguito il comando.

Se viene fornito un vCenter Server secondario utilizzando l'opzione -dvf o --dest-vc-fqdn , nella stessa cartella vengono esportati anche eventuali conflitti:

  • Conflicts_Roles.json
  • Conflicts_TagCategories.json
  • Conflicts_Tags.json

Di seguito è disponibile un file dei conflitti di esempio: 

<---- Sample Conflict file code block --->
	 {
  "global" : {
    "resolution" : "MERGE|SKIP|COPY",
    "description" : "Default resolution option used to resolve Role Conflicts is COPY. The 
conflicts list describes the differences between Role entities on source and target vCenter Server. If 
the source information represents an empty JSON array, it simply means that all the entity 
attributes from source and target are identical. If the source lists few entries, it means 
that only these entity attributes are missing from the target. If the target lists few entries, 
it means that only these entity attributes are missing from the source. Though a global resolution 
can be set, it can also be overridden at each conflict level by providing individual resolution 
mode."
  },
  "conflicts-count" : 1,
  "conflicts-list" : {
    "NoCryptoAdmin" : {
      "source" : {
        "privileges" : "[]"
      },
      "target" : {
        "privileges" : "[Group-1.SamplePriv-1, Group-1.SamplePriv-4, Group-2.SamplePriv-10, 
Group-2.SamplePriv-3, Group-2.SamplePriv-7, Group-3.SamplePriv-2, Group-3.SamplePriv-9]"
      },
      "resolution" : ""
    }
}
<----- End of code block --->

Le parti dei file dei conflitti di esempio sono:

  • description. Fornisce i dettagli su come viene letto e compreso il rispettivo file dei conflitti.
  • source e target. Oggetti JSON in cui sono elencate solo le differenze tra gli oggetti vCenter Server di origine e di destinazione.
  • resolution. L'utente fornisce una risoluzione valida. Le risoluzioni valide sono MERGE, COPY e SKIP.

Per specificare la risoluzione dei conflitti di gestione, è possibile fornire un'opzione di risoluzione predefinita di tutti i conflitti nella sezione "global": "resolution" = "MERGE|SKIP|COPY". Se non si specifica un tipo di risoluzione globale valido per resolution o lo si lascia non modificato, il sistema utilizza COPY come opzione di risoluzione predefinita.

È inoltre possibile fornire un'opzione di risoluzione valida per ciascuno dei conflitti modificando la proprietà resolution a ogni livello di conflitto, che sostituisce l'opzione di risoluzione globale.

I tipi di conflitti elencati in Tipi di conflitti.

Tabella 1. Tipi di conflitti
Conflitto Proprietà utilizzate per confrontare gli oggetti della categoria Tipi di conflitti Proprietà in conflitto Opzioni di risoluzione dei conflitti
Conflitto regola
  • name: nome della categoria.
  • privilegeId: elenco dei privilegi per il ruolo.

Il conflitto RoleName si verifica durante l'importazione di ruoli e un ruolo con lo stesso nome esiste nel vCenter Server di destinazione, ma con privilegi diversi.

Le proprietà che possono essere in conflitto per il tipo di conflitto RoleNamepossono essere Privileges.
  • COPY. Una copia del ruolo in conflitto viene creata nel vCenter Server di destinazione, con –-copy aggiunto al nome del ruolo. Il nuovo ruolo viene creato con un nuovo ID ruolo con lo stesso set di ID privilegi. Il nuovo ID ruolo viene aggiornato nella tabella VPX_ACCESS. Il nuovo ID ruolo è applicabile sia per il conflitto del nome del ruolo che per il conflitto dell'ID ruolo.
    Nota:
    L'opzione di risoluzione predefinita per risolvere i conflitti di ruolo è COPY.
  • MERGE. L'opzione MERGE viene risolta nella sequenza seguente:
    1. Se il vCenter Server di origine ha un ruolo con lo stesso nome e lo stesso elenco di privilegi di un ruolo nel vCenter Server di destinazione, ma gli ID ruolo sono diversi, l'ID ruolo del vCenter Server di destinazione viene utilizzato e aggiornato nella tabella VPX_ACCESS.
    2. Se il vCenter Server di origine ha un ruolo con lo stesso nome di un ruolo nel vCenter Server di destinazione, ma con un elenco di privilegi diverso, gli elenchi di privilegi per entrambi i ruoli vengono uniti.

  • SKIP. Non eseguire alcuna operazione. Il ruolo specifico viene ignorato.

Conflitto categoria tag: il nome di una categoria deve essere univoco in un vCenter Server.
  • name: nome della categoria.
  • cardinality: cardinalità di categoria, singola o multipla.
  • associableEntityType: elenco di oggetti vCenter Server che può essere associato a un tag da questa categoria. Il valore All indica tutti gli oggetti vCenter Server.
È possibile visualizzare un solo tipo di conflitto durante l'importazione di categorie di tag, conflitto CategoryName. Questo conflitto indica che nel vCenter Server di destinazione esiste una categoria con lo stesso nome, ma con proprietà diverse (cardinality o associableEntityType). Le proprietà che possono essere in conflitto per il tipo di conflitto CategoryName possono essere di almeno due tipi: Cardinality o AssociableTypes.
  • COPY. Una copia della categoria in conflitto viene creata nel vCenter Server di destinazione, con –-copy aggiunto al nome della categoria. La nuova categoria viene creata con lo stesso nome di proprietà del vCenter Server di origine. Tutti i tag presenti in questa categoria vengono importati nelle CategoryCopy appena create.
    Nota:
    L'opzione di risoluzione predefinita per risolvere i conflitti CategoryName è COPY.
  • MERGE. Le proprietà in conflitto vengono unite con la categoria già presente nell'SSO. Le proprietà vengono unite come segue:
    1. Description. Viene utilizzata la descrizione già presente.
    2. Cardinality. La cardinalità non può essere compattata. Se si verifica un conflitto di cardinalità, la cardinalità viene impostata su multiple. Non può essere ridotta a singola.
    3. AssociableTypes. Se uno dei valori associableEntityType è null, viene impostato su null. In caso contrario, i tipi Objects vengono uniti.

  • SKIP. Non eseguire alcuna operazione. Tutti i tag vengono importati nella categoria esistente.

Conflitto di tag: un oggetto tag appartiene sempre a un oggetto category. Un tag Nome deve essere univoco solo all'interno di una categoria.
  • name
  • description
È possibile visualizzare un solo tipo di conflitto durante l'importazione dei tag: il conflitto TagName. Questo conflitto indica che un tag con lo stesso nome esiste nella stessa categoria e nel vCenter Server di destinazione, ma con proprietà diverse. Le proprietà che possono entrare in conflitto per un conflitto di tipo: TagName possono essere Description.
  • COPY. Una copia del tag in conflitto viene creata nel vCenter Server di destinazione, con –-copy aggiunto al nome del tag. Prendere MoRef(ID tag interno) del tag appena creato e, se necessario, aggiornare l'associazione dei tag.
    Nota:
    L'opzione di risoluzione predefinita per risolvere i conflitti CategoryName è COPY.

  • MERGE. Conservare la descrizione esistente. Prendere MoRef (ID tag interno) e aggiornare una o più associazioni di tag, se necessario.

  • SKIP. Non eseguire alcuna operazione. Non creare questo tag. Pulire tutte le associazioni di tag.

Considerazioni sul repointing della licenza del dominio vCenter Server

Il repointing del dominio copia le chiavi di licenza di un nuovo dominio. La copia delle chiavi di licenza garantisce il mantenimento di licenze valide di tutti gli asset dopo il repointing.

vCenter Server monitora l'utilizzo della licenza in base al dominio. Se una chiave viene utilizzata in più domini, è necessario assicurarsi che l'uso aggregato della chiave non superi la sua capacità. Per semplificare la gestione delle licenze, rimuovere ogni licenza copiata in un secondo dominio e assegnare una nuova licenza agli asset.

Si consideri i due seguenti casi:
  • Le chiavi di licenza che non sono più in uso (ovvero assegnate agli asset) nel dominio originale dopo il repointing.
  • Chiavi di licenza in uso (ovvero assegnate agli asset) in più domini.

Chiavi di licenza non in uso in un dominio

Se una volta completato il repointing, una chiave di licenza appare in più di un dominio, ma non è in uso in alcuni di questi domini, è possibile rimuoverla dai domini in cui non è in uso. Per istruzioni su come rimuovere le licenze in vCenter Server, vedere "Rimuovere licenze" in vCenter Server e gestione degli host.

Chiavi di licenza in uso in più domini

Se dopo aver completato il repointing una chiave di licenza è in uso (ovvero è assegnata ad asset) in più domini, per rimuovere la chiave di licenza da tutti i domini tranne uno è necessario prima assegnare una chiave di licenza diversa a ogni asset nei domini in cui la chiave di licenza sarà rimossa. Due approcci comuni:
  • Se sono disponibili altre chiavi di licenza con capacità sufficiente non utilizzata, è possibile utilizzare queste altre chiavi al posto di una chiave di licenza da rimuovere. Vedere "Assegnare una licenza a più asset" in vCenter Server e gestione degli host per assegnare le licenze in vCenter Server.
  • È possibile dividere le chiavi di licenza utilizzate in più domini in chiavi di licenza separate, una per ogni dominio. Per dividere le chiavi di licenza, vedere l'articolo della knowledge base di VMware all'indirizzo http://kb.vmware.com/kb/2006972. Per determinare la capacità da includere in ciascuna chiave di licenza in cui è diviso l'originale, vedere "Visualizzazione delle informazioni sulla licenza" in vCenter Server e gestione degli host per visualizzare l'utilizzo della chiave di licenza in vCenter Server per ciascun dominio.

    Ciascuna delle chiavi di licenza risultanti può quindi essere aggiunta a un dominio diverso e assegnata in vCenter Server ad asset precedentemente concessi in licenza con la chiave di licenza originale. Vedere "Creare nuove licenze" in vCenter Server e gestione degli host per creare licenze e "Assegnare una licenza ad asset multipli" in vCenter Server e gestione degli host per assegnare una licenza a più asset.

    Dopo aver assegnato licenze differenti a tutti gli asset, la chiave di licenza originale, che non è più valida, può essere rimossa da tutti i domini utilizzando vCenter Server. Vedere "Rimuovere licenze" vCenter Server e gestione degli host.