virtualization/VMware

[VMware] vRealize Automation 7.2 (5)

yueisu 2016. 12. 22. 22:15

(0) vRA 개요

(1) vRA 구성요소

(2) vRA 설치 - vRA어플라이언스

(3) vRA 설치 - IaaS서버

(4) vRA 초기설정 - 테넌트 작성

(5) 테넌트 구성 - AD



지난 회에는 테넌트를 작성했습니다. 테넌트를 작성한 후에는 일반적으로 Active Directory와 연결합니다. AD와 연결하므로써 vRA의 관리자는 물론 이용유저까지 일관된 관리가 가능하게 되기때문이죠. 


(5) 테넌트 구성 - AD


① 웹브라우저를 통해 작성한 테넌트 페이지에 접속을 합니다. 

    • 접속주소 - https://vRA 어플라이언스의 FQDN/vcac/org/테넌트URL
    • 접속유저 - 지난 회 순서 ④에서 작성한 로컬 관리자@vsphere.local


② [관리]탭 → [디렉토리 관리]를 선택합니다.


③ [디렉토리의 추가]를 클릭, [LDAP/IWP 경유의 Active Directory를 추가]옵션을 선택합니다. 


④ 디렉토리명을 입력후 추가할 방법을 선택합니다. 기본적으로 "Active Directory(통합 WIndows 인증)"을 이용하면 됩니다. 단지 제 경우는 "Active Directory(통합 WIndows 인증)"은 되다가 않되다가 지맘대로더군요. 흐흐 일단 "Active Directory(통합 WIndows 인증)"로 시도를 해보시고, 않된다면 "LDAP 경유의 Active Direcroty"를 이용하시길... 이외에는 디폴트값으로 전혀 문제없습니다.


⑤ Active Directory 도메인을 검색하기 위한 유저를 지정합니다. 지정방법은 바인드 DN 형식입니다.

    • 베이스 DN : 검색할 장소 

    • 바인드 DN : 검색에 이용할 유저


위의 정보를 지정후, 접속테스트를 실행, 접속에 성공을하면 [Save and Next]를 클릭합니다.


⑥ 접속한 도메인을 선택후, [Next]를 클릭합니다.


⑦ 이번에는 유저의 속성을 맵핑해줍니다. vRA와 Active Directory의 유저 속성은 동일하지 않기 때문에 속성의 연결(맵핑)을 해줘야 됩니다. 자동적으로 맵핑이 된 상태이기 때문에 아무것도 할 필요없습니다만, 리소스 이용의 요구(리퀘스트)에 대한 "승인"을 구성할 경우는 "Manager" 속성을 연결합니다.


⑧ 동기할 그룹을 그룹 DN 형식으로 지정, 추가를 해줍니다. 그룹내의 그룹(이른바 네스트 그룹)에 대해서도 자동적으로 추가가 됩니다.


⑨ 그룹을 추가했다면 [Next]를 클릭합니다.


⑩ 이번에는 동기할 유저를 유저 DN 형식으로 지정, 추가를 해줍니다. 다만 추가한 그룹내에 존재하는 유저라면 특별히 이 과정은 필요없습니다. 추가한 그룹내 유저이외의 유저를 추가할 경우는 여기서 개별적으로 추가를 해줍니다. 추가후 [Next]를 클릭합니다.


⑪ 추가한 유저중 추가한 그룹 이외의 그룹(예를들어 Domain Admins 등의 Builtin)에도 소속이 되어있을 경우는 경고가 표시됩니다. 이 경우는 [그룹 DN의 편집]을 클릭, 경고에 표시된 그룹을 추가해주면 됩니다.


⑫ 추가로 그룹을 선택했다면 [Save]를 클릭합니다.


⑬ 더이상 경고가 표시되지 않는다면 AD와의 동기 간격을 편집후, [디렉토리 동기]를 클릭합니다.


⑭ 경고가 발생하지않고 동기가 정상적으로 이루어진 것을 확인합니다. 정상적으로 동기가 이루어졌다면 일단 "로그아웃"을 클릭, 테넌트 관리 페이지로부터 빠져나옵니다.


⑮ 이번에는 웹브라우저를 vRA 관리자 페이지에 접속을 합니다. 

    • 접속주소 - https://vRA 어플라이언스의 FQDN/vcac
    • 접속유저 - administrator


⑯ [테넌트]로부터 작성한 테넌트를 선택, [편집]을 클릭합니다.


⑰ [관리자] 탭을 클릭, "테넌트 관리자"와 "IaaS 관리자"에 접속한 Active Directory 도메인의 유저를 추가해줍니다. 이로써 테넌트 관리를 AD 도메인 유저로도 가능해지게 됩니다. 추가를 해주었다면 다시금 vRA 관리자 페이지로부터 빠져나옵니다.


⑱ 또다시(!) 웹브라우저를 통해 작성한 테넌트 페이지에 접속을 합니다. 

    • 접속주소 - https://vRA 어플라이언스의 FQDN/vcac/org/테넌트URL
    • 접속유저 - 지난 회 순서 ④에서 작성한 로컬 관리자@vsphere.local


⑲ [관리] → [유저와 그룹]을 클릭합니다.


⑳ [디렉토리 유저와 디렉토리 그룹]을 선택, 오른쪽 검색창에서 순서 ⑰에서 추가한 유저를 검색합니다. 유저가 표시되면 유저를 선택, [상세설정]을 클릭합니다.


㉑ [전반]탭에서 "그룹롤"을 추가합니다. vRA는 다양한 롤이 준비되어있습니다. 적합한 롤을 유저에게 할당하므로써 보안 강화는 물론 유저의 독립성을 확보할 수 있습니다. 


※ vRA의 롤에 대해서는 공식문서가 가장 알기 쉽습니다. vRA을 도입하시려면 반드시 확인을 하셔야 됩니다.


발췌 : vRealize Automation 7.2 정보

 

기본적으로 순서 ⑰에서 유저를 추가하면 "테넌트 관리자"와 "IaaS 관리자" 롤이 할당되어지므로 그대로 이용을 해도 문제가 없습니다만 일이 용도에 따라 유저를 변경하는 것도 귀찮으므로 검증환경이므로 제 경우는 모든 롤을 추가해줬습니다. :) 

롤을 추가해줬다면 [완료]를 클릭, 저장후 테넌트 페이지에서 빠져나옵니다.


㉒ 또다시(!) 웹브라우저를 통해 작성한 테넌트 페이지에 접속을 합니다. 접속후 , 로그인 창에서 [다른 도메인으로 변경]을 클릭하여 AD 도메인을 선택합니다.


㉓ 이번에는 순서 ⑰에서 추가한 AD 도메인 유저로 테넌트 페이지에 로그인을 합니다. 


참고로 테넌트는 멀티 Active Directory 도메인를 지원합니다. 따라서 싱글 테넌트에서 복수의 도메인을 설정할 수 있습니다. 또한 멀티 테넌트에서 싱글 도메인의 접속도 지원을 합니다.


이번 회는 여기까지 소개를 하겠습니다. 다음에는 엔드포인트 작성에 대해서 소개를 하겠습니다.