VMware Cloud Director 10.0 开始,可以使用单独的 VMware Cloud Director OpenAPI 登录端点供服务提供商和租户访问 VMware Cloud Director

可以使用两个新的 OpenAPI 端点,通过限制对 VMware Cloud Director 的访问来提高安全性。

  • /cloudapi/1.0.0/sessions/provider - 服务提供商登录时使用的 OpenAPI 端点。租户无法使用此端点访问 VMware Cloud Director

  • /cloudapi/1.0.0/sessions/ - 租户登录时使用的 OpenAPI 端点。服务提供商无法使用此端点访问 VMware Cloud Director

默认情况下,提供商管理员和组织用户可以通过登录到 /api/sessions API 端点来访问 VMware Cloud Director

通过使用单元管理工具的 manage-config 子命令,可以停用服务提供商访问 /api/sessions API 端点,因此可将提供商登录限定到仅服务提供商可访问的新 /cloudapi/1.0.0/sessions/provider OpenAPI 端点。

注:

停用服务提供商对 /api/sessions API 端点的访问时,对于所有旧版 API 端点,在授权标头中仅提供 SAML 令牌的服务提供商请求都将失败。

过程

  1. root 身份直接或通过 SSH 登录到任意 VMware Cloud Director 单元的操作系统。
  2. 要阻止提供商访问 /api/sessions API 端点,请使用单元管理工具并运行以下命令:
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v true

结果

服务提供商无法再访问 /api/sessions API 端点。服务提供商可以使用新的 OpenAPI 端点 /cloudapi/1.0.0/sessions/provider 访问 VMware Cloud Director。租户可以同时使用 /api/sessions API 端点和新的 /cloudapi/1.0.0/sessions/ OpenAPI 端点访问 VMware Cloud Director

下一步做什么

要允许提供商访问 /api/sessions API 端点,请运行以下命令:

/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.api.legacy.nonprovideronly -v false