vRealize Automation 使用证书维护信任关系,并在分布式部署中的各组件之间提供安全通信。

在分布式或群集的部署中,vRealize Automation 证书组织主要遵循 vRealize Automation 的三层架构结构。这三层分别为 vRealize Automation 设备、IaaS Website 组件和 Manager Service 组件。在分布式系统中,特定层中的每个硬件计算机均共享一个证书。即,每个 vRealize Automation 设备 均共享一个公共证书,每个 Manager Service 计算机均共享应用于该层的公共证书。

在分布式 vRealize Automation 部署中,您可以使用系统或用户生成的自签名证书,或 CA 提供的证书。自 vRealize Automation 7.0 及更高版本起,如果用户未提供任何证书,则安装程序将自动为所有适用的节点生成自签名证书,并将其放置在适当的信任存储中。

您可以为分布式 vRealize Automation 组件配置负载平衡器来提供高可用性和故障切换支持。对于使用负载平衡器的部署,VMware 建议 vRealize Automation 部署使用直通配置。在直通配置中,负载平衡器将请求传递给适当的组件,而不会对请求解密。稍后,vRealize Automation 设备 和 IaaS Web 服务器必须执行必要的解密操作。

有关使用和配置负载平衡器的详细信息,请参见 vRealize Automation 负载平衡

如果使用 Openssl 或其他工具提供或生成自己的证书,则可以使用通配符或主体备用名称 (Subject Alternative Name, SAN) 证书。请注意,IaaS 证书必须为多用途证书。

如果要提供证书,则必须获得包含群集中 IaaS 组件的多用途证书,然后将该证书复制到每个组件的信任存储。如果使用了负载平衡器,则必须将负载平衡器 FQDN 添加到群集多用途证书的可信地址中。

如果需要使用用户或 CA 提供的证书更新系统生成的自签名证书,请参见更新 vRealize Automation 证书

“证书信任要求”表汇总了各种导入证书的信任注册要求。

表 1. 证书信任要求

导入

注册

vRealize Automation 设备群集

IaaS Web 组件群集

IaaS Web 组件群集

  • vRealize Automation 设备群集

  • Manager Service 组件群集

  • DEM Orchestrator 和 DEM Worker 组件

Manager Service 组件群集

  • DEM Orchestrator 和 DEM Worker 组件

  • 代理和代理程序