Das System erstellt Zertifikate, die für die Kommunikation zwischen NSX-Verbund-Appliances sowie für die externe Kommunikation benötigt werden.

Der Globaler Manager verwendet standardmäßig selbstsignierte Zertifikate für die Kommunikation mit internen Komponenten und registrierten lokalen Managern sowie für die Authentifizierung der NSX Manager-Benutzeroberfläche oder -APIs.

Sie können die externen (UI/API) und die Inter-Site-Zertifikate in NSX Manager anzeigen. Die internen Zertifikate können nicht angezeigt oder bearbeitet werden.

Hinweis: Die Aktivierung des externen Lokaler Manager-VIP sollte nicht vor der Lokaler Manager-Anmeldung auf dem Globaler Manager ausgeführt werden. Wenn der Verbund und die PKS auf demselben Lokaler Manager verwendet werden müssen, sollten PKS-Aufgaben zum Erstellen eines externen VIP und eines Änderungs- Lokaler Manager-Zertifikats vor der Registrierung von Lokaler Manager auf Globaler Manager erfolgen.

Zertifikate für Globaler Manager und lokale Manager

Nachdem Sie einen Lokaler Manager zum Globaler Manager hinzugefügt haben, werden alle Zertifikate, die den Lokaler Manager für die externe und interne Kommunikation authentifizieren, in den Globaler Manager kopiert und zwischen beiden Systemen wird eine Vertrauensstellung hergestellt. Diese Zertifikate werden außerdem in alle beim Globaler Manager registrierten Sites kopiert.

In der folgenden Tabelle finden Sie eine Liste aller Zertifikate, die für jede Appliance, die NSX-Verbund verwendet, erstellt werden, sowie der Zertifikate, die diese Appliances untereinander austauschen:

Tabelle 1. Zertifikate für den globalen Manager und lokale Manager
Benennungskonvention im Globaler Manager oder im lokalen Manager Zweck Ersetzbar? Standardgültigkeit
Die folgenden Zertifikate sind spezifisch für jede NSX-Verbund-Appliance.
APH-AR certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die Kommunikation zwischen Sites über den AR-Kanal (Async-Replicator-Kanal) verwendet.
Ja. Siehe Zertifikate ersetzen. 10 Jahre
GlobalManager
  • Für den Globaler Manager.
  • PI-Zertifikat für den Globaler Manager.
Ja. Siehe Zertifikate ersetzen. 825 Tage
mp-cluster certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die UI/API-Kommunikation mit der VIP des Globaler Manager- oder des Lokaler Manager-Clusters verwendet.
tomcat certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die UI/API-Kommunikation mit einzelnen Globaler Manager- und Lokaler Manager-Knoten für jeden der zum Globaler Manager hinzugefügten Standorte verwendet.
LocalManager
  • Für Lokaler Manager.
  • PI-Zertifikat für diesen spezifischen Lokaler Manager.
Die folgenden Zertifikate werden zwischen NSX-Verbund-Appliances ausgetauscht.
Benennungskonvention im globalen oder im lokalen Manager Zweck Ersetzbar? Standardgültigkeit
Gehashter Code, z. B. 1729f966-67b7-4c17-bdf5-325affb79f4f
  • Wird zwischen allen lokalen Managern ausgetauscht, die beim Globaler Manager registriert sind.
  • Das PI-Zertifikat für den Globaler Manager, das mit lokalen Managern ausgetauscht wird.
  • PI-Zertifikate für jeden Standort, die mit allen registrierten Standort-Managern ausgetauscht werden.

Nicht anwendbar

Site certificate CN=<>,O
  • Wird zwischen allen NSX-Verbund-Appliances ausgetauscht: Alle registrierten lokalen Manager und der Globaler Manager.
  • Alle Zertifikatstypen.

Prinzipalidentitätsbenutzer (PI-Benutzer) für NSX-Verbund

Die folgenden PI-Benutzer mit den entsprechenden Rollen werden erstellt, nachdem Sie einen lokalen Manager zum Globaler Manager hinzugefügt haben:
Tabelle 2. Für NSX-Verbund erstellte Prinzipalidentitätsbenutzer (PI-Benutzer)
NSX-Verbund-Appliance PI-Benutzername PI-Benutzerrolle
Globaler Manager LocalManagerIdentity

Eine für jeden lokalen Manager, der bei diesem Globaler Manager registriert ist.

Auditor
Lokaler Manager GlobalManagerIdentity Unternehmensadministrator
LocalManagerIdentity
Einer für jeden lokalen Manager, der bei demselben Globaler Manager registriert ist. Verwenden Sie die folgende API, um eine Liste aller PI-Benutzer des lokalen Managers abzurufen. Diese werden nicht auf der Benutzeroberfläche angezeigt:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
Auditor