Das System erstellt Zertifikate, die für die Kommunikation zwischen NSX-Verbund-Appliances sowie für die externe Kommunikation benötigt werden.

Der globale Manager verwendet standardmäßig selbstsignierte Zertifikate für die Kommunikation mit internen Komponenten und registrierten lokalen Managern sowie für die Authentifizierung der NSX Manager-Benutzeroberfläche oder -APIs.

Sie können die externen (UI/API) und die Inter-Site-Zertifikate in NSX Manager anzeigen. Die internen Zertifikate können nicht angezeigt oder bearbeitet werden.

Hinweis: Die Aktivierung des externen Lokaler Manager-VIP sollte nicht vor der Lokaler Manager-Anmeldung auf dem Globaler Manager ausgeführt werden. Wenn der Verbund und die PKS auf demselben Lokaler Manager verwendet werden müssen, sollten PKS-Aufgaben zum Erstellen eines externen VIP und eines Änderungs- Lokaler Manager-Zertifikats vor der Registrierung von Lokaler Manager auf Globaler Manager erfolgen.

Zertifikate für den globalen Manager und lokale Manager

Nachdem Sie einen lokalen Manager zum globalen Manager hinzugefügt haben, werden alle Zertifikate, die den lokalen Manager für die externe und interne Kommunikation authentifizieren, in den globalen Manager kopiert und zwischen beiden Systemen wird eine Vertrauensstellung hergestellt. Diese Zertifikate werden außerdem in alle beim globalen Manager registrierten Sites kopiert.

In der folgenden Tabelle finden Sie eine Liste aller Zertifikate, die für jede Appliance, die NSX-Verbund verwendet, erstellt werden, sowie der Zertifikate, die diese Appliances untereinander austauschen:

Tabelle 1. Zertifikate für den globalen Manager und lokale Manager
Benennungskonvention im globalen oder im lokalen Manager Zweck Ersetzbar? Standardgültigkeit
Die folgenden Zertifikate sind spezifisch für jede NSX-Verbund-Appliance.
APH-AR certificate
  • Für den globalen Manager und jeden lokalen Manager.
  • Für die Kommunikation zwischen Sites über den AR-Kanal (Async-Replicator-Kanal) verwendet.
Nein 10 Jahre
GlobalManager
  • Für den globalen Manager.
  • PI-Zertifikat für den globalen Manager.
Ja. Siehe Zertifikate ersetzen. 825 Tage
mp-cluster certificate
  • Für den globalen Manager und jeden lokalen Manager.
  • Für die UI/API-Kommunikation mit der VIP des globalen Manager- oder des lokalen Manager-Clusters verwendet.
tomcat certificate
  • Für den globalen Manager und jeden lokalen Manager.
  • Für die UI/API-Kommunikation mit einzelnen globalen Manager- und lokalen Managerknoten für jeden der zum globalen Manager hinzugefügten Standorte verwendet.
LocalManager
  • Für den lokalen Manager.
  • PI-Zertifikat für diesen spezifischen lokalen Manager.
Die folgenden Zertifikate werden zwischen NSX-Verbund-Appliances ausgetauscht.
Benennungskonvention im globalen oder im lokalen Manager Zweck Ersetzbar? Standardgültigkeit
Gehashter Code, z. B. 1729f966-67b7-4c17-bdf5-325affb79f4f
  • Wird zwischen allen lokalen Managern ausgetauscht, die beim globalen Manager registriert sind.
  • Das PI-Zertifikat für den globalen Manager, das mit lokalen Managern ausgetauscht wird.
  • PI-Zertifikate für jeden Standort, die mit allen registrierten Standort-Managern ausgetauscht werden.

Nicht anwendbar

Site certificate CN=<>,O
  • Wird zwischen allen NSX-Verbund-Appliances ausgetauscht: Alle registrierten lokalen Manager und der globale Manager.
  • Alle Zertifikatstypen.

Prinzipalidentitätsbenutzer (PI-Benutzer) für NSX-Verbund

Die folgenden PI-Benutzer mit den entsprechenden Rollen werden erstellt, nachdem Sie einen lokalen Manager zum globalen Manager hinzugefügt haben:
Tabelle 2. Für NSX-Verbund erstellte Prinzipalidentitätsbenutzer (PI-Benutzer)
NSX-Verbund-Appliance PI-Benutzername PI-Benutzerrolle
Globaler Manager LocalManagerIdentity

Eine für jeden lokalen Manager, der bei diesem globalen Manager registriert ist.

Auditor
Lokaler Manager GlobalManagerIdentity Unternehmensadministrator
LocalManagerIdentity
Einer für jeden lokalen Manager, der bei demselben globalen Manager registriert ist. Verwenden Sie die folgende API, um eine Liste aller PI-Benutzer des lokalen Managers abzurufen. Diese werden nicht auf der Benutzeroberfläche angezeigt:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
Auditor