시스템은 외부 통신뿐만 아니라 NSX 페더레이션 장치와의 통신에 필요한 인증서를 생성합니다.

기본적으로 글로벌 관리자는 내부 구성 요소 및 등록된 로컬 관리자와의 통신은 물론, NSX Manager UI 또는 API에 대한 인증을 위해 자체 서명된 인증서를 사용합니다.

NSX Manager에서 외부(UI/API) 및 사이트 간 인증서를 볼 수 있습니다. 내부 인증서는 보거나 편집할 수 없습니다.

참고: 글로벌 관리자에서 로컬 관리자를 등록하기 전에 로컬 관리자 외부 VIP를 사용하도록 설정하지 마십시오. NSX 페더레이션과 PKS를 동일한 로컬 관리자에서 사용해야 하는 경우, 외부 VIP를 생성하고 글로벌 관리자에서 로컬 관리자를 등록하기 전에 로컬 관리자 인증서를 변경하기 위한 PKS 작업을 완료해야 합니다.

글로벌 관리자 및 로컬 관리자를 위한 인증서

글로벌 관리자로컬 관리자를 추가한 후 외부 및 내부 통신용 로컬 관리자를 인증하는 모든 인증서가 글로벌 관리자에 복사되고 두 시스템 간에 신뢰가 설정됩니다. 이러한 인증서는 글로벌 관리자에 등록된 각 사이트에도 복사됩니다.

다음 표에서는 NSX 페더레이션을 사용하여 각 장치에 대해 생성된 모든 인증서의 목록과 이러한 장치가 서로 교환하는 인증서를 참조하십시오.

표 1. 글로벌 관리자 및 로컬 관리자에 대한 인증서
글로벌 관리자 또는 로컬 관리자의 이름 지정 규칙 용도 교체 가능 여부 기본 유효성
다음은 각 NSX 페더레이션 장치와 관련된 인증서입니다.
APH-AR certificate
  • 글로벌 관리자 및 각 로컬 관리자의 경우.
  • AR 채널(Async-Replicator 채널)을 사용하는 사이트 간 통신에 사용됩니다.
예. 인증서 바꾸기 항목을 참조하십시오. 10년
GlobalManager
  • 글로벌 관리자의 경우.
  • 글로벌 관리자를 위한 PI 인증서.
예. 인증서 바꾸기 항목을 참조하십시오. 825일
mp-cluster certificate
  • 글로벌 관리자 및 각 로컬 관리자의 경우.
  • 글로벌 관리자 또는 로컬 관리자 클러스터 VIP와의 UI/API 통신에 사용됩니다.
tomcat certificate
  • 글로벌 관리자 및 각 로컬 관리자의 경우.
  • 글로벌 관리자에 추가된 각 위치에 대해 개별 글로벌 관리자로컬 관리자 노드와의 UI/API 통신에 사용됩니다.
LocalManager
  • 로컬 관리자의 경우.
  • 이 특정 로컬 관리자를 위한 PI 인증서.
다음은 NSX 페더레이션 장치 간에 교환되는 인증서입니다.
글로벌 관리자 또는 로컬 관리자의 이름 지정 규칙 용도 교체 가능 여부 기본 유효성
해시된 코드(예: 1729f966-67b7-4c17-bdf5-325affb79f4f)
  • 글로벌 관리자에 등록된 모든 로컬 관리자 간에 교환됩니다.
  • 로컬 관리자와 교환되는 글로벌 관리자의 PI 인증서.
  • 등록된 모든 위치 관리자와 교환되는 각 위치에 대한 PI 인증서

해당 없음

Site certificate CN=<>,O
  • 모든 NSX 페더레이션 장치 간에 교환: 등록된 모든 로컬 관리자와 글로벌 관리자.
  • 모든 인증서 유형

NSX 페더레이션에 대한 PI(주체 ID) 사용자

글로벌 관리자에 로컬 관리자를 추가한 후 해당하는 역할이 있는 다음 PI 사용자가 생성됩니다.
표 2. NSX 페더레이션에 대해 생성된 PI(주체 ID) 사용자
NSX 페더레이션 장치 PI 사용자 이름 PI 사용자 역할
글로벌 관리자 LocalManagerIdentity

글로벌 관리자에 등록된 로컬 관리자마다 하나씩 있습니다.

감사자
로컬 관리자 GlobalManagerIdentity 엔터프라이즈 관리자
LocalManagerIdentity
동일한 글로벌 관리자에 등록된 로컬 관리자마다 하나씩 있습니다. UI에는 표시되지 않으므로 다음 API를 사용하여 모든 로컬 관리자 PI 사용자 목록을 가져옵니다.
GET https://<local-mgr>/api/v1/trust-management/principal-identities
감사자