시스템은 NSX 장치 간 통신과 NSX 페더레이션 장치를 포함한 외부 통신에 필요한 인증서를 생성합니다.
기존의 자체 서명된 인증서를 CA 서명 인증서로 교체하려면 인증서 바꾸기의 세부 정보를 참조하십시오. 보안 규정 준수 이벤트에 대한 자세한 내용은 NSX 이벤트 카탈로그를 참조하십시오.
| 인증서 이름 지정 규칙 | 용도 | service_type을 사용하여 교체 가능 | 기본 유효성 |
|---|---|---|---|
| APH-AR | APH(장치 프록시 허브) 서버 공용 키 및 비동기 Replicator | 예, service_type=APH를 사용합니다. | 825일 |
| APH-TN | TN(전송 노드) 및 클러스터 내 통신을 위한 APH(장치 프록시 허브) 인증서 | 예, service_type=APH_TN을 사용합니다. | 825일 |
| API(tomcat이라고도 함) | NSX Manager 노드에 대한 API 서버 인증서 | 예, service_type=API를 사용합니다. | 825일 |
| API-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_API를 사용합니다. | 100년 |
| AR-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_AR을 사용합니다. | 100년 |
| CCP-Corfu 클라이언트 | 제어 구성부 Corfu 클라이언트 인증서 | 예, service_type=CBM_CCP를 사용합니다. | 100년 |
| 클러스터(mp-cluster라고도 함) | Corfu 클라이언트 인증서 | 예, service_type=MGMT_CLUSTER를 사용합니다. | 825일 |
| 클러스터 관리자-Corfu | Corfu 클라이언트 인증서 | 예, service_type=CBM_CLUSTER_MANAGER를 사용합니다. | 100년 |
| CM 인벤토리-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_CM_INVENTORY를 사용합니다. |
100년 |
| Corfu 서버 | Corfu 클라이언트 인증서 | 예, service_type=CBM_CORFU를 사용합니다. | 100년 |
| IDPS 보고-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_IDPS_REPORTING을 사용합니다. | 100년 |
| 메시징 관리자-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_MESSAGING_MANAGER를 사용합니다. | 100년 |
| 모니터링-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_MONITORING을 사용합니다. | 100년 |
| MP-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_MP를 사용합니다. | 100년 |
| 사이트 관리자-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_SITE_MANAGER를 사용합니다. | 100년 |
| 업그레이드 조정기-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_UPGRADE_COORDINATOR를 사용합니다. | 100년 |
NSX 페더레이션 통신을 위한 인증서
기본적으로 글로벌 관리자는 내부 구성 요소, 등록된 로컬 관리자와 통신하고 NSX Manager UI 또는 API에 대한 인증에 자체 서명된 인증서를 사용합니다.
NSX Manager에서 외부(UI/API) 및 사이트 간 인증서를 볼 수 있습니다. 내부 인증서는 보거나 편집할 수 없습니다.
참고:
글로벌 관리자에서
로컬 관리자를 등록하기 전에
로컬 관리자 외부 VIP를 사용하도록 설정하지 마십시오.
NSX 페더레이션과 PKS를 동일한
로컬 관리자에서 사용해야 하는 경우, 외부 VIP를 생성하고
글로벌 관리자에서
로컬 관리자를 등록하기
전에
로컬 관리자 인증서를 변경하기 위한 PKS 작업을 완료해야 합니다.
글로벌 관리자 및 로컬 관리자에 대한 인증서
로컬 관리자를 글로벌 관리자로 추가하면 로컬 관리자와 글로벌 관리자 간에 인증서를 교환하여 신뢰가 설정됩니다. 이러한 인증서는 글로벌 관리자에 등록된 각 사이트에도 복사됩니다. NSX 4.1.0부터 글로벌 관리자와의 신뢰를 설정하는 데 사용되는 인증서는 로컬 관리자가 글로벌 관리자에 등록할 때만 생성됩니다. 로컬 관리자가 NSX 페더레이션 환경 외부로 이동하면 동일한 인증서가 삭제됩니다.
각 장치에 대해 생성된 모든 NSX 페더레이션 특정 인증서 목록과 이러한 장치가 서로 교환하는 인증서에 대한 목록은 글로벌 관리자 및 로컬 관리자의 인증서 표를 참조하십시오.
| 글로벌 관리자 또는 로컬 관리자의 명명 규칙 | 용도 | 교체 가능 여부 | 기본 유효성 |
|---|---|---|---|
| 다음은 각 NSX 페더레이션 장치와 관련된 인증서입니다. | |||
| APH-AR certificate |
|
예, service_type=APH를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 10년 |
| GlobalManager |
|
예, service_type=GLOBAL_MANAGER를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 825일 |
| Cluster certificate |
|
예, service_type=MGMT_CLUSTER를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 825일 |
| API certificate |
|
예, service_type=API를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 825일 |
| LocalManager |
|
예, service_type=LOCAL_MANAGER를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 825일 |
| LM과 GM은 클러스터, API 및 APH-AR 인증서를 공유합니다. CA에서 인증서에 서명한 경우 CA가 동기화되지만 해당 인증서는 동기화되지 않습니다. | |||
NSX 페더레이션에 대한 PI(주체 ID) 사용자
로컬 관리자를
글로벌 관리자로 추가하면 해당 역할이 있는 다음 PI 사용자가 생성됩니다.
| NSX 페더레이션 장치 | PI 사용자 이름 | PI 사용자 역할 |
|---|---|---|
| 글로벌 관리자 | LocalManagerIdentity 이 글로벌 관리자에 등록된 로컬 관리자마다 하나씩 있습니다. |
감사자 |
| 로컬 관리자 | GlobalManagerIdentity | 엔터프라이즈 관리자 |
| LocalManagerIdentity
동일한
글로벌 관리자에 등록된
로컬 관리자마다 하나씩 있습니다. UI에 표시되지 않기 때문에 모든
로컬 관리자 PI 사용자의 목록을 가져오려면 다음 API 명령을 입력합니다.
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
감사자 |
