系統會建立在 NSX 聯盟應用裝置之間通訊以及外部通訊所需的憑證。
依預設,全域管理程式會使用自我簽署憑證與內部元件和已登錄的本機管理程式進行通訊,以及 NSX Manager UI 或 API 的驗證。
您可以在 NSX Manager 中檢視外部 (UI/API) 和站台間憑證。內部憑證無法檢視或編輯。
備註: 在
本機管理程式上登錄
本機管理程式之前,不應啟用
全域管理程式外部 VIP。如果需要在同一
本機管理程式上使用聯盟和 PKS,在
全域管理程式上登錄
本機管理程式
之前,應先完成 PKS 工作,以建立外部 VIP 和變更
本機管理程式憑證。
全域管理程式和本機管理程式的憑證
將本機管理程式新增到全域管理程式後,用來驗證本機管理程式以進行外部和內部通訊的所有憑證都將複製到全域管理程式中,並在兩個系統之間建立信任關係。這些憑證也會複製到每個已向全域管理程式登錄的站台。
請參閱下表,以取得針對每個應用裝置使用 NSX 聯盟建立的所有憑證清單,以及這些應用裝置彼此交換的憑證:
全域管理程式或本機管理程式中的命名慣例 | 用途 | 可更換? | 預設有效性 |
---|---|---|---|
下列是每個 NSX 聯盟應用裝置專屬的憑證。 | |||
APH-AR certificate |
|
是。請參閱更換憑證。 | 10 年 |
GlobalManager |
|
是。請參閱更換憑證。 | 825 天 |
mp-cluster certificate |
|
||
tomcat certificate |
|
||
LocalManager |
|
||
以下是在 NSX 聯盟應用裝置之間交換的憑證。 | |||
全域管理程式或本機管理程式中的命名慣例 | 用途 | 可更換? | 預設有效性 |
雜湊代碼,例如 1729f966-67b7-4c17-bdf5-325affb79f4f |
|
不適用 |
|
Site certificate CN=<>,O |
|
NSX 聯盟的主體身分識別 (PI) 使用者
在您將本機管理程式新增至
全域管理程式後,系統會建立下列具有對應角色的 PI 使用者:
NSX 聯盟 應用裝置 | PI 使用者名稱 | PI 使用者角色 |
---|---|---|
全域管理程式 | LocalManagerIdentity 每個向此全域管理程式登錄的本機管理程式各一個。 |
稽核員 |
本機管理程式 | GlobalManagerIdentity | 企業管理員 |
LocalManagerIdentity
每個向相同
全域管理程式登錄的本機管理程式各一個。使用下列 API 取得所有本機管理程式 PI 使用者的清單,因為這些使用者在 UI 中不可見:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
稽核員 |