系統會建立在 NSX 聯盟應用裝置之間通訊以及外部通訊所需的憑證。

依預設,全域管理程式會使用自我簽署憑證與內部元件和已登錄的本機管理程式進行通訊,以及 NSX Manager UI 或 API 的驗證。

您可以在 NSX Manager 中檢視外部 (UI/API) 和站台間憑證。內部憑證無法檢視或編輯。

備註:本機管理程式上登錄 本機管理程式之前,不應啟用 全域管理程式外部 VIP。如果需要在同一 本機管理程式上使用聯盟和 PKS,在 全域管理程式上登錄 本機管理程式 之前,應先完成 PKS 工作,以建立外部 VIP 和變更 本機管理程式憑證。

全域管理程式和本機管理程式的憑證

本機管理程式新增到全域管理程式後,用來驗證本機管理程式以進行外部和內部通訊的所有憑證都將複製到全域管理程式中,並在兩個系統之間建立信任關係。這些憑證也會複製到每個已向全域管理程式登錄的站台。

請參閱下表,以取得針對每個應用裝置使用 NSX 聯盟建立的所有憑證清單,以及這些應用裝置彼此交換的憑證:

表 1. 全域管理程式和本機管理程式的憑證
全域管理程式或本機管理程式中的命名慣例 用途 可更換? 預設有效性
下列是每個 NSX 聯盟應用裝置專屬的憑證。
APH-AR certificate
  • 適用於全域管理程式和每個本機管理程式
  • 用於使用 AR 通道 (非同步複製器通道) 的站台間通訊。
是。請參閱更換憑證 10 年
GlobalManager
  • 用於全域管理程式
  • 全域管理程式的 PI 憑證。
是。請參閱更換憑證 825 天
mp-cluster certificate
  • 適用於全域管理程式和每個本機管理程式
  • 用於與全域管理程式本機管理程式叢集的 VIP 進行 UI/API 通訊。
tomcat certificate
  • 適用於全域管理程式和每個本機管理程式
  • 用於與個別全域管理程式以及新增到全域管理程式每個位置的本機管理程式節點進行 UI/API 通訊。
LocalManager
  • 適用於本機管理程式
  • 此特定本機管理程式的 PI 憑證。
以下是在 NSX 聯盟應用裝置之間交換的憑證。
全域管理程式或本機管理程式中的命名慣例 用途 可更換? 預設有效性
雜湊代碼,例如 1729f966-67b7-4c17-bdf5-325affb79f4f
  • 在已向全域管理程式登錄的所有本機管理程式之間交換。
  • 與本機管理程式交換的全域管理程式 PI 憑證。
  • 與所有已登錄位置管理程式交換之每個位置的 PI 憑證。

不適用

Site certificate CN=<>,O
  • 在所有 NSX 聯盟應用裝置之間交換:所有已登錄的本機管理程式和全域管理程式
  • 所有類型的憑證。

NSX 聯盟的主體身分識別 (PI) 使用者

在您將本機管理程式新增至 全域管理程式後,系統會建立下列具有對應角色的 PI 使用者:
表 2. 已針對 NSX 聯盟建立的主體身分識別 (PI) 使用者
NSX 聯盟 應用裝置 PI 使用者名稱 PI 使用者角色
全域管理程式 LocalManagerIdentity

每個向此全域管理程式登錄的本機管理程式各一個。

稽核員
本機管理程式 GlobalManagerIdentity 企業管理員
LocalManagerIdentity
每個向相同 全域管理程式登錄的本機管理程式各一個。使用下列 API 取得所有本機管理程式 PI 使用者的清單,因為這些使用者在 UI 中不可見:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
稽核員