系統會為 NSX 應用裝置之間通訊和外部通訊 (包括 NSX 聯盟 應用裝置) 建立必要的憑證。
若要將現有自我簽署憑證更換為 CA 簽署憑證,請參閱取代憑證中的詳細資料。若要瞭解安全性合規性事件,請參閱 NSX 事件目錄。
| 憑證的命名慣例 | 用途 | 是否可使用 service_type 更換 | 預設有效性 |
|---|---|---|---|
| APH-AR | 應用裝置 Proxy 中樞 (APH) 伺服器公開金鑰和非同步複製器 | 是,可使用 service_type=APH。 | 825 天 |
| APH-TN | 傳輸節點 (TN) 和叢集間通訊的應用裝置 Proxy 中樞 (APH) 憑證 | 是,可使用 service_type=APH_TN。 | 825 天 |
| API (也稱為 tomcat) | NSX Manager 節點的 API 伺服器憑證 | 是,可使用 service_type=API。 | 825 天 |
| API-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_API。 | 100 年 |
| AR-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_AR。 | 100 年 |
| CCP-Corfu 用戶端 | 控制組態平面 Corfu 用戶端憑證 | 是,可使用 service_type=CBM_CCP。 | 100 年 |
| 叢集 (也稱為 mp-cluster) | Corfu 用戶端憑證 | 是,可使用 service_type=MGMT_CLUSTER。 | 825 天 |
| 叢集管理程式-Corfu | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_CLUSTER_MANAGER。 | 100 年 |
| CM 詳細目錄-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_CM_INVENTORY。 |
100 年 |
| Corfu 伺服器 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_CORFU。 | 100 年 |
| IDPS 報告-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_IDPS_REPORTING。 | 100 年 |
| 訊息管理程式-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_MESSAGING_MANAGER。 | 100 年 |
| 監控-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_MONITORING。 | 100 年 |
| MP-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_MP。 | 100 年 |
| 站台管理程式-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_SITE_MANAGER | 100 年 |
| 升級協調器-Corfu 用戶端 | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_UPGRADE_COORDINATOR。 | 100 年 |
用於 NSX 聯盟通訊的憑證
依預設,全域管理程式會使用自我簽署憑證,來與內部元件和已登錄的本機管理程式通訊,以及對 NSX Manager UI 或 API 進行驗證。
您可以在 NSX Manager 中檢視外部 (UI/API) 和站台間的憑證。內部憑證無法檢視或編輯。
備註: 在
全域管理程式中登錄
本機管理程式之前,請不要啟用
本機管理程式外部 VIP。如果需要在同一
本機管理程式上使用
NSX 聯盟和 PKS,請先完成 PKS 工作以建立外部 VIP 和變更
本機管理程式憑證,
之後再於
全域管理程式上登錄
本機管理程式。
全域管理程式和本機管理程式的憑證
將本機管理程式新增到全域管理程式後,您可以在本機管理程式與全域管理程式之間交換憑證,來建立信任。這些憑證也會複製到每個已向全域管理程式登錄的站台。從 NSX 4.1.0 開始,僅當本機管理程式向全域管理程式登錄時,才會產生用來與全域管理程式建立信任的憑證。如果本機管理程式移出 NSX 聯盟環境,將會刪除該相同的憑證。
如需有關為每個應用裝置所建立的所有 NSX 聯盟特定憑證清單,以及這些應用裝置之間會彼此交換的憑證清單,請參閱「全域管理程式和本機管理程式的憑證」資料表:
| 全域管理程式或本機管理程式中的命名慣例 | 用途 | 可更換? | 預設有效性 |
|---|---|---|---|
| 下列是每個 NSX 聯盟應用裝置專屬的憑證。 | |||
| APH-AR certificate |
|
是,可使用 service_type=APH。請參閱取代憑證。 | 10 年 |
| GlobalManager |
|
是,可使用 service_type=GLOBAL_MANAGER。請參閱取代憑證。 | 825 天 |
| Cluster certificate |
|
是,可使用 service_type=MGMT_CLUSTER。請參閱取代憑證。 | 825 天 |
| API certificate |
|
是,可使用 service_type=API。請參閱取代憑證。 | 825 天 |
| LocalManager |
|
是,可使用 service_type=LOCAL_MANAGER。請參閱取代憑證。 | 825 天 |
| LM 和 GM 之間會共用其叢集、API 和 APH-AR 憑證。如果憑證是 CA 簽署憑證,則會將 CA 同步,但不會同步該憑證。 | |||
NSX 聯盟的主體身分識別 (PI) 使用者
將
本機管理程式新增到
全域管理程式後,將建立以下具有對應角色的 PI 使用者。
| NSX 聯盟 應用裝置 | PI 使用者名稱 | PI 使用者角色 |
|---|---|---|
| 全域管理程式 | LocalManagerIdentity 向此全域管理程式登錄的每個本機管理程式各有一個。 |
稽核員 |
| 本機管理程式 | GlobalManagerIdentity | 企業管理員 |
| LocalManagerIdentity
向同一
全域管理程式登錄的每個
本機管理程式各有一個。由於在 UI 中看不見
本機管理程式 PI 使用者,若要取得完整清單,請輸入以下 API 命令:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
稽核員 |
