HUOMAUTUS: Seuraa vain tätä tietämyskannan artikkelia VCF:n hallinnoimasta NSX-T-liittoutumisympäristöstä.
Tausta:
Meillä on erityyppisiä NSX-T-sertifikaatteja.
Varmenteen nimi |
Tarkoitus |
Vaihdettava |
Oletusarvoinen voimassaolo |
Tomcat |
Tämä on API-varmenne, jota käytetään ulkoiseen viestintään yksittäisten NSX Manager -solmujen kanssa käyttöliittymän tai API:n kautta. |
Kyllä |
825 päivää |
MP-klusteri |
Se on API-varmenne, jota käytetään ulkoiseen viestintään NSX Manager -klusterin kanssa klusterin VIP kautta käyttöliittymän tai API:n kautta. |
Kyllä |
825 päivää |
Paikallinen johtaja |
Tämä on Federation-alustan päähenkilöllisyyden varmenne. Jos et käytä liittoutumista, tätä varmennetta ei käytetä. |
Kyllä |
825 päivää |
VCF-ratkaisut:
Tomcat ja mp-klusteri korvataan VMCA:n vCenterin allekirjoittamilla CA-varmenteilla. mp-klusteri ja Tomcat-sertifikaatit voivat olla edelleen olemassa, mutta niitä ei käytetä.
NSX-T Manager ja VCF:
- Tomcat – Node1 > ei käytössä
- mp-cluster - VIP > ei käytössä
Vaihdettu esittelyn aikana seuraavasti:
Jos haluat nähdä, käytetäänkö varmennetta, käytä seuraavaa ohjelmointirajapintaa Postman-alustalla:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Paikallisen esimiehen varmenne on pääkäyttäjän varmenne, jota käytetään viestintään liittoutumisen muiden sivustojen kanssa.
NSX-T Federation -ympäristö sisältää aktiivisen ja valmiustilassa olevan Global Manager -klusterin sekä yhden tai useamman Local Manager -klusterin.
Kuva 1: Näyttää kolme sijaintia, joissa on aktiivinen ja valmiustilassa oleva Global Manager -klusteri sijainneissa 1 ja 2 sekä Local Manager -klustereita kaikissa kolmessa sijainnissa.
Voit tarkistaa ympäristön ja selvittää, kuinka monta Local Manager -klusteria on, noudattamalla alla olevia ohjeita ja kuvakaappausta:
System >
Configuration>
Location Manager
- Local Managerin yläreunasta näet, mihin klusteriin olet kirjautuneena. Tässä esimerkissä olemme kirjautuneena Local Manager -klusteriin.
- Sivun keskellä näkyvät yleisen hallinnan klusterit ja mikä klusteri on aktiivinen ja mikä valmiustilassa.
- Muut Local Manager -klusterit näkyvät alareunassa Remote Sites -kohdassa.
Kuva 2: Local Manager -klusteriympäristö
Paikallisen esimiehen itse allekirjoittamien varmenteiden korvaaminen:
- Kirjaudu NSX Manageriin Local Manager -klusterissa.
- Kerää NSX-T-varmuuskopio ennen jatkamista. Tämä vaihe on erittäin tärkeä.
- Järjestelmä >Elinkaaren hallinta>Varmuuskopiointi ja palautus>Aloita varmuuskopiointi
Kuva 3: Kerää NSX-T-varmuuskopio
- Tarkista varmenteet ja viimeinen voimassaolopäivä.
- Valitse Järjestelmäasetukset >>, varmenteet
Alla olevassa esimerkissä on esitetty punaisella paikallisen esimiehen varmenteiden vanhentumispäivä.
Kuva 4: Paikallisen hallinnoijan varmenteiden vanhentumispäivä
Local Manager -klusteria kohden on yksi varmenne klusterissa olevien NSX-esimiesten määrästä riippumatta.
- Vaihe 1: Kirjaudu mihin tahansa NSX Manageriin Local Manager -klusterissa 1.
- Vaihe 2: Luo uusi CSR.
- Valitse Järjestelmäasetukset >>Varmenteet>CSR:t>Luo CSR
Kuva 5: Luo uusi CSR
-
Kirjoita yleinen nimi local-manageriksi.
-
Kirjoita nimeksi LocalManager.
-
Loppu on käyttäjän yritys- ja sijaintitietoja (tämä voidaan kopioida vanhasta vanhenevasta varmenteesta.)
-
Valitse Save.
Kuva 6: Anna CSR-nimet ja paikkakunnan tiedot.
- Vaihe 3: Luo itse allekirjoitettu varmenne luodun CSR:n avulla.
-
Valitse uusi CSR-valintaruutu >Luo CSR>:n itseallekirjoitettava varmenne CSR:lle.
![Itse allekirjoitetun varmenteen luominen](https://supportkb.dell.com/img/ka06P000000YXyrQAG/ka06P000000YXyrQAG_fi_7.png)
Kuva 7: Itse allekirjoitetun varmenteen luominen
- Varmista, että huoltovarmenteen arvo on Ei, ja valitse Tallenna.
- Palaa Varmenteet-välilehteen , etsi uusi varmenne ja kopioi varmenteen tunnus.
Kuva 8: Kopioi uusi varmennetunnus
- Vaihe 4: Korvaa paikallisen esimiehen päähenkilötodistus.
- Käyttäjä asentaa Postman-alustan.
- Valitse Valtuutus-välilehdessä Kirjoita >Basic Auth.
- Anna NSX-T Managerin kirjautumistiedot.
Kuva 9: Anna NSX-T Managerin kirjautumistiedot
- Muuta Headers-välilehdessä application/xml arvoksi application/json.
Kuva 10: Muuta Postmanissa "application/xml" muotoon "application/json"
- Valitse Body-välilehdessä POSTAPI -komento.
- Valitse raw ja valitse sitten JSON.
- Kirjoita POST-kohdan vieressä olevaan ruutuun URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
- Edellä mainittu URL-osoite on IP-osoite, jota käytetään mille tahansa tietyn paikallisen hallinnan klusterin NSX-esimiehelle.
- Kirjoita leipätekstiosaan alla oleva kahdella rivillä kuvakaappauksen mukaisesti:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Kuva 11: Anna minkä tahansa NSX-esimiehen URL-osoite tietyssä Local Manager -klusterissa.
- Napsauta Lähetä ja varmista, että näet tuloksen 200 OK.
- Vaihe 5: Toista vaiheet 1 > ja 4 kussakin Local Manager -klusterissa 2 ja 3.
Kun nämä vaiheet on suoritettu, loit yhden uuden varmenteen kuhunkin Local Manager -klusteriin ja korvasit päävarmenteen kussakin Local Manager -klusterissa.
Nyt on aika poistaa vanhat vanhenevat varmenteet kustakin kolmesta Local Manager -klusterista.
-
Tarkista, että varmenne ei ole enää käytössä.
-
Kopioi varmenteen tunnus
-
Avaa postimies
-
Valitse GET API POST:in sijaan.
-
Kirjoita URL-osoite https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
-
Etsi used_by ja varmista, että siinä on tyhjät hakasulkeet.
"used_by" : [ ],
"resource_type" : "certificate_self_signed",
"id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
"display_name" : "local-manager",
"description" : "",
"tags" : [ ],
"_create_user" : "admin",
"_create_time" : 1677468138846,
"_last_modified_user" : "admin",
"_last_modified_time" : 1677468138846,
"_system_owned" : false,
"_protection" : "NOT_PROTECTED",
"_revision" : 0
}
- Siirry kohtaan Järjestelmäasetukset >>, varmenteet>, valitse tarvittava varmenne.
![Valitse tarvittava varmenne](https://supportkb.dell.com/img/ka06P000000YXyrQAG/ka06P000000YXyrQAG_fi_4.jpeg)
Kuva 12: Valitse tarvittava varmenne.
- Valitse Delete>Delete.
Kuva 13: Poista varmenne
- Näin voit varmistaa, että pääkäyttäjän henkilöllisyys toimii ja käyttää uusia varmenteita:
-
Avaa postimies
-
Valitse HAE.
-
Suorita URL-osoite https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
-
Tuloksen on oltava samanlainen kuin alla, certificate_id-kohdassa pitäisi näkyä juuri luotu varmennetunnus.
Kuva 14: Varmennetunnus näyttää uuden varmennetunnuksen