Platform services Controller管理 Update 1 2018年10月16日 VMware vSphere 6.7 VMware EsXi 6.7 v Center server 6.7 VmWare
Platform Services Controller 管理 Update 1 2018 年 10 月 16 日 VMware vSphere 6.7 VMware ESXi 6.7 vCenter Server 6.7
Platform services Controller管理 您可以从 VMware网站下载最新的技术文档 https://docs.vmwarecom/cn/o VMware网站还提供了最近的产品更新。 如果您对本文档有任何意见或建议,请将反馈信息发送至 docfeedback(@vmware.com VMware, Inc. 北京办公室 上海办公室 广州办公室 3401 Hillview Ave 上海市 广州市 Palo Alto. CA 94304 朝阳区新源南路8号 淮海中路333号 天河路385号 www.vmware.com 启皓北京东塔8层801 瑞安大厦804809室 vmware. com/cn ww.vmware.com/cn ww. vmware. com/cn 版权所有e2009-2018 VMware,nc.保留所有权利。版权和商标信息。 VMware,lc保留所有权利
Platform Services Controller 管理 VMware, Inc. 保留所有权利。 2 您可以从 VMware 网站下载最新的技术文档: https://docs.vmware.com/cn/。 VMware 网站还提供了最近的产品更新。 如果您对本文档有任何意见或建议,请将反馈信息发送至: docfeedback@vmware.com 版权所有 © 2009–2018 VMware, Inc. 保留所有权利。 版权和商标信息。 VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 北京办公室 北京市 朝阳区新源南路 8 号 启皓北京东塔 8 层 801 www.vmware.com/cn 上海办公室 上海市 淮海中路 333 号 瑞安大厦 804-809 室 www.vmware.com/cn 广州办公室 广州市 天河路 385 号 太古汇一座 3502 室 www.vmware.com/cn
目录 关于《P| atform Services Controller管理》5 Platform services controller入门7 vCenter Server和 Platform Services Controller部署类型7 具有外部 Platform Services Controller实例和高可用性的部署拓扑10 了解 vSphere域、域名和站点12 Platform services controller功能13 管理 Platform services Controller服务14 管理 Platform Services Controller设备17 2使用 vCenter Single Sign-On进行 vSphere身份验证20 了解 v Center Single Sign-On20 配置 vCenter Single Sign-On标识源27 了解 vCenter Server双因素身份验证33 将 vCenter Single Sign-On用作其他服务提供程序的身份提供程序46 安全令牌服务(STS)47 管理 vCenter Single Sign-On策略53 管理 vCenter Single Sign-On用户和组57 vCenter Single Sign-On安全性最佳做法63 3 vSphere安全证书65 不同解决方案途径的证书要求 证书管理概览69 使用 vSphere Client管理证书79 从 vSphere Web Client管理证书85 使用 vSphere证书管理器实用程序管理证书86 手动证书替换99 4使用C凵命令管理服务和证书130 运行CL所需的特权 更改 cartoon配置选项 certool初始化命令参考133 certral管理命令参考135 vecs-c命令参考138 d-C命令参考142 5对 Platform Services Controller进行故障排除149 确定 Lookup Service错误的原因149 VMware,lc保留所有权利
目录 关于 《Platform Services Controller 管理》 5 1 Platform Services Controller 入门 7 vCenter Server 和 Platform Services Controller 部署类型 7 具有外部 Platform Services Controller 实例和高可用性的部署拓扑 10 了解 vSphere 域、域名和站点 12 Platform Services Controller 功能 13 管理 Platform Services Controller 服务 14 管理 Platform Services Controller 设备 17 2 使用 vCenter Single Sign-On 进行 vSphere 身份验证 20 了解 vCenter Single Sign-On 20 配置 vCenter Single Sign-On 标识源 27 了解 vCenter Server 双因素身份验证 33 将 vCenter Single Sign-On 用作其他服务提供程序的身份提供程序 46 安全令牌服务 (STS) 47 管理 vCenter Single Sign-On 策略 53 管理 vCenter Single Sign-On 用户和组 57 vCenter Single Sign-On 安全性最佳做法 63 3 vSphere 安全证书 65 不同解决方案途径的证书要求 66 证书管理概览 69 使用 vSphere Client 管理证书 79 从 vSphere Web Client 管理证书 85 使用 vSphere 证书管理器实用程序管理证书 86 手动证书替换 99 4 使用 CLI 命令管理服务和证书 130 运行 CLI 所需的特权 131 更改 certool 配置选项 132 certool 初始化命令参考 133 certool 管理命令参考 135 vecs-cli 命令参考 138 dir-cli 命令参考 142 5 对 Platform Services Controller 进行故障排除 149 确定 Lookup Service 错误的原因 149 VMware, Inc. 保留所有权利。 3
Platform services Controller管理 无法使用 Active Directory域身份验证进行登录150 由于用户帐户被锁定, vCenter Server登录失败152 VMware目录服务复制需要 导出 Platform Services Controller支持包153 Platform Services Controller服务日志引用153 VMware,lc保留所有权利
无法使用 Active Directory 域身份验证进行登录 150 由于用户帐户被锁定,vCenter Server 登录失败 152 VMware 目录服务复制需要较长时间 152 导出 Platform Services Controller 支持包 153 Platform Services Controller 服务日志引用 153 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 4
关于《 Platform services Controller管理》 《 Platform Services Controller管理》文档介绍如何将 VMware Platform Services Controller n部署到您的 vSphere环境并帮助执行证书管理和 vCenter Single Sign-On配置等常见任务 《 Platform services controller管理》介绍如何设置 vCenter Single Sign-On身份验证,以及如何管理 vCenter Server和相关服务的证书。 表1.《《 Platform services Controller管理》》内容要点 主题 内容要点 Platform Services controller入门指南 vCenter Server部署模型和 Platform Services Controller部 模型。注意:此信息因产品版本而异 Linux和 Windows上的 Platform services Controller服务。 管理 Platform services controller服务。 ■使用AM管理 Platform Services Controller设备。 使用 vCenter Single Sign-On进行 vSphere身份验证 身份验证过程的架构。 如何添加标识源,以便域中的用户可以进行身份验证 双因素身份验证。 ■管理用户、组和策略。 vSphere安全证书 证书模型和用于替换证书的选项。 从U替换证书(简单情况) ■使用 Certificate Manager实用程序替换证书 ■使用CL替换证书(复杂情况)。 ■证书管理CL参考 相关文档 相关文档《 vSphere安全性》介绍可用安全功能以及为保护您的环境免受攻击可采取的措施。该文档还说明 了如何设置权限,并包括对特权的引用 除上述文档外, VMware还针对每个 vSphere版本发布了《 vSphere安全性配置指南》(以前称为强化指 南),网址为http://www.vmware.com/security/hardening-guides.htmlo<vsphere安全性配置指南》中 包含有关以下安全设置的准则:客户可以或应设置的安全设置,以及 VMware提供且应由客户审核以确保仍 设置为默认值的安全设置。 VMware,lc保留所有权利
关于 《Platform Services Controller 管理》 《Platform Services Controller 管理》文档介绍如何将 VMware® Platform Services Controller ™ 部署到您的 vSphere 环境并帮助执行证书管理和 vCenter Single Sign-On 配置等常见任务。 《Platform Services Controller 管理》介绍如何设置 vCenter Single Sign-On 身份验证,以及如何管理 vCenter Server 和相关服务的证书。 表 1. 《 《Platform Services Controller 管理》 》内容要点 主题 内容要点 Platform Services Controller 入门指南 n vCenter Server 部署模型和 Platform Services Controller 部 署模型。注意:此信息因产品版本而异。 n Linux 和 Windows 上的 Platform Services Controller 服务。 n 管理 Platform Services Controller 服务。 n 使用 VAMI 管理 Platform Services Controller 设备。 使用 vCenter Single Sign-On 进行 vSphere 身份验证 n 身份验证过程的架构。 n 如何添加标识源,以便域中的用户可以进行身份验证。 n 双因素身份验证。 n 管理用户、组和策略。 vSphere 安全证书 n 证书模型和用于替换证书的选项。 n 从 UI 替换证书(简单情况)。 n 使用 Certificate Manager 实用程序替换证书。 n 使用 CLI 替换证书(复杂情况)。 n 证书管理 CLI 参考。 相关文档 相关文档《vSphere 安全性》介绍可用安全功能以及为保护您的环境免受攻击可采取的措施。该文档还说明 了如何设置权限,并包括对特权的引用。 除上述文档外,VMware 还针对每个 vSphere 版本发布了《vSphere 安全性配置指南》(以前称为强化指 南),网址为:http://www.vmware.com/security/hardening-guides.html。《vSphere 安全性配置指南》中 包含有关以下安全设置的准则:客户可以或应设置的安全设置,以及 VMware 提供且应由客户审核以确保仍 设置为默认值的安全设置。 VMware, Inc. 保留所有权利。 5
Platform services Controller管理 目标读者 此信息面向需要配置 Platform Services Controller及关联服务的管理员。本信息的目标读者为熟悉虚拟机技 术和数据中心操作且具有丰富经验的 Windows或 Linux系统管理员。 vSphere Client #A vSphere Web Client 本指南中的说明反映 vSphere Client(基于HTML5的GU)。您也可以使用这些说明通过 vSphere Web Client (基于Fex的GU1)执行任务。 vSphere Client和 vSphere Web Client之间工作流明显不同的任务具有重复过程,其根据相应客户端界面提 供步骤。与 vSphere Web Client有关的过程在标题中包含 vSphere Web Client。 注在 vSphere67 Update1中,几乎所有 vSphere Web Client功能在 vSphere Client中得以实现。有关 其他不受支持的功能的最新列表,请参见《 vSphere Client功能更新说明》。 VMware,lc保留所有权利
目标读者 此信息面向需要配置 Platform Services Controller 及关联服务的管理员。本信息的目标读者为熟悉虚拟机技 术和数据中心操作且具有丰富经验的 Windows 或 Linux 系统管理员。 vSphere Client 和 vSphere Web Client 本指南中的说明反映 vSphere Client(基于HTML5 的 GUI)。您也可以使用这些说明通过vSphere Web Client (基于 Flex 的 GUI)执行任务。 vSphere Client 和 vSphere Web Client 之间工作流明显不同的任务具有重复过程,其根据相应客户端界面提 供步骤。与 vSphere Web Client 有关的过程在标题中包含 vSphere Web Client。 注 在 vSphere 6.7 Update 1 中,几乎所有 vSphere Web Client 功能在 vSphere Client 中得以实现。有关 其他不受支持的功能的最新列表,请参见《vSphere Client 功能更新说明》。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 6
Platform services Controller入门 Platform Services Controller可以为 vSphere环境提供通用基础架构服务。服务包括许可、证书管理和进行 v Center Single Sign-On身份验证。 本章讨论了以下主题 ■ vCenter Server和 Platform services Controller部署类型 具有外部 Platform services controller实例和高可用性的部署拓扑 了解 vSphere域、域名和站点 Platform services controller功能 管理 Platform services Controller服务 管理 Platform Services Controller设备 V Center server和 Platform services Controller部署类型 您可以部署具有嵌入式或外部 Platform Services Controller部署的 vCenter Server Appliance,或安装具有 嵌入式或外部 Platform services controller部署的适用于 Windows的 vCenter server。您也可以将 Platform Services Controller作为设备部署,或者将其安装在 Windows上。如有必要,可以使用混合操作 系统环境。 部署 vCenter Server Appliance或安装适用于 Windows的 vCenter server之前,必须确定适合您环境的部 署模型。对于每个部署或安装,必须选择以下三种部署类型之一。 表1-1. v Center server和 Platform services Controller部署类型 部类型 具有嵌入式 Platform Services Controller部署的 与 Platform Services Controller捆绑在一起的所有服务与 vCenter server vCenter Server服务一起部署在同一虚拟机或物理服务器上。 Platform Services Controller 只有与 Platform services controller捆绑在一起的服务会部署在 虚拟机或物理服务器上。 具有外部 Platform Services Controller的 vCenter Serve 只有 vCenter Server服务 (需要外部 Platform Services Controller) 必须向之前部岩或安装的 Platform services controller实例注册 此类 vCenter Server实例 VMware,lc保留所有权利
Platform Services Controller 入门 1 Platform Services Controller 可以为 vSphere 环境提供通用基础架构服务。服务包括许可、证书管理和进行 vCenter Single Sign-On 身份验证。 本章讨论了以下主题: n vCenter Server 和 Platform Services Controller 部署类型 n 具有外部 Platform Services Controller 实例和高可用性的部署拓扑 n 了解 vSphere 域、域名和站点 n Platform Services Controller 功能 n 管理 Platform Services Controller 服务 n 管理 Platform Services Controller 设备 vCenter Server 和 Platform Services Controller 部署类型 您可以部署具有嵌入式或外部 Platform Services Controller 部署的 vCenter Server Appliance,或安装具有 嵌入式或外部 Platform Services Controller 部署的适用于 Windows 的 vCenter Server。您也可以将 Platform Services Controller 作为设备部署,或者将其安装在 Windows 上。如有必要,可以使用混合操作 系统环境。 部署 vCenter Server Appliance 或安装适用于 Windows 的 vCenter Server 之前,必须确定适合您环境的部 署模型。对于每个部署或安装,必须选择以下三种部署类型之一。 表 1‑1. vCenter Server 和 Platform Services Controller 部署类型 部署类型 描述 具有嵌入式 Platform Services Controller 部署的 vCenter Server 与 Platform Services Controller 捆绑在一起的所有服务与 vCenter Server 服务一起部署在同一虚拟机或物理服务器上。 Platform Services Controller 只有与 Platform Services Controller 捆绑在一起的服务会部署在 虚拟机或物理服务器上。 具有外部 Platform Services Controller 的 vCenter Server (需要外部 Platform Services Controller) 只有 vCenter Server 服务会部署在虚拟机或物理服务器上。 必须向之前部署或安装的 Platform Services Controller 实例注册 此类 vCenter Server 实例。 VMware, Inc. 保留所有权利。 7
Platform services Controller管理 具有嵌入式 Platform services Controller部署的 V Center server 使用嵌入式 Platform Services Controller会产生独立部署,它拥有自己的具有单一站点的 vCenter Single vSphere65 Update2开始,可以加入其他具有嵌入式 Platform services Controller的 vCenter server 实例以启用增强型链接模式。 图1-1.具有嵌入式 Platform Services Controller部署的 v Center server 虚拟机或物理服务器 Controller vCenter Servel 安装具有嵌入式 Platform Services Controller部署的 vCenter Server具有以下优势 vCenter server与 Platform services controller并非通过网络连接,且 vCenter Server不容易出现因 vCenter server与 Platform services contro‖er之间的连接和名称解析问题导致的故障, 如果在 Windows虚拟机或物理服务器上安装 vCenter server,则需要较少的 Windows许可证。 您管理较少的虚拟机或物理服务器。 可以在 vCenter High Availability配置中配置具有嵌入式 Platform Services Controller部署的 vCenter Server Appliance。有关信息,请参见《 vSphere可用性》。 注部署或安装具有嵌入式 Platform Services Controller部署的 vCenter Server后,您可以重新配置部署类 型并切换到具有外部 Platform services controller部署的 vCenter server。 Platform services Controller与具有外部 Platform services Controller 部署的 Center server 部署或安装 Platform Services Controller实例时,可以创建 vCenter Single Sign-On域,或者加入现有的 vCenter Single Sign-On域。加入的 Platform services Controller实例将复制其基础架构数据,如身份验证 和许可信息,并且可以跨多个 vCenter Single Sign-On站点。有关信息,请参见了解 vSphere域、域名和 站点。 以向一个共同外部 Platform Services Contro‖er实例注册多个 vCenter Server实例。 VCenter Server实例 采用向其注册的 Platform Services Controller实例的 vCenter Single Sign-On站点。向一个共同或不同的已 加入 Platform Services Controller 册的所有 VCenter Server实例都在增强型链接模式下进行连接。 VMware,lc保留所有权利
具有嵌入式 Platform Services Controller 部署的 vCenter Server 使用嵌入式 Platform Services Controller 会产生独立部署,它拥有自己的具有单一站点的 vCenter Single Sign-On 域。 从 vSphere 6.5 Update 2 开始,可以加入其他具有嵌入式 Platform Services Controller 的 vCenter Server 实例以启用增强型链接模式。 图 1‑1. 具有嵌入式 Platform Services Controller 部署的 vCenter Server Platform Services Controller 虚拟机或物理服务器 vCenter Server 安装具有嵌入式 Platform Services Controller 部署的 vCenter Server 具有以下优势: n vCenter Server 与 Platform Services Controller 并非通过网络连接,且 vCenter Server 不容易出现因 vCenter Server 与 Platform Services Controller 之间的连接和名称解析问题导致的故障。 n 如果在 Windows 虚拟机或物理服务器上安装 vCenter Server,则需要较少的 Windows 许可证。 n 您管理较少的虚拟机或物理服务器。 可以在 vCenter High Availability 配置中配置具有嵌入式 Platform Services Controller 部署的 vCenter Server Appliance。有关信息,请参见《vSphere 可用性》。 注 部署或安装具有嵌入式 Platform Services Controller 部署的 vCenter Server 后,您可以重新配置部署类 型并切换到具有外部 Platform Services Controller 部署的 vCenter Server。 Platform Services Controller 与具有外部 Platform Services Controller 部署的 vCenter Server 部署或安装 Platform Services Controller 实例时,可以创建 vCenter Single Sign-On 域,或者加入现有的 vCenter Single Sign-On 域。加入的 Platform Services Controller 实例将复制其基础架构数据,如身份验证 和许可信息,并且可以跨多个 vCenter Single Sign-On 站点。有关信息,请参见了解 vSphere 域、域名和 站点。 可以向一个共同外部 Platform Services Controller 实例注册多个 vCenter Server 实例。vCenter Server 实例 采用向其注册的 Platform Services Controller 实例的 vCenter Single Sign-On 站点。向一个共同或不同的已 加入 Platform Services Controller 实例注册的所有 vCenter Server 实例都在增强型链接模式下进行连接。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 8
Platform services Controller管理 图1-2.具有共同外部 Platform services Controller的两个 VCenter server示例 虚拟机或物理服务器 Platform Se 虚拟机或物理服务器 虚拟机或物理服务器 vCenter Server vCenter Server 安装具有外部 Platform Services Controller部署的 VCenter Server具有以下缺点: vCenter Server和 Platform Services Controller之间的连接可能具有连接和名称解析问题。 如果在 Windows虚拟机或物理服务器上安装 vCenter Server,则需要较多的 Microsoft Windows许可证 您需要管理较多虚拟机或物理服务器。 有关 Platform Services Controller和 vCenter Server最高配置的信息,请参见最高配置文档。 有关在 vCenter High Availability配置中配置具有外部 Platform Services Controller部署的 vCenter Server Appliance的信息,请参见《《 vSphere可用性》》。 混合操作系统环境 安装在 Windows上的 vCenter server实例可以注册到 Windows上安装的 Platform services Controller中 或 Platform services controller设备中。 vCenter Server Appliance可以注册到 Windows上安装的 Platform Services Controller中或 Platform Services Controller设备中。可以向同一 Platform Services Controller注册 vCenter Server和 vCenter Server Appliance。 图1-3.具有在 Windows上运行的外部 Platform Services Controller的混合操作系统环境的示例 Windows虚拟机或 物理服务器 atfoWindows上的 rm Services Controller 虚拟机或物理服务器 虚拟机 Windows上的 vCenter server vCenter Server Appliance VMware,lc保留所有权利
图 1‑2. 具有共同外部 Platform Services Controller 的两个 vCenter Server 示例 Platform Services Controller 虚拟机或物理服务器 vCenter Server 虚拟机或物理服务器 vCenter Server 虚拟机或物理服务器 安装具有外部 Platform Services Controller 部署的 vCenter Server 具有以下缺点: n vCenter Server 和 Platform Services Controller 之间的连接可能具有连接和名称解析问题。 n 如果在 Windows 虚拟机或物理服务器上安装 vCenter Server,则需要较多的 Microsoft Windows 许可证。 n 您需要管理较多虚拟机或物理服务器。 有关 Platform Services Controller 和 vCenter Server 最高配置的信息,请参见最高配置文档。 有关在 vCenter High Availability 配置中配置具有外部 Platform Services Controller 部署的 vCenter Server Appliance 的信息,请参见《《vSphere 可用性》》。 混合操作系统环境 安装在 Windows 上的 vCenter Server 实例可以注册到 Windows 上安装的 Platform Services Controller 中 或 Platform Services Controller 设备中。vCenter Server Appliance 可以注册到 Windows 上安装的 Platform Services Controller 中或 Platform Services Controller 设备中。可以向同一 Platform Services Controller 注册 vCenter Server 和 vCenter Server Appliance。 图 1‑3. 具有在 Windows 上运行的外部 Platform Services Controller 的混合操作系统环境的示例 Windows 上的 Platform Services Controller Windows 虚拟机或 物理服务器 Windows 上的 vCenter Server 虚拟机或物理服务器 vCenter Server Appliance 虚拟机 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 9
Platform services Controller管理 图1-4.具有外部 Platform services Controller设备的混合操作系统环境的示例 虚拟机 Platform Services Controller设备 虚拟机或物理服务器 虚拟机 Windows上的 vCenter Serve vCenter Server Appliance 注为确保易于管理和维护,请仅使用设备或者仅使用 vCenter Server和 Platform Services Controller的 Windows安装。 具有外部 Platform services Controller实例和高可用性的部署 拓扑 要确保外部部署中 Platform Services Controller高可用性,您必须在 vCenter Single Sign-On域中安装或部 署至少两个已加入的 Platform services controller实例。使用第三方负载平衡器时,您可以确保自动进行故 障切换而不会出现停机。 具有负载平衡器的 Platform services Controller 图1-5.实现了负载平衡的 Platform services Controller实例对的示例 虚拟机或 vices Controller Controller 负载平衡器 虚拟机或 虚拟机或 物理服务器 物理服务器 vCenter Server vCenter Server 在您可以在每个站点中使用一个第三方负载平衡器来为此站点配置 Platform Services Controller高可用性和 自动故障切换。有关负载平衡器后的最大 Platform Services Controller实例数的信息,请参见最高配置文档 重要要在负载平衡器后配置 Platform services controller高可用性, Platform services contro‖er实例必 须具有相同的操作系统类型。不支持在负载平衡器后运行混合操作系统 Platform services controller实例。 vCenter server实例连接到负载平衡器。当一个 Platform services Controller实例停止响应时,负载平衡器 自动在其他正常工作的 Platform Services Controller实例之间分配负载,而不会出现停机 VMware,lc保留所有权利
图 1‑4. 具有外部 Platform Services Controller 设备的混合操作系统环境的示例 Platform Services Controller 设备 虚拟机 Windows 上的 vCenter Server 虚拟机或物理服务器 vCenter Server Appliance 虚拟机 注 为确保易于管理和维护,请仅使用设备或者仅使用 vCenter Server 和 Platform Services Controller 的 Windows 安装。 具有外部 Platform Services Controller 实例和高可用性的部署 拓扑 要确保外部部署中 Platform Services Controller 高可用性,您必须在 vCenter Single Sign-On 域中安装或部 署至少两个已加入的 Platform Services Controller 实例。使用第三方负载平衡器时,您可以确保自动进行故 障切换而不会出现停机。 具有负载平衡器的 Platform Services Controller 图 1‑5. 实现了负载平衡的 Platform Services Controller 实例对的示例 负载平衡器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 在您可以在每个站点中使用一个第三方负载平衡器来为此站点配置 Platform Services Controller 高可用性和 自动故障切换。有关负载平衡器后的最大 Platform Services Controller 实例数的信息,请参见最高配置文档。 重要 要在负载平衡器后配置 Platform Services Controller 高可用性,Platform Services Controller 实例必 须具有相同的操作系统类型。不支持在负载平衡器后运行混合操作系统 Platform Services Controller 实例。 vCenter Server 实例连接到负载平衡器。当一个 Platform Services Controller 实例停止响应时,负载平衡器 自动在其他正常工作的 Platform Services Controller 实例之间分配负载,而不会出现停机。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 10