Introduzione

Al momento, VMware non offre un modo semplice per configurare il VASA Provider (VP) in modo da poter utilizzare un singolo sistema di storage per vVols su più vCenter indipendenti. Questo articolo della Knowledge Base documenta le opzioni correnti disponibili per utilizzare il provider VASA di PowerStore in più vCenter.  

Queste opzioni sono:

1. Utilizzo della modalità collegata avanzata
2. Condivisione dei certificati radice di vCenter tra i vCenter 

Opzione 1: Utilizzo della modalità collegata avanzata 

Negli ambienti in cui diversi vCenter sono collegati tra loro tramite la modalità collegata avanzata, la registrazione del provider Powerstore VASA è un processo semplice. La modalità collegata avanzata replica i certificati radice attendibili in tutte le istanze di vCenter collegate. 

I passaggi sono i seguenti: 

1. Per condividere un singolo PowerStore su più vCenter per i servizi vVol, connettere i vCenter utilizzando la modalità collegata migliorata Seguire questi passaggi di VMware: https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vcenter.install.doc/GUID-4394EA1C-0800-4A6A-ADBF-D35C41868C53.html  

2. Una volta collegati i vCenter, accedere a PowerStore Manager e registrare uno dei vCenter con l'opzione VASA Provider selezionata. PowerStore Manager avrà la visibilità degli oggetti di storage gestiti da questo vCenter. 

3. Registrare manualmente il provider VASA di PowerStore tra loro vCenter: 

• Accedere a vCenter e passare a Configure > Storage Providers nell'oggetto dell'inventario vCenter.
• Aprire la finestra di dialogo per aggiungere un provider di storage.
  • Il nome può essere qualsiasi nome scelto.
  • L'URL deve essere nel formato: https://< IP address>:8443/version.xml, dove <IP address> è l'indirizzo IP di gestione del cluster del modello PowerStore T. 
  • User name è l'utente PowerStore Manager con il ruolo di amministratore della VM, nel formato appropriato:
    • Per gli utenti locali, utilizzare il nome> utente/<locale
    • Per gli utenti LDAP, utilizzare il <dominio>/<nome> utente
  • La password è la password dell'utente PowerStore Manager con il ruolo di amministratore della macchina virtuale.
• Non selezionare Use storage provider certificate.
• Cliccare su OK.
• Verificare i dettagli immessi in vCenter Server 

Opzione 2: Condivisione manuale dei certificati radice vCenter tra i vari vCenter 

Per fare in modo che PowerStore funzioni con più istanze di vCenter non collegate, il certificato root attendibile dell'istanza di vCenter, in cui il provider VASA è stato registrato per primo, deve essere caricato e registrato in tutte le altre istanze di vCenter prima della registrazione del provider VASA, per garantire che considerino attendibile il certificato del provider VASA e non avviino una nuova firma.

In questo caso, questa procedura prevede l'applicazione del certificato root VMCA di un vCenter a tutti i vCenter. L'installazione di SAN differisce leggermente dall'installazione HCI perché HCI presuppone l'esistenza di vCenter in cui il VASA Provider è stato inizialmente registrato. In caso di installazione di SAN, è possibile scegliere qualsiasi istanza di vCenter come prima.
 

Procedura con il metodo GUI: 

1. Scaricare la CA radice attendibile dal "primo" vCenter utilizzando la GUI:

Accedere alla pagina di accesso del primo vCenter e scaricare "Certificati della CA radice attendibile"
 
2. Estrarre il file ZIP. Ti ritroverai con uno . CRT per ogni autorità di certificazione (CA) in questo dominio SSO.

 
3. Caricare il certificato in altri vCenter:

• Accedere a VC e passare a Menu Administration >> Certificates > Certificate Management.  
• Sul lato destro, in "Trusted Root Certificates", cliccare su ADD.  
• Cliccare su Browse e passare alla cartella in cui sono stati estratti i certificati nel passaggio 2:  
• Assicurarsi che la casella "Start Root certificate push to vCenter Hosts" sia selezionata: in questo modo il certificato che si sta aggiungendo verrà inviato a tutti gli host ESXi gestiti dai vCenter corrispondenti.

4. Accedere a ciascuna delle istanze di vCenter necessarie e registrare il VASA Provider lì. Alla fine, il VASA Provider dovrebbe essere registrato in ogni vCenter.  

• Accedere a vCenter e passare a Configure > Storage Providers nell'oggetto dell'inventario vCenter.
• Aprire la finestra di dialogo per aggiungere un provider di storage.
  • Il nome può essere qualsiasi nome scelto.
  • L'URL deve essere nel formato: https://< IP address>:8443/version.xml, dove <IP address> è l'indirizzo IP di gestione del cluster del modello PowerStore T. 
  • User name è l'utente PowerStore Manager con il ruolo di amministratore della VM, nel formato appropriato:
    • Per gli utenti locali, utilizzare il nome> utente/<locale
    • Per gli utenti LDAP, utilizzare il <dominio>/<nome> utente
  • La password è la password dell'utente PowerStore Manager con il ruolo di amministratore della macchina virtuale.
• Non selezionare Use storage provider certificate.
• Cliccare su OK.
• Verificare i dettagli immessi in vCenter Server 

Nota: è possibile registrare un solo vCenter in PowerStore Manager e, utilizzando questo metodo, PowerStore Manager visualizzerà solo le VM correlate a vVol per il singolo vCenter registrato con PowerStore, pertanto non avrà alcuna visibilità sul fatto che altri vCenter condividano lo stesso provider VASA tramite questo metodo di certificato root condiviso. 

 
In alternativa, i certificati possono essere gestiti manualmente utilizzando la shell VC e PowerCLI. 
 

Procedura con il metodo CLI: 

1. Recuperare la "prima" CA radice di VC: 
   • Aprire una sessione di shell su VC 
   • $ /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS
   • Copiare il contenuto del certificato (valore completo del campo denominato "Certificate", inclusi "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----". 
2. Aggiungere il certificato CA radice attendibile di questo vCenter ai certificati radice attendibili di OGNI vCenter necessario: 
   • Aprire una sessione di shell su VC 
   • Salvataggio del contenuto del certificato copiato in precedenza in un file su un file system 
   • $ sudo /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish –chain --cert <certificate file> 
3. Propagare le modifiche del certificato CA a tutti gli host di ogni VC utilizzando PowerCLI e PowerShell: 
   • Connect-VIServer -server [IP o FQDN VC] 
   • get-cluster -name "cluster" | Get-VMhost | % {(Get-View -Id (Get-View ServiceInstance). Content.CertificateManager). CertMgrRefreshCACertificatesAndCRLs($_. ExtensionData.MoRef)} 
4. Registrare VP su ogni VC come descritto in precedenza. 

DOMANDE FREQUENTI:

Q. È possibile propagare manualmente i certificati root agli host ESXi?

R. La propagazione dei certificati agli host ESXi connessi a vCenter può essere eseguita manualmente utilizzando la GUI di VC. 

Host e cluster -> {Scegli un host} -> Configura -> Sistema -> Certificato -> AGGIORNA CERTIFICATI CA): 

 

 
Q. Cosa succede se il certificato del "primo" VC richiede il rinnovo? 

R. Il rinnovo del certificato può essere eseguito utilizzando vSphere Certificate Manager, descritto nella https://kb.vmware.com/s/article/2097936. 

Tenere presente che Certificate Manager non genera il certificato VP: se è necessario firmarlo con un certificato VC rinnovato, è necessario utilizzare Aggiorna certificato nel menu Provider di storage di VC. 

1. È necessario annullare la pubblicazione della CA root precedente da ogni istanza di vCenter utilizzando la CLI: 
   • $ sudo /usr/lib/vmware-vmafd/bin/dir-cli trustedcert unpublish --cert file.crt 
2. Dopo la firma del certificato VP da parte della nuova CA radice, questa CA deve essere distribuita in tutte le altre istanze di vCenter come descritto in precedenza. 
3. Rinnovare i certificati CA sugli host VC utilizzando PowerCLI o la GUI di VC (descritto in precedenza).