Introdução

Atualmente, a VMware não oferece uma maneira simples de configurar o VASA Provider (VP) para que um único sistema de armazenamento possa ser usado para vVols em vários vCenters independentes. Este artigo da KB documenta as opções atuais disponíveis para usar o VASA Provider do PowerStore em vários vCenters.  

Essas opções são:

1. Usando o modo vinculado aprimorado
2. Compartilhamento de certificados raiz do vCenter entre vCenters 

Opção 1: Usando o modo vinculado aprimorado 

Nos ambientes em que vários vCenters são vinculados usando o modo vinculado avançado, o registro do provedor de VASA do Powerstore é um processo simples. O modo vinculado aprimorado replica certificados raiz confiáveis em todas as instâncias vinculadas do vCenter. 

Estas são as etapas: 

1. Para compartilhar um único PowerStore em vários vCenters para serviços vVol, conecte os vCenters usando o modo vinculado aprimorado, siga estas etapas da VMware: https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vcenter.install.doc/GUID-4394EA1C-0800-4A6A-ADBF-D35C41868C53.html  

2. Depois que os vCenters estiverem vinculados, acesse o PowerStore Manager e registre um de seus vCenters com a opção de provedor de VASA selecionada. O PowerStore Manager terá visibilidade dos objetos de armazenamento gerenciados por esse vCenter. 

3. Registrem manualmente o provedor de VASA do PowerStore entre si no vCenter: 

• Faça log-in no vCenter e navegue até Configure > Storage Providers no objeto de inventário do vCenter.
• Abra a caixa de diálogo para adicionar um provedor de armazenamento.
  • O nome pode ser qualquer nome que você escolher.
  • A URL deve estar no formato: https://< IP address>:8443/version.xml, em que <IP address> é o endereço IP de gerenciamento do cluster do modelo PowerStore T. 
  • O nome de usuário é o usuário do PowerStore Manager com a função de administrador de VM, no formato apropriado:
    • Para usuários locais, use local/<nome> de usuário
    • Para usuários LDAP, use <domínio>/<nome de> usuário
  • A senha é a senha do usuário do PowerStore Manager com a função de administrador de VM.
• Não selecione Use storage provider certificate.
• Clique em OK.
• Verifique os detalhes que você inseriu no vCenter Server 

Opção 2: Compartilhamento manual de certificados raiz do vCenter entre vCenters 

Para que o PowerStore funcione com várias instâncias não vinculadas do vCenter, o certificado raiz confiável da instância do vCenter, no qual o provedor VASA foi registrado primeiro, precisa ser carregado e registrado em todas as outras instâncias do vCenter antes do registro do provedor VASA, para garantir que eles confiem no certificado do provedor VASA e não iniciem uma nova assinatura.

Portanto, esse procedimento envolve o certificado raiz VMCA de um vCenter sendo aplicado a todos os vCenters. A instalação da SAN difere um pouco da instalação da HCI, pois a HCI pressupõe a existência do vCenter no qual o VASA Provider foi inicialmente registrado. Em caso de instalação da SAN, você pode escolher qualquer instância do vCenter para ser a primeira.
 

Etapas usando o método GUI: 

1. Faça download da CA raiz confiável do "primeiro" vCenter usando a GUI:

navegue até a página de log-in do primeiro vCenter e faça download dos "Certificados de CA raiz confiáveis"
 
2. Extraia o arquivo ZIP. Você vai acabar com um. CRT para cada autoridade de certificação (CA) neste domínio SSO.

 
3. Fazer upload do certificado para outros vCenters:

• Faça log-in no VC e navegue até Menu > Administration > Certificates > Certificate Management.  
• No lado direito, em "Certificados raiz confiáveis", clique em ADICIONAR.  
• Clique em Procurar e navegue até a pasta onde você extraiu os certificados na Etapa 2:  
• Certifique-se de que a caixa "Start Root certificate push to vCenter Hosts" esteja marcada. Isso garantirá que o certificado que você está adicionando seja enviado para todos os hosts do ESXi gerenciados pelos vCenters correspondentes.

4. Faça log-in em cada uma das instâncias necessárias do vCenter e registre o provedor de VASA lá. Você deve terminar com o provedor de VASA registrado em cada vCenter.  

• Faça log-in no vCenter e navegue até Configure > Storage Providers no objeto de inventário do vCenter.
• Abra a caixa de diálogo para adicionar um provedor de armazenamento.
  • O nome pode ser qualquer nome que você escolher.
  • A URL deve estar no formato: https://< IP address>:8443/version.xml, em que <IP address> é o endereço IP de gerenciamento do cluster do modelo PowerStore T. 
  • O nome de usuário é o usuário do PowerStore Manager com a função de administrador de VM, no formato apropriado:
    • Para usuários locais, use local/<nome> de usuário
    • Para usuários LDAP, use <domínio>/<nome de> usuário
  • A senha é a senha do usuário do PowerStore Manager com a função de administrador de VM.
• Não selecione Use storage provider certificate.
• Clique em OK.
• Verifique os detalhes que você inseriu no vCenter Server 

Nota: apenas um vCenter pode ser registrado no PowerStore Manager e, usando esse método, o PowerStore Manager exibirá apenas VMs relacionadas a vVol para o único vCenter registrado no PowerStore e, portanto, não terá visibilidade de outros vCenters que compartilham esse mesmo provedor de VASA por meio desse método de certificado raiz compartilhado. 

 
Como alternativa, os certificados podem ser gerenciados manualmente usando o shell do VC e o PowerCLI. 
 

Etapas usando o método CLI: 

1. Recupere a CA raiz do VC "first": 
   • Abrir sessão do shell no VC 
   • $ /usr/lib/vmware-vmafd/bin/vecs-cli lista de entrada --store TRUSTED_ROOTS
   • Copie o conteúdo do certificado (valor completo do campo chamado "Certificate", incluindo "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----". 
2. Adicione o certificado de CA raiz confiável deste vCenter aos certificados raiz confiáveis de CADA vCenter necessário: 
   • Abrir sessão do shell no VC 
   • Salvar o conteúdo do certificado copiado anteriormente em um arquivo em um sistema de arquivos 
   • $ sudo /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish –chain --cert <file> 
3. Propagar alterações de certificado CA para todos os hosts de cada VC usando PowerCLI e PowerShell: 
   • Connect-VIServer -server [IP ou FQDN do VC] 
   • Get-Cluster -name "Cluster" | Get-VMhost | % {(Get-View -Id (Get-View ServiceInstance). Content.CertificateManager). CertMgrRefreshCACertificatesAndCRLs($_. ExtensionData.MoRef)} 
4. Registre o VP em cada VC conforme descrito acima. 

FAQs:

Q. É possível propagar manualmente certificados raiz para hosts do ESXi?

R. A propagação de certificados para hosts do ESXi conectados ao vCenter pode ser feita manualmente usando a GUI do VC. 

Hosts e clusters -> {Escolha um host} -> Configurar -> Sistema -> Certificado -> ATUALIZAR CERTIFICADOS CA): 

 

 
Q. E se o certificado do "primeiro" VC precisar ser renovado? 

R. A renovação do certificado pode ser feita usando o vSphere Certificate Manager, descrito em https://kb.vmware.com/s/article/2097936. 

Observe que o gerenciador de certificados não gera o certificado do VP. Se você precisar assiná-lo com o certificado do VC renovado, use a opção Atualizar certificado no menu do provedor de armazenamento do VC. 

1. A CA raiz antiga deve não ser publicada a partir de cada instância do vCenter usando a CLI: 
   • $ sudo /usr/lib/vmware-vmafd/bin/dir-cli trustedcert unpublish --cert file.crt 
2. Depois que o certificado do VP for assinado pela nova CA raiz, essa CA raiz deverá ser distribuída entre todas as outras instâncias do vCenter, conforme descrito acima. 
3. Renove certificados CA em hosts VC usando PowerCLI ou GUI do VC (descrito acima).