簡介

如今，VMware 並未提供簡單的 VASA 供應商 （VP） 配置方式，僅供單一儲存系統用於多個獨立 vCenter 之間的 vVol。本 KB 說明目前可用於在多個 vCenter 中使用 PowerStore VASA 供應商的選項。  

這些選項如下：

1. 使用增強的連結模式
2. 在 vCenter 之間共用 vCenter 根憑證 

選項 1：使用增強的連結模式 

在多個 vCenter 使用增強型連結模式連結在一起的環境中，註冊 Powerstore VASA 供應商是一個簡單的程序。強化連結模式會在所有連結的 vCenter 例項中複製受信任的根憑證。 

步驟包括： 

1. 若要在多個 vCenter 之間共用單一 PowerStore 以使用 vVol 服務，請使用增強型連結模式連接 vCenter，請從 VMware 執行下列步驟： https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vcenter.install.doc/GUID-4394EA1C-0800-4A6A-ADBF-D35C41868C53.html  

2. 連結 vCenter 後，請前往 PowerStore Manager，並在選取 VASA 供應商選項的情況下註冊您的其中一個 vCenter。PowerStore Manager 將能看到由此 vCenter 管理的儲存物件。 

3. 手動向彼此註冊 PowerStore VASA 供應商 vCenter： 

• 登入 vCenter，然後瀏覽至 vCenter 清查物件下的 設定 > 儲存裝置提供商 。
• 打開對話框以添加存儲提供程式。
  • 名稱可以是您選擇的任何名稱。
  • URL 格式必須為： https://< IP 位址>：8443/version.xml，其中 <IP 位址> 是 PowerStore T 機型叢集的管理 IP 位址。 
  • 使用者名稱是具有 VM 系統管理員角色的 PowerStore Manager 使用者，格式適當：
    • 若為本機使用者，請使用 本機/<使用者名稱>
    • 若為 LDAP 使用者，請使用 <網域>/<使用者名稱>
  • 密碼是具有 VM 系統管理員角色的 PowerStore Manager 使用者密碼。
• 不要選擇“使用存儲供應商證書”。
• 按一下確定。
• 確認您在 vCenter Server 中輸入的詳細資料 

選項 2：在 vCenter 之間手動共用 vCenter 根憑證 

若要讓 PowerStore 與多個未連結的 vCenter 例項搭配使用，在註冊 VASA 提供者之前，必須在所有其他 vCenter 例項中上傳並註冊 VASA 提供者的 vCenter 例項的受信任根憑證，以確保它們信任 VASA 提供者憑證，並且不會啟動重新簽署。

因此，此程序涉及將一個 vCenter 的 VMCA 根憑證套用至所有 vCenter。SAN 安裝與 HCI 安裝略有不同，因為 HCI 的先決條件是具有最初註冊 VASA 供應商的 vCenter。進行 SAN 安裝時，您可以選擇任何 vCenter 例項作為第一個。
 

使用 GUI 方法的步驟： 

• 登入 VC 並導覽至 功能表 > 管理 > 憑證 > 憑證管理。  
• 在右側的「Trusted Root Certificates」下，按一下新增。  
• 按一下瀏覽並導覽至您在步驟 2 中解壓縮憑證的資料夾：  
• 請確定已勾選「開始根憑證推送至 vCenter 主機」方塊，這能確保您新增的憑證已推送至由對應 vCenter 管理的所有 ESXi 主機。

• 登入 vCenter，然後瀏覽至 vCenter 清查物件下的 設定 > 儲存裝置提供商 。
• 打開對話框以添加存儲提供程式。
  • 名稱可以是您選擇的任何名稱。
  • URL 格式必須為： https://< IP 位址>：8443/version.xml，其中 <IP 位址> 是 PowerStore T 機型叢集的管理 IP 位址。 
  • 使用者名稱是具有 VM 系統管理員角色的 PowerStore Manager 使用者，格式適當：
    • 若為本機使用者，請使用 本機/<使用者名稱>
    • 若為 LDAP 使用者，請使用 <網域>/<使用者名稱>
  • 密碼是具有 VM 系統管理員角色的 PowerStore Manager 使用者密碼。
• 不要選擇“使用存儲供應商證書”。
• 按一下確定。
• 確認您在 vCenter Server 中輸入的詳細資料 

注意：只能在 PowerStore Manager 中註冊一個 vCenter，而且使用此方法時，PowerStore Manager 將僅針對向 PowerStore 註冊的單一 vCenter 顯示與 vVol 相關的 VM，因此無法看到透過此共用根憑證方法共用此相同 VASA 提供者的其他 vCenter。 

 
或者，您可以使用 VC Shell 和 PowerCLI 手動管理憑證。 
 

使用 CLI 方法的步驟： 

1. 擷取「第一個」VC 的根 CA： 
   • 在 VC 上開啟 shell 工作階段 
   • $ /usr/lib/vmware-vmafd/bin/vecs-cli 項目清單 --store TRUSTED_ROOTS
   • 複製憑證內容 （名為「Certificate」欄位的完整值，包括 「-----BEGIN CERTIFICATE-----」和「-----END CERTIFICATE-----」。 
2. 將此 vCenter 的可信賴根 CA 憑證新增至每個必要 vCenter 的受信任根憑證： 
   • 在 VC 上開啟 shell 工作階段 
   • 將之前複製的憑證內容儲存至檔案系統上的檔案 
   • $ sudo /usr/lib/vmware-vmafd/bin/dir-cli trustedcert publish –chain --cert <certificate file> 
3. 使用 PowerCLI 和 PowerShell 將 CA 憑證變更傳播到每個 VC 上的所有主機： 
   • Connect-VIServer -server [VC ip 或 FQDN] 
   • Get-Cluster -名稱為「叢集」|獲取-VMhost |% {（Get-View -id （Get-View ServiceInstance）。Content.CertificateManager）。CertMgrRefreshCACertificatesAndCRLs（$_.ExtensionData.MoRef）} 
4. 如上所述，在每個 VC 上註冊 VP。 

常見問題：

Q.是否可以手動將根憑證傳播至 ESXi 主機？

A. 您可以使用 VC GUI 手動將憑證傳播至連線至 vCenter 的 ESXi 主機。 

主機和叢集 -> {挑選主機} -> 配置 -> 系統 -> 憑證 -> 重新整理 CA 憑證）： 

 
Q.如果「第一個」VC的證書需要更新怎麼辦？ 

A. 憑證的續訂可以使用 vSphere 憑證管理員完成，如 https://kb.vmware.com/s/article/2097936 中所述。 

請注意，憑證管理員不會產生 VP 憑證 – 如果您需要使用更新的 VC 憑證簽署，您必須在 VC 的儲存供應商選單上使用「重新整理憑證」。 

1. 必須使用 CLI 從每個 vCenter 例項取消發佈舊的根 CA： 
   • $ sudo /usr/lib/vmware-vmafd/bin/dir-cli trustedcert unpublish --cert file.crt 
2. VP 憑證由新的根 CA 簽署後，此根 CA 必須如上所述分散在所有其他 vCenter 例項中。 
3. 使用 PowerCLI 或 VC GUI （如上所述） 在 VC 主機上更新 CA 憑證。