文档详细内容(约153页)
Platform services Controller管理 跨 vCenter single sign-On站点并具有负载平衡器的 Platform Services Controller 图1-6.跨两个站点并实现了负载平衡的两个 Platform services Controller实例对的示例 站点1 站点2 虚拟机或 虚拟机或 虚拟机或 Platorm services Platform Services ces Platform services Controller Controller 负载平街器 负载平街器 虚拟机或 虚拟机或 虚拟机或 物理服务器 物理服务器 物理服务器 vCenter Server vCenter Server 您的 vCenter Single Sign-on域可能跨多个站点。要在整个域中实现 Platform Services Controller高可用性 和自动故障切换,您必须在每个站点中配置一个单独的负载平衡器。 无负载平衡器的 Platform services Controller 图1-7.无负载平衡器的两个已加入 Platform services Controller实例的示例 Platform Services Platform services Controller Controlle 虚拟机或 虚拟机或 虚拟机或 虚拟机或 vCenter Server vCenter Server vCenter Server vCenter Server 当您将两个或更多 Platform Services Controller实例加入无负载平衡器的同一站点中时,您可以为此站点配 置 Platform Services Controller高可用性和手动故障切换。 VMware,lc保留所有权利
跨 vCenter Single Sign-On 站点并具有负载平衡器的 Platform Services Controller 图 1‑6. 跨两个站点并实现了负载平衡的两个 Platform Services Controller 实例对的示例 负载平衡器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 站点 1 虚拟机或 物理服务器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 负载平衡器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 站点 2 您的 vCenter Single Sign-on 域可能跨多个站点。要在整个域中实现 Platform Services Controller 高可用性 和自动故障切换,您必须在每个站点中配置一个单独的负载平衡器。 无负载平衡器的 Platform Services Controller 图 1‑7. 无负载平衡器的两个已加入 Platform Services Controller 实例的示例 Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 虚拟机或 物理服务器 虚拟机或 物理服务器 vCenter Server vCenter Server vCenter Server vCenter Server 虚拟机或 物理服务器 Platform Services Controller 虚拟机或 物理服务器 当您将两个或更多 Platform Services Controller 实例加入无负载平衡器的同一站点中时,您可以为此站点配 置 Platform Services Controller 高可用性和手动故障切换。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 11
Platform services Controller管理 当 Platform Services Controller实例停止响应时,您必须手动故障切换在其中注册的 vCenter Server实例 通过将实例重新指向同一站点内其他正常运行的 Platform Services Controller实例来故障切换实例。有关如 何使 vCenter Server实例重新指向另一外部 Platform Services Controller的信息,请参见《《 vCenter Server 安装和设置》》。 注如果您的 vCenter Single Sign-On域包含三个或更多 Platform services controller实例,您可以手动创 建环形拓扑。其中一个实例发生故障时,环形拓扑可确保 Platform services controller可靠性。要创建环形 拓扑,请针对部署的第一个和最后一个 Platform Services Controller实例运行/usr/lib/ vmware- vedic/bin/ vdcrepadmin- f createagreement命令。 跨 vCenter single Sign-On站点并且不具有负载平衡器的 Platform Services Controller 图1-8.跨两个站点并且不具有负载平衡的两个已加入 Platform Services Controller实例对的示例 站点1 站点2 虚拟机 虚拟机或 虚拟机或 物理服务器 Platform Services Platform Services Controller 虚拟机 虚拟机或 理服务器 物理服务器 物理服务器 vCenter Server vCenter Server vCenter Server vCenter Server 您的 vCenter Single Sign-on域可能跨多个站点。没有负载平衡器时,您可以手动将 vCenter server从出现 故障的 Platform Services Controller重新指向同一站点中正常工作的 Platform Services Controller。有关如 何使 vCenter Server实例重新指向另一外部 Platform Services Controller的信息,请参见《《 VCenter server 安装和设置》》。 了解 VSphere域、域名和站点 每个 Platform Services Controller都与一个 vCenter Single Sign-On域关联。域名默认为 vsphere loca,但 可以在安装第一个 Platform Services Controller时更改域名。域决定本地身份验证空间。您可以将一个域拆 分为多个站点,并将每个 Platform Services Controller和 vCenter server实例分配给一个站点。站点是逻辑 构造,但通常对应于地理位置。 Platform Services Controller tax 安装 Platform Services Controller时,系统会提示您创建 vCenter Single Sign-On域或加入现有域。 域名由 Mware Directory Service(vmdir用于所有的轻量目录访问协议(LDAP)内部构造。 VMware,lc保留所有权利
当 Platform Services Controller 实例停止响应时,您必须手动故障切换在其中注册的 vCenter Server 实例。 通过将实例重新指向同一站点内其他正常运行的 Platform Services Controller 实例来故障切换实例。有关如 何使 vCenter Server 实例重新指向另一外部 Platform Services Controller 的信息,请参见《《vCenter Server 安装和设置》》。 注 如果您的 vCenter Single Sign-On 域包含三个或更多 Platform Services Controller 实例,您可以手动创 建环形拓扑。其中一个实例发生故障时,环形拓扑可确保 Platform Services Controller 可靠性。要创建环形 拓扑,请针对部署的第一个和最后一个 Platform Services Controller 实例运行 /usr/lib/vmwarevmdir/bin/vdcrepadmin -f createagreement 命令。 跨 vCenter Single Sign-On 站点并且不具有负载平衡器的 Platform Services Controller 图 1‑8. 跨两个站点并且不具有负载平衡的两个已加入 Platform Services Controller 实例对的示例 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 vCenter Server Platform Services Controller 虚拟机或 物理服务器 虚拟机或 物理服务器 站点 1 站点 2 您的 vCenter Single Sign-on 域可能跨多个站点。没有负载平衡器时,您可以手动将 vCenter Server 从出现 故障的 Platform Services Controller 重新指向同一站点中正常工作的 Platform Services Controller。有关如 何使 vCenter Server 实例重新指向另一外部 Platform Services Controller 的信息,请参见《《vCenter Server 安装和设置》》。 了解 vSphere 域、域名和站点 每个 Platform Services Controller 都与一个 vCenter Single Sign-On 域关联。域名默认为 vsphere.local,但 可以在安装第一个 Platform Services Controller 时更改域名。域决定本地身份验证空间。您可以将一个域拆 分为多个站点,并将每个 Platform Services Controller 和 vCenter Server 实例分配给一个站点。站点是逻辑 构造,但通常对应于地理位置。 Platform Services Controller 域 安装 Platform Services Controller 时,系统会提示您创建 vCenter Single Sign-On 域或加入现有域。 域名由 VMware Directory Service (vmdir) 用于所有的轻量目录访问协议 (LDAP) 内部构造。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 12
Platform services Controller管理 通过 vSphere60及更高版本,可以为 vSphere域分配一个唯一名称。为防止身份验证冲突,请使用未被 OpenLDAP、 Microsoft Active Directory和其他目录服务使用的名称 注不能将域更改为某个 Platform Services Controller或 vCenter Server实例所属的 指定域名后,可以添加用户和组。通常,添加 Active Directory或LDAP标识源并允许该标识源中的用户和 组进行身份验证更有意义。也可以将 VCenter Server或 Platform Services Controller实例或其他 VMware 产品(例如, vRealize Operations)添加到该域。 Platform services Controller站点 以将 Platform Services Controller域组织为逻辑站点。Ⅶ Mware Directory Service中的站点是逻辑容器, 可用来对 vCenter Single Sign-On域中的 Platform services controller实例进行分组。 从 vSphere6.5开始,站点变得非常重要。在 Platform Services Controller故障切换过程中, vCenter server 例被关联到相同站点中的其他 Platform services controller。为防止 vCenter server实例被关联到较远地 理位置中的 Platform services controller,可以使用多个站点。 安装或升级 Platform Services Controller时,系统会提示您输入站点名称。请参见《 vCenter Server安装和 设置》文档。 Platform services Controller功能 Platform services controller支持 vSphere中的身份管理、证书管理和许可证管理等服务 重要功能 Platform Services Controller包括多项服务(如 Platform Services Controller服务中所述),且具有以下重 要功能。 通过 vCenter Single Sign-On进行身份验证 默认使用 VMware Certificate Manager (VMCA)证书置备 vCenter Server组件和ESXi主机 使用自定义证书(存储在 VMware Endpoint Certificate Store(EcS)中) 部署模型 可在 Windows系统上安装 Platform Services Controller,或部署 Platform Services Controller设备 部署模型取决于正在使用的 Platform services controller版本。请参见 vCenter server和 Platform services Controller部署类型。 VMware,lc保留所有权利
通过 vSphere 6.0 及更高版本,可以为 vSphere 域分配一个唯一名称。为防止身份验证冲突,请使用未被 OpenLDAP、Microsoft Active Directory 和其他目录服务使用的名称。 注 不能将域更改为某个 Platform Services Controller 或 vCenter Server 实例所属的域。 指定域名后,可以添加用户和组。通常,添加 Active Directory 或 LDAP 标识源并允许该标识源中的用户和 组进行身份验证更有意义。也可以将 vCenter Server 或 Platform Services Controller 实例或其他 VMware 产品(例如,vRealize Operations)添加到该域。 Platform Services Controller 站点 可以将 Platform Services Controller 域组织为逻辑站点。VMware Directory Service 中的站点是逻辑容器, 可用来对 vCenter Single Sign-On 域中的 Platform Services Controller 实例进行分组。 从 vSphere 6.5 开始,站点变得非常重要。在 Platform Services Controller 故障切换过程中,vCenter Server 实例被关联到相同站点中的其他 Platform Services Controller。为防止 vCenter Server 实例被关联到较远地 理位置中的 Platform Services Controller,可以使用多个站点。 安装或升级 Platform Services Controller 时,系统会提示您输入站点名称。请参见《vCenter Server 安装和 设置》文档。 Platform Services Controller 功能 Platform Services Controller 支持 vSphere 中的身份管理、证书管理和许可证管理等服务。 重要功能 Platform Services Controller 包括多项服务(如 Platform Services Controller 服务中所述),且具有以下重 要功能。 n 通过 vCenter Single Sign-On 进行身份验证 n 默认使用 VMware Certificate Manager (VMCA) 证书置备 vCenter Server 组件和 ESXi 主机 n 使用自定义证书(存储在 VMware Endpoint Certificate Store (VECS) 中) 部署模型 可在 Windows 系统上安装 Platform Services Controller,或部署 Platform Services Controller 设备。 部署模型取决于正在使用的 Platform Services Controller 版本。请参见 vCenter Server 和 Platform Services Controller 部署类型。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 13
Platform services Controller管理 从 vSphere6.7 Update1开始,如果您部署或安装的 vCenter Server实例采用外部 Platform services controller,您想将其转换为采用嵌入式 Platform services Controller的 vCenter server 例,您可以复制一个嵌入到现有 VCenter Server实例中的新 Platform Services Controller。请参见《 vCenter Server安装和设置》文档。 vSphere6.7 Update1开始,您可以将具有嵌入式 Platform Services Controller部署的 vCenter Server 从一个 vSphere域移至另一个 vSphere域。诸如标记和许可等服务将保留并迁移到新的域。请参见《 VCenter Server安装和设置》文档 管理 Platform services Controller服务 可以从 vSphere Client或使用可用脚本和cL之一来管理 Platform Services Controller服务。 不同的 Platform Services Controller服务支持不同的界面。 表1-2.用于管理 Platform services Controller服务的界面 接口 描述 vSphere Client Web界面(基于HTML5的客户端)。 vSphere Client用户界面 术语、拓扑及工作流与 vSphere Web Client用户界面的对应方面 和元素高度一致 用于管理部分服务的Web界面 证书管理实用程序 支持CSR生成和证书替换的命令行工具。请参见使用 vSphere 证书管理器实用程序管理证书 用于管理 Platform Services Controller服务的CL 用于管理证书、 VMware Endpoint证书存储VECS)和 VMware Directory Service(vmdir)的一组命令。请参见第4章,使用CLl 命令管理服务和证书 Platform services Controller服务 借助 Platform services Controller,同一环境中的所有 VMware产品均可共享身份验证域及其他服务。这些 服务包括证书管理、身份验证及许可 latform services controller包括以下核心基础架构服务。 表13. Platform services Controller服务 app mgmt 处理设备配置并为设备生命周期管理提供公用AP|端点。包含在 (VMware Appliance Management Service) Platform Services Controller设备上 ymware-cis-license 每个 Platform services controller都包含 VMware License (VMware License Service Service,该服务可为环境中的 VMware产品提供集中的许可证 管理和报告功能。 License service清单将以30秒为间隔在域中的所有 Platform services controller之间复制。 vmware-cm Component Manager可提供服务注册和查找功能。 (VMware Component Manager VMware,lc保留所有权利
从 vSphere 6.7 Update 1 开始,如果您部署或安装的 vCenter Server 实例采用外部 Platform Services Controller,您想将其转换为采用嵌入式 Platform Services Controller 的 vCenter Server 实例,您可以复制一个嵌入到现有 vCenter Server 实例中的新 Platform Services Controller。请参见《vCenter Server 安装和设置》文档。 从 vSphere 6.7 Update 1 开始,您可以将具有嵌入式 Platform Services Controller 部署的 vCenter Server 从一个 vSphere 域移至另一个 vSphere 域。诸如标记和许可等服务将保留并迁移到新的域。请参见《vCenter Server 安装和设置》文档。 管理 Platform Services Controller 服务 可以从 vSphere Client 或使用可用脚本和 CLI 之一来管理 Platform Services Controller 服务。 不同的 Platform Services Controller 服务支持不同的界面。 表 1‑2. 用于管理 Platform Services Controller 服务的界面 接口 描述 vSphere Client Web 界面(基于 HTML5 的客户端)。vSphere Client 用户界面 术语、拓扑及工作流与 vSphere Web Client 用户界面的对应方面 和元素高度一致。 vSphere Web Client 用于管理部分服务的 Web 界面。 证书管理实用程序 支持 CSR 生成和证书替换的命令行工具。请参见使用 vSphere 证书管理器实用程序管理证书。 用于管理 Platform Services Controller 服务的 CLI 用于管理证书、VMware Endpoint 证书存储 (VECS) 和 VMware Directory Service (vmdir) 的一组命令。请参见第 4 章,使用 CLI 命令管理服务和证书。 Platform Services Controller 服务 借助 Platform Services Controller,同一环境中的所有 VMware 产品均可共享身份验证域及其他服务。这些 服务包括证书管理、身份验证及许可。 Platform Services Controller 包括以下核心基础架构服务。 表 1‑3. Platform Services Controller 服务 服务 描述 applmgmt (VMware Appliance Management Service) 处理设备配置并为设备生命周期管理提供公用 API 端点。包含在 Platform Services Controller 设备上。 vmware-cis-license (VMware License Service) 每个 Platform Services Controller 都包含 VMware License Service,该服务可为环境中的 VMware 产品提供集中的许可证 管理和报告功能。 License Service 清单将以 30 秒为间隔在域中的所有 Platform Services Controller 之间复制。 vmware-cm (VMware Component Manager) Component Manager 可提供服务注册和查找功能。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 14
Platform services Controller管理 表1-3. Platform services Controller服务(续) 服务 vmware-sts-idmd v Center Single Sign-On功能支持的服务,这些服务可为 VMware /Mware Identity Management Service) 软件组件和用户提供安全的身份验证服务。 vmware-stsd 通过使用 vCenter Single Sign-On, VMware组件可使用安全的 (VMware Security Token Service) SAML令牌交换机制进行通信。 vCenter Single Sign-On可构建 一个内部安全域(默认为 vsphere. local), VMware软件组件在 安装或升级期间将在该域中进行注册。 vmware-rhttpproxy 反向代理可在每个 Platform services Controller节点和每个 (vmWare Http Reverse Proxy) vCenter server系统上运行。它是节点的单一入口点,可使节点 上运行的各项服务安全地进行通信 mware-Sc 管理服务配置。可使用 service- controL clI来管理各个服务 (VMware Service Control Agent) vmware-statsmonitor 监控 vCenter Server Appliance客户机操作系统资源消耗。 ( Mware设备监控服务) vmware-vapi-endpoint vSphere Automation AP端点可提供对vAPl服务的单点访问 (VMware vAPI Endpoint) 可以从 vSphere Client更改vAP| Endpoint服务的属性。有关 vAP|端点的详细信息,请参见《 vSphere Automation SDK编程 指南》。 该服务可为 vmdir身份验证提供客户端框架,并为 VMware VMware Authentication Framework Endpoint证书存储( VMware Endpoint Certificate Store,vECS) 提供服务。 可使用以WMCA作为根证书颁发机构的签名证书置备每个具有 VMware Certificate Service maid客户端库的 VMware软件组件及每个EsX主机。可以使 用证书管理器实用程序更改默认证书。 VMware Certificate Service使用 Mware Endpoint证书存储 VEcS)来充当每个 Platform services controller实例上证书的 本地存储库。尽管您可以决定不使用WMcA而改用自定义证书 但是必须将这些证书添加到 mind 提供多租户、多重管理LDAP目录服务,该服务用于存储身份验 VMware Directory Service 证、证书、查找和许可证信息。不要使用LDAP浏览器更新 rmdir中的数据 如果您的域包含多个 Platform Services Controller实例,则一个 mdr实例中的vmd内容更新会传播到所有其他wmdr实例。 未在 vSphere6x中使用 VMware域名服务 启动和停止 vCenter server服务以及监控服务APl运行状况。 VMware Lifecycle Manager API vmware-vmon服务是独立于平台的集中式服务,用于管理 Platform services controller和 vCenter server的生命周期。向 VMware Service Lifecycle Manager 第三方应用程序公开AP1和CL lsma Likewise有助于将主机加入 Active Directory域以及后续的用户 VMware,lc保留所有权利
表 1‑3. Platform Services Controller 服务 (续) 服务 描述 vmware-sts-idmd (VMware Identity Management Service) vmware-stsd (VMware Security Token Service) vCenter Single Sign-On 功能支持的服务,这些服务可为 VMware 软件组件和用户提供安全的身份验证服务。 通过使用 vCenter Single Sign-On,VMware 组件可使用安全的 SAML 令牌交换机制进行通信。vCenter Single Sign-On 可构建 一个内部安全域(默认为 vsphere.local),VMware 软件组件在 安装或升级期间将在该域中进行注册。 vmware-rhttpproxy (VMware HTTP Reverse Proxy) 反向代理可在每个 Platform Services Controller 节点和每个 vCenter Server 系统上运行。它是节点的单一入口点,可使节点 上运行的各项服务安全地进行通信。 vmware-sca (VMware Service Control Agent) 管理服务配置。可使用 service-control CLI 来管理各个服务 配置。 vmware-statsmonitor (VMware 设备监控服务) 监控 vCenter Server Appliance 客户机操作系统资源消耗。 vmware-vapi-endpoint (VMware vAPI Endpoint) vSphere Automation API 端点可提供对 vAPI 服务的单点访问。 可以从 vSphere Client 更改 vAPI Endpoint 服务的属性。有关 vAPI 端点的详细信息,请参见《vSphere Automation SDK 编程 指南》。 vmafdd VMware Authentication Framework 该服务可为 vmdir 身份验证提供客户端框架,并为 VMware Endpoint 证书存储 (VMware Endpoint Certificate Store, VECS) 提供服务。 vmcad VMware Certificate Service 可使用以 VMCA 作为根证书颁发机构的签名证书置备每个具有 vmafd 客户端库的 VMware 软件组件及每个 ESXi 主机。可以使 用证书管理器实用程序更改默认证书。 VMware Certificate Service 使用 VMware Endpoint 证书存储 (VECS) 来充当每个 Platform Services Controller 实例上证书的 本地存储库。尽管您可以决定不使用 VMCA 而改用自定义证书, 但是必须将这些证书添加到 VECS。 vmdird VMware Directory Service 提供多租户、多重管理 LDAP 目录服务,该服务用于存储身份验 证、证书、查找和许可证信息。不要使用 LDAP 浏览器更新 vmdird 中的数据。 如果您的域包含多个 Platform Services Controller 实例,则一个 vmdir 实例中的 vmdir 内容更新会传播到所有其他 vmdir 实例。 vmdnsd VMware 域名服务 未在 vSphere 6.x 中使用。 vmonapi VMware Lifecycle Manager API vmware-vmon VMware Service Lifecycle Manager 启动和停止 vCenter Server 服务以及监控服务 API 运行状况。 vmware-vmon 服务是独立于平台的集中式服务,用于管理 Platform Services Controller 和 vCenter Server 的生命周期。向 第三方应用程序公开 API 和 CLI。 lwsmd Likewise Service Manager Likewise 有助于将主机加入 Active Directory 域以及后续的用户 身份验证。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 15
