Platform services Controller管理 表1-3. Platform services Controller服务(续) 服务 shealth 监控所有核心 Platform services controller基础架构服务的运行 VMware Platform services Controller运行状况监控 状况和状态 包括从各种 vSphere组件收集并上载到 VMware分析云中的遥 VMware Analytics Service 测数据,以及管理客户体验提升计划(CEP)的组件 从 vSphere client管理 Platform services Controller服务 可以从 vSphere Client管理 vCenter访问控制、许可、解决方案、链接的域、证书和 Single Sign-On 步骤 1在本地 vCenter Single Sign-On域(默认为 vsphere. local)中,以拥有管理员特权的用户身份登录到与 Platform services controller关联的 vCenter server。 2选择系统管理,然后单击要管理的项 从 vSphere Web Client管理 Platform Services Controller服务 您可以从 vSphere Web Client管理 vCenter Single Sign-On和许可服务。 使用 vSphere Client或CLl而非 vSphere Web Client管理以下服务。 VMware Endpoint Certificate Store (VECS) 双因素身份验证,例如通用访问卡身份验证 登录横幅 步骤 1在本地 vCenter Single Sign-On域(默认为 vsphere. local)中,以拥有管理员特权的用户身份登录到与 Platform Services Controller关联的 vCenter Server 2选择系统管理,然后单击要管理的项。 选项 描述 Single Sign-On 配置 vCenter Single Sign-On 设置策略 管理标识源 管理STS签名证书。 管理SAML服务提供商 使用脚本管理 Platform services Controller服务 Platform Services Controller包括用于生成CSR、管理证书和管理服务的脚本 VMware,lc保留所有权利
表 1‑3. Platform Services Controller 服务 (续) 服务 描述 pschealth VMware Platform Services Controller 运行状况监控 监控所有核心 Platform Services Controller 基础架构服务的运行 状况和状态。 vmware-analytics VMware Analytics Service 包括从各种 vSphere 组件收集并上载到 VMware 分析云中的遥 测数据,以及管理客户体验提升计划 (CEIP) 的组件。 从 vSphere Client 管理 Platform Services Controller 服务 可以从 vSphere Client 管理 vCenter 访问控制、许可、解决方案、链接的域、证书和 Single Sign-On。 步骤 1 在本地 vCenter Single Sign-On 域(默认为 vsphere.local)中,以拥有管理员特权的用户身份登录到与 Platform Services Controller 关联的 vCenter Server。 2 选择系统管理,然后单击要管理的项。 从 vSphere Web Client 管理 Platform Services Controller 服务 您可以从 vSphere Web Client 管理 vCenter Single Sign-On 和许可服务。 使用 vSphere Client 或 CLI 而非 vSphere Web Client 管理以下服务。 n 证书 n VMware Endpoint Certificate Store (VECS) n 双因素身份验证,例如通用访问卡身份验证 n 登录横幅 步骤 1 在本地 vCenter Single Sign-On 域(默认为 vsphere.local)中,以拥有管理员特权的用户身份登录到与 Platform Services Controller 关联的 vCenter Server。 2 选择系统管理,然后单击要管理的项。 选项 描述 Single Sign-On 配置 vCenter Single Sign-On。 n 设置策略。 n 管理标识源。 n 管理 STS 签名证书。 n 管理 SAML 服务提供商。 n 管理用户和组。 许可 配置许可。 使用脚本管理 Platform Services Controller 服务 Platform Services Controller 包括用于生成 CSR、管理证书和管理服务的脚本。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 16
Platform services Controller管理 例如,在具有嵌入式 Platform Services Controller部署和具有外部 Platform Services Controller部署的情况 下,均可使用 certool实用程序生成CSR和替换证书。请参见使用 vSphere证书管理器实用程序管理证书。 使用C凵执行Web界面不支持的管理任务,或者为环境创建自定义脚本。 表1-4.用于管理证书和关联服务的cL 生成并管理证书和密钥。属于VMCA。 certool初始化命令参考 vecs-CLL 管理 VMware证书存储实例的内容。属于 vecs-c命令参考 在 VMware Directory Service中创建并更drC命令参考 新证书。属于 VMAFD Sso-confio 用于配置智能卡身份验证的实用程序 了解 vCenter server双因素身份验证 service-control 用于启动、停止和列出服务的命令 在运行其他cL命令之前,运行此命令以 停止服务。 步骤 1登录 Platform Services Controller shell。 大多数情况下,您必须是root或管理员用户。有关详细信息,请参见运行cL所需的特权。 2在以下默认位置之一访问CLl。 所需特权取决于要执行的任务。在某些情况下,为了保护敏感信息,系统会提示您输入密码两次。 Windows C: Program Files\VMware\vCenter Server\vmafdd\vecs-cliexe C: Program Files\vMware\vCenter Server\vmafdd\dir-cliexe C: Program Files\ VMware\vCenter Server\vmcad\certoolexe C: Program Files\ VMware\VCenter server\VMware Identity Services\ sso-config vCENTER_INSTALL_PATH\bin\service-control /usr/lib/vmware-vmafd/bin/vecs-cli /usr/lib/vmware-vmafd/bin/dir-cli /usr/lib/vmware-vmca/bin/certool /opt/vmware/bin 在 Linux上, service- control命令不要求您指定路径。 管理 Platform services Controller设备 您可以从虚拟设备管理界面或设备she管理 Platform services Controller设备。 如果使用具有嵌入式 Platform Services Controller部署的环境,则管理一个包含 Platform Services Controller 和 vCenter server的设备。请参见《 vCenter Server Appliance配置》。 VMware,lc保留所有权利
例如,在具有嵌入式 Platform Services Controller 部署和具有外部 Platform Services Controller 部署的情况 下,均可使用 certool 实用程序生成 CSR 和替换证书。请参见使用vSphere 证书管理器实用程序管理证书。 使用 CLI 执行 Web 界面不支持的管理任务,或者为环境创建自定义脚本。 表 1‑4. 用于管理证书和关联服务的 CLI CLI 描述 链接 certool 生成并管理证书和密钥。属于 VMCA。 certool 初始化命令参考 vecs-cli 管理 VMware 证书存储实例的内容。属于 VMAFD。 vecs-cli 命令参考 dir-cli 在 VMware Directory Service 中创建并更 新证书。属于 VMAFD。 dir-cli 命令参考 sso-config 用于配置智能卡身份验证的实用程序。 了解 vCenter Server 双因素身份验证 service-control 用于启动、停止和列出服务的命令。 在运行其他 CLI 命令之前,运行此命令以 停止服务。 步骤 1 登录 Platform Services Controller shell。 大多数情况下,您必须是 root 或管理员用户。有关详细信息,请参见运行 CLI 所需的特权。 2 在以下默认位置之一访问 CLI。 所需特权取决于要执行的任务。在某些情况下,为了保护敏感信息,系统会提示您输入密码两次。 Windows C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe C:\Program Files\VMware\vCenter Server\vmafdd\dir-cli.exe C:\Program Files\VMware\vCenter Server\vmcad\certool.exe C:\Program Files\VMware\VCenter server\VMware Identity Services\sso-config VCENTER_INSTALL_PATH\bin\service-control Linux /usr/lib/vmware-vmafd/bin/vecs-cli /usr/lib/vmware-vmafd/bin/dir-cli /usr/lib/vmware-vmca/bin/certool /opt/vmware/bin 在 Linux 上,service-control 命令不要求您指定路径。 管理 Platform Services Controller 设备 您可以从虚拟设备管理界面或设备 shell 管理 Platform Services Controller 设备。 如果使用具有嵌入式 Platform Services Controller 部署的环境,则管理一个包含 Platform Services Controller 和 vCenter Server 的设备。请参见《vCenter Server Appliance 配置》。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 17
Platform services Controller管理 表1-5.用于管理 Platform services Controller设备的界面 Platform Services Controller虚拟设备管理界面(AM) 使用该界面可以重新配置 Platform Services Controller部署的系 Platform services controller设备she 使用此命令行界面可以在MCA、VECS和VMDR上执行服务 管理操作。请参见使用 vSphere证书管理器实用程序管理证书和 第4章,使用CL命令管理服务和证书。 使用P| atform services Controller虚拟设备管理界面管理设备 在具有外部 Platform Services Controller部署的环境中,可以使用 Platform services Controller虚拟设备管 理界面VAM)配置设备系统设置。这些设置包括时间同步、网络设置以及SSH登录设置。您也可以更改 root密码,将设备加入 Active Directory域,以及退出 Active Directory域。 在具有嵌入式 Platform services controller部署的环境中,可以管理包括 Platform services contro‖er和 vCenter Server在内的设备。 步骤 1在Web浏览器中,转至Web界面,网址为httpsplatformservicescontrollerjp:5480。 2如果显示有关SSL证书不可信的警告消息,请根据公司安全策略以及正在使用的Web浏览器解决此问 3以root用户身份登录。 默认root密码是部署虚拟设备时设置的虚拟设备root密码。 登录后可以看到 Platform Services Controller设备管理界面的“系统信息”页面。 从设备She!管理设备 可以从设备She使用服务管理实用程序和CLl可以使用TTY1登录控制台,或者使用SSH连接到 Shell 步骤 1如果需要,请启用SSH登录。 a登录到设备管理界面(VAMD)网址为httpsplatformservicescontrollerip:5480 b在导航器中,选择访问,然后单击编辑 c切换到启用SsH登录,然后单击确定 按照同样的步骤也可启用设备的 Bash shell 2访问设备shel 如果可以直接访问设备控制台,请选择登录,然后按 Enter 要远程连接,请使用SSH或其他远程控制台连接启动与设备的会话。 VMware,lc保留所有权利
表 1‑5. 用于管理 Platform Services Controller 设备的界面 界面 描述 Platform Services Controller 虚拟设备管理界面 (VAMI) 使用该界面可以重新配置 Platform Services Controller 部署的系 统设置。 Platform Services Controller 设备 shell 使用此命令行界面可以在 VMCA、VECS 和 VMDIR 上执行服务 管理操作。请参见使用 vSphere 证书管理器实用程序管理证书和 第 4 章,使用 CLI 命令管理服务和证书。 使用 Platform Services Controller 虚拟设备管理界面管理设备 在具有外部 Platform Services Controller 部署的环境中,可以使用 Platform Services Controller 虚拟设备管 理界面 (VAMI) 配置设备系统设置。这些设置包括时间同步、网络设置以及 SSH 登录设置。您也可以更改 root 密码,将设备加入 Active Directory 域,以及退出 Active Directory 域。 在具有嵌入式 Platform Services Controller 部署的环境中,可以管理包括 Platform Services Controller 和 vCenter Server 在内的设备。 步骤 1 在 Web 浏览器中,转至 Web 界面,网址为 https://platform_services_controller_ip:5480。 2 如果显示有关 SSL 证书不可信的警告消息,请根据公司安全策略以及正在使用的 Web 浏览器解决此问 题。 3 以 root 用户身份登录。 默认 root 密码是部署虚拟设备时设置的虚拟设备 root 密码。 登录后可以看到 Platform Services Controller 设备管理界面的“系统信息”页面。 从设备 Shell 管理设备 可以从设备 Shell 使用服务管理实用程序和 CLI。可以使用 TTY1 登录控制台,或者使用 SSH 连接到 Shell。 步骤 1 如果需要,请启用 SSH 登录。 a 登录到设备管理界面 (VAMI),网址为 https://platform_services_controller_ip:5480。 b 在导航器中,选择访问,然后单击编辑。 c 切换到启用 SSH 登录,然后单击确定。 按照同样的步骤也可启用设备的 Bash Shell。 2 访问设备 shell。 n 如果可以直接访问设备控制台,请选择登录,然后按 Enter。 n 要远程连接,请使用 SSH 或其他远程控制台连接启动与设备的会话。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 18
Platform services Controller管理 3以root用户身份及最初部署设备时设置的密码登录。 如果已更改root密码,请使用新密码。 将 Platform Services Controller设备添加到 Active Directory域 如果要将 Active Directory标识源添加到 Platform services controller,必须将 Platform services Controller 设备加入 Active Directory域 如果使用的是安装在 Windows上的 Platform services controller实例,可以使用该计算机所属的域。 步骤 1使用 vSphere Client以本地 vCenter Single Sign-On域(默认为 vsphere. local)中具有管理员特权的用 户身份登录到与 Platform Services Controller关联的 vCenter serve 选择管理。 3展开单点登录,然后单击配置 4单击 Active Directory域。 5单击加入AD,指定域、可选的组织单位以及用户名和密码,然后单击加入 后续步 要附加已加入的 Active Directory域中的用户和组,请将已加入的域添加为 vCenter Single Sign-On标识 请参见添加或编辑 vCenter Single Sign-On标识源。 VMware,lc保留所有权利
3 以 root 用户身份及最初部署设备时设置的密码登录。 如果已更改 root 密码,请使用新密码。 将 Platform Services Controller 设备添加到 Active Directory 域 如果要将 Active Directory 标识源添加到 Platform Services Controller,必须将 Platform Services Controller 设备加入 Active Directory 域。 如果使用的是安装在 Windows 上的 Platform Services Controller 实例,可以使用该计算机所属的域。 步骤 1 使用 vSphere Client 以本地 vCenter Single Sign-On 域(默认为 vsphere.local)中具有管理员特权的用 户身份登录到与 Platform Services Controller 关联的 vCenter Server。 2 选择管理。 3 展开单点登录,然后单击配置。 4 单击 Active Directory 域。 5 单击加入 AD,指定域、可选的组织单位以及用户名和密码,然后单击加入。 后续步骤 要附加已加入的 Active Directory 域中的用户和组,请将已加入的域添加为 vCenter Single Sign-On 标识源。 请参见添加或编辑 vCenter Single Sign-On 标识源。 Platform Services Controller 管理 VMware, Inc. 保留所有权利。 19
使用 vCenter Single sign-On进行 vSphere身份验证 2 vCenter Single Sign-On是一个身份验证代理程序和安全令牌交换基础架构。当用户可以向 vCenter Single sgn-On进行身份验证时,该用户将收到SAML令牌。从今往后,用户可以使用SAML令牌向 vCenter服 务进行身份验证。然后,该用户可以执行其权限范围内的操作。 由于所有通信的流量都会进行加密,且只有经过身份验证的用户才能执行其权限范围内的操作,因此您的环 境是安全的。 从 vSphere6.0开始, vCenter Single Sign-On是 Platform Services Controller的一部分。 Platform Services Controller包含支持 vCenter server和 vCenter server组件的共享服务。这些服务包括 vCenter Single Sign-On、 VMware Certificate Authority和 License service。有关 Platform services controller的详细信息,请参见《《 vCenter Server安装和设置》》 对于初始握手,用户使用用户名和密码进行身份验证,而解决方案用户使用证书进行身份验证。有关替换解 决方案用户证书的信息,请参见第3章, vSphere安全证书。 下一步是授权能够进行身份验证的用户执行某些任务。在大多数情况下,通常可以通过将用户分配给具有角 色的组来分配 vCenter server特权。 vSphere还包括其他权限模型,例如全局权限。请参见《 vSphere安全 性》文档。 本章讨论了以下主题 了解 vCenter Single Sign-On 配置 vCenter Single Sign-On标识源 了解 vCenter server双因素身份验证 将 vCenter Single Sign-On用作其他服务提供程序的身份提供程序 安全令牌服务(STS) 管理 vCenter Single Sign-On策略 管理 vCenter Single Sign-On用户和组 vCenter Single Sign-On安全性最佳做法 了解 v Center Single Sign-On 为有效管理 vCenter Single Sign-On,您需要了解基础架构以及该架构如何影响安装和升级。 VMware,lc保留所有权利
使用 vCenter Single Sign-On 进行 vSphere 身份验证 2 vCenter Single Sign-On 是一个身份验证代理程序和安全令牌交换基础架构。当用户可以向 vCenter Single Sign-On 进行身份验证时,该用户将收到 SAML 令牌。从今往后,用户可以使用 SAML 令牌向 vCenter 服 务进行身份验证。然后,该用户可以执行其权限范围内的操作。 由于所有通信的流量都会进行加密,且只有经过身份验证的用户才能执行其权限范围内的操作,因此您的环 境是安全的。 从 vSphere 6.0 开始,vCenter Single Sign-On 是 Platform Services Controller 的一部分。 Platform Services Controller 包含支持 vCenter Server 和 vCenter Server 组件的共享服务。这些服务包括 vCenter Single Sign-On、VMware Certificate Authority 和 License Service。有关 Platform Services Controller 的详细信息,请参见《《vCenter Server 安装和设置》》。 对于初始握手,用户使用用户名和密码进行身份验证,而解决方案用户使用证书进行身份验证。有关替换解 决方案用户证书的信息,请参见 第 3 章,vSphere 安全证书。 下一步是授权能够进行身份验证的用户执行某些任务。在大多数情况下,通常可以通过将用户分配给具有角 色的组来分配 vCenter Server 特权。vSphere 还包括其他权限模型,例如全局权限。请参见《vSphere 安全 性》文档。 本章讨论了以下主题: n 了解 vCenter Single Sign-On n 配置 vCenter Single Sign-On 标识源 n 了解 vCenter Server 双因素身份验证 n 将 vCenter Single Sign-On 用作其他服务提供程序的身份提供程序 n 安全令牌服务 (STS) n 管理 vCenter Single Sign-On 策略 n 管理 vCenter Single Sign-On 用户和组 n vCenter Single Sign-On 安全性最佳做法 了解 vCenter Single Sign-On 为有效管理 vCenter Single Sign-On,您需要了解基础架构以及该架构如何影响安装和升级。 VMware, Inc. 保留所有权利。 20