VMware PSC “под капотом”

Все мы знаем, что начиная с vSphere 6.0 появился новый компонент инфраструктуры Platform Service Controller (PSC). Все мы слышали, что он может быть External и Embedded, что включает в себя сервисы Single Sign-On, управления сертификатами и лицензирования.

Я бы хотел чуть-чуть подробнее рассказать, что же работает “под капотом” PSC.

Начнем с того, что каждый PSC связан с vCenter Single Sign-On Domain. По умолчание это домен vsphere.local, но вы можете выбрать и свое имя при установке первого PSC в вашей инфраструктуре. Этот домен определяет локальное пространство аутентификации (поясним далее). Вы можете разделить свой домен на несколько сайтов (Sites) и назначить каждому сайту свой PSC (и vCenter сервер, но сегодня не о нем). Сайты — это логические конструкции, обычно соответствуют географическом положению части инфраструктуры (Начиная с vSphere 6.7 задавать сайт при установке первого PSC больше не требуется).

Основным назначение PSC в нашей инфраструктуре является:

  • Управление идентификацией;
  • Управление сертификатами;
  • Управление лицензиями в vSphere.

PSC включает в себя множество сервисов (с полный список доступен на портале VMware Docs), но нас сегодня больше всего интересую три ключевые возможности:

  • Аутентификация через vCenter Single Sign-On;
  • Предоставление сертификатов для компонентов vCenter Server и ESXi хостов с помощью VMware Certificate Manager (VMCA);
  • Хранение пользовательских сертификатов в VMware Endpoint Certificate Store (VECS).

Ну теперь перейдем к сути моего повествования

Начнем с того, что Single Sign-On домен — это обыкновенный домен, основанный на LDAP. В этом достаточно легко убедиться, подключившись к PSC с помощью, например, JXplorer:

Перейдем к сертификатам

Когда мы устанавливаем первый PSC в нашей инфраструктуре, Certificate Authority of the Platform Service Controller создает сертификаты для для всей платформы. Соответственно, никто не знает этого CA и никто ему не доверяет, этот сертификат будет помечен красным крестом в браузере, когда мы пытаемся подключиться к PSC или vCenter. Чтобы избавиться от красного креста, мы должны либо заменить сертификаты на доверенные или импортировать себе в хранилище самоподписанный сертификат PSC.

За хранение и выпуск сертификатов отвечают два компонента: VMware Endpoint Certificate Store (VECS) и VMware Certificate Manager (VMCA).