[VMC on AWS] vCenter Cloud Gateway の再デプロイ後、CloudAdmin グループの編集ができない
Article ID: 321912
Updated On:
Products
VMware Cloud on AWS
Issue/Introduction
管理者が vCenter Cloud Gateway から CloudAdmin グループを編集できるようにする適切な curl コマンドを提供します。
Symptoms:
免責事項:これは英文の記事「[VMC on AWS] Hybrid Linked Mode: Unable to edit the CloudAdmin groups after vCenter Cloud Gateway re-deployment (76179) 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
vCenter Cloud Gateway が同一の IP アドレスもしくはホスト名で再デプロイされており、管理者は CloudAdmin グループを編集することができません。
vCenter Cloud Gateway のログでは以下のようなエラーが確認出来ます:
[tomcat-exec-9 ERROR com.vmware.hvc.vapi.impl.AdministratorsProviderImpl opId=] Set administrator groups failed with exception:
com.vmware.vapi.std.errors.Unauthenticated: Unauthenticated (com.vmware.vapi.std.errors.unauthenticated)
| ERROR | jetty-default-128542 | SamlTokenExtractor | Cannot complete login attempt due to runtime SAML parsing error.
com.vmware.vapi.dsig.json.SignatureException: Cannot verify the signature over the provided data
Symptoms:
免責事項:これは英文の記事「[VMC on AWS] Hybrid Linked Mode: Unable to edit the CloudAdmin groups after vCenter Cloud Gateway re-deployment (76179) 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
vCenter Cloud Gateway が同一の IP アドレスもしくはホスト名で再デプロイされており、管理者は CloudAdmin グループを編集することができません。
vCenter Cloud Gateway のログでは以下のようなエラーが確認出来ます:
[tomcat-exec-9 ERROR com.vmware.hvc.vapi.impl.AdministratorsProviderImpl opId=] Set administrator groups failed with exception:
com.vmware.vapi.std.errors.Unauthenticated: Unauthenticated (com.vmware.vapi.std.errors.unauthenticated)
| ERROR | jetty-default-128542 | SamlTokenExtractor | Cannot complete login attempt due to runtime SAML parsing error.
com.vmware.vapi.dsig.json.SignatureException: Cannot verify the signature over the provided data
Cause
同一の IP アドレスもしくはホスト名で vCenter Cloud Gateway を再デプロイすると、VMware Cloud on AWS上の vCenter と vCenter Cloud Gateway 間での信頼が無効になります。
Resolution
デプロイ時に指定した root の認証情報を使用して、vCenter Cloud Gateway に SSH で接続します。
以下の curl コマンドを実行します:
curl コマンドの実行が成功したら、vCenter Cloud Gateway を再起動します。
以下の curl コマンドを実行します:
1. curl --request POST --url https://VMC_SDDC_ADDRESS/rest/com/vmware/cis/session -u '[email protected]:CLOUDADMIN_PASSWORD' -k -c creds.txt
SESSION_ID を返します。
2. curl -k -X GET --header 'Accept: application/json' --header 'vmware-api-session-id: SESSION_ID' 'https://VMC_SDDC_ADDRESS/rest/vcenter/trust/vc-trusts'
出力例:
{"value":[{"domain":"DOMAIN_ID","label":"vsphere.local","type":""}]}
vCenter 信頼のドメインを返します: DOMAIN_ID
3. curl -k -X GET --header 'Accept: application/json' --header 'vmware-api-session-id: SESSION_ID' 'https://VMC_SDDC_ADDRESS/rest/vcenter/trust/vc-trusts/DOMAIN_ID'
出力例:
{"value":{"label":"vsphere.local","signing_cert_chains":[{"cert_chain":-----BEGIN CERTIFICATE-----\nMIIEOzCCAy....----END CERTIFICATE-----","-----BEGIN CERTIFICATE-----QpIVy3ivFyYsIqIq3bBb+JRw==\n-----END CERTIFICATE-----"]}],"upn_suffixes":["vsphere.local","bma.local"],"type":"","group_map":GROUP_VALUE_NAME}}
信頼情報オブジェクトの全てを返します: GROUP_VALUE_NAME (これは以降の文字列全てを指します)
4. curl --insecure --request PATCH -H 'Content-Type:application/json' -X PATCH --header 'vmware-api-session-id: SESSION_ID' --data-ascii '{"spec": { "group_map":GROUP_VALUE_NAME}}' --url 'https://VMC_SDDC_ADDRESS/rest/vcenter/trust/vc-trusts/DOMAIN_ID'
SESSION_ID を返します。
2. curl -k -X GET --header 'Accept: application/json' --header 'vmware-api-session-id: SESSION_ID' 'https://VMC_SDDC_ADDRESS/rest/vcenter/trust/vc-trusts'
出力例:
{"value":[{"domain":"DOMAIN_ID","label":"vsphere.local","type":""}]}
vCenter 信頼のドメインを返します: DOMAIN_ID
3. curl -k -X GET --header 'Accept: application/json' --header 'vmware-api-session-id: SESSION_ID' 'https://VMC_SDDC_ADDRESS/rest/vcenter/trust/vc-trusts/DOMAIN_ID'
出力例:
{"value":{"label":"vsphere.local","signing_cert_chains":[{"cert_chain":-----BEGIN CERTIFICATE-----\nMIIEOzCCAy....----END CERTIFICATE-----","-----BEGIN CERTIFICATE-----QpIVy3ivFyYsIqIq3bBb+JRw==\n-----END CERTIFICATE-----"]}],"upn_suffixes":["vsphere.local","bma.local"],"type":"","group_map":GROUP_VALUE_NAME}}
信頼情報オブジェクトの全てを返します: GROUP_VALUE_NAME (これは以降の文字列全てを指します)
4. curl --insecure --request PATCH -H 'Content-Type:application/json' -X PATCH --header 'vmware-api-session-id: SESSION_ID' --data-ascii '{"spec": { "group_map":GROUP_VALUE_NAME}}' --url 'https://VMC_SDDC_ADDRESS/rest/vcenter/trust/vc-trusts/DOMAIN_ID'
curl コマンドの実行が成功したら、vCenter Cloud Gateway を再起動します。
Feedback
Yes
No
Powered by
