常见问题解答:vSphere 6.0 中的 VMware Platform Services Controller
search cancel

常见问题解答:vSphere 6.0 中的 VMware Platform Services Controller

book

Article ID: 341782

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

本文提供了有关适用于 vSphere 6.0 的 VMware Platform Services Controller (PSC) 的一些常见问题的信息。PSC 包含通用基础架构服务,例如 vCenter Single Sign-On (SSO)、VMware Certificate Authority (VMCA)、许可以及服务器预留和注册服务。
有关详细信息,请参见:


Symptoms:

免责声明: 本文为 FAQ: VMware Platform Services Controller in vSphere 6.0 (2113115) 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。 有关最新内容,请参见英文版本。


Environment

VMware vCenter Server 6.0.x
VMware vCenter Server Appliance 6.0.x

Resolution

有关不同主题常见问题的解答,请参见:


常见问题

什么是 Platform Services Controller 6.0 (PSC)?

Platform Services Controller (PSC) 是 VMware Cloud Infrastructure Suite 的一个组件。 PSC 处理与 vSphere 平台交互的管理员和应用程序的身份管理。

PSC 6.0 与 SSO 5.5 有何不同? 它与 SSO 5.1 又有何不同?

vSphere 5.5 和 6.0 之间的架构相同;但是在 PSC 层,后者现在引入了一些新功能和新服务,下面将对此进行论述。 要获取 SSO 5.5 与 PSC 6.0 之间的所有更改的列表,请参见 What’s New in VMware vSphere 6.0 platform 和 VMware Education 的 What's New V5.5 to v6.0。 要获取从 SSO 5.1 以来所发生的更改的列表,请参见 What's New in VMware vSphere 5.5 Platform


PSC 6.0 的主要功能有哪些?
  • PSC 6.0 保留了 vSphere 5.5 中以 vCenter Single Sign-On 形式引入的多主节点模型。
  • 它可以采用基于 Appliance 或基于 Windows 的方式部署,这两种方式均能够参与多主节点复制。 (使用 vSphere 5.x 时,不支持将 vCenter Server Appliance 的嵌入式 SSO 与其他 SSO 节点一起复制)

基于 Appliance 或基于 Windows 的 PSC 均可与基于 Appliance 或基于 Windows 的 vCenter Server 进行交互操作。

随 Platform Services Controller 6.0 一起安装的组件有哪些?

随 PSC 6.0 一起安装的组件包括:
  • VMware 设备管理服务(仅在基于 Appliance 的 PSC 中)
  • VMware 许可证服务
  • VMware Component Manager
  • VMware Identity Management 服务
  • VMware HTTP 反向代理
  • VMware 服务控制代理
  • VMware 安全令牌服务
  • VMware 常见日志记录服务
  • VMware Syslog 运行状况服务
  • VMware 身份验证框架
  • VMware 证书服务
  • VMware 目录服务

支持 PSC 6.0 的不同产品/组件有哪些?
支持 PSC 6.0 的产品/组件如下:
  • VMware vCenter Server
  • VMware vCenter Inventory Service
  • VMware vSphere Web Client
  • VMware Log Browser
  • VMware NSX for vSphere
  • VMware Site Recovery Manager
  • VMware vCloud Air
  • VMware vCloud Director
  • VMware vRealize Automation Center
  • VMware vRealize Orchestrator
  • VMware vSphere Data Protection
  • VMware vShield Manager

PSC 6.0 采用何种打包方式?

Platform Services Controller 可在 Windows vCenter Server ISO 或 vCenter Server Appliance (VCSA) ISO 中提供。


PSC 6.0 采用何种许可方式?

Windows 和 Appliance 上的 Platform Services Controller 均不是许可产品。 它目前在 vSphere 和 vCloud 套件中与 vCenter Server 6.0 捆绑提供,但该捆绑包中只有 vCenter Server 组件需要许可证。


使用 vCenter Server Appliance 时可以采用哪些 Platform Services Controller 部署模式? 使用基于 Windows 的 vCenter Server 时有哪些部署模式?

首次使用 vSphere 6.0 时,基于 Appliance 的 PSC 和基于 Windows 的 PSC 均可在多站点或高可用性配置中部署。 此外,如果需要将多站点与高可用性结合起来使用,现在便可以设置 vSphere 环境以包含多站点,然后为每个站点配置辅助 PSC。 每个站点仍然需要负载平衡器来提供高可用性。 PSC HA 仅支持本地负载平衡器(通常称为 LTM 或本地流量管理器)。 有关推荐和支持的拓扑的详细信息,请参见 List of recommended topologies for vSphere 6.0.x (2108548)

注意: 配置 PSC High Availability 时,负载平衡对必须属于同一类型;不支持在同一个负载平衡对中混合使用基于 Appliance 的 PSC 与基于 Windows 的 PSC。

有关设置 PSC High Availability (HA) 的信息,请参见下列内容。

运行 PSC 6.0 的最低要求有哪些?

部署基于 Appliance 的 Platform Services Controller 时的要求:
  • 处理器 - Intel 或 AMD x64 处理器,有两个或多个逻辑内核,每个内核速度为 2 GHz
  • 内存 - 2 GB
  • 磁盘存储 - 30 GB
  • 网速 - 1 Gbps
有关详细信息,请参见适用于 vSphere 6.0 的 vSphere Install and Setup 指南中的“vCenter Server for Windows 硬件要求”和“存储要求”部分。

部署基于 Windows 的 Platform Services Controller 时的要求:
  • 处理器 - Intel 或 AMD x64 处理器,有两个或多个逻辑内核,每个内核速度为 2 GHz
  • 内存 - 2 GB
  • 磁盘存储 - 4 GB
  • 网速 - 1 Gbps
有关详细信息,请参见适用于 vSphere 6.0 的 vSphere Install and Setup 指南中的“vCenter Server for Windows 硬件要求”和“存储要求”部分。


PSC 6.0 服务器停机时会发生什么情况? 这会对增强型链接模式 (ELM) 产生什么影响?

如果 PSC 6.0 服务器停机,则无法登录到 vCenter Server 或依赖于 vCenter Server 的任何第二方 VMware 产品。 与 vCenter Server 的现有连接和用户会话将保持活动状态,vCenter Server 服务将维持正常运行。 但是,一旦会话结束,如果 PSC 仍停机,用户将无法再次登录。 此外,如果 PSC 停机,在 vCenter Server 的服务重新启动后,vCenter Server 将无法完全启动,直到 PSC 的服务还原或 vCenter Server 重新指向同一个 vSphere 域中正在运行的 PSC。

环境中的同一个 vSphere 域中存在多个 PSC 且正在使用增强型链接模式时,如果 vCenter Server 连接到的 PSC 出现故障,那么此 vCenter Server 将不可能通过另一个 vCenter Server 的 vSphere Web Client 访问。 这是因为 vSphere Web Client 提供的用户 SAML 令牌无法传递给出现故障的 PSC,从而也就无法传递给 vCenter Server。 除非 PSC 重新联机或 vCenter Server 重新指向同一个域中的另一个 PSC,否则用户将无法访问它。


PSC 6.0 服务器中的 VMware Certificate Authority (VMCA) 服务关闭时会出现什么情况? 如果我的私钥基础架构 (PKI) 关闭又会怎样?

这时 VMCA 和 VECS 不会执行证书吊销列表 (CRL) 检查。 这意味着当 VMCA 服务关闭时,vCenter Server 将能够继续工作,并能重新启动。 有关详细信息,请参见 vSphere Security Guide 中的“管理证书吊销”。

另外,如果您的 PKI 关闭,那么由于 VMCA 和 VECS 不会执行 CRL 检查,vSphere 环境将继续运行。


是否需要数据库才能成功安装/运行 PSC 6.0?

正如 SSO 5.5 一样,在 vSphere 6.0 中,您不需要为 PSC 准备数据库。


如何备份和还原 PSC 6.0?


可以对 PSC 6.0 拍摄快照吗? 可以使用基于映像的备份吗?

您可以对单个 Platform Services Controller 拍摄快照,只要它没有在 vSphere 域中使用多站点或高可用性配置即可。 此外,您也可以使用基于映像的备份,但同样需要确保 PSC 未使用多站点或高可用性配置,而是属于独立 PSC。 这是因为复制时会使用更新顺序号 (USN),因此通过快照或基于映像的备份还原 PSC 时,如果存在同级节点,则会出现不同步。 有关详细信息,请参见 Possible vSphere.local domain inconsistencies after restoring a vCenter Server Single Sign-On 5.5 or Platform Services Controller 6.0 node (2086001)

有关备份和还原 PSC 的指导,请参见上面的“如何备份和还原 PSC 6.0?” 部分。


如何创建服务主要名称 (SPN)?

有关在 PSC 6.0 中创建和使用服务主要帐户的说明,请参见 Creating and using a Service Principal Account in vCenter Single Sign-On 5.5 (2058298)


PSC 6.0 中的 vSphere 域名是什么?

首次配置 PSC 6.0 时会定义 vSphere 域名,而升级现有 SSO 5.5 环境时则会保留 vSphere 域名。 vSphere 域的备份目录服务 ( VMware Directory Service) 会根据此域名构建其所有轻量级目录访问协议 (LDAP) 内部结构。 使用 vSphere 6.0 时,您可以为 vSphere 域提供一个唯一名称;但是,请确保该名称不会与任何其他目录服务(OpenLDAP、Microsoft Active Directory)相同,因为这会引起身份验证冲突。 如果从 vSphere 5.5 进行升级,vSphere 域名将保留默认的 vsphere.local。 不支持在已对 vSphere 域进行配置后再更改其名称。

定义域名后,您就能够以计算机(PSC、vCenter Server、vRealize Automation 等)、用户 ( [email protected]) 或组 ( [email protected]) 的形式使用对象对其进行填充。 然后,可以将这些对象组织到如下所述的单个逻辑站点中。


PSC 6.0 中的站点是什么?

VMware Directory Service 中的站点是我们对 vSphere 域中的 Platform Services Controller 进行分组所采用的逻辑容器。 您可以采用直观的方式对它们进行命名,便于简化实施。 当前,使用站点是为了在负载平衡器后方配置 PSC High Availability 组。


可以使用 SSO 5.5 创建的身份源有哪些不同类型?
可以使用 SSO 5.5 创建的身份源的不同类型包括:
  • Active Directory (集成 Windows 身份验证)
  • Active Directory 作为 LDAP 服务器
  • OpenLDAP
  • 本地操作系统
有关详细信息,请参见 vSphere 6.0 Security Guide 中的“使用 vCenter Single Sign-On 的 vCenter Server 的身份源”。


如何针对 Windows 生成 PSC 支持包? 又如何针对基于 Appliance 的 PSC 生成支持包?

由于基于 Appliance 的 PSC 和基于 Windows 的 PSC 都可部署在与 vSphere 6.0 同处一个环境的 vCenter Server 外部,目前有多种方式生成支持日志包。

对于 Platform Services Controller Appliance:
  • 从 Web 浏览器
    1. 打开 Web 浏览器并导航到: https://Platform_Services_Controller_FQDN/appliance/support-bundle
    2. 出现提示时,输入 root 凭据,然后单击 Enter
    3. 将自动开始下载为 vm-support.tgz
  • 从命令行:
    1. 发起与 vCenter Server Appliance 的 SSH 连接。
    2. 提示时,提供 root 用户的用户名和密码。
    3. 运行以下命令以启用 Bash shell:

      shell.set --enable True

    4. 运行以下命令以访问 Bash shell:

      shell

    5. 在 Bash shell 中,运行以下命令以将日志导出到 /storage/log/

      vc-support -l

    6. 此时会开始生成日志包 vc-<FQDN_of-PSC>-<Date>.tgz。
    7. 完成后,使用 SCP 客户端下载该日志包。
  • 从 vSphere Web Client UI
    1. 用以下用户的身份,从连接到 Platform Services Controller 的 vCenter Server 登录到 vSphere Web Client: [email protected]
    2. 单击管理 > 系统配置
    3. 单击左侧窗格中的节点
    4. 在左侧窗格中找到 Platform Services Controller,右键单击并选择导出支持包
    5. 单击导出日志包,然后选择要导出的位置。
    6. 完成后,单击确定
对于 Platform Services Controller for Windows:
  • 从 Windows Server UI
    1. 通过远程桌面登录到 Windows Server。
    2. 单击开始 > 所有程序 (Windows 2008R2) 或开始 > 所有应用程序图标 (Windows Server 2012R2)
    3. 找到 VMware 文件夹
    4. 单击生成 vCenter Server 日志包
    5. 此时会开始在桌面上生成日志包 vc-<FQDN_of-PSC>-<Date>.tgz
  • 从命令行:
    1. 通过远程桌面登录到 Windows Server。
    2. 打开管理命令提示符。
    3. 运行以下命令以生成日志包:

      "%VMWARE_CIS_HOME%"\bin\vc-support.bat

    4. 此时会开始在桌面上生成日志包 vc-<FQDN_of-PSC>-<Date>.tgz
  • 从 vSphere Web Client UI
    1. 用以下用户的身份,从连接到 Platform Services Controller 的 vCenter Server 登录到 vSphere Web Client: [email protected]
    2. 单击管理 > 系统配置
    3. 单击左侧窗格中的节点
    4. 在左侧窗格中找到 Platform Services Controller,右键单击并选择导出支持包
    5. 单击导出日志包,然后选择要导出的位置。
    6. 完成后,单击确定
如果正在 vCenter Server 上运行嵌入式 Platform Services Controller,则支持包会包含日志和 PSC 的信息。 有关详细信息,请参见 Collecting diagnostic information for VMware vCenter Server 4.x, 5.x and 6.0 (1011641)


什么是 VMware 解决方案以及它如何影响最高性能?

VMware 解决方案定义为一种产品,在将该产品加入 PSC,进而加入 vSphere 域时,它会在 VMware Directory Service 中创建计算机帐户和一个或多个解决方案用户(一系列 vSphere 服务)。 计算机帐户和解决方案用户用于代理和保护 vSphere 环境中可用的其他解决方案之间的通信。 为了实现最高性能,计算机帐户和解决方案用户必须与 PSC 的所有可用功能集(身份管理和身份验证代理、证书管理、许可等)完全集成,以便产品能够充分利用 PSC。 目前,只有 vCenter Server 被定义为完全集成的解决方案,可实现最高配置。

部分集成的解决方案(如 vCenter Site Recovery Manager、vCloud Director vRrealize Orchestrator、vRealize Automation Center 和 vRealize Operations)无法实现既定的最高性能。

升级问题

如何从 SSO 5.1 升级到 PSC 6.0? 如何从 SSO 5.5 升级到 PSC 6.0?

如果 SSO 服务与 vCenter Server 捆绑在一起(这称为嵌入式部署),则完全通过安装程序为 Windows 和 vCenter Server Appliance 执行从 5.x 到 6.0 的升级事宜。

  • vSphere 5.1:</u> 如果 SSO 服务部署在外部,请参见 vSphere Upgrade Guide 中的“升级采用外部部署的 vCenter Single Sign-On 5.1”部分。
  • vSphere 5.5:</u> 如果 SSO 服务部署在外部,请参见 vSphere Upgrade Guide 中的“升级采用外部部署的 vCenter Single Sign-On 5.5”部分。


将 SSO 5.x 升级到 PSC 6.0 时采用何种升级顺序? 如果同一域中具有多个 SSO 节点会怎样?

规划从 vSphere 5.x 升级到 6.0 的事宜时,请参见 Update sequence for vSphere 6.0 and its compatible VMware products (2109760),其中介绍了何时升级 Platform Services Controller。

在同一 vSphere 域中存在多个 SSO 节点的 vSphere 环境中,请参见 vSphere Upgrade Guide 中的“vCenter Server for Windows 升级中的混合版本过渡环境”。


使用 SSO 5.1 时我所拥有的数据库会发生什么情况?

升级到 PSC 6.0 后,不再需要旧的 SSO 数据库。 但在升级期间,该数据库不会从数据库服务器中删除。 您必须手动删除该数据库和与之关联的所有用户。


升级后,PSC 6.0 是否会保留我的旧身份源?

是的,升级后会保留所有旧身份源。


在 SSO 5.1 中,我的 SSO 域是 system-domain,管理员用户是 admin。 在 PSC 6.0 中我是否仍然能够使用相同的用户名登录?

是的,可以继续以旧用户 ( admin@system-domain) 的身份和密码登录 SSO 服务器。 此帐户是升级后的 [email protected] 的别名。


PSC 6.0 是否可以与 vCenter Server 5.1 配合使用? 与 vCenter Server 5.5 配合使用呢?

  • vSphere 5.1</u>: 不可以,PSC 6.0 无法与 vCenter Server 5.1 配合使用。
  • vSphere 5.5</u>: 可以,PSC 6.0 将继续在执行滚动升级的环境中与 vCenter Server 5.5 配合使用。 但 VMware 既不支持基于 PSC 6.0 的全新安装或重新指向 vCenter Server 5.5,也不支持保持环境的混合类型的 vSphere 5.5 与 vSphere 6.0 部署。 VMware 建议您将 vCenter Server 随 PSC 一起升级到 6.0。 有关详细信息,请参见 vSphere Upgrade Guide 中的“vCenter Server for Windows 升级中的混合版本过渡环境”。



PSC 6.0 是否可以与 SSO 5.5 配合使用?

可以,PSC 6.0 将继续与 SSO 5.5 配合使用。 但是,就像与 vCenter Server 的向后兼容性一样,VMware 也建议您将所有 SSO 5.5 节点升级到 6.0。 有关详细信息,请参见 vSphere Security Guide 中的“在混合模式环境中替换 VMware 目录服务证书”。


何时修补 (Appliance) 或更新 (Windows) PSC 6.0?

Platform Services Controller 和 vSphere 域位于 vCenter Server 和其余 VMware 产品堆栈之上。 计划对您的 vSphere 环境进行更新时,Platform Services Controller 会是首个需要修补或更新的系统。 此时必须采用串行方式一个接一个的更新 Platform Services Controller。 不支持在 PSC 上并行安装修补程序或更新程序。

有关更新 vSphere 环境的顺序的详细信息,请参见 Update sequence for vSphere 6.0 and its compatible VMware products (2109760)


如何检查 PSC 6.0 正在运行的当前 vSphere 的版本或内部版本号?
  • 检查 Platform Services Controller Appliance:
    1. 通过 SSH 连接至 Appliance 并以 root 身份登录。
    2. 执行以下操作:

      com.vmware.appliance.version1.system.version.get

      此时会输出内部版本、内部版本的发布日期和 Appliance 类型。 请将以下内容作为范例:

      Version:
      Product: VMware vCenter Server Appliance
      Summary: Patch for VMware vCenter Server Appliance 6.0
      Releasedate: June 16, 2015
      Version: 6.0.0.5120
      Build: 2800573
      Type: VMware Platform Services Controller
  • 检查 Platform Services Controller for Windows:
    1. 通过远程桌面登录到 Windows Server
    2. 打开管理命令提示符
    3. 执行以下操作以获取内部版本:

      reg query "HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\vCenter Server" /v BuildNumber

      请将以下内容作为范例:

      HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\vCenter Server
      BuildNumber REG_SZ 2800572

    4. 执行以下操作以获取部署类型:

      reg query "HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\vCenter Server" /v INSTALL_TYPE

      请将以下内容作为范例:

      HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\vCenter Server
      INSTALL_TYPE REG_SZ infrastructure


      此处可显示两种类型:
      • Embedded 表示 PSC 已嵌入 vCenter Server 中。
      • Infrastructure 表示 PSC 已部署在 vCenter Server 外部


如何修补 (Appliance) 或更新 (Windows) PSC 6.0?

Platform Services Controller Appliance 和 Platform Services Controller for Windows 采用不同的更新机制来修补软件。 这包括为 Appliance 使用 software-packages,而为 Windows 运行 autorun 可执行文件。 由于存在这些差异,在使用 Appliance 时,通常称之为“修补”,而在使用 Windows 时,通常称之为“更新”。 执行以下操作会将 PSC 更新至 vSphere 6.0 的最新版本。
  • 修补 Platform Services Controller Appliance:

    Platform Services Controller Appliance 的修补程序位于 MyVMware Patch Repository 上。
    1. 下载 Platform Services Controller Appliance 的修补程序 ISO。
    2. 使用 vSphere Client 或 vSphere Web Client 将 ISO 挂载到 Appliance 上
    3. 通过 SSH 连接至设备并以 root 身份登录。
    4. 确保正在 Appliance Shell 下运行 Platform Services Controller Appliance。 有关详细信息,请参见 Toggling the vCenter Server Appliance 6.x default shell (2100508)
    5. 通过运行以下命令从挂载的 ISO 转储修补程序:

      software-packages stage --iso --acceptEulas

    6. 通过运行以下命令安装转储的修补程序:

      software-packages install --staged

    7. 出现提示时,通过运行以下工作流重新引导 Platform Services Controller Appliance:
      1. 运行以下命令以启用 Bash shell:

        shell.set --enabled True

      2. 运行以下命令以访问 Bash shell:

        shell

      3. 运行以下命令以重新引导 PSC:

        reboot

    8. 完成后,在任何其他 Platform Services Controller 上重复执行此过程。
  • 更新 Platform Services Controller for Windows:

    Platform Services Controller for Windows 的更新程序位于 MyVMware Downloads 上。
    1. 下载 Windows vCenter Server 6.0 的最新 ISO
    2. 将 ISO 挂载到 Platform Services Controller 上
    3. 在软件安装程序中,双击 autorun.exe 文件以启动更新程序。
      安装程序运行后会识别正在使用的 Platform Services Controller 的版本,并会识别是否需要将其升级。
    4. 单击下一步,然后接受 EULA
    5. 单击下一步
    6. 单击更新
    7. 出现提示时,重新引导 Platform Services Controller 系统。
    8. 完成后,在任何其他 Platform Services Controller 上重复执行此过程。

最佳实践

安装 PSC 6.0 的最佳实践是什么?


升级到 PSC 6.0 的最佳实践是什么?


一个负载平衡器后面可以存在多少个 PSC 服务器?

使用负载平衡器时,vSphere 域中每个站点最多可有 4 个 PSC。 有关详细信息,请参见 vSphere 6.0 Configuration Maximums Guide 中的“Platform Services Controller 最高配置”。


与 PSC HA 兼容的负载平衡器有哪些? 负载平衡器的要求是什么?

VMware 已对 Citrix Netscalar 和 F5 Networks Big-IP 与 PSC HA 配合使用的兼容性进行了测试和认证。 有关将 Citrix Netscalar、F5 Networks Big-IP 以及其他负载平衡器与 PSC HA 配合使用的信息,请参见 vCenter Single Sign-On and Platform Services Controller High Availability Compatibility Matrix (2112736)


与兼容的负载平衡器配合使用时,PSC HA 需要使用 SSL 终端而不是 SSL 直通。 这意味着什么?

一切信息都会在端口 443 上进行加密,然后到达反向代理,而反向代理会使用所在的 Platform Services Controller 节点上的 MACHINE_SSL_CERT VECS 存储中存储的 __Machine_SSL 证书。 vCenter Server(充当客户端)连接时,它会创建一个在负载平衡器上终止的 SSL 会话(已加密),届时会从负载平衡器启动一个新的 SSL 连接,然后我们将此会话递交给 PSC 节点之一(已加密),从而最终将 vCenter Server 会话连接到 PSC (443) 上的反向代理。 为了让负载平衡器能够代理并查看流量,它需要对这些流量进行解密。 然后,它在与 PSC 建立的另一个会话中对这些流量重新加密。

我们还会与其他 RPC 和 LDAPS 端口通信,这些内容会在不同的负载平衡器设置指南中论述:

vSphere 域中可存在多少个 PSC 服务器?

VMware 测试了在 vSphere 域中部署多达 8 个 PSC 的方案。 有关详细信息,请参见 vSphere 6.0 Configuration Maximums Guide 中的“Platform Services Controller 最大数目”。


是否有办法通过命令行添加身份源?

有,但是仅限于添加 Active Directory(集成 Windows 身份验证)身份源。 有关详细信息,请参见 Adding an Integrated Active Directory (IWA) Identity Source without the vSphere Web Client for vSphere 5.5/6.0 (2063424)


PSC 的其他最高配置是什么?

有关详细信息,请参见 Configuration Maximums for vSphere 6.0


可以通过 WAN 部署 PSC 吗?

尽管可以通过 WAN 部署 PSC,但 PSC 之间的复制对于延迟十分敏感。 就像任何其他复制目录服务一样,建议 PSC 之间的延迟应尽可能低。 此外,目前通过 PSC 可以利用增强型链接模式 (ELM) 以及使用 ELM 的所有功能,为了在 vSphere 环境中提供最佳用户体验,我们强力建议您使用较低的延迟。


应如何针对 Active Directory 部署 PSC 6.0? 针对 OpenLDAP 又该如何部署呢?

使用“Active Directory(集成 Windows 身份验证)”身份源时,建议在配对 PSC 时尽可能靠近本地 Active Directory 域控制器 (DC),并确保到达它们的跳数最少。 基于 Windows 和基于 Appliance 的 PSC 已改进了逻辑,允许 SAML 令牌创建、请求以及用户和组查询操作。这些操作会充分利用环境中距离最近的 DC 来提供最佳登录性能。此外,取决于 Active Directory 环境的复杂性,部署时存在一些已知限制。 有关支持 Active Directory 拓扑的详细信息,请参见 Microsoft Active Directory Trusts supported with VMware vCenter Single Sign-On (2064250)

使用其他可用身份源(如 OpenLDAP Active Directory 作为 LDAP 服务器)时,PSC 将通过在创建身份源过程中提供的服务帐户执行简单绑定。 尽管与域控制器的距离和延迟十分重要,但由于我们将在查询用户时执行简单绑定,这些身份源将因解析递归而存在性能限制和问题。 有关详细信息,请参见 Logging into vCenter Server using the vSphere Client with vCenter Single Sign-On in a multi-domain environment fails (2037410)


何时应使用嵌入式部署? 何时应使用外部部署? 什么是 vCenter Server 架构的最佳 PSC?

采用嵌入式 Platform Services Controller 的 vCenter Server 专为以下环境而设计:在这些环境中没有 vCenter Server 或第二方 VMware 产品需要通信(通过增强型链接模式),同时 vSphere 环境会保持相对静态。这些环境中通常仅有一个 vCenter Server。将嵌入式 Platform Services Controller 与 vCenter Server 结合使用时,不建议与外部 Platform Services Controller 或其他嵌入式 Platform Services Controller 建立复制合作伙伴关系。

自 vSphere 6.0 Update 1 起,客户可以将具有嵌入式 Platform Services Controller 的 vCenter Server 移动到具有外部 Platform Services Controller 的 vCenter Server。有关信息,请参见 vSphere Installation and Setup 指南中的“将具有嵌入式 Platform Services Controller 的独立 vCenter Server 重新配置为具有外部 Platform Services Controller 的 vCenter Server”部分。使用 Update 1,您只能将一个具有嵌入式 Platform Services Controller 的 vCenter Server 移动到外部 Platform Services Controller;此版本的 vSphere 不支持使用cmsso-util reconfigure命令尝试将同一个 vSphere 域中多个具有嵌入式 Platform Services Controller 的 vCenter Server 迁移到外部 Platform Services Controller。

自 vSphere 6.0 Update 2 起,客户可以将同一个 vSphere 域中多个具有嵌入式 Platform Services Controller 的 vCenter Server 移动到具有外部 Platform Services Controller 的 vCenter Server。有关详细信息,请参见 vSphere Installation and Setup 指南中的“将 vSphere 中具有嵌入式 Platform Services Controller 的多个已联接 vCenter Server 实例重新配置为具有外部 Platform Services Controller 的 vCenter Server”部分。在 vSphere 6.0 Update 2 中,您只能将具有嵌入式 Platform Services Controller 的 vCenter Server 移动到外部 Platform Services Controller。

外部 Platform Services Controller 用于大型环境,其中的多个 vCenter Server 全都通过增强型链接模式展开协作,并且/或者您具有多个与 PSC 集成的第二方应用程序(vRealize Automation Center、vRealize Orchestrator 等)。在这些环境中,通常有多个 vCenter Server 连接到同一个 vSphere 域,并且还有其他第二方应用程序与 vCenter Server 集成,将 vCenter Server 用作自动化或云服务的端点。


可以在同一个 vSphere 域中安装混合版本的 PSC 吗?

不可以,VMware 不建议在同一个 vSphere 域中部署不同版本的 PSC。只能将新的 PSC 加入与其处于相同水平/版本的联合。如果要求始终将所有 PSC 修补或更新到相同版本,完成后,在将其他 PSC 添加到 vSphere 域时请使用与现有 PSC 相同的版本。部署具有更低或更高内部版本号的 PSC,会导致联合出现未知问题。

应用程序问题

是否可以将 PSC 6.0 管理员用户名从 [email protected] 改为其他用户名?

不可以,无法将 PSC 6.0 管理员用户名从[email protected]更改为另外一个用户名。但您可以创建一个单独的管理员用户来达到此目的。

使用 PSC 6.0 时是否仍然需要主密码?

不,不再有主密码。默认情况下,[email protected]是 PSC 6.0 中的管理员,正如在 SSO 5.5 中一样。

可以使用 PSC 6.0 在 vSphere.local 域中创建或管理 SSO 用户吗?可以使用命令行界面 (CLI) 吗?使用应用程序编程接口 (API) 呢?

您现在可以使用 PSC 6.0 附带的全新命令行实用程序(称为dir-cli)轻松创建和管理 SSO 用户。有关使用 dir-cli 的指导,请参见 vSphere Security Guide 中的“dir-cli 命令参考”部分。

目前,执行此过程所需的 API 尚未公开。有关详细信息,请参见 vSphere 6.0 Command-Line Documentation Guide 中的“vSphere Command-Line Interface概述”部分。

我的 vSphere 域中的所有内置组有何作用?可以移除这些内置组中的任何一个吗?

每个内置组都可在 vSphere 域中提供一套完整的特权和对应的可用操作集。有关详细信息,请参见 vSphere Security Guide中的“vSphere.local 域中的组”。不支持移除任何一个内置用户或移除任何一个内置组,因为这会给 vSphere 域造成不可修复的损害。

可以将 Active Directory 或 OpenLDAP 组添加到 PSC 内置安全组之一,例如Administrators或SystemConfiguration.Administrators吗?

是。从 vCenter Server 6.0 Update 1b 及更高版本开始,支持将 Active Directory 组添加到 vSphere 域的内置安全组。对于先前版本的 vSphere,您必须添加各个用户。有关详细信息和注意事项,请参见 Unable to administer vCenter Single Sign-On after adding a User Group and individual users from a Directory Service (OpenLDAP or Active Directory) (2095342)

VMCA 作为 Root 证书颁发机构在置备证书时使用何种哈希和密码算法?这些证书的默认密钥的大小为多少?有效期为多长?若将其放到从属证书颁发机构中会怎样?

由证书颁发机构 VMCA 提供的默认证书具有:
  • RSA 加密的 SHA256
  • 10 年有效期
  • 2048 密钥大小
使用您的 PKI 的签名证书替换 VMCA 后,您的 PKI 提供的设置(例如,哈希、密码、秘钥大小和有效期)将指示 VMCA 可以置备的内容。VMCA 置备的证书在有效期或其他设置方面无法超过其自己的签名证书。

如何查看我当前的 vSphere 域拓扑?是否能够在 PSC 之间设置新复制协议?

您可以使用 Platform Services Controller 随附的vdcrepadminCLI 来查看拓扑。使用此 CLI,可以列出 vSphere 域中的复制合作伙伴。此外,还可以在 vSphere 域中的 PSC 之间创建新的复制合作伙伴关系。但是,此 CLI 不可用于在不同的(单独的)vSphere 域之间创建复制协议。有关详细信息,请参见 Determining replication agreements and status with the Platform Services Controller 6.0 (2127057)

PSC 6.0 使用自动生成的证书。是否能够将这些证书替换为自定义生成的证书?

可以,可以使用从属证书颁发机构签名的证书替换 Platform Services Controller 上的 VMware Certificate Authority (VMCA)。此时便允许使用 CA 签名的证书同时在 PSC 和 vCenter Server 上生成证书。对于不希望使用此功能的客户,他们可以使用 vSphere Certificate Utility 替换 PSC 上的证书。有关详细信息,请参见 Implementing CA signed SSL certificates in vSphere 6.0 (2111219)

PSC 绑定的一些服务并未与 VECS 完全集成,因此需要手动替换证书。有关详细信息,请参见:vSphere Security Guide

使用签名证书在 PSC 6.0 中替换 VMCA 后,还需要执行哪些操作?

使用您自己的 PKI 的签名证书替换 VMCA 后,需要等待 24 个小时才可以将新的 ESXi 6.0 主机添加到 vCenter Server。执行此过程后不会对现有 ESXi 6.0 或 5.x 主机产生影响。有关详细信息,请参见 Unable to add ESXi 6.0 host to vCenter Server 6.0 with error "signed certificate could not be retrieved due to a start time error" (2123386)

是否能在 vCenter Server 中禁用 PSC 6.0?

不能,无法禁用 vCenter Server 对 PSC 6.0 的依赖性。这同样适用于 vSphere 5.1 和 5.5。

可以将 vCenter Server 重新指向同一 vSphere 域中的其他 PSC 吗?可以将 vCenter Server 重新指向一个新的 vSphere 域吗?

当同一 vSphere 域中部署了多个外部 PSC 时,可以通过使用vmafd-cli将 vCenter Server 重新指向到这些 PSC 之间的某个 PSC。当客户需要对某个 PSC 开展性能维护时,通过上述操作可以让他们将 vCenter Server 切换到不同的 PSC。有关详细信息,请参见:Repointing the VMware vCenter Server 6.0 between External Platform Services Controllers within a Site in a vSphere Domain (2113917)

在 vSphere 6.0 Update 1 中引入后,现在客户可以使用cmsso-util repointCLI 在同一个 vSphere 域中的不同站点之间移动 vCenter Server。有关详细信息,请参见 Repointing the VMware vCenter Server 6.0 between Sites in a vSphere Domain (2131191)

使用 vSphere 6.0 时,您不能再像使用 vSphere 5.5 和 5.1 那样,将 vCenter Server 节点重新指向另一个 vSphere 域中的 PSC。这是因为其他 vSphere 域不包含原始 vSphere 域的VMware Directory Service中的任何重要数据,因为这两个域无法通过任何方式进行彼此复制。由于 vCenter Server 现在将一些数据存储在自身,但会利用 vSphere 域中的一些数据,因此,如果要更改域,则必须重新安装 vCenter Server。

可以将两个 vSphere 域合并在一起吗?

不可以,现在无法将两个 vSphere 域合并在一起。

可以在两个独立的 vSphere 域之间使用增强型链接模式吗?

不可以,增强型链接模式要求所有 PSC 位于同一域中并进行复制。由于两个独立的 vSphere 域无法进行复制,提供 ELM 的新 API 无法显示两个域的内容。有关增强型链接模式的详细信息,请参见 vSphere Upgrade Guide 中的“增强型链接模式概述”部分。

是否仍然支持 NTLM 身份验证?如果支持,是否意味着还可以对 NT4 域进行身份验证?

不可以,vSphere 5.5 中已弃用 NTLM 身份验证,且 PSC 6.0 中也不再支持这种身份验证。

是否能在 PSC 6.0 中配置多个默认域?

不能,只能有一个默认域。

两个 PSC 之间的复制间隔是多少?

两个 PSC 之间的复制间隔是 30 秒。但是,在某些情况下,此复制时间可能会延长,以便让所有 PSC 完全同步。有关详细信息,请参见 vSphere Security Guide 中的“VMware Directory Service 复制需要较长时间”部分。

如何验证 PSC 6.0 安装是否成功?

要验证 PSC 6.0 安装是否成功,请执行以下操作:
如何弃用基于 Windows 的服务器或基于 Appliance 的服务器的 PSC 6.0 安装?


添加我的“Active Directory(集成 Windows 身份验证)”身份源后,该身份源成为 Active Directory 域的 Root。此时我的 PSC 位于子域中,这种情况如何调整?




Additional Information

FAQ: VMware Platform Services Controller in vSphere 6.0