Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore 5000X

vCenter 会话、安全连接和凭据

当 vSphere 管理员使用 vSphere Client 来为 vCenter Server 提供 VASA 提供程序 URL 和登录凭据时，vCenter 会话即开始。vCenter

Server 使用 URL、凭据和 VASA 提供程序的 SSL 证书来建立与 VASA 提供程序的安全连接。发生以下某个事件时，vCenter 会话结

束：

● 管理员使用 vSphere Client 从 vCenter 配置中删除 VASA 提供程序，并由 vCenter Server 终止连接。

● vCenter Server 发生故障或 vCenter Server 服务发生故障，并终止连接。如果 vCenter 或 vCenter Server 服务无法重新建立 SSL

连接，则将启动一个新连接。

● VASA Provider 发生故障，并终止连接。当 VASA Provider 启动时，它可响应来自 vCenter Server 的通信以重新建立 SSL 连接和

VASA 会话。

vCenter 会话基于 vCenter Server 和 VASA 提供程序之间的安全 HTTPS 通信。在 VASA 3.0 中，vCenter Server 充当 VMware 证书颁

发机构 (VMCA)。VASA 提供程序会在授权请求后针对该请求传输一个自签名证书。它将 VMCA 证书添加到其信任存储区，然后发出

证书签名请求，再将其自签名证书替换为 VMCA 签名的证书。VASA 提供程序将使用对照以前注册的根签名证书进行验证的客户端

存储监视服务 (SMS) 证书，来对以后的连接进行身份验证。VASA 提供程序为存储实体对象生成唯一标识符，然后 vCenter Server

使用该标识符为特定实体请求数据。

VASA 提供程序使用 SSL 证书和 VASA 会话标识符验证 VASA 会话。建立会话后，VASA 提供程序必须验证 SSL 证书和 VASA 会话标

识符（与从 vCenter Server 每次调用的函数关联）。VASA 提供程序使用存储在其信任存储区中的 VMCA 证书验证与从 vCenter SMS

调用的函数相关联的证书。VASA 会话在多个 SSL 连接之间延续。如果 SSL 连接中断，则 vCenter Server 将与 VASA 提供程序执行

SSL 握手，在同一 VASA 会话的上下文中重新建立 SSL 连接。如果 SSL 证书到期，则 vSphere 管理员必须生成新证书。vCenter

Server 将建立新 SSL 连接，然后向 VASA 提供程序注册该新证书。

小心: SMS 不会针对 3.0 VASA 提供程序调用 unregisterVASACertificate 函数。因此，即使在注销后，VASA 提供程序

也可以继续使用从 SMS 获取的 VMCA 签名证书。

CHAP 身份认证

质询握手身份验证协议 (CHAP) 是一种对 iSCSI 启动器（主机）和目标（卷和快照）进行身份验证的方法。CHAP 公开了 iSCSI 存

储，并确保了安全、标准的存储协议。身份验证依赖于身份验证方和对等方均知道的一项秘密（类似于密码）。CHAP 协议有两种变

体：

● 单向 CHAP 身份验证允许 iSCSI 目标对启动器进行身份验证。当启动器尝试连接到目标时（正常模式或通过发现模式），会向目

标提供一个用户名和密码。

● 除了单向 CHAP 外，还应用双向 CHAP 身份验证。双向 CHAP 允许 iSCSI 目标和启动器彼此进行身份验证。组中呈现的每个

iSCSI 目标都会由 iSCSI 启动器进行身份验证。当启动器尝试连接到目标时，目标会向启动器提供用户名和密码。启动器将提供的

用户名和密码与它所持有的信息进行比较。如果匹配，则启动器可连接到目标。

注: 如果您的环境中将使用 CHAP，建议您在准备卷以接收数据之前设置并启用 CHAP 身份验证。如果在设置并启用 CHAP 身份

验证之前准备用来接收数据的驱动器，您可能会失去对卷的访问权。

PowerStore 不支持 iSCSI CHAP 发现模式。下表显示了与 ISCSI CHAP 发现模式相关的 PowerStore 限制。

表. 1: iSCSI CHAP 发现模式限制

CHAP 模式单一模式（启动器已启用）相互模式（启动器和目标已启用）

发现

PowerStore 不会对主机进行身份验证（质

询）。不能使用身份验证来阻止目标被发

现。这不会导致意外访问用户数据。

PowerStore 将不响应来自主机的身份验证

请求（质询），如果主机质询

PowerStore，发现将会失败。

正常

按预期发挥作用。PowerStore 对凭据进行

测试。

按预期发挥作用。由 PowerStore 传输凭

据。

对于源和目标设备之间的远程复制，验证和更新过程会检测本地和远程系统中的更改并重新建立数据连接，同时还会考虑 CHAP 设

置。

配置 CHAP

可在 PowerStore 群集上启用 CHAP 单向（启动器已启用）或双向（启动器和目标已启用）身份验证。可对具有一个设备或多个

PowerStore 设备和外部主机的群集实施启用 CHAP。

身份验证和访问