Reference Guide

保护群集中的 PowerStore 设备之间的通信

在群集创建过程中，群集主设备的主节点会创建一个证书颁发机构 (CA) 证书（也称为群集 CA）。主设备将群集 CA 证书传递给加入

群集的设备。

群集中的每个 PowerStore 设备都会生成自己唯一的 IPsec 证书，该证书由群集 CA 证书签名。PowerStore 设备通过其群集网络传输

的敏感数据受 IPsec 和 TLS 保护，使数据的安全性和完整性得到保证。

用于复制和数据导入的安全通信

PowerStore 的证书和凭据基础架构允许交换服务器和客户端证书，以及用户凭据。本过程包括：

● 在 TLS 握手期间检索和验证服务器证书

● 将受信任的 CA 证书从远程系统添加到凭据库

● 将受信任的服务器/客户端证书添加到凭据库

● 在建立信任后协助建立安全连接

PowerStore 支持以下证书管理功能：

● 对于复制，在两个 PowerStore 群集之间交换证书以建立受信任的管理通信。为简化 PowerStore 群集之间的复制，必须在群集之

间建立双向信任，以便在发出复制 REST 控制请求时进行相互 TLS 身份验证。

● 对于数据导入，执行具有持久性的证书和凭据交换，以在 Dell EMC 存储系统（VNX、Unity、Storage Center (SC) 或对等存储

(PS) 系统）和 PowerStore 群集之间建立安全连接。

vSphere Storage API for Storage Awareness 支持

vSphere Storage API for Storage Awareness (VASA) 是一种由 VMware 定义的与供应商无关的 API，用于进行存储识别。VASA 提供程

序包含了协作处理传入 VASA API 请求的多个组件。VASA API 网关接收所有传入的 VASA API，它部署在 PowerStore 群集中的主设

备（拥有浮动管理 IP 的那一个）上。ESXi 主机和 vCenter Server 连接到 VASA 提供程序，获取有关可用存储拓扑、功能和状态的信

息。接下来，vCenter 服务器将这些信息提供给 vSphere 客户端。VASA 由 VMware 客户端而不是 PowerStore Manager 客户端使

用。

vSphere 用户必须将此 VASA 提供程序实例配置为群集的 VASA 信息提供程序。如果主导设备停止工作，相关流程（以及 VASA 提供

程序）将在成为下一主设备的设备上重新启动。IP 地址自动进行故障切换。在内部，该协议在从新的活动 VASA 提供程序获取配置

更改事件时将发现故障，但这会导致 VASA 对象的自动重新同步，无需用户干预。

PowerStore 为 vSphere 6.5 和 6.7 提供 VASA 3.0 接口。

VASA 3.0 支持虚拟卷 (VVol)。VASA 3.0 支持一些用于查询存储抽象（如 VVol 和存储容器）的接口。这些信息可帮助基于存储策略

的管理 (SPBM) 在虚拟驱动器放置和遵从性方面作出决策。VASA 3.0 还支持用于调配和管理用于备份虚拟驱动器的 VVol 生命周期的

接口。ESXi 主机直接调用这些接口。

有关与 VASA、vSphere 和 VVol 相关的详细信息，请参阅 VMware 文档和 PowerStore Manager 联机帮助。

与 VASA 相关的身份认证

要启动从 vCenter 到 PowerStore Manager VASA 提供程序的连接，请使用 vSphere 客户端输入以下信息：

● VASA 提供程序的 URL，对于 VASA 3.0 使用以下格式：https://<Management IP address>:8443/version.xml。

● PowerStore Manager 用户的用户名（角色必须为 VM 管理员或管理员）。

注: VM 管理员角色仅用作一种注册证书的方法。

● 与该用户关联的密码。

此处使用的 PowerStore Manager 凭据将只在该连接的第一步使用。如果 PowerStore Manager 凭据对于目标群集有效，则将向群集

自动注册 vCenter 服务器的证书。该证书用于验证来自 vCenter 的所有后续请求。安装或向 VASA 提供程序上传该证书不需要手动步

骤。如果证书已过期，vCenter 必须注册新证书才能支持新会话。如果用户撤消了证书，则会话将失效且连接将断开。

身份验证和访问