Reference Guide
Sesión de vCenter, conexión segura y credenciales
Una sesión de vCenter comienza cuando un administrador de vSphere usa vSphere Client para proporcionar a vCenter Server la URL del
proveedor de VASA y las credenciales de inicio de sesión. vCenter Server usa la URL, las credenciales y el certificado SSL del proveedor de
VASA para establecer una conexión segura con el proveedor de VASA. La sesión de vCenter finaliza cuando se produce uno de los
eventos siguientes:
● Un administrador usa vSphere Client para quitar el proveedor de VASA de la configuración de vCenter y vCenter Server finaliza la
conexión.
● Falla vCenter Server o un servicio de vCenter Server, lo cual finaliza la conexión. Si vCenter o el servicio vCenter Server no pueden
restablecer la conexión SSL, se iniciará una nueva.
● Falla el proveedor de VASA, lo cual finaliza la conexión. Cuando se inicia el proveedor de VASA, puede responder a la comunicación
proveniente de vCenter Server para restablecer la conexión SSL y la sesión de VASA.
Una sesión de vCenter se basa en la comunicación HTTPS segura entre vCenter Server y un proveedor de VASA. En VASA 3.0, vCenter
Server actúa como autoridad de certificación de VMware (VMCA). El proveedor de VASA transmite un certificado autofirmado a petición,
una vez que se autoriza la solicitud. Agrega el certificado de VMCA a su almacén de confianza y, a continuación, emite una solicitud de
firma de certificado y reemplaza su certificado autofirmado por el certificado firmado de VMCA. El proveedor de VASA autenticará las
conexiones futuras mediante el certificado del servicio de monitoreo del almacenamiento (SMS) del cliente validado en función del
certificado de firma raíz antes registrado. Un proveedor de VASA genera identificadores únicos para los objetos de entidad de
almacenamiento, los cuales utiliza vCenter Server para solicitar los datos de una entidad específica.
El proveedor de VASA utiliza certificados SSL y el identificador de sesión de VASA para validar las sesiones de VASA. Después de
establecer la sesión, un proveedor de VASA debe validar tanto el certificado SSL como el identificador de sesión de VASA asociado a cada
llamada de función desde vCenter Server. El proveedor de VASA usa el certificado de VMCA almacenado en su almacén de confianza para
validar el certificado asociado a las llamadas de función desde el SMS de vCenter. Las sesiones de VASA son persistentes en distintas
conexiones SSL. Si se interrumpe una conexión SSL, vCenter Server ejecutará un protocolo de enlace de SSL con el proveedor de VASA
para restablecer la conexión SSL en el contexto de la misma sesión de VASA. Si vence el certificado SSL, el administrador de vSphere
debe generar un certificado nuevo. vCenter Server establecerá una conexión SSL nueva y registrará el certificado nuevo con el proveedor
de VASA.
PRECAUCIÓN:
SMS no llama a la función unregisterVASACertificate frente a un proveedor de VASA 3.0. Por lo
tanto, incluso después de la anulación del registro, el proveedor de VASA puede continuar utilizando su certificado
firmado de VMCA obtenido de SMS.
autenticación CHAP
El protocolo de autenticación por desafío mutuo (CHAP) es un método de autenticación de iniciadores iSCSI (hosts) y destinos
(volúmenes e instantáneas). CHAP expone el almacenamiento iSCSI y garantiza un protocolo de almacenamiento estándar seguro. La
autenticación depende de una seña secreta, similar a una contraseña, conocida tanto para el autenticador como para el par. El protocolo
CHAP tiene dos variantes:
● La autenticación CHAP único permite que el destino iSCSI autentique al iniciador. Cuando un iniciador intenta conectarse a un destino
(modo normal o a través del modo de descubrimiento), le proporciona a este un nombre de usuario y una contraseña.
● La autenticación CHAP mutuo se aplica además de CHAP único. CHAP mutuo permite que el destino iSCSI y el iniciador se
autentiquen entre sí. El iniciador iSCSI autentica a cada destino iSCSI que presenta el grupo. Cuando un iniciador intenta conectarse a
un destino, proporciona al iniciador un nombre de usuario y una contraseña. El iniciador compara el nombre de usuario y la contraseña
proporcionados con la información que posee. Si coinciden, el iniciador puede conectarse al destino.
NOTA:
Si se utilizará CHAP en el entorno, se recomienda configurar y habilitar la autenticación CHAP antes de preparar los
volúmenes para recibir datos. Si prepara las unidades para recibir datos antes de configurar y habilitar la autenticación CHAP, podría
perder el acceso a los volúmenes.
PowerStore no es compatible con el modo de descubrimiento de CHAP de iSCSI. En la siguiente tabla se muestran las limitaciones de
PowerStore en relación con el modo de descubrimiento de CHAP de iSCSI.
Tabla 1. Limitaciones del modo de descubrimiento de CHAP de iSCSI
Modo de CHAP Modo único (iniciador habilitado) Modo mutuo (iniciador y destino
habilitados)
Descubrimiento PowerStore no autenticará (reto) al host.
La autenticación no se puede usar para
impedir el descubrimiento de destinos. Esto
PowerStore no responderá a una solicitud
de autenticación (reto) desde un host y el
16 Autenticación y acceso