IBM Cloud Docs
管理 Entrust CloudControl

管理 Entrust CloudControl

对于 VMware Cloud Foundation for Classic - Automated 实例的新部署或现有部署,不支持 Entrust CloudControl™ (以前为 HyTrust CloudControl )的新安装。 您仍然可以在现有实例上使用或删除现有的 Entrust CloudControl 安装。

要管理 Entrust CloudControl, 请从 IBM Cloud® for VMware Solutions 控制台,或从 VMware vSphere® Web Client 访问 Entrust CloudControl 控制台。

在 VMware Solutions 控制台访问 Entrust CloudControl WebGUI

要登录主或辅助 Entrust CloudControl 设备的 WebGUI,请使用 Entrust CloudControl 服务详细信息页面上的 WebGUI 凭据。

从 vSphere Web Client 访问 Entrust CloudControl 控制台

要从 vSphere Web Client 访问 Entrust CloudControl 控制台,请使用以下步骤:

  1. 在 vSphere Web Client 中,找到名为 CC1CC2.
  2. 右键单击 CC1CC2,并单击打开控制台
  3. 使用 Entrust CloudControl 服务详细信息页面上的控制台凭据登录控制台。

有关详细信息,请参阅 为 VCF for Classic - Automated 实例订购服务

添加和删除主机和群集时的注意事项

当您在实例中添加和删除主机和群集时,VMware Solutions 不会为您管理 Entrust CloudControl 清单和凭证。IBM Cloud 假定您采取措施锁定 IBM Cloud 自动化,使其无法访问您的 Entrust CloudControl 部署。

查找已定义的防火墙和 SNAT 规则的步骤(仅限 NSX-T)

  1. 登录 NSX-T 管理器,单击菜单中的 Networking

  2. 从左侧导航面板单击 NAT

  3. 网关列表中选择 T0 合并网关。

    EntrustCC SNAT 规则显示在 NAT 规则表中。

有关网络时间的已知问题(仅适用于 Entrust CloudControl 5.x)

在 Entrust CloudControl 5.x Web 控制台上,如果转到 常规 > 健康状况Network Time (NTP) 值在 服务 部分可能显示为禁用。 虽然控制台上的值显示已禁用,但 NTP 仍在正常工作。

为 Entrust CloudControl 虚拟机启用互联网访问(仅限 Entrust CloudControl 5.x)

IBM Cloud for VMware Solutions 为启用呼叫主页功能的 Entrust 许可证提供自动续订支持。 对于非专用的 VCF for Classic - Automated 实例,Entrust CloudControl 部署了防火墙和 SNAT(源网络地址转换)规则,这些规则定义在管理服务 ESG mgmt-nsx-edge 上。

这些规则允许 Entrust 虚拟机访问互联网。 如果未启用互联网访问,应用于 Entrust CloudControl 安装的许可证将在一年后过期。

对于专用 vCenter 服务器环境,不添加 VMware NSX® Edge 服务网关 (ESG) mgmt-nsx-edge。 因此,没有定义防火墙和 SNAT 规则。 因此,私人实例无法启用互联网连接,Entrust 许可证每年过期一次。

查找已定义的防火墙和 SNAT 规则的步骤(仅适用于 Entrust CloudControl 5.x 和 NSX-V)

  1. 登录 VMware® vSphere Web Client (FLEX),找到 ESG mgmt-nsx-edge
  2. 单击主页 > 网络和安全 > NSX 边缘
  3. 双击 ESG mgmt-nsx-edge,然后单击管理选项卡。
  4. 转到“防火墙”选项卡,找到 Entrust 规则。 注意源 IP 地址,即 Entrust 虚拟机的 IP 地址。
  5. 转到 NAT 选项卡,找到为 Entrust 虚拟机创建的 SNAT 规则。 源 IP 地址与上一步中记录的 IP 地址一致。

为 Entrust CloudControl 启用互联网连接的步骤(仅适用于 Entrust CloudControl 5.x)

以下步骤适用于更新主虚拟机(用于许可证升级)上的 Entrust CloudControl 网络设置。 无需更新辅助 VM 的设置。

  1. 完成上一个过程中的步骤 1-3。

  2. 单击设置,然后单击接口。 记下专用上行链路的 IP 地址,这将成为新的缺省网关。

  3. 转到 Entrust CloudControl 服务详细信息页面,单击查看 Entrust CloudControl Web UI,然后使用服务详细信息页面上的凭据登录。

  4. 记下现有缺省网关。 单击 配置 > 网络。 记下列出的网关 IP 地址,这将成为静态路由的网关。

  5. 添加静态路由。 单击配置 > 静态路由。 单击添加,输入以下信息,然后单击确定

    Network Address: 10.0.0.0
Mask: 255.0.0.0
Gateway: IP noted in step 4
Device: Network 1

  6. 更改缺省网关。 单击“配置”>“网络”,将网关字段中的 IP 地址替换为步骤 3 中的地址,然后单击“保存”。

    请确保在更改缺省网关之前设置了静态路由,否则 Web 控制台可能变为不可访问。

    主虚拟机现在可以访问互联网。

  7. 要确认主 VM 是否具有因特网访问权,请对公共 IP 地址或 Web 站点运行 wget 命令。 为此,请返回 vCenter 服务器并右键单击 CC1 > 打开控制台。 使用 Entrust CloudControl 服务详细信息页面中的控制台凭据登录控制台。 运行 wget 命令,如 wget www.ibm.com,可立即收到响应。 确认请求已发送,并收到 200 响应。

删除 Entrust CloudControl 时的注意事项

在删除服务之前,请查看以下注意事项:

  • 删除 Entrust CloudControl, 之前,请禁用 Root Password Vaulting(如果已配置),并从 Entrust CloudControl 中删除所有受保护主机。
  • 作为 Entrust CloudControl 服务配置的一部分,已启用全局 PIP。 样本用户和组已在 Active Directory (AD) 中预先配置,并显示在服务详细信息页面上。 如果删除 Entrust CloudControl, 样本用户也会从 AD 中删除。 设置一个示例信任清单,为创建的示例用户提供单点登录(SSO)权限。 您可以根据自己的要求自定义此设置。
  • 如果您在 VMware Solutions v4.0 之前安装了 Entrust CloudControl 并且删除了服务,则必须手动删除 DNS 条目。 有关详细信息,请参阅 手动删除 DNS 条目