IBM Cloud Docs
管理 Entrust KeyControl

管理 Entrust KeyControl

对于 VMware Cloud Foundation for Classic - Automated 实例的新部署或现有部署,不支持 Entrust KeyControl™ (以前为 HyTrust KeyControl )的新安装。 您仍然可以在现有实例上使用或删除现有的 Entrust KeyControl 安装。

要管理 Entrust KeyControl, 请从 IBM Cloud® for VMware Solutions 控制台,或从 vSphere® Web Client 访问 Entrust KeyControl 控制台。

在 VMware Solutions 控制台访问 Entrust KeyControl 网络图形用户界面

要登录主或辅助 Entrust KeyControl 设备的 WebGUI,请使用 Entrust KeyControl 服务详细信息页面上的 WebGUI 凭据。

从 vSphere Web Client 访问 Entrust KeyControl 控制台

要从 vSphere Web Client 访问 Entrust KeyControl 控制台,请使用以下步骤:

  1. 在 vSphere Web Client 中,找到名称以 KC1KC2 与 Entrust KeyControl 服务详细信息页面上的 IP 地址相匹配的虚拟机(VM)。
  2. 右键单击 KC1KC2,并单击打开控制台
  3. 使用 Entrust KeyControl 服务详细信息页面上的控制台凭据登录控制台。

为 Entrust KeyControl 虚拟机启用互联网访问

对于 Entrust KeyControl 4.3.2 及更高版本,IBM Cloud for VMware Solutions 为启用呼叫主页功能的 Entrust 许可证提供自动续订支持。 对于非专用的 VMware Cloud Foundation for Classic - Automated 实例,Entrust KeyControl 部署了防火墙和 SNAT(源网络地址转换)规则,这些规则定义在管理服务 ESG mgmt-nsx-edge 上。

这些规则允许 Entrust 虚拟机访问互联网。 如果未启用互联网访问,应用于 Entrust KeyControl 安装的许可证将在一年后过期。

对于专用 vCenter 服务器环境,不添加 VMware® NSX Edge 服务网关 (ESG) mgmt-nsx-edge。 因此,没有定义防火墙和 SNAT 规则。 因此,私人实例无法启用互联网连接,Entrust 许可证每年过期一次。

查找已定义的防火墙和 SNAT 规则的过程

  1. 登录 VMware vSphere® Web Client (FLEX),找到 ESG mgmt-nsx-edge
  2. 单击主页 > 网络和安全 > NSX 边缘
  3. 双击 ESG mgmt-nsx-edge,然后单击管理选项卡。
  4. 转到“防火墙”选项卡,找到 Entrust 规则。 注意源 IP 地址,即 Entrust 虚拟机的 IP 地址。
  5. 转到 NAT 选项卡,找到为 Entrust 虚拟机创建的 SNAT 规则。 源 IP 地址与上一步中记录的 IP 地址一致。

为 Entrust 启用互联网连接的程序 KeyControl

  1. 完成上一个过程中的步骤 1 - 3。
  2. 单击设置,然后单击接口。 记下专用上行链路的 IP 地址。 该地址就是新的默认网关。
  3. 单击主页 > 主机和群集,找到 Entrust 虚拟机。 右键单击其中一个 VM,然后单击打开控制台
  4. 使用 IBM Cloud for VMware Solutions 控制台上 Entrust KeyControl 服务详细信息页面中的控制台凭据登录控制台。
  5. 要从 VM 获取当前缺省网关 IP 地址,请单击管理网络设置 > 显示当前网络配置。 记下为网关列出的 IP 地址。 此地址将成为用于静态路由的网关。
  6. 要为 VM 设置静态路由,请单击管理网络设置 > 管理静态路由 > 添加静态路由。 将网络地址设为 10.0.0.0/8,将网关设为上一步中的 IP 地址。
  7. 要设置 VM 的缺省网关 IP,请单击管理网络设置 > 更改当前网络配置。 如果收到警告消息,请单击确定,然后单击定制配置。 将网关字段设置为步骤 2 中记录的专用上行链路 IP 地址,然后单击确定。 等待安装新的网络配置并重新启动网络服务。
  8. 如果看到要求 Entrust SecureOS 重新验证的消息,请单击“**确定 **”并输入此安装的另一个 Entrust VM 的 IP 地址。 如果要求您输入 16 个字符的口令,请按 Enter 键以返回到主菜单。 验证当前网络配置以确保应用更改。
  9. 要确认 VM 是否有权访问因特网,请对公共 IP 地址或 Web 站点执行 ping 操作。 单击管理网络设置 > 网络诊断工具 > 测试其他服务器的入站端口。 键入一个公共网站地址,例如 www.ibm.com,单击 确定,键入 80 443 端口(或任何其他要测试的端口)。 您必须立即收到显示入站端口的响应,并显示类似 80 (OK) 443 (OK) 的信息。
  10. 对另一个 Entrust 虚拟机重复步骤 3 - 9。

删除 Entrust KeyControl 时的注意事项

在删除服务之前,请查看以下注意事项:

  • 删除 Entrust KeyControl, 之前,请将所有客户端与使用 Entrust KeyContol 的客户端解耦。 删除服务后,密钥可能会被删除,您可能会被锁定在虚拟机之外。
  • 如果您在 VMware® Solutions v4.0 之前安装了 Entrust KeyControl 服务,并且删除了该服务,则必须手动删除 DNS 条目。 有关详细信息,请参阅 手动删除 DNS 条目