Reference Guide
VASA、vSphere、VVols の詳細については、VMware のドキュメントおよび PowerStore Manager オンライン ヘルプを参照してくだ
さい。
VASA に関連する認証
vCenter から PowerStore Manager VASA プロバイダーへの接続を開始するには、vSphere クライアントを使用して、次の情報を入力
します。
● VASA プロバイダーの URL。VASA 3.0 のフォーマット、https://<管理 IP アドレス>:8443/version.xml を使用します。
● PowerStore Manager ユーザー(役割が VM 管理者または管理者)のユーザー名。
メモ: VM 管理者ロールは厳密に、証明書を登録する手段として使用されます。
● そのユーザーに関連づけられているパスワード。
ここで使用される PowerStore Manager 認証情報は、接続のこの最初のステップでのみ使用されます。PowerStore Manager 認証情
報がターゲット クラスターに有効である場合は、vCenter Server の証明書が自動的にクラスターに登録されます。この証明書を使用
して、vCenter からの以降のすべてのリクエストが認証されます。この証明書を VASA プロバイダーにインストールまたはアップ
ロードするために手動の操作は必要ありません。この証明書が期限切れになった場合、新しいセッションをサポートするために
vCenter で新しい証明書を登録する必要があります。証明書がユーザーによって取り消された場合、セッションは無効化され、接続
は切断されます。
vCenter セッション、安全な接続と認証情報
vCenter セッションは、vSphere 管理者が vSphere クライアントを使用して、VASA プロバイダーの URL とログイン認証情報を
vCenter Server に入力したときに開始されます。vCenter Server は、この URL、認証情報、VASA プロバイダーの SSL 証明書を使用
して、VASA プロバイダーとの安全な接続を確立します。vCenter セッションは、次のいずれかのイベントが発生すると終了しま
す。
● 管理者が vSphere クライアントを使用して、vCenter の構成から VASA プロバイダーを削除し、vCenter Server が接続を終了し
たとき。
● vCenter Server または vCenter Server サービスが失敗し、接続が終了したとき。vCenter または vCenter Server サービスが SSL
接続を再確立できない場合は、新しいサービスを起動します。
● VASA プロバイダーが失敗し、接続が終了したとき。VASA プロバイダーが開始すると、SSL 接続および VASA セッションを再
確立するために、vCenter Server からの通信に応答できます。
vCenter セッションは、vCenter Server と VASA プロバイダーの間のセキュア HTTPS 通信を基にしています。VASA 3.0 では、
vCenter Server が VMware 認証局(VMCA)として動作します。VASA プロバイダーは、リクエストの許可後、リクエストに応じて
自己署名された証明書を送信します。そして、VMCA 証明書をトラストストアに追加した後、証明書署名リクエストを発行し、自
己署名された証明書を VMCA 署名証明書にリプレースします。以降の接続は、以前に登録したルート署名証明書と照合して確認さ
れたクライアントの Storage Monitoring Service(SMS)証明書を使用して VASA プロバイダーによって認証されます。VASA プロバ
イダーは、ストレージ エンティティー オブジェクトの一意の識別子を生成し、vCenter Server は、この識別子を使用して、特定の
エンティティーのデータをリクエストします。
VASA プロバイダーは、VASA セッションを確認するために SSL 証明書および VASA セッション識別子を使用します。セッションの
確立後、VASA プロバイダーは vCenter Server からの各関数呼び出しに関連づけられた SSL 証明書および VASA セッション識別子
の両方を確認する必要があります。VASA プロバイダーは、そのトラストストアに格納された VMCA 証明書を使用して、vCenter
SMS からの関数呼び出しに関連づけられた証明書を確認します。VASA セッションは、複数の SSL 接続間で継続されます。SSL 接
続がドロップすると、vCenter Server は同じ VASA セッションのコンテキストで SSL 接続を再確立するために VASA プロバイダー
に対して SSL ハンドシェイクを実行します。SSL 証明書の有効期限が切れた場合、vSphere 管理者は新しい証明書を生成する必要
があります。vCenter Server は新しい SSL 接続を確立し、VASA プロバイダーに新しい証明書を登録します。
注意: SMS は、3.0 VASA プロバイダーに対して unregisterVASACertificate 関数を呼び出しません。したがって、登録
解除した後でも、VASA プロバイダーは SMS から取得した VMCA 署名済み証明書を引き続き使用できます。
CHAP 認証
チャレンジ ハンドシェイク認証プロトコル(CHAP)は、iSCSI イニシエーター(ホスト)とターゲット(ボリュームとスナップシ
ョット)を認証する方法です。CHAP では、iSCSI ストレージが公開され、セキュアな標準ストレージ プロトコルが確保されます。
認証は、パスワードと同様に、認証システムとピアの両方が知っているシークレットを使用して行われます。CHAP プロトコルに
は、次の 2 つのタイプがあります。
● 単方向 CHAP 認証では、iSCSI ターゲットがイニシエーターを認証できます。イニシエーターは、(標準モードまたは検出モードに
より)ターゲットに接続しようとする際に、ユーザー名とパスワードをターゲットに提供します。
認証とアクセス 15