本节介绍了 SE 数据路径隔离以及配置数据路径检测信号和 IPC 封装配置控制项。

该功能为数据路径和控制平面 SE 功能创建两个单独的 CPU 集。创建这两个单独的专用 CPU 集将减少 se_dp 实例数。部署的 se_dps 数量取决于自动模式下的可用主机 CPU 数或在自定义模式下配置的 non_dp CPU 数。

仅在具有 >= 8 个 CPU 的主机 CPU 实例上支持该功能。

注:

可以为对延迟和抖动敏感的应用程序启用该运行模式。

仅限 Linux 服务器云 - 必须满足以下必备条件才能使用该功能:

  1. 必须在主机上安装 CPU 集包 cpuset-py3,并且该包必须位于 /usr/bin/cset 位置中(可能需要创建软链接)

  2. 必须在主机上具有任务集实用程序

  3. 具有 cset 模块所需的 pip3 future 包

对于完全访问环境,将在服务引擎安装期间安装所需的包。

您可以通过 SE 组控制项启用该功能:

SE 组控制项

字符

描述

se_dp_isolation

布尔值

默认情况下,将停用此功能。如果启用该功能,您需要在 SE 上创建两个 CPU 集。要进行切换,需要重新引导 SE。

se_dp_isolation_num_non_dp_cpus

整数

允许为 non_dp CPU 保留 1-8 个 CPU。

如果配置为“0”,则会启用自动分配。默认情况下,将选择 Auto。如果修改该选项,则需要重新引导 SE。
下表显示了自动模式下的 CPU 分配:

总 CPU 数

non_dp 数

1-7

0

8-15

1

16-23

2

24-31

3

32-1024

4
示例:

  1. 对于在自动模式下具有 16 个主机 CPU 的实例,使用隔离模式导致将 14 个 CPU 用于数据路径实例,并将 2 个 CPU 用于控制平面应用程序。

  2. 对于在自定义模式下具有 16 个主机 CPU 的实例,使用隔离模式并将 se_dp_isolation_num_non_dp_cpu 配置为 4 导致将 12 个 CPU 用于数据路径实例,并将 4 个 CPU 用于控制平面应用程序。

该功能以 GA 形式提供,并且以下注意事项适用:

  • maximum se_dp_isolation_num_non_dp_cpus 限制为 8。需要明确设置该参数。在自动模式下,最大值仍为 4。

数据路径检测信号和 IPC 封装配置

以下数据路径检测信号和 IPC 封装配置控制项属于 segroup

  • dp_hb_frequency

  • dp_hb_timeout_count

  • dp_aggressive_hb_frequency

  • dp_aggressive_hb_timeout_count

  • se_ip_encap_ipc

  • se_l3_encap_ipc

许可证

  • 许可证套餐 - 指定将由新 SE 组使用的许可证套餐。默认情况下,该字段从系统配置中继承值。

  • 许可证类型 - 如果未指定许可证类型,则 NSX Advanced Load Balancer 为云类型应用默认许可证实施。默认映射是容器云的最大 SE 数、OpenStack 和 VMware 的最大内核数以及 Linux 的最大插槽数。

  • 实例类型 - 实例类型是一个 AWS 术语。在云部署中,该参数指定一组 AWS EC2 实例类型之一。类型是类似的 OpenStack 术语。其他云(尤其是公有云)可能具有基本相同的术语。

SE 组的“高级”选项卡

服务引擎组中的高级选项卡支持为 SE 组配置可选的功能。该选项卡仅适用于配置为写入访问模式的云。是否显示某些字段取决于所选的内容。

服务引擎名称前缀:输入在命名 SE 组中的 SE 时使用的前缀。将在 NSX Advanced Load Balancer 中显示该名称,并在虚拟化 Orchestrator 中显示为虚拟机名称。

服务引擎文件夹 - 在虚拟化 Orchestrator 中,该 SE 组的 SE 虚拟机将使用该文件夹名称进行分组。

之后删除未使用的服务引擎 - 输入在控制器删除未使用的 SE 之前等待的分钟数。流量模式可能会快速变化,因此,虚拟服务可能需要在几乎不发出通知的情况下扩展到更多 SE。如果将该字段设置为较高的值,则可以确保 NSX Advanced Load Balancer 保留未使用的 SE 以在流量突然激增时使用。较短的时间值表示,控制器需要重新创建新的 SE 以处理流量突增,这可能需要几分钟的时间。

主机和数据存储范围

  • 主机范围服务引擎:将 SE 部署在最符合放置的资源和可访问性条件的任何主机上。该设置指定如何放置服务引擎,如下所示:

    • 任意:默认设置允许将 SE 部署到最符合部署条件的任何主机中。

    • 集群:禁止在指定的主机集群中部署 SE。选中“包括”复选框将颠倒该逻辑,从而确保仅在指定的集群中部署 SE。

    • 主机:禁止在指定的主机上部署 SE。“包括”复选框颠倒该逻辑,从而确保仅在指定的主机中部署 SE。

  • 服务引擎虚拟机的数据存储范围:设置 SE 存储位置以存储 VMware 部署的 OVA (vmdk) 文件。

    • 任意NSX Advanced Load Balancer 将确定数据存储的最佳选项。

    • 本地:SE 仅使用物理主机上的存储。

    • 共享NSX Advanced Load Balancer 优先使用共享存储位置。在单击该选项时,可以指定排除或包括特定的数据存储。

高级高可用性和放置

  • 缓冲区服务引擎:这是为高可用性故障切换置备的额外容量。在弹性高可用性 N+M 模式下,该容量表示为 M,这是整数数量的缓冲区服务引擎。它实际转化为潜在的 VS 放置次数。缓冲区服务引擎表示专用于 SE 高可用性的备用容量。要计算该数量,NSX Advanced Load Balancer 将 M 乘以每个 SE 的最大虚拟服务数。例如,如果用户请求 2 个缓冲区 SE (M=2),并且 max_VS_per_SE 为 5,则数量为 10。如果未达到每个组的最大 SE 数,NSX Advanced Load Balancer 将启动更多 SE 以确保能够放置 10 次。正如右图所示,已放置 6 个虚拟服务,并且当前的备用容量数为 14 个,对于放置 10 次绰绰有余。在 SE2 填满时,备用容量正好派上用场。如果在 SE3 上放置第 11 个虚拟服务,数量将减少到 9 个并需要启动 SE5。

  • 按虚拟服务扩展:一对整数确定可以将单个虚拟服务放置到的最小和最大活动 SE 数。在使用本机 SE 扩展时,用户可以输入的最大值为 4;在使用基于 BGP 的 SE 扩展时,该限制要高得多,这是由上游路由器上的 ECMP 支持控制的。

  • 服务引擎故障检测:该选项是指,NSX Advanced Load Balancer 完成 SE 接替工作所需的时间。标准时间大约为 9 秒,激进时间为 1.5 秒。

  • 自动重新均衡:如果选择该选项,在 SE 上的 CPU 负载低于最小阈值或超过最大阈值时,将自动迁移(扩展或缩减)虚拟服务。如果禁用该选项,则结果仅限于发出警示。NSX Advanced Load Balancer 评估是否需要重新均衡的频率可以设置为几秒钟的时间。

  • 关联性:选择该选项将导致 NSX Advanced Load Balancer 在多插槽 CPU 的同一插槽上为 SE 虚拟机分配所有内核。该选项仅适用于 vCenter 环境。需要在 ESX 主机中具有相应的物理资源。如果没有,SE 创建将会失败,并需要手动进行干预。

    注:

    如果数据存储是共享的,vCenter 下拉菜单将填充这些数据存储。将从列表中筛选掉非共享数据存储(这意味着,每个 ESX 主机具有自己的本地数据存储),因为在选择 ESX 主机以创建 SE 虚拟机时,将默认选择该 ESX 主机的本地数据存储。

  • 专用调度程序 CPU:如果选择该选项,则会将处理与数据网络之间的数据包接收/发送的内核专用于调度功能。该选项最适合 SE 具有三个或更多 vCPU 的组。

  • 覆盖管理网络:如果 SE 需要使用与控制器不同的管理网络,将在此处指定该网络。SE 使用其管理路由与控制器建立通信。

    有关更多信息,请参见《VMware NSX Advanced Load Balancer 管理指南》中的将 SE 部署到与控制器不同的数据中心

    注:

    只有在 SE 组的覆盖管理网络是 DHCP 定义的网络时,才能使用该选项。管理员尝试覆盖静态定义的管理网络(基础架构 > > 网络)将会失败,因为不允许在静态定义的子网中使用默认网关。

安全性

HSM 组:可以在模板 > 安全性 > HSM 组中配置硬件安全模块。HSM 是一个用于安全存储 SSL 证书和密钥的外部安全设备。HSM 组规定 SE 如何访问 HSM 以及在其中进行身份验证。

有关更多信息,请参见 SSL 密钥的物理安全性

日志收集和流式处理设置

  • 重要日志限制:它限制在 SE 上每秒为每个内核生成的重要日志条目数。可以将该参数设置为零以停用 UDF 日志限制。

  • UDF 日志限制:它限制在 SE 上每秒为每个内核生成的用户定义 (UDF) 日志条目数。UDF 日志条目是由于配置的客户端日志筛选器或启用了日志记录的规则而生成的。默认值为每秒 100 个日志条目。可以将该参数设置为零以停用 UDF 日志限制。

  • 非重要日志限制:它限制在 SE 上每秒为每个内核生成的非重要日志条目数。默认值为每秒 100 个日志条目。可以将该参数设置为零以停用非重要日志限制。

  • 流式传输线程数:用于日志流式传输的线程数,范围是 1 到 100。

其他设置

默认情况下,NSX Advanced Load Balancer 控制器 为 SE 创建和管理单个安全组 (SG)。该 SG 管理 SE 的控制平面和数据平面流量的输入/输出规则。在某些客户环境中,可能需要提供自定义 SG,以使其与 SE 管理平面和/或数据平面 vNIC 也相关联。

  • 有关 OpenStack 和 AWS 云中的 SG 的更多信息,请参见:

  • NSX Advanced Load Balancer 安装指南》中的 OpenStack 中的自定义安全组

  • NSX Advanced Load Balancer 安装指南》中的安全组:仅 AWS 云支持;如果启用该选项,NSX Advanced Load Balancer 将创建和管理安全组以及用户提供的自定义安全组。如果禁用,它仅使用用户提供的自定义 SG。

  • 管理 vNIC 自定义安全组:要与 OpenStack 和 AWS 云中的 SE 实例的管理 vNIC 关联的自定义安全组。

  • 数据 vNIC 自定义安全组:要与 OpenStack 和 AWS 云中的 SE 实例的数据 vNIC 关联的自定义安全组。

  • 添加自定义标记:Azure 和 AWS 云支持自定义标记,这些标记对于资源分组和管理非常有用。请单击添加自定义标记超链接以配置该选项。在NSX Advanced Load Balancer 安装指南》中的使用 CLI 为 Azure 和 AWS 添加自定义标记主题中介绍了 CLI 界面。

    • 要创建并分配给 Azure 中的资源的 Azure 标记启用键:值对。有关 Azure 标记的更多信息,请参阅 Azure 标记

    • AWS 标记有助于管理实例、映像和其他 Amazon EC2 资源,可以选择以标记形式将您自己的元数据分配给每个资源。有关 AWS 标记的更多信息,请参见NSX Advanced Load Balancer 安装指南》中的“为 AWS 中自动创建的 SE 配置标记”。

VIP 自动缩放

  • 仅显示 FIP 子网:在下拉菜单中仅显示 FIP 子网。

  • VIP 自动缩放子网:用于分配新的 IP 地址的子网的 UUID。