在新的 NSX Advanced Load Balancer 控制器上为 HSM 通信配置专用接口

NSX Advanced Load Balancer 控制器上的专用 HSM 接口使用以下 YAML 参数：

avi.hsm-ip.Controller
avi.hsm-static-routes.Controller
avi.hsm-vnic-id.Controller

YAML 参数

要在新的 NSX Advanced Load Balancer 控制器上进行配置，可以在零日 YAML 文件中提供以下参数：


YAML 参数	描述	格式	示例
avi.hsm-ip.Controller	控制器上的专用 HSM vNIC 的 IP 地址（这不是 HSM 设备的 IP 地址）	IP 地址/子网掩码	avi.hsm-ip.SE: 10.160.103.230/24
avi.hsm-static-routes.Controller	用于从相应 NSX Advanced Load Balancer 控制器中访问 HSM 设备的静态路由（以逗号分隔）。甚至可以提供 /32 路由。注：如果具有单个静态路由，请提供相同的路由，并确保方括号是成对的。另外，如果 HSM 设备位于与专用接口相同的子网中，请提供该网关以作为子网的默认网关。	[ hsm-network1/mask1 via gateway1, hsm-network2/mask2 via gateway2 ] 或 [ hsm-network1/mask1 via gateway1 ]	avi.hsm-static-routes.Controller: [10.128.1.0/24 via 10.160.103.1, 10.130.1.0/24 via 10.160.103.1]
avi.asm-vnic-id.Controller	专用 HSM vNIC 的 ID，在 CSP 上通常为 1。vNIC0 是管理接口，默认情况下，这是 NSX Advanced Load Balancer 控制器上的唯一接口。	数字 vNIC ID	avi.hsm-vnic-id.Controller: '1'

说明

用于在 CSP 上进行零日配置的示例 NSX Advanced Load Balancer 控制器服务 YAML 文件如下所示：

bash# cat avi_meta_data_ctlr-dedicated-hsm.yml 

avi.default-gw.Controller: 10.128.2.1
avi.mgmt-ip.Controller: 10.128.2.30
avi.mgmt-mask.Controller: 255.255.255.0
avi.hsm-ip.Controller: 10.160.103.230/24
avi.hsm-static-routes.Controller: [10.128.1.0/24 via 10.160.103.1, 10.130.1.0/24 via 10.160.103.1]
avi.hsm-vnic-id.Controller: '1'

在使用该零日配置创建 NSX Advanced Load Balancer 控制器并将额外虚拟网卡接口添加到 CSP 上的 NSX Advanced Load Balancer 控制器服务实例后，请确认成功应用了专用 vNIC 配置，并且可以通过专用接口访问 HSM 设备。此处，我们将 eth1 配置为具有 IP 10.160.103.230/24 的专用 HSM 接口。

bash# ssh admin@<CONTROLLER-MGMT-IP>
bash# ifconfig eth1
eth1      Link encap:Ethernet  HWaddr 02:4a:80:02:11:04  
          inet addr:10.160.103.230  Bcast:10.160.103.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:342620 errors:0 dropped:2855 overruns:0 frame:0
          TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:29201376 (29.2 MB)  TX bytes:11230 (11.2 KB)
bash# ip route
default via 10.128.2.1 dev eth0 
10.128.1.0/24 via 10.160.103.1 dev eth1 
10.128.2.0/24 dev eth0  proto kernel  scope link  src 10.128.2.18 
10.130.1.0/24 via 10.160.103.1 dev eth1 
10.160.103.0/24 dev eth1  proto kernel  scope link  src 10.160.103.218 
172.17.0.0/16 dev docker0  proto kernel  scope link  src 172.17.0.1 
bash# ping -I eth1 <HSM-IP>
ping -I eth1 10.130.1.10
PING 10.130.1.10 (10.130.1.10) from 10.160.103.230 eth1: 56(84) bytes of data.
64 bytes from 10.130.1.10: icmp_seq=1 ttl=62 time=0.229 ms