本文介绍了如何配置 NSX Advanced Load Balancer 以使用 Thales Luna Network HSM 提供的密钥生成和加密/解密服务。这样,可以使用 Thales Luna Network HSM 来存储与虚拟服务上配置的 SSL/TLS 资源关联的密钥。

NSX Advanced Load Balancer 包含联网的 Thales Luna HSM 产品(以前称为 SafeNet Luna Network HSM)和 AWS CloudHSM V2 的集成支持。

本文介绍了 Thales Luna Network HSM(以前称为 SafeNet Luna Network HSM)集成。有关品牌更名的更多信息,请单击此处

集成支持

NSX Advanced Load Balancer 可以配置为在高可用性 (HA) 模式下支持 HSM 设备集群。要使 NSX Advanced Load Balancer 支持 HSM 设备,需要安装用户的 Thales Luna 客户端软件包,可以从 Thales 网站中下载该软件包。

注:

NSX Advanced Load Balancer 还支持 Thales Luna HSM Universal Client 10.4.1 版本。

默认情况下,NSX Advanced Load Balancer 控制器 和服务引擎使用相应的管理接口进行 HSM 通信。在 CSP 上,NSX Advanced Load Balancer 支持使用专用的服务引擎数据接口进行 HSM 交互。此外,在 CSP 平台上,您可以使用专用的控制器接口进行 HSM 通信。

您可以选择在管理员租户中创建 HSM 组,并将所有服务引擎分布在多个租户中。这样,就可以将 HSM 组附加到相应的 SE 组,以便为每个 SE 组启用 HSM。在该模式下,选择专用接口或管理接口以进行 HSM 通信的配置过程是在 admin 租户中完成的;将强制所有其他租户使用该配置。

或者,您也可以在相应的租户中创建 HSM 组。用于 HSM 通信的专用接口或管理接口的配置选项是在租户级别确定的。在该模式下,控制器 IP 可能会在每个 HSM 组中发生重叠。在内部,将创建一次这些重叠客户端的证书,并在以后创建任何 HSM 组时重复使用该证书。

必备条件

  • 在您的网络上安装了 Thales Luna 设备。

  • 可以从 NSX Advanced Load Balancer 控制器 和服务引擎中访问 Thales Luna 设备。

  • 安装客户端软件之前,Thales Luna 设备必须定义虚拟 HSM 分区。客户端与 HSM 上的唯一分区相关联。必须在所有配置为高可用性/非高可用性模式的 HSM 上预先创建这些分区。还要注意,在所有 HSM 设备上的分区中,用于访问这些分区的密码必须相同。

  • 提供了 Thales Luna 设备的服务器证书,以便在 NSX Advanced Load Balancer 控制器 中创建 HSM 组以进行相互身份验证。

  • 每个 NSX Advanced Load Balancer 控制器 和服务引擎必须:

    • 具有 Thales Luna 提供的客户端许可证以访问 HSM。

    • 能够通过控制器管理接口或控制器专用接口以及服务引擎管理接口或服务引擎专用管理接口在端口 22 和 1792 上访问 HSM。

下载以下内容:

  • Thales Luna Network HSM 客户端软件。

  • Thales Luna Network HSM 客户文档。

HSM 组更新

在创建 HSM 组后,更新或删除该组需要重新加载新的 Thales Luna 配置,只能重新启动服务引擎以实现该目的。重新启动服务引擎将会暂时中断流量。