NSX Advanced Load Balancer 服务引擎上的专用硬件安全模块 (HSM) 接口使用以下配置参数:

  • avi.hsm-ip.SE

  • avi.hsm-static-routes.SE

  • avi.hsm-vnic-id.SE

对于现有的 SE,可以在 /etc/ovf_config 文件中填充这些参数。

注:

该文件中的所有参数以逗号分隔,文件格式与用于启动新服务引擎的 YAML 文件略有不同。不过,这些参数及其相应的格式与新服务引擎完全相同。

YAML 参数

YAML 参数

描述

格式

示例

avi.hsm-ip.SE

SE 上的专用 HSM vNIC 的 IP 地址(这不是 HSM 的 IP 地址)

IP 地址/子网掩码

avi.hsm-ip.SE: 10.160.103.227/24

avi.hsm-static-routes.SE

用于访问 HSM 设备的静态路由(以逗号分隔)。甚至可以提供 /32 路由。

注:

如果具有单个静态路由,请提供相同的路由,并确保方括号是成对的。另外,如果 HSM 设备位于与专用接口相同的子网中,请提供该网关以作为子网的默认网关。

[HSM 网络 1/掩码 1 via 网关 1, HSM 网络 2/掩码 2 via 网关 2] 或 [HSM 网络 1/掩码 1 via 网关 1]

avi.hsm-static-routes.SE: [10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2]

avi.hsm-vnic-id.SE

专用 HSM vNIC 的 ID,在 CSP 上通常为 3(vNIC0 是管理接口,vNIC1 是数据输入接口,vNIC2 是数据输出接口)

数字 vNIC ID

avi.hsm-vnic-id.SE: '3'

配置参数

要在现有的 SE CSP 服务上添加专用的 HSM vNIC,请执行以下步骤:

注:

在下面提供的示例配置中,使用了 vNIC3,它实际是 CSP 服务上的第 4 个网卡。

  1. 导航到配置 > 服务 > 操作 > 关闭电源以使用 CSP 用户界面关闭 NSX Advanced Load Balancer SE 服务电源。

  2. 导航到配置 > 服务 > 操作 > 服务编辑 > 添加 vNIC,以使用所需的参数将新的 vNIC 添加到 SE 中。提供 VLAN ID、VLAN 类型、带有 VLAN 标记、网络名称和型号等。单击提交

  3. 要在 CSP UI 上打开 SE 服务电源,请导航到配置 > 服务 > 操作 > 打开电源

要配置 NSX Advanced Load Balancer 服务引擎,请执行以下操作:

  1. 使用 NSX Advanced Load Balancer 服务引擎 Bash Shell 执行以下步骤。

    ssh admin@<SE-MGMT-IP&gt
 bash#
 bash# sudo su
 bash# /opt/avi/scripts/stop_se.sh
 bash# mv /var/run/avi/ovf_properties.saved /home/admin
    注:

    执行移动操作;不要复制该文件。编辑该文件以提供三个以逗号分隔的 HSM 专用网卡相关参数。该文件如下所示:

    bash# cat /home/admin/ovf_properties.saved
  AVICNTRL: 10.128.2.18, AVICNTRL_AUTHTOKEN: 1403771c-	fc59-4d76-89b2-b3c35682b342,
  avi.default-gw.SE: 10.128.2.1,
  avi.hsm-ip.SE: 10.160.103.227/24,
  avi.hsm-static-routes.SE:[10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2],
  avi.hsm-vnic-id.SE: '3',
  avi.mgmt-ip.SE: 10.128.2.27, ovf_source: CSP,
  uuid: FCE9B12D-A1B0-4EF3-B922-BDC2A5F8AA11

    bash# cp /home/admin/ovf_properties.saved /etc/ovf_config
  bash# /opt/avi/scripts/start_se.sh

  2. 确认正确应用了专用 vNIC 信息,并且可以使用该接口访问 HSM 设备。在该示例配置中,为 eth3 专用 HSM 接口配置了 IP 10.160.103.227/24。

    bash# ssh admin@<SE-MGMT-IP>
 bash# ifconfig eth3
 eth3      Link encap:Ethernet  HWaddr 02:6a:80:02:11:05  
          inet addr:10.160.103.227  Bcast:10.160.103.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4454601 errors:0 dropped:1987 overruns:0 frame:0
          TX packets:4510346 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:672683711 (672.6 MB)  TX bytes:875329395 (875.3 MB)
  bash# ip route
 default via 10.128.2.1 dev eth0 
 10.128.1.0/24 via 10.160.103.1 dev eth3
 10.128.2.0/24 via 10.160.103.2 dev eth3
 10.128.2.0/24 dev eth0  proto kernel  scope link  src 10.128.2.27 
 10.160.103.0/24 dev eth3 proto kernel  scope link  src 10.160.103.227
bash# ping -I eth3 <HSM-IP>
ping -I eth3 10.128.1.51
PING 10.128.1.51 (10.128.1.51) from 10.160.103.227 eth3: 56(84) bytes of data.
64 bytes from 10.128.1.51: icmp_seq=1 ttl=62 time=0.229 ms