本文介绍了如何在新的 NSX Advanced Load Balancer 服务引擎上为硬件安全模块 (HSM) 和边带 (ASM) 通信配置专用接口。NSX Advanced Load Balancer 服务引擎上的专用 HSM 和边带接口使用以下配置参数。对于新的 SE,可以在零日 YAML 文件中提供这些参数。
YAML 参数
-
HSM 参数
ASM 参数YAML 参数
描述
格式
示例
avi.hsm-ip.SE
SE 上的专用 HSM vNIC 的 IP 地址(这不是 HSM 设备的 IP 地址)
IP 地址/子网掩码
avi.hsm-ip.SE: 10.160.103.227/24
avi.hsm-static-routes.SE
用于访问 HSM 设备的静态路由(以逗号分隔)。甚至可以提供 /32 路由。
注:如果具有单个静态路由,请提供相同的路由,并确保方括号是成对的。另外,如果 HSM 设备位于与专用接口相同的子网中,请提供该网关以作为子网的默认网关。
[HSM 网络 1/掩码 1 via 网关 1, HSM 网络 2/掩码 2 via 网关 2] 或 [HSM 网络 1/掩码 1 via 网关 1]
avi.hsm-static-routes.SE: [10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2]
avi.hsm-vnic-id.SE
专用 HSM vNIC 的 ID,在 CSP 上通常为 3(vNIC0 是管理接口,vNIC1 是数据输入接口,vNIC2 是数据输出接口)
数字 vNIC ID
avi.hsm-vnic-id.SE: '3'
YAML 参数 |
描述 |
格式 |
示例 |
avi.asm-ip.SE |
SE 上的专用 ASM vNIC 的 IP 地址(这不是 ASM 的 IP 地址) |
IP 地址/子网掩码 |
avi.asm-ip.SE: 10.160.103.227/24 |
avi.hsm-static-routes.SE |
用于访问 ASM 设备的静态路由(以逗号分隔)。甚至可以提供 /32 路由。该网关将是 ASM 设备的自身 IP。
注:
如果具有单个静态路由,请提供相同的路由,并确保方括号是成对的。另外,如果 ASM 虚拟服务 IP 位于与专用接口相同的子网中,请提供该网关以作为子网的默认网关。 |
[ asm-vip-network1/mask1 via gateway1, asm-vip-network2/mask2 via gateway2 ] 或 [ asm-vip-network1/mask1 via gateway1 ] |
avi.asm-static-routes.SE: [169.254.1.0/24 via 10.160.102.1, 169.254.2.0/24 via 10.160.102.2] |
avi.asm-vnic-id.SE |
专用 ASM vNIC 的 ID,在 CSP 上通常为 3(vNIC0 是管理接口,vNIC1 是数据输入接口,vNIC2 是数据输出接口) |
数字 vNIC ID |
avi.asm-vnic-id.SE: '3' |
配置
用于在 Cisco CSP 上进行零日配置的示例服务引擎 YAML 文件如下所示:
bash# cat avi_meta_data_dedicated_asm_hsm_SE.yml avi.mgmt-ip.SE: "10.128.2.18" avi.mgmt-mask.SE: "255.255.255.0" avi.default-gw.SE: "10.128.2.1" AVICNTRL: "10.10.22.50" AVICNTRL_AUTHTOKEN: “febab55d-995a-4523-8492-f798520d4515” avi.hsm-ip.SE: 10.160.103.227/24 avi.hsm-static-routes.SE:[ 10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2] avi.hsm-vnic-id.SE: '3' avi.asm-vnic-id.SE: ‘4' avi.asm-static-routes.SE: [169.254.1.0/24 via 10.160.102.1, 169.254.2.0/24 via 10.160.102.2] avi.asm-ip.SE: 10.160.102.227/24
在使用该零日配置创建 SE 并将相应虚拟网卡接口添加到 CSP 中的 SE 服务实例后,请确认成功应用了专用 vNIC 配置,并且可以通过专用接口访问 HSM 设备和 ASM 虚拟服务 IP。在该示例配置中,接口 eth3 配置为具有 IP 10.160.103.227/24 的专用 HSM 接口,而接口 eth4 配置为具有 IP 10.160.102.227/24 的边带 ASM 接口。
NSX Advanced Load Balancer 服务引擎要求在该配置中使用 5 个接口。
vNIC0:管理接口
vNIC1:数据输入接口
vNIC2:数据输出接口
vNIC3:专用 HSM 接口
vNIC4:专用边带接口
要验证两个专用接口的配置,请通过 SSH 访问 NSX Advanced Load Balancer SE IP,运行 run route 命令并执行 Ping 测试。
bash# ssh [email protected] bash# ifconfig eth3 eth3 Link encap:Ethernet HWaddr 02:6a:80:02:11:05 inet addr:10.160.103.227 Bcast:10.160.103.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4454601 errors:0 dropped:1987 overruns:0 frame:0 TX packets:4510346 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:672683711 (672.6 MB) TX bytes:875329395 (875.3 MB)
bash# ip route default via 10.10.2.1 dev eth0 10.10.1.0/24 via 10.160.103.1 dev eth3 10.10.2.0/24 via 10.160.103.2 dev eth3 10.10.2.0/24 dev eth0 proto kernel scope link src 10.128.2.27 10.160.103.0/24 dev eth3 proto kernel scope link src 10.160.103.227 bash# ping -I eth3 <HSM-IP> ping -I eth3 10.10.1.51 PING 10.10.1.51 (10.128.1.51) from 10.160.103.227 eth3: 56(84) bytes of data. 64 bytes from 10.10.1.51: icmp_seq=1 ttl=62 time=0.229 ms
