本节介绍了如何在新的 SE 和现有的 SE 上为 HSM 通信配置专用接口。

在新的 NSX Advanced Load Balancer 服务引擎上为 HSM 通信配置专用接口

服务引擎上的专用 HSM 接口使用以下 YAML 配置参数:

  • avi.hsm-ip.SE

  • avi.hsm-static-routes.SE

  • avi.hsm-vnic-id.SE

要在新的 SE 上进行配置,可以在零日 YAML 文件中提供这些参数。

YAML 参数

YAML 参数

描述

格式

示例

avi.hsm-ip.SE

SE 上的专用 HSM vNIC 的 IP 地址(这不是 HSM 的 IP 地址)

IP 地址/子网掩码

avi.hsm-ip.SE: 10.160.103.227/24

avi.hsm-static-routes.SE

这些是用于访问 HSM 设备的静态路由(以逗号分隔)。甚至可以提供 /32 路由。

如果具有单个静态路由,请提供相同的路由,并确保方括号是成对的。另外,如果 HSM 设备位于与专用接口相同的子网中,请提供该网关以作为子网的默认网关。

[HSM 网络 1/掩码 1 via 网关 1, HSM 网络 2/掩码 2 via 网关 2] 或 [HSM 网络 1/掩码 1 via 网关 1]

avi.hsm-static-routes.SE: [10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2]

avi.hsm-vnic-id.SE

专用 HSM vNIC 的 ID,在 CSP 上通常为 3(vNIC0 是管理接口,vNIC1 是数据输入接口,vNIC2 是数据输出接口)

数字 vNIC ID

avi.hsm-vnic-id.SE: '3'

说明

用于在 CSP 上进行零日配置的示例 YAML 文件如下所示:

bash# cat avi_meta_data_dedicated_hsm_SE.yml
avi.mgmt-ip.SE: "10.128.2.18"
avi.mgmt-mask.SE: "255.255.255.0"
avi.default-gw.SE: "10.128.2.1"
AVICNTRL: "10.10.22.50"
AVICNTRL_AUTHTOKEN: “febab55d-995a-4523-8492-f798520d4515"
avi.hsm-ip.SE: 10.160.103.227/24
avi.hsm-static-routes.SE:[ 10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2]
avi.hsm-vnic-id.SE: '3'

在使用零日配置文件创建 SE 并将相应虚拟网卡接口添加到 Cisco CSP 上的 SE 服务实例后,请确认成功应用了专用 vNIC 配置,并且可以通过该接口访问 HSM 设备。此处,为接口 eth3(专用 HSM 接口)配置了 IP 10.160.103.227/24。

登录到 SE 的 Bash 提示符,使用 IP route 命令,并运行 Ping 测试以检查能否访问专用接口 IP。

bash# ssh admin@<SE-MGMT-IP>
bash# ifconfig eth3
eth3      Link encap:Ethernet  HWaddr 02:6a:80:02:11:05  
          inet addr:10.160.103.227  Bcast:10.160.103.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4454601 errors:0 dropped:1987 overruns:0 frame:0
          TX packets:4510346 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
       
          RX bytes:672683711 (672.6 MB)  TX bytes:875329395 (875.3 MB)
bash# ip route
default via 10.128.2.1 dev eth0 
10.128.1.0/24 via 10.160.103.1 dev eth3
10.128.2.0/24 via 10.160.103.2 dev eth3
10.128.2.0/24 dev eth0  proto kernel  scope link  src 10.128.2.27 
10.160.103.0/24 dev eth3  proto kernel  scope link  src 10.160.103.227
bash# ping -I eth3 <HSM-IP>
ping -I eth3 10.128.1.51
PING 10.128.1.51 (10.128.1.51) from 10.160.103.227 eth3: 56(84) bytes of data.
64 bytes from 10.128.1.51: icmp_seq=1 ttl=62 time=0.229 ms

在服务引擎上为 HSM 通信配置专用接口

SE 上的专用 HSM 接口使用以下配置参数:

  • avi.hsm-ip.SE

  • avi.hsm-static-routes.SE

  • avi.hsm-vnic-id.SE

对于现有的 SE,可以在 /etc/ovf_config file中填充这些参数。

注:

该文件中的所有参数以逗号分隔,文件格式与用于启动新 SE 的 YAML 文件略有不同。不过,这些参数及其相应的格式与新 SE 完全相同。

YAML 参数

YAML 参数

描述

格式

示例

avi.hsm-ip.SE

SE 上的专用 HSM vNIC 的 IP 地址(这不是 HSM 的 IP 地址)

IP 地址/子网掩码

avi.hsm-ip.SE: 10.160.103.227/24

avi.hsm-static-routes.SE

这些是用于访问 HSM 设备的静态路由(以逗号分隔)。甚至可以提供 /32 路由。

如果具有单个静态路由,请提供相同的路由,并确保方括号是成对的。另外,如果 HSM 设备位于与专用接口相同的子网中,请提供该网关以作为子网的默认网关。

[HSM 网络 1/掩码 1 via 网关 1, HSM 网络 2/掩码 2 via 网关 2] 或 [HSM 网络 1/掩码 1 via 网关 1]

avi.hsm-static-routes.SE: [10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2]

avi.hsm-vnic-id.SE

专用 HSM vNIC 的 ID,在 CSP 上通常为 3(vNIC0 是管理接口,vNIC1 是数据输入接口,vNIC2 是数据输出接口)

数字 vNIC ID

avi.hsm-vnic-id.SE: '3'

用于配置 CSP 的说明

要在现有的 SE CSP 服务上添加专用的 HSM vNIC,请执行以下步骤:

注:

在下面提供的示例配置中,使用了 vNIC3,它是 CSP 服务上的第四个网卡。

  1. 导航到配置 > 服务 > 操作 > 关闭电源以使用 CSP 用户界面关闭 SE 服务电源。

  2. 导航到配置 > 服务 > 操作 > 服务编辑 > 添加 vNIC,以使用所需的参数将新的 vNIC 添加到 SE 中。提供 VLAN ID、VLAN 类型、带有 VLAN 标记、网络名称和型号等,然后单击提交按钮。

  3. 要在 CSP UI 上打开 SE 服务电源,请导航到配置 > 服务 > 操作 > 打开电源

用于配置 NSX Advanced Load Balancer 服务引擎的说明

使用服务引擎 Bash Shell 执行以下步骤。

ssh admin@<SE-MGMT-IP&gt
 bash#
 bash# sudo su
 bash# /opt/avi/scripts/stop_se.sh
 bash# mv /var/run/avi/ovf_properties.saved /home/admin
注:

执行移动操作;不要复制该文件。编辑该文件以提供三个以逗号分隔的 HSM 专用网卡相关参数。该文件如下所示:

bash# cat /home/admin/ovf_properties.saved
  AVICNTRL: 10.128.2.18, AVICNTRL_AUTHTOKEN: 1403771c-	fc59-4d76-89b2-b3c35682b342,
  avi.default-gw.SE: 10.128.2.1,
  avi.hsm-ip.SE: 10.160.103.227/24,
  avi.hsm-static-routes.SE:[10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2],
  avi.hsm-vnic-id.SE: '3',
  avi.mgmt-ip.SE: 10.128.2.27, ovf_source: CSP,
  uuid: FCE9B12D-A1B0-4EF3-B922-BDC2A5F8AA11
bash# cp /home/admin/ovf_properties.saved /etc/ovf_config
bash# /opt/avi/scripts/start_se.sh

确认正确应用了专用 vNIC 信息,并且可以通过该接口访问 HSM 设备。在该示例配置中,为 eth3 专用 HSM 接口配置了 IP 10.160.103.227/24。

bash# ssh admin@<SE-MGMT-IP>
 bash# ifconfig eth3
 eth3      Link encap:Ethernet  HWaddr 02:6a:80:02:11:05  
          inet addr:10.160.103.227  Bcast:10.160.103.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4454601 errors:0 dropped:1987 overruns:0 frame:0
          TX packets:4510346 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:672683711 (672.6 MB)  TX bytes:875329395 (875.3 MB)
  bash# ip route
 default via 10.128.2.1 dev eth0 
 10.128.1.0/24 via 10.160.103.1 dev eth3
 10.128.2.0/24 via 10.160.103.2 dev eth3
 10.128.2.0/24 dev eth0  proto kernel  scope link  src 10.128.2.27 
 10.160.103.0/24 dev eth3 proto kernel  scope link  src 10.160.103.227
bash# ping -I eth3 <HSM-IP>
ping -I eth3 10.128.1.51
PING 10.128.1.51 (10.128.1.51) from 10.160.103.227 eth3: 56(84) bytes of data.
64 bytes from 10.128.1.51: icmp_seq=1 ttl=62 time=0.229 ms