您可以配置外部负载均衡器,以便将流量分发到管理器集群中的 NSX Manager。
NSX Manager 集群不需要外部负载均衡器。在 Manager 节点出现故障时,可使用 NSX Manager 虚拟 IP (VIP) 进行恢复,但存在以下限制:
- VIP 不会跨 NSX Manager 执行负载均衡。
- VIP 要求所有 NSX Manager 都位于同一子网中。
- 在 Manager 节点出现故障时,VIP 恢复大约需要 1-3 分钟。
外部负载均衡器具有以下优势:
- 可跨 NSX Manager 进行负载均衡。
- NSX Manager 可以位于不同的子网中。
- 可在 Manager 节点出现故障时快速恢复。
外部负载均衡器无法与 NSX Manager VIP 同时使用。如果使用外部负载均衡器,则请勿配置 NSX Manager VIP。
访问 NSX Manager 时的身份验证方法
NSX Manager 支持以下身份验证方法。有关这些身份验证方法的详细信息,请参见
《NSX-T Data Center API 指南》。
- HTTP 基本身份验证
- 基于会话的身份验证
- 使用 X.509 证书和主体身份进行身份验证
- 在 VMware Cloud on AWS 中进行身份验证
基于会话的身份验证方法(从浏览器访问 NSX Manager 时使用)需要源 IP 持久性(来自客户端的所有请求必须转到相同的 NSX Manager)。其他方法则不需要源 IP 持久性(来自客户端的请求可以转到不同的 NSX Manager)。
建议
- 在负载均衡器上创建一个配置了源 IP 持久性的 VIP,以处理所有身份验证方法。
- 如果您的应用程序或脚本可能会向 NSX Manager 发出大量请求,请为这些应用程序或脚本创建另一个不具有源 IP 持久性的 VIP。第一个 VIP 仅用于通过浏览器访问 NSX Manager。
VIP 必须具有以下配置:
- 类型:Layer4-TCP
- 端口:443
- 池:NSX Manager 池
- 持久性:第一个 VIP 的源 IP 持久性。第二个 VIP(如果存在)没有。
外部负载均衡器配置示例:
NSX Manager 证书
客户端使用 FQDN 名称(例如,nsx.mycompany.com)访问 NSX Manager。此 FQDN 将解析为负载均衡器的 VIP。为避免出现任何证书不匹配情况,每个 NSX Manager 都必须具有对 VIP FQDN 名称有效的证书。因此,您必须为每个 NSX Manager 配置一个对自身名称(例如,nsxmgr1.mycompany.com)和 VIP FQDN 有效的 SAN 证书。
监控 NSX Manager 的运行状况
负载均衡器可以使用以下 API 检查每个 NSX Manager 是否正在运行:
GET /api/v1/reverse-proxy/node/health
请求标头包括:
- 标头 1
- 名称:Authorization
- 值:Basic <Base64 值>
注意:<Base64 值> 是使用 Base64 编码的 Username:Password。您可以使用 https://www.base64encode.net 来执行编码。例如,标头 1 可以是 admin:VMware1!VMware1! 的
Authorization: Basic YWRtaW46Vk13YXJlMSFWTXdhcmUxIQ==
。 - 标头 2
- 名称:Content-Type
- 值:application/json
- 标头 3
- 名称:Accept
- 值:application/json
用于指示 NSX Manager 正在运行的响应如下:
"healthy" : true
请注意,响应格式为 “healthy”<space>:<space>true
。
如果更改在 Header1 中指定的用户的密码,则必须相应地更新 Header1。