vSphere IaaS control plane 使用 Default-Group 作为模板,按 主管 配置服务引擎组。(可选)可以在某个组内配置 Default-Group 服务引擎,用于定义 vCenter 内服务引擎虚拟机的放置位置和数量。如果 NSX Advanced Load Balancer Controller 处于 Enterprise 模式,还可以配置高可用性。

过程

  1. NSX Advanced Load Balancer Controller 仪表板中,选择基础架构 > 云资源 > 服务引擎组
  2. 服务引擎组页面中,单击默认组中的编辑图标。
    将显示 常规设置选项卡。
  3. 高可用性和放置设置部分,配置高可用性和虚拟服务设置。
    1. 选择高可用性模式
      默认选项为 N + M (buffer)。您可以保留默认值或选择以下选项之一:
      • Active/Standy
      • Active/Active
    2. 配置服务引擎数。这表示可在服务引擎组中创建的最大服务引擎数。默认为 10
    3. 配置跨服务引擎放置虚拟服务
      默认选项为 紧凑型。可以选择以下选项之一:
      • 分布式NSX Advanced Load Balancer Controller 可将虚拟服务放置在新启动的服务引擎上,最多不超过指定的最大服务引擎数,从而最大限度地提高性能。
      • 紧凑型NSX Advanced Load Balancer Controller 将启动尽可能最少的服务引擎,并将新的虚拟服务放置在现有服务引擎上。仅当所有服务引擎均在使用中时,才会创建新的服务引擎。
  4. 您可以保留其他设置的默认值。
  5. 单击保存

结果

AKO 将为每个 vSphere IaaS control plane 集群创建一个服务引擎组。服务引擎组配置派生自 Default-Group 配置。为 Default-Group 配置所需的值后,由 AKO 创建的任何新服务引擎组将具有相同的设置。但是,对 Default-Group 配置所做的更改不会反映在已创建的服务引擎组中。您必须单独修改现有服务引擎组的配置。

NSX Manager 注册 NSX Advanced Load Balancer Controller

NSX Manager 注册 NSX Advanced Load Balancer Controller

前提条件

验证是否已部署并配置 NSX Advanced Load Balancer Controller

过程

  1. 以 root 用户身份登录到 NSX Manager
  2. 运行以下命令: 
    curl -k --location --request PUT 'https://<nsx-mgr-ip>/policy/api/v1/infra/alb-onboarding-workflow' \
--header 'X-Allow-Overwrite: True' \
--header 'Authorization: Basic <base64 encoding of username:password of NSX Mgr>' \
--header 'Content-Type: application/json' \
--data-raw '{
"owned_by": "LCM",
"cluster_ip": "<nsx-alb-controller-cluster-ip>",
"infra_admin_username" : "username",
"infra_admin_password" : "password"
}'
    如果在 API 调用中提供 DNS 和 NTP 设置,则会覆盖全局设置。例如, "dns_servers": ["<dns-servers-ips>"] "ntp_servers": ["<ntp-servers-ips>"]

将证书分配给 NSX Advanced Load Balancer Controller

NSX Advanced Load Balancer Controller 使用发送到客户端的证书对站点进行身份验证并建立安全通信。证书可由 NSX Advanced Load Balancer 自签名,也可以作为证书签名请求 (CSR) 创建,该请求会发送到受信任的证书颁发机构 (CA),然后证书颁发机构会生成受信任证书。您可以创建自签名证书,也可以上载外部证书。

您必须提供自定义证书才能启用主管。不能使用默认证书。有关证书的详细信息,请参见 SSL/TLS 证书

如果使用私有证书颁发机构 (CA) 签名的证书,则主管部署可能无法完成,并且可能不会应用 NSX Advanced Load Balancer 配置。有关详细信息,请参见不会应用 NSX Advanced Load Balancer 配置

前提条件

确认已向 NSX Manager 注册 NSX Advanced Load Balancer

过程

  1. 在控制器仪表板中,单击左上角的菜单,然后选择模板 > 安全
  2. 选择 SSL/TLS 证书
  3. 要创建证书,请单击创建,然后选择控制器证书
    此时将显示 新建证书 (SSL/TLS) 窗口。
  4. 输入证书的名称。
  5. 如果没有预先创建的有效证书,请为类型选择 Self Signed 以添加自签名证书。
    1. 输入以下详细信息:
      选项 描述
      公用名称

      指定站点的完全限定名称。要使站点视为可信,此条目必须与客户端在浏览器中输入的主机名匹配。
      算法 选择 EC(椭圆曲线加密)或 RSA。建议使用 EC。
      密钥大小 选择握手时使用的加密级别:
      • 对于 EC 证书,使用 SECP256R1
      • 对于 RSA 证书,建议使用 2048 位。
    2. 主体备用名称 (SAN) 中,单击添加
    3. 如果 NSX Advanced Load Balancer Controller 部署为单个节点,请输入该控制器的集群 IP 地址和/或 FQDN。如果只使用 IP 地址或 FQDN,则该值必须与您在部署期间指定的 NSX Advanced Load Balancer Controller 虚拟机的 IP 地址相匹配。
      请参见 部署 NSX Advanced Load Balancer Controller。如果 NSX Advanced Load Balancer Controller 集群部署为包含三个节点的集群,请输入该集群的集群 IP 或 FQDN。
    4. 单击保存
    当配置 主管 以启用工作负载管理功能时,将需要用到此证书。
  6. 下载您创建的自签名证书。
    1. 选择安全 > SSL/TLS 证书
      如果看不到此证书,请刷新页面。
    2. 选择您创建的证书,然后单击下载图标。
    3. 在出现的导出证书页面中,单击证书对应的复制到剪贴板。请勿复制密钥。
    4. 保存复制的证书,供稍后在启用工作负载管理时使用。
  7. 如果您有预先创建的有效证书,请为类型选择 Import 以上载该证书。
    1. 证书中,单击上载文件,然后导入证书。
      所上载证书的 SAN 字段必须具有控制器的集群 IP 地址或 FQDN。
      注: 确保仅上载或粘贴证书的内容一次。
    2. 密钥 (PEM) 或 PKCS12 中,单击上载文件,然后导入密钥。
    3. 单击验证以验证证书和密钥。
    4. 单击保存
  8. 要更改证书,请执行以下步骤。
    1. 在控制器仪表板中,选择管理 > 系统设置
    2. 单击编辑
    3. 选择访问选项卡。
    4. SSL/TLS 证书中,移除现有的默认门户证书。
    5. 在下拉列表中,选择新创建或上载的证书。
    6. 选择基本身份验证
    7. 单击保存