在您的 vSphere with Tanzu 环境中,将 NSX Advanced Load Balancer 控制器虚拟机部署到管理网络。

前提条件

过程

  1. 使用 vSphere Client 登录 vCenter Server
  2. 选择为管理组件指定的 vSphere 集群。
  3. 创建一个名为 AVI-LB 的资源池。
  4. 右键单击此资源池,并选择部署 OVF 模板
  5. 选择本地文件,然后单击上载文件
  6. 浏览到您已作为必备条件下载的 controller-VERSION.ova 文件并选择。
  7. 输入名称并选择控制器的文件夹。
    选项 描述
    虚拟机名称 avi-controller-1
    虚拟机的位置 数据中心
  8. 选择 AVI-LB 资源池作为计算资源。
  9. 查看配置详细信息,然后单击下一步
  10. 选择一个虚拟机存储策略,如 vsanDatastore
  11. 选择管理网络,如 network-1
  12. 按如下方式自定义配置,完成后单击下一步
    选项 描述
    管理接口 IP 地址 输入控制器虚拟机的 IP 地址,如 10.199.17.51
    管理接口子网掩码 输入子网掩码,如 255.255.255.0
    默认网关 输入管理网络的默认网关,如 10.199.17.235
    Sysadmin 登录身份验证密钥 (可选)粘贴公钥的内容。您可以将密钥留空。
    Avi 控制器的主机名 输入控制器的 FQDN 或 IP 地址。
  13. 查看部署设置。
  14. 单击完成以完成配置。
  15. 使用 vSphere Client任务面板中监控控制器虚拟机的置备情况。
  16. 部署后,使用 vSphere Client 打开控制器虚拟机的电源。

部署控制器集群

(可选)可以部署包含三个控制器节点的集群。建议在生产环境中配置集群以实现 HA 和灾难恢复。如果运行的是单节点 NSX Advanced Load Balancer 控制器,则必须使用“备份和还原”功能。

要运行三节点集群,请在部署第一个控制器虚拟机后,再部署其他两个控制器虚拟机并打开电源。不得运行初始配置向导或更改这些控制器的管理员密码。第一个控制器虚拟机的配置将分配给两个新控制器虚拟机。

过程

  1. 转到系统管理 > 控制器
  2. 选择节点
  3. 单击编辑图标。
  4. 添加静态 IP 作为控制器集群 IP
    此 IP 地址必须来自管理网络。
  5. 集群节点中,配置两个新集群节点。
    选项 描述
    IP 控制器节点的 IP 地址。
    名称 节点的名称。名称可以是 IP 地址。
    密码 控制器节点的密码。将密码留空。
    公用 IP 控制器节点的公用 IP 地址。将此设置留空。
  6. 单击保存
    注: 部署集群后,必须使用控制器集群 IP 进行任何进一步配置,而不是使用控制器节点 IP。

打开控制器电源

部署控制器虚拟机后,可以打开其电源。在引导过程中,在部署期间指定的 IP 地址将分配给虚拟机。

打开电源后,控制器虚拟机的首次引导过程可能需要长达 10 分钟才能完成。

前提条件

部署控制器。

过程

  1. vCenter Server 中,右键单击您部署的 avi-controller-1 虚拟机。
  2. 选择电源 > 打开电源
    将为虚拟机分配在部署期间指定的 IP 地址。
  3. 要验证虚拟机是否已打开电源,请通过浏览器访问 IP 地址。
    当虚拟机联机时,将显示有关 TLS 证书和连接的警告。
  4. 此连接不是专用连接警告中,单击显示详细信息
  5. 在显示的窗口中单击访问此网站
    系统将提示您输入用户凭据。

配置控制器

为您的 vSphere with Tanzu 环境配置控制器虚拟机。

要将负载均衡器控制平面与 vCenter Server 环境相连接,控制器需要多个部署后配置参数。

前提条件

过程

  1. 使用浏览器导航到在部署控制器时指定的 IP 地址。
  2. 创建一个管理员帐户
    选项 描述
    用户名 初始配置的管理员用户名。您无法编辑此字段。
    密码 输入控制器虚拟机的管理员密码。

    密码必须至少为 8 个字符,并且必须包含数字、特殊字符、大写字符和小写字符的组合。

    确认密码 再次输入管理员密码。
    电子邮件地址(可选) 输入管理员电子邮件地址。

    建议您提供电子邮件地址,便于在生产环境中恢复密码。

  3. 配置系统设置
    选项 描述
    密码短语 输入用于控制器备份的密码短语。控制器配置会定期自动备份到本地磁盘。有关更多信息,请参见备份和还原

    密码短语必须至少为 8 个字符,并且必须包含数字、特殊字符、大写字符和小写字符的组合。

    确认密码短语 再次输入备份密码短语。
    DNS 解析器 输入在 vSphere with Tanzu 环境中使用 DNS 服务器的 IP 地址。例如,10.14.7.12
    DNS 搜索域 输入域字符串。
  4. (可选) 配置电子邮件/SMTP 设置。
    选项 描述
    SMTP 源 选择以下选项之一:本地主机SMTP 服务器匿名服务器

    默认为本地主机

    发件人地址 电子邮件地址。
  5. 单击下一步
  6. 配置多租户设置。
    1. 保留默认租户访问权限。
    2. 选择之后设置云,然后单击保存
      注: 如果在保存之前未选择 之后设置云选项,则初始配置向导将退出。云配置窗口不会自动启动,您将定向到控制器上的仪表板视图。在这种情况下,请浏览到 基础架构 > ,编辑 Default-Cloud,然后继续执行以下步骤。
  7. 配置 Default-Cloud
    1. 编辑 Default-Cloud 设置。
    2. 选择 VMware vCenter/vSphere ESX 作为云类型。
      vSphere with Tanzu 仅支持 Default-Cloud
    3. 选择是,继续
    此时将显示 Default-Cloud 设置页面。
  8. 配置常规设置。
    选项 描述
    名称 (可选)输入 Default-Cloud 的名称。
    类型 云类型为 VMware vCenter/vSphere ESX
  9. (可选) 默认网络 IP 地址管理部分中,选择 DHCP 已启用(如果 DHCP 在 vSphere 端口组上可用)。
    如果您希望服务引擎接口仅使用静态 IP 地址,请保留此选项处于未选中状态。您可以为每个网络单独配置它们。

    有关详细信息,请参见配置虚拟 IP 网络

  10. 配置虚拟服务放置设置。
    选项 描述
    对于虚拟服务放置,首选静态路由与直接连接的网络 选择此选项可强制服务引擎虚拟机通过默认网关路由来访问服务器网络。

    默认情况下,控制器直接将网卡连接到服务器网络,您必须强制服务引擎仅连接到数据网络并路由到工作负载网络。

    使用静态路由进行 VIP 的网络解析 将此选项保留为未选中。
  11. 配置 vCenter/vSphere 凭据。
    单击 设置凭据,然后输入以下详细信息:
    选项 描述
    vCenter 地址 输入 vSphere with Tanzu 环境的 vCenter Server 主机名或 IP 地址。
    用户名

    输入 vCenter 管理员用户名,如 administrator@vsphere.local

    要使用较少的权限,请创建一个专用角色。有关详细信息,请参见 VMware 用户角色

    密码 输入用户密码。
    访问权限

    读取:您创建并管理服务引擎虚拟机。

    写入:控制器创建并管理服务引擎虚拟机。

    您必须选择“写入”。

  12. 配置数据中心设置。
    1. 选择要启用工作负载管理的 vSphere 数据中心
    2. 选择使用内容库选项,然后从列表中选择本地内容库。
  13. 选择保存并重新启动,以使用您配置的设置创建 VMware vCenter/vSphere ESX 云。
  14. 配置网络设置。
    选项 描述
    管理网络 选择虚拟机网络。服务引擎将使用此网络接口与控制器连接。
    服务引擎 模板服务引擎组留空。
    管理网络 IP 地址管理 选择 DHCP 已启用
  15. (可选) 仅当未选择 DHCP 已启用时,才配置以下网络设置。
    选项 描述
    IP 子网 输入管理网络的 IP 子网。例如,10.199.32.0/24
    注: 仅当 DHCP 不可用时,才输入 IP 子网。
    默认网关 输入管理网络的默认网关,如 10.199.32.253
    注: 仅当 DHCP 不可用时,才输入 IP 子网。
    添加静态 IP 地址池 输入一个或多个 IP 地址或 IP 地址范围。例如,10.99.32.62-10.199.32.65
    注: 仅当 DHCP 不可用时,才输入 IP 子网。
  16. 创建 IPAM 配置文件并配置 IPAM/DNS 设置。
    创建虚拟服务时,需要 IPAM 才能分配虚拟 IP 地址。
    1. IPAM 配置文件的“更多操作”菜单中,选择创建
      此时将显示 新建 IPAM/DNS 配置文件页面。
    2. 配置 IPAM 配置文件
      选项 描述
      名称 用户定义的字符串,如 ipam-profile
      类型

      选择 AVI Vantage IPAM

      在 VRF 中分配 IP 取消选择此选项。
      从下拉列表中选择 Default-Cloud
    3. 单击可使用的网络中的添加,然后选择您配置的虚拟 IP 网络。此网络是主网络。
    4. 单击保存
  17. (可选) 如果要使用内部 NTP 服务器,请配置 NTP 设置。
    1. 选择系统管理 > 设置 > DNS/NTP
    2. 删除现有的 NTP 服务器(如果有),然后输入您使用的 DNS 服务器的 IP 地址。例如:192.168.100.1

结果

完成配置后,会看到控制器仪表板。选择基础架构 > ,然后验证 Default-Cloud 的控制器状态是否为绿色。有时,此状态可能会有一段时间为黄色,直到控制器发现 vCenter Server 环境中的所有端口组,然后才会变为绿色。

添加许可证

配置 NSX Advanced Load Balancer 之后,必须向其添加许可证。控制器将在评估模式下引导,该模式具有等同于 Enterprise 版本许可证的所有功能。您必须在评估期过期前为控制器分配有效的 Enterprise Tier 许可证。

前提条件

确认您具有 Enterprise Tier 许可证。

过程

  1. NSX Advanced Load Balancer 控制器仪表板中,选择管理 > 许可
  2. 选择设置
  3. 选择 Enterprise Tier
  4. 单击保存
  5. 要添加许可证,请选择从计算机上载
    上载许可证文件后,它将显示在控制器许可证列表中。系统将显示有关许可证的信息,包括开始日期和过期日期。

将证书分配给控制器

控制器必须将证书发送到客户端才能建立安全通信。此证书必须具有与 NSX Advanced Load Balancer 控制器集群主机名或 IP 地址相匹配的主体备用名称 (SAN)

控制器具有默认的自签名证书。此证书没有正确的 SAN。您必须将其替换为具有正确 SAN 的有效证书或自签名证书。您可以创建自签名证书或上载外部证书。

有关证书的详细信息,请参见 Avi 文档

过程

  1. 在“控制器”仪表板中,单击左上角的菜单,然后选择模板 > 安全
  2. 选择 SSL/TLS 证书
  3. 要创建证书,请单击创建,然后选择控制器证书
    此时将显示 新建证书 (SSL/TLS) 窗口。
  4. 输入证书的名称。
  5. 如果没有预先创建的有效证书,请为类型选择 Self Signed 以添加自签名证书。
    1. 输入以下详细信息:
      选项 描述
      公用名称

      指定站点的完全限定名称。要使站点视为可信,此条目必须与客户端在浏览器中输入的主机名匹配。

      算法 选择 EC(椭圆曲线加密)或 RSA。建议使用 EC。
      密钥大小 选择握手时使用的加密级别:
      • 对于 EC 证书,使用 SECP256R1
      • 对于 RSA 证书,建议使用 2048 位。
    2. 主体备用名称 (SAN) 中,单击添加
    3. 如果 Avi 控制器部署为单个节点,请输入该控制器的集群 IP 地址和/或 FQDN。如果只使用 IP 地址或 FQDN,则该值必须与您在部署期间指定的控制器虚拟机的 IP 地址相匹配。
      如果 NSX Advanced Load Balancer 控制器集群部署为包含三个节点的集群,请输入该集群的集群 IP 或 FQDN。有关部署包含三个控制器节点的集群的信息,请参见 部署控制器集群
    4. 单击保存
    当配置 主管 以启用工作负载管理功能时,将需要用到此证书。
  6. 下载您创建的自签名证书。
    1. 选择安全 > SSL/TLS 证书
      如果看不到此证书,请刷新页面。
    2. 选择您创建的证书,然后单击下载图标。
    3. 在出现的导出证书页面中,单击证书对应的复制到剪贴板。请勿复制密钥。
    4. 保存复制的证书,供稍后在启用工作负载管理时使用。
  7. 如果您有预先创建的有效证书,请为类型选择 Import 以上载该证书。
    1. 证书中,单击上载文件,然后导入证书。
      所上载证书的 SAN 字段必须具有控制器的集群 IP 地址或 FQDN。
      注: 确保仅上载或粘贴证书的内容一次。
    2. 密钥 (PEM) 或 PKCS12 中,单击上载文件,然后导入密钥。
    3. 单击验证以验证证书和密钥。
    4. 单击保存
  8. 要更改门户证书,请执行以下步骤。
    1. 在控制器仪表板中,选择管理 > 系统设置
    2. 单击编辑
    3. 选择访问选项卡。
    4. SSL/TLS 证书中,移除现有的默认门户证书。
    5. 在下拉列表中,选择新创建或上载的证书。
    6. 选择基本身份验证
    7. 单击保存