Szenario: Konfigurieren des NSX-Load-Balancer für den Platform Services Controller

Der Platform Services Controller (PSC) bietet Sicherheitsfunktionen für die Infrastruktur wie z. B. vCenter Single Sign-On (einmalige Anmeldung), Lizenzierung, Zertifikatverwaltung und Serverreservierung.

Nach dem Konfigurieren des NSX-Load Balancers geben Sie die IP-Adresse der Uplink-Schnittstelle des NSX Edge-Geräts für vCenter Single Sign-On an.

Hinweis: Im folgenden Verfahren werden die Schritte zum Konfigurieren eines NSX Edge-Load Balancers für die Verwendung mit Platform Services Controller 6.0 erläutert. Informationen zum Konfiguration des Edge-Load Balancers für die Verwendung mit Platform Services Controller 6.5 finden Sie im VMware-Wissensdatenbankartikel unter https://kb.vmware.com/s/article/2147046.

Voraussetzungen

Führen Sie die PSC-High-Availability-Vorbereitungsaufgaben durch, die im VMware-Wissensdatenbankartikel unter http://kb.vmware.com/kb/2113315 erwähnt werden.
Speichern Sie /ha/lb.crt und /ha/lb_rsa.key vom ersten PSC-Knoten zur Konfiguration der Zertifikate.
Stellen Sie sicher, dass ein NSX Edge-Gerät konfiguriert ist.
Stellen Sie sicher, dass mindestens ein Uplink für die VIP-Konfiguration vorhanden ist und eine Schnittstelle einem internen logischen Switch angefügt wurde.

Prozedur

Hinzufügen eines PSC-Zertifikats zum NSX Edge
1. Speichern Sie das PSC-Zertifikat root.cer sowie RSA und die mit dem Befehl OpenSSL generierte Passphrase.
2. Doppelklicken Sie auf das Edge und klicken Sie dann auf Verwalten (Manage) > Einstellungen (Settings) > Zertifikate (Certificates).
3. Klicken Sie auf Hinzufügen (Add) > Zertifikat (Certificate).
4. Fügen Sie in das Textfeld Zertifikatsinhalte (Certificate Contents) den Inhalt der Datei root.cer ein.
5. Fügen Sie in das Textfeld Privater Schlüssel (Private key) die Passphrase ein.
Aktivieren Sie den Load-Balancer-Dienst.
1. Klicken Sie auf Verwalten (Manage) > Load Balancer > Globale Konfiguration (Global Configuration).
2. Klicken Sie auf Bearbeiten (Edit) und aktivieren Sie den Load Balancer.

Erstellen Sie mit den TCP- und HTTPS-Protokollen Anwendungsprofile.

Klicken Sie auf Verwalten (Manage) > Load Balancer > Anwendungsprofile (Application Profiles).

Klicken Sie auf Hinzufügen (Add) und erstellen Sie ein TCP-Anwendungsprofil.

Geben Sie z. B. die folgenden Parameter im TCP-Profil an.

Option	Beschreibung
Anwendungsprofil-Typ	Wählen Sie TCP.
Name	Geben Sie beispielsweise `sso_tcp_profile` ein.
Persistenz	Wählen Sie Quell-IP (Source IP).

Erstellen Sie ein HTTPS-Anwendungsprofil.

Geben Sie z. B. die folgenden Parameter im HTTPS-Profil an.

Version	Vorgehensweise
NSX 6.4.5 und höher	Wählen Sie im Dropdown-Menü Anwendungsprofil-Typ (Application Profile Type)HTTPS-Offloading (HTTPS Offloading) aus. Geben Sie im Textfeld Name den Namen des Profils ein. Geben Sie beispielsweise `sso_https_profile` ein. Klicken Sie auf Client-SSL (Client SSL) > Dienstzertifikate (Service Certificates). Wählen Sie das PSC-Zertifikat, das Sie zuvor hinzugefügt haben.
NSX 6.4.4 und früher	Wählen Sie im Dropdown-Menü Typ (Type)HTTPS. Geben Sie im Textfeld Name den Namen des Profils ein. Beispielsweise `sso_https_profile`. Aktivieren Sie das Kontrollkästchen Dienstzertifikat konfigurieren (Configure Service Certificate). Wählen Sie das PSC-Zertifikat, das Sie zuvor hinzugefügt haben.

Erstellen Sie Serverpools und fügen Sie Mitglieds-PSC-Knoten hinzu.

Klicken Sie auf Verwalten (Manage) > Load Balancer > Pools und dann auf Hinzufügen (Add).

Erstellen Sie einen Pool mit den folgenden Konfigurationseinstellungen.

Beispiel:

Option	Beschreibung
Name	Geben Sie `sso_tcp_pool1` ein.
Algorithmus	Wählen Sie Round-Robin.
Monitore	Wählen Sie default_tcp_monitor aus.

Fügen Sie die folgenden Mitglieder zum sso_tcp_pool1-Pool mit dem Überwachungsport 443 hinzu.

Bundesland	Name	IP-Adresse	Gewichtung	Überwachungsport	Port	Maximale Anzahl an Verbindungen	Mindestanzahl an Verbindungen
Aktiviert	PSC01	192.168.1.1	1	443		0	0
Aktiviert	PSC02	192.168.1.2	1	443		0	0

Erstellen Sie einen anderen Pool mit den folgenden Konfigurationseinstellungen.

Beispiel:

Option	Beschreibung
Name	Geben Sie `sso_tcp_pool2` ein.
Algorithmus	Wählen Sie Round-Robin.
Monitore	Wählen Sie default_tcp_monitor aus.

Fügen Sie die folgenden Mitglieder zum sso_tcp_pool2-Pool mit dem Überwachungsport 389 hinzu.

Bundesland	Name	IP-Adresse	Gewichtung	Überwachungsport	Port	Maximale Anzahl an Verbindungen	Mindestanzahl an Verbindungen
Aktiviert	PSC01	192.168.1.1	1	389		0	0
Aktiviert	PSC02	192.168.1.2	1	389		0	0

Erstellen Sie virtuelle Server für die TCP- und HTTPS-Protokolle.

Wählen Sie Verwalten (Manage) > Load Balancer > Virtuelle Server (Virtual Servers) und klicken Sie dann auf Hinzufügen (Add).

Erstellen Sie einen virtuellen Server für TCP-VIP mit den folgenden Konfigurationseinstellungen.

Beispiel:

Option	Beschreibung
Virtueller Server	Aktivieren Sie den virtuellen Server.
Beschleunigung	Deaktivieren Sie die Beschleunigung.
Anwendungsprofil	Geben Sie `sso_tcp_profile` ein.
Name	Geben Sie `sso_tcp_vip` ein.
IP-Adresse	Wählen Sie 10.156.209.158.
Protokoll	Wählen Sie TCP.
Port	Geben Sie `389,636,2012,2014,2020` ein.
Standardpool	Wählen Sie den Serverpool sso_tcp_pool2 aus, den Sie zuvor erstellt haben.
Verbindungsgrenzwert	Geben Sie `0`ein.
Grenzwert für Verbindungsrate	Geben Sie `0`ein.

Erstellen Sie einen virtuellen Server für HTTPS-VIP mit den folgenden Konfigurationseinstellungen.

Beispiel:

Option	Beschreibung
Virtueller Server	Aktivieren Sie den virtuellen Server.
Beschleunigung	Deaktivieren Sie die Beschleunigung.
Anwendungsprofil	Geben Sie `sso_https_profile` ein.
Name	Geben Sie `sso_https_vip` ein.
IP-Adresse	Wählen Sie 10.156.209.158.
Protokoll	Wählen Sie HTTPS aus.
Port	Geben Sie `443`ein.
Standardpool	Wählen Sie den Serverpool sso_tcp_pool1 aus, den Sie zuvor erstellt haben.
Verbindungsgrenzwert	Geben Sie `0`ein.
Grenzwert für Verbindungsrate	Geben Sie `0`ein.