vSphere IaaS control plane verwendet die Standardgruppe als Vorlage zum Konfigurieren einer Dienst-Engine-Gruppe pro Supervisor. Optional können Sie die Standardgruppe-Dienst-Engines in einer Gruppe konfigurieren, die die Platzierung und Anzahl der Dienst-Engine-VMs innerhalb von vCenter definiert. Sie können auch Hochverfügbarkeit konfigurieren, wenn sich der NSX Advanced Load Balancer Controller im Enterprise-Modus befindet.

Prozedur

  1. Wählen Sie im NSX Advanced Load Balancer Controller-Dashboard Infrastruktur > Cloud-Ressourcen > Dienst-Engine-Gruppe aus.
  2. Klicken Sie auf der Seite Dienst-Engine-Gruppe auf das Bearbeitungssymbol in der Standardgruppe.
    Die Registerkarte Allgemeine Einstellungen wird angezeigt.
  3. Konfigurieren Sie im Abschnitt Hochverfügbarkeits- und Platzierungseinstellungen die Einstellungen für Hochverfügbarkeit und virtuelle Dienste.
    1. Wählen Sie den Hochverfügbarkeitsmodus aus.
      Die Standardoption ist N + M (buffer). Sie können den Standardwert beibehalten oder eine der folgenden Optionen auswählen:
      • Active/Standy
      • Active/Active
    2. Konfigurieren Sie die Anzahl der Dienst-Engines. Dies ist die maximale Anzahl von Dienst-Engines, die innerhalb einer Dienstmodulgruppe erstellt werden können. Der Standardwert ist 10.
    3. Konfigurieren Sie Platzierung virtueller Dienste über Dienst-Engines hinweg.
      Die Standardoption ist Kompakt. Sie können eine der folgenden Optionen auswählen:
      • Verteilt. Der NSX Advanced Load Balancer Controller maximiert die Leistung, indem virtuelle Dienste auf neu hochgefahrenen Dienst-Engines platziert werden, bis die angegebene maximale Anzahl von Dienst-Engines erreicht ist.
      • Kompakt. Die NSX Advanced Load Balancer Controller startet die kleinstmögliche Dienst-Engine und platziert den neuen virtuellen Dienst auf einer bestehenden Dienst-Engine. Eine neue Dienst-Engine wird nur erstellt, wenn alle Dienst-Engines verwendet werden.
  4. Sie können die Standardwerte für die anderen Einstellungen beibehalten.
  5. Klicken Sie auf Speichern.

Ergebnisse

Der AKO erstellt eine Dienst-Engine-Gruppe für jeden vSphere IaaS control plane-Cluster. Die Konfiguration der Dienst-Engine-Gruppe wird von der Konfiguration Standardgruppe abgeleitet. Sobald die Standardgruppe mit den erforderlichen Werten konfiguriert ist, werden alle von der AKO erstellten neuen Dienst-Engine-Gruppe dieselben Einstellungen aufweisen. Änderungen an der Konfiguration der Standardgruppe werden jedoch nicht in einer bereits erstellten Dienst-Engine-Gruppe widergespiegelt. Sie müssen die Konfiguration für eine vorhandene Dienst-Engine-Gruppe separat ändern.

Registrieren Sie die NSX Advanced Load Balancer Controller bei NSX Manager

Registrieren Sie die NSX Advanced Load Balancer Controller bei NSX Manager.

Voraussetzungen

Stellen Sie sicher, dass Sie den NSX Advanced Load Balancer Controller bereitgestellt haben.

Prozedur

  1. Melden Sie sich als Root-Benutzer bei NSX Manager an.
  2. Führen Sie folgende Befehle aus: 
    curl -k --location --request PUT 'https://<nsx-mgr-ip>/policy/api/v1/infra/alb-onboarding-workflow' \
--header 'X-Allow-Overwrite: True' \
--header 'Authorization: Basic <base64 encoding of username:password of NSX Mgr>' \
--header 'Content-Type: application/json' \
--data-raw '{
"owned_by": "LCM",
"cluster_ip": "<nsx-alb-controller-cluster-ip>",
"infra_admin_username" : "username",
"infra_admin_password" : "password"
}'
    Wenn Sie DNS- und NTP-Einstellungen im API-Aufruf angeben, werden die globalen Einstellungen überschrieben. Beispiele: "dns_servers": ["<dns-servers-ips>"] und "ntp_servers": ["<ntp-servers-ips>"].

Zuweisen eines Zertifikats zum NSX Advanced Load Balancer Controller

Der NSX Advanced Load Balancer Controller verwendet Zertifikate, die er an Clients sendet, um Sites zu authentifizieren und eine sichere Kommunikation herzustellen. Zertifikate können entweder vom NSX Advanced Load Balancer selbstsigniert oder als Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellt werden, die an eine vertrauenswürdige Zertifizierungsstelle (CA) gesendet wird, die dann ein vertrauenswürdiges Zertifikat generiert. Sie können ein selbstsigniertes Zertifikat erstellen oder ein externes Zertifikat hochladen.

Sie müssen ein benutzerdefiniertes Zertifikat bereitstellen, um Supervisor zu aktivieren. Sie können das Standardzertifikat nicht verwenden. Weitere Informationen zu Zertifikaten finden Sie unter SSL-/TLS-Zertifikate.

Wenn Sie ein von einer privaten Zertifizierungsstelle (CA) signiertes Zertifikat verwenden, wird die Supervisor-Bereitstellung möglicherweise nicht abgeschlossen und die NSX Advanced Load Balancer-Konfiguration möglicherweise nicht angewendet. Weitere Informationen finden Sie unter NSX Advanced Load Balancer Konfiguration wird nicht angewendet.

Voraussetzungen

Stellen Sie sicher, dass die NSX Advanced Load Balancer beim NSX Manager registriert ist.

Prozedur

  1. Klicken Sie im Controller-Dashboard auf das Menü in der oberen linken Ecke und wählen Sie Vorlagen > Sicherheit aus.
  2. Wählen Sie SSL/TLS-Zertifikat aus.
  3. Zum Erstellen eines Zertifikats klicken Sie auf Erstellen und wählen Sie Controller-Zertifikat aus.
    Das Fenster Neues Zertifikat (SSL/TLS) wird geöffnet.
  4. Geben Sie einen Namen für das Zertifikat ein.
  5. Wenn kein vorab erstelltes gültiges Zertifikat vorhanden ist, fügen Sie ein selbstsigniertes Zertifikat hinzu, indem Sie für Typ die Option Self Signed auswählen.
    1. Geben Sie die folgenden Details ein:
      Option Beschreibung
      Allgemeiner Name

      Geben Sie den vollqualifizierten Namen der Site an. Damit die Site als vertrauenswürdig eingestuft wird, muss dieser Eintrag mit dem Hostnamen übereinstimmen, den der Client im Browser eingegeben hat.
      Algorithmus Wählen Sie EC (Elliptic Curve Cryptography) oder RSA aus. EC wird empfohlen.
      Schlüssellänge Wählen Sie die Verschlüsselungsebene aus, die für Handshakes verwendet werden soll:
      • SECP256R1 wird für EC-Zertifikate verwendet.
      • 2048 Bit wird für RSA-Zertifikate empfohlen.
    2. Klicken Sie in Subject Alternate Name (SAN) auf Hinzufügen.
    3. Geben Sie die IP-Adresse und/oder den FQDN des Clusters ein, wenn der NSX Advanced Load Balancer Controller als einzelner Knoten bereitgestellt wird. Wenn nur die IP-Adresse oder der FQDN verwendet wird, muss sie mit der IP-Adresse der NSX Advanced Load Balancer Controller-VM übereinstimmen, die Sie während der Bereitstellung angeben.
      Weitere Informationen finden Sie unter Bereitstellen der NSX Advanced Load Balancer Controller. Geben Sie die Cluster-IP oder den FQDN des NSX Advanced Load Balancer Controller-Clusters ein, wenn dieser als Cluster mit drei Knoten bereitgestellt wird.
    4. Klicken Sie auf Speichern.
    Sie benötigen dieses Zertifikat, wenn Sie den Supervisor zum Aktivieren der Arbeitslastverwaltungsfunktion konfigurieren.
  6. Laden Sie das selbstsignierte Zertifikat herunter, das Sie erstellen.
    1. Klicken Sie auf Sicherheit > SSL/TLS-Zertifikate.
      Wenn das Zertifikat nicht angezeigt wird, aktualisieren Sie die Seite.
    2. Wählen Sie das erstellte Zertifikat aus und klicken Sie auf das Download-Symbol.
    3. Klicken Sie auf der Seite Zertifikat exportieren für das Zertifikat auf In Zwischenablage kopieren. Kopieren Sie nicht den Schlüssel.
    4. Speichern Sie das kopierte Zertifikat für die spätere Verwendung, wenn Sie die Arbeitslastverwaltung aktivieren.
  7. Wenn ein vorab erstelltes gültiges Zertifikat vorhanden ist, laden Sie es hoch, indem Sie für Typ die Option Import auswählen.
    1. Klicken Sie unter Zertifikat auf Datei hochladen und importieren Sie das Zertifikat.
      Das SAN-Feld des Zertifikats, das Sie hochladen, muss über die IP-Adresse oder den FQDN des Controllers verfügen.
      Hinweis: Stellen Sie sicher, dass Sie den Inhalt des Zertifikats nur einmal hochladen oder einfügen.
    2. Klicken Sie in Schlüssel (PEM) oder PKCS12 auf Datei hochladen und importieren Sie den Schlüssel.
    3. Klicken Sie Validieren, um das Zertifikat und den Schlüssel zu validieren.
    4. Klicken Sie auf Speichern.
  8. Um das Zertifikat zu ändern, führen Sie die folgenden Schritte aus.
    1. Wählen Sie im Controller-Dashboard Verwaltung > Systemeinstellungen aus.
    2. Klicken Sie auf Bearbeiten.
    3. Wählen Sie die Registerkarte Zugriff.
    4. Entfernen Sie aus dem SSL/TLS-Zertifikat die vorhandenen Standardportalzertifikate.
    5. Wählen Sie im Dropdown-Menü das neu erstellte oder hochgeladene Zertifikat aus.
    6. Wählen Sie Standardauthentifizierung aus.
    7. Klicken Sie auf SPEICHERN.