Stellen Sie die NSX Advanced Load Balancer-Controller-VM im Verwaltungsnetzwerk in Ihrer vSphere with Tanzu-Umgebung bereit.

Voraussetzungen

Prozedur

  1. Melden Sie sich beim vCenter Server mit dem vSphere Client an.
  2. Wählen Sie den vSphere-Cluster aus, der für Verwaltungskomponenten vorgesehen ist.
  3. Erstellen Sie einen Ressourcenpool namens AVI-LB.
  4. Klicken Sie mit der rechten Maustaste auf den Ressourcenpool und wählen Sie OVF-Vorlage bereitstellen aus.
  5. Wählen Sie Lokale Datei aus und klicken Sie auf Dateien hochladen.
  6. Navigieren Sie zur Datei controller-VERSION.ova, die Sie als erforderliche Datei heruntergeladen haben, und wählen Sie sie aus.
  7. Geben Sie einen Namen ein und wählen Sie einen Ordner für den Controller aus.
    Option Bezeichnung
    Name der virtuellen Maschine avi-controller-1
    Speicherort für die virtuelle Maschine Datencenter
  8. Wählen Sie den AVI-LB-Ressourcenpool als Computing-Ressource aus.
  9. Überprüfen Sie die Konfigurationsdetails und klicken Sie auf Weiter.
  10. Wählen Sie eine VM-Speicherrichtlinie aus, wie z. B. vsanDatastore.
  11. Wählen Sie das Verwaltungsnetzwerk aus, z. B. network-1.
  12. Passen Sie die Konfiguration wie folgt an und klicken Sie abschließend auf Weiter.
    Option Bezeichnung
    IP-Adresse für die Verwaltungsschnittstelle Geben Sie die IP-Adresse für die Controller-VM ein, z. B. 10.999.17.51.
    Subnetzmaske der Verwaltungsschnittstelle Geben Sie die Subnetzmaske ein, wie z. B. 255.255.255.0.
    Standard-Gateway Geben Sie das Standard-Gateway für das Verwaltungsnetzwerk ein, z. B. 10.199.17.235.
    Authentifizierungsschlüssel für die sysadmin-Anmeldung Fügen Sie optional den Inhalt eines öffentlichen Schlüssels ein. Sie können den Schlüssel leer lassen.
  13. Überprüfen Sie die Bereitstellungseinstellungen.
  14. Klicken Sie auf Fertig stellen, um die Konfiguration abzuschließen.
  15. Verwenden Sie vSphere Client, um die Bereitstellung der Controller-VM im Bereich Aufgaben zu überwachen.
  16. Verwenden Sie den vSphere Client, um die Controller-VM nach der Bereitstellung einzuschalten.

Einschalten des Controllers

Nachdem Sie die Controller-VM bereitgestellt haben, können Sie sie einschalten. Während des Startvorgangs wird der VM die während der Bereitstellung angegebene IP-Adresse zugewiesen.

Nach dem Einschalten kann der erste Startvorgang der Controller-VM bis zu 10 Minuten dauern.

Voraussetzungen

Stellen Sie den Controller bereit.

Prozedur

  1. Klicken Sie im vCenter Server mit der rechten Maustaste auf die bereitgestellte avi-controller-1-VM.
  2. Wählen Sie Power > Einschalten.
    Der VM wird die IP-Adresse zugewiesen, die Sie während der Bereitstellung angegeben haben.
  3. Um zu überprüfen, ob die VM eingeschaltet wurde, greifen Sie in einem Browser auf die IP-Adresse zu.
    Wenn die VM online geschaltet wird, werden Warnungen zum TLS-Zertifikat und zur Verbindung angezeigt.
  4. Klicken Sie in der Warnung Diese Verbindung ist nicht privat auf Details anzeigen.
  5. Klicken Sie in dem daraufhin eingeblendeten Fenster auf Diese Website besuchen.
    Sie werden zur Eingabe von Benutzeranmeldedaten aufgefordert.

Konfigurieren des Controllers

Konfigurieren Sie die Controller-VM für Ihre vSphere with Tanzu-Umgebung.

Um die Steuerungsebene des Lastausgleichsdiensts mit der vCenter Server-Umgebung zu verbinden, benötigt der Controller mehrere Konfigurationsparameter nach der Bereitstellung.

Voraussetzungen

Prozedur

  1. Navigieren Sie mithilfe eines Browsers zu der IP-Adresse, die Sie bei der Bereitstellung des Controllers festgelegt haben.
  2. Erstellen Sie ein Administratorkonto.
    Option Beschreibung
    Benutzername Der Benutzername des Administrators für die anfängliche Konfiguration. Sie können dieses Feld nicht bearbeiten.
    Kennwort Geben Sie ein Administratorkennwort für die Controller-VM ein.

    Das Kennwort muss mindestens 8 Zeichen lang sein und eine Kombination aus numerischen Zeichen, Sonderzeichen, Großbuchstaben und Kleinbuchstaben enthalten.

    Kennwort bestätigen Geben Sie das Administratorkennwort erneut ein.
    E-Mail-Adresse (optional) Geben Sie eine Administrator-E-Mail-Adresse ein.

    Es wird empfohlen, eine E-Mail-Adresse für die Kennwortwiederherstellung in einer Produktionsumgebung anzugeben.

  3. Konfigurieren Sie die Systemeinstellungen.
    Option Beschreibung
    Passphrase Geben Sie eine Passphrase für die Controller-Sicherung ein. Die Controller-Konfiguration wird in regelmäßigen Abständen automatisch auf der lokalen Festplatte gespeichert. Weitere Informationen finden Sie unter Sichern und Wiederherstellen.

    Die Passphrase muss mindestens 8 Zeichen lang sein und eine Kombination aus numerischen Zeichen, Sonderzeichen, Großbuchstaben und Kleinbuchstaben enthalten.

    Passphrase bestätigen Geben Sie die Sicherungs-Passphrase erneut ein.
    DNS-Auflösung Geben Sie eine IP-Adresse für den DNS-Server ein, den Sie in der Umgebung vSphere mit Tanzu verwenden. Beispielsweise 10.14.7.12.
    DNS-Suchdomäne Geben Sie eine Domänenzeichenfolge ein.
  4. (Optional) Konfigurieren Sie E-Mail/SMTP
    Option Beschreibung
    SMTP-Quelle Keine, lokaler Host, SMTP-Server oder anonymer Server
    Von Adresse E-Mail-Adresse
  5. Konfigurieren Sie die Einstellungen für mehrere Mandanten.
    1. Behalten Sie die Standardeinstellung für den Mandantenzugriff bei.
    2. Wählen Sie Cloud nach einrichten aus und klicken Sie auf Speichern.
      Hinweis: Wenn Sie vor dem Speichern die Option Cloud nach einrichten nicht ausgewählt haben, wird der Assistent für die Erstkonfiguration beendet. Das Cloud-Konfigurationsfenster wird nicht automatisch gestartet, und Sie werden zu einer Dashboard-Ansicht auf dem Controller geleitet. Navigieren Sie in diesem Fall zu Infrastruktur > Clouds, bearbeiten Sie die Standard-Cloud und fahren Sie mit den folgenden Schritten fort.
  6. Konfigurieren Sie die Standard-Cloud.
    1. Wählen Sie Cloud aus.
    2. Wählen Sie als Infrastrukturtyp VMware vCenter/vSphere ESX aus.
  7. Konfigurieren Sie die Infrastruktureinstellungen.
    Geben Sie die vCenter/vSphere-Anmeldeinformationen ein.
    Option Bezeichnung
    Benutzername

    Geben Sie den Benutzernamen des vCenter-Administrators ein, z. B. administrator@vsphere.local.

    Um niedrigerstufige Berechtigungen zu verwenden, erstellen Sie eine dedizierte Rolle. Nähere Angaben finden Sie unter VMware-Benutzerrolle.

    Kennwort Geben Sie das Benutzerkennwort ein.
    vCenter-Adresse Geben Sie den vCenter Server-Hostnamen oder die IP-Adresse für die vSphere with Tanzu-Umgebung ein.
    Zugriffsberechtigungen

    Lesen: Sie erstellen und verwalten die Dienst-Engine-VMs.

    Schreien: Der Controller erstellt und verwaltet die Dienst-Engine-VMs.

    Sie müssen „Schreiben“ auswählen.

    Sie können die IPAM- und DNS-Profile leer lassen.
  8. Konfigurieren Sie die Einstellungen für Data Center.
    1. Wählen Sie das vSphere Datencenter, in dem Sie die Arbeitslastverwaltung aktivieren möchten.
    2. Wählen Sie den Modus Standard-Netzwerk-IP-Adressenverwaltung aus.
      • Wählen Sie DHCP aktiviert aus, wenn DHCP in den vSphere-Portgruppen verfügbar ist.
      • Lassen Sie die Option deaktiviert, wenn die Dienst-Engine-Schnittstellen nur statische IP-Adressen verwenden sollen. Sie können sie für jedes Netzwerk einzeln konfigurieren.

        Weitere Informationen finden Sie unter Konfigurieren eines virtuellen IP-Netzwerks.

    3. Konfigurieren Sie die Einstellungen für die Platzierung von virtuellen Diensten.
      Option Beschreibung
      Bevorzugen von statischen Routen im Vergleich zum direkt verbundenen Netzwerk für die Platzierung virtueller Dienste Wählen Sie diese Option aus, um zu erzwingen, dass die Dienst-Engine-VM auf das Servernetzwerk zugreift, indem sie über das Standard-Gateway geroutet wird.

      Standardmäßig verbindet der Controller eine Netzwerkkarte direkt mit dem Servernetzwerk. Sie müssen erzwingen, dass die Dienst-Engine ausschließlich eine Verbindung zum Datennetzwerk herstellt und Daten an das Arbeitslastnetzwerk weiterleitet.

      Statische Routen für die Netzwerkauflösung von VIP für die Platzierung virtueller Dienste verwenden Lassen Sie diese Option unausgewählt.
  9. Konfigurieren Sie die Einstellungen unter Netzwerk und klicken Sie auf Speichern.
    Option Beschreibung
    Verwaltungsnetzwerk Wählen Sie das Verwaltungsnetzwerk aus. Diese Netzwerkschnittstelle wird von den Dienst-Engines verwendet, um eine Verbindung mit dem Controller herzustellen. Beispielsweise Primary Workload Network.
    Dienst-Engine Lassen Sie die Vorlagen-Dienst-Engine-Gruppe leer.
    IP-Adressenverwaltung für das Verwaltungsnetzwerk Wählen Sie DHCP aktiviert aus.
  10. (Optional) Konfigurieren Sie die folgenden Netzwerkeinstellungen nur, wenn Sie DHCP aktiviert nicht auswählen.
    Option Beschreibung
    IP-Subnetz Geben Sie das IP-Subnetz für das Verwaltungsnetzwerk ein. Beispiel: 192.168.110.0/24.
    Hinweis: Geben Sie ein IP-Subnetz nur dann ein, wenn DHCP nicht verfügbar ist.
    Hinzufügen eines statischen IP-Adresspools Geben Sie eine oder mehrere IP-Adressen oder einen IP-Adressbereich ein. Beispiel: 192.168.110.66-192.168.110.90.
    Hinweis: Geben Sie ein IP-Subnetz nur dann ein, wenn DHCP nicht verfügbar ist.
    Standard-Gateway Geben Sie das Standard-Gateway für das Verwaltungsnetzwerk ein, z. B. 192.168.110.1.
    Hinweis: Geben Sie ein IP-Subnetz nur dann ein, wenn DHCP nicht verfügbar ist.
  11. (Optional) Konfigurieren Sie NTP-Einstellungen, wenn Sie einen internen NTP-Server verwenden möchten.
    1. Klicken Sie auf Verwaltung > Einstellungen > DNS/NTP.
    2. Löschen Sie vorhandene NTP-Server, sofern vorhanden, und geben Sie die IP-Adresse für den DNS-Server ein, den Sie verwenden. Beispiel: 192.168.100.1.

Ergebnisse

Nachdem Sie die Konfiguration abgeschlossen haben, sehen Sie das Controller-Dashboard. Wählen Sie Infrastruktur > Clouds aus und stellen Sie sicher, dass der Status des Controllers für Standard-Cloud grün ist. Manchmal kann der Status für einige Zeit gelb sein, bis der AVI-Controller alle Portgruppen in der vCenter-Umgebung erkennt, bevor er grün wird.

Hinzufügen einer Lizenz

Nachdem Sie den NSX Advanced Load Balancer konfiguriert haben, müssen Sie ihm eine Lizenz hinzufügen. Der Controller wird im Testmodus gestartet, der über alle Funktionen verfügt, die einer verfügbaren Enterprise Edition-Lizenz entsprechen. Sie müssen dem Controller eine gültige Enterprise-Lizenz zuweisen, bevor der Testzeitraum abläuft.

Voraussetzungen

Stellen Sie sicher, dass Sie über die Enterprise-Lizenz verfügen.

Prozedur

  1. Klicken Sie im NSX Advanced Load Balancer-Controller-Dashboard auf das Menü in der oberen linken Ecke und wählen Sie Verwaltung aus.
  2. Wählen Sie Einstellungen > Lizenzierung.
  3. Klicken Sie auf Hochladen von Computer, um die Lizenz hinzuzufügen.
    Nachdem die Lizenzdatei hochgeladen wurde, wird sie in der Liste der Controller-Lizenzen angezeigt. Das System zeigt die Informationen zur Lizenz an, einschließlich des Start- und Ablaufdatums.
  4. (Optional) Wenn Sie nicht über eine Enterprise-Lizenz verfügen, können Sie die Essentials-Edition verwenden.
    Hinweis: Wenn Sie vom Enterprise- oder Testmodus zur Essentials-Edition wechseln, müssen Sie den Wechsel vornehmen, bevor Sie den NSX Advanced Load Balancer-Controller konfigurieren. Wenn Sie eine Enterprise Edition-Funktion konfiguriert haben, müssen Sie die konfigurierten Einstellungen löschen, bevor Sie zur Essentials-Edition wechseln.
    1. Wählen Sie Einstellungen > Lizenzierung.
    2. Klicken Sie auf das Zahnradsymbol neben Lizenzierung.
    3. Wählen Sie Essentials-Lizenz aus und klicken Sie auf Speichern.
    4. Wählen Sie im Popup-Fenster Ja aus, um die Edition zu bestätigen.
      Es kann einige Zeit dauern, bis die Konfiguration gespeichert wird und der NSX Advanced Load Balancer-Controller die Enterprise-Funktionen deaktiviert.

Bereitstellen eines Controller-Clusters

Optional können Sie einen Cluster mit drei Controller-Knoten bereitstellen. Die Konfiguration eines Clusters wird in Produktionsumgebungen für HA und Notfallwiederherstellung empfohlen. Wenn Sie einen Einzelknoten-NSX Advanced Load Balancer-Controller ausführen, müssen Sie die Sicherungs- und Wiederherstellungsfunktion verwenden.

Um einen Cluster mit drei Knoten auszuführen, stellen Sie nach der Bereitstellung der ersten Controller-VM zwei weitere Controller-VMs bereit und schalten Sie sie ein. Sie dürfen nicht den Erstkonfigurationsassistenten ausführen oder das Administratorkennwort für diese Controller ändern. Die Konfiguration der ersten Controller-VM wird den beiden neuen Controller-VMs zugewiesen.

Prozedur

  1. Wechseln Sie zu Verwaltung > Controller.
  2. Wählen Sie Knoten aus.
  3. Klicken Sie auf das Symbol „Bearbeiten“.
  4. Fügen Sie eine statische IP als Controller-Cluster-IP hinzu.
    Diese IP-Adresse muss aus dem Verwaltungsnetzwerk stammen.
  5. Konfigurieren Sie in Clusterknoten die beiden neuen Clusterknoten.
    Option Beschreibung
    IP IP-Adresse des Controller-Knotens.
    Name Name des Knotens. Der Name kann die IP-Adresse sein.
    Kennwort Kennwort des Controller-Knotens. Lassen Sie das Kennwort leer.
    Öffentliche IP Die öffentliche IP-Adresse des Controller-Knotens. Lassen Sie dieses Feld leer.
  6. Klicken Sie auf Speichern.
    Hinweis: Sobald Sie einen Cluster bereitgestellt haben, müssen Sie die IP des Controller-Clusters für jede weitere Konfiguration verwenden, nicht die IP des Controller-Knotens.

Zuweisen eines Zertifikats zum Controller

Der Controller muss ein Zertifikat an Clients senden, um eine sichere Kommunikation herstellen zu können. Dieses Zertifikat muss einen alternativen Antragstellernamen (Subject Alternative Name, SAN) aufweisen, der mit dem Hostnamen oder der IP-Adresse des AVI-Controller-Clusters übereinstimmt.

Der Controller verfügt über ein selbstsigniertes Standardzertifikat. Dieses Zertifikat verfügt jedoch nicht über das richtige SAN. Sie müssen es durch ein gültiges oder selbstsigniertes Zertifikat mit dem richtigen SAN ersetzen. Sie erstellen ein selbstsigniertes Zertifikat oder laden ein externes Zertifikat hoch.

Weitere Informationen zu Zertifikaten finden Sie in der Avi-Dokumentation.

Prozedur

  1. Klicken Sie im Avi-Controller-Dashboard auf das Menü in der oberen linken Ecke und wählen Sie Vorlagen > Sicherheit aus.
  2. Klicken Sie auf SSL/TLS-Zertifikat.
  3. Zum Erstellen eines Zertifikats klicken Sie auf Erstellen und wählen Sie Controller-Zertifikat aus.
    Das Fenster Neues Zertifikat (SSL/TLS) wird geöffnet.
  4. Geben Sie einen Namen für das Zertifikat ein.
  5. Wenn kein vorab erstelltes gültiges Zertifikat vorhanden ist, fügen Sie ein selbstsigniertes Zertifikat hinzu, indem Sie für Typ die Option Self Signed auswählen.
    1. Geben Sie die folgenden Details ein:
      Option Beschreibung
      Allgemeiner Name

      Geben Sie den vollqualifizierten Namen der Site an. Damit die Site als vertrauenswürdig eingestuft wird, muss dieser Eintrag mit dem Hostnamen übereinstimmen, den der Client im Browser eingegeben hat.

      Alternativer Antragstellername (Subject Alternate Name, SAN) Geben Sie die IP-Adresse und/oder den FQDN des Clusters ein, wenn der Avi Controller als einzelner Knoten bereitgestellt wird.

      Wenn nur die IP-Adresse oder der FQDN verwendet wird, muss sie mit der IP-Adresse der Controller-VM übereinstimmen, die Sie während der Bereitstellung angeben. Weitere Informationen finden Sie unter Bereitstellen des NSX Advanced Load Balancer-Controllers.

      Geben Sie die Cluster-IP oder den Cluster-FQDN des Avi Controller-Clusters ein, wenn dieser als Cluster mit drei Knoten bereitgestellt wird. Informationen zum Bereitstellen eines Clusters mit drei Controller-Knoten finden Sie unter Bereitstellen eines Controller-Clusters.

      Algorithmus Wählen Sie EC (Elliptic Curve Cryptography) oder RSA aus. EC wird empfohlen.
      Schlüssellänge Wählen Sie die Verschlüsselungsebene aus, die für Handshakes verwendet werden soll:
      • SECP256R1 wird für EC-Zertifikate verwendet.
      • 2048 Bit wird für RSA-Zertifikate empfohlen.
    2. Klicken Sie auf Speichern.
    Sie benötigen dieses Zertifikat, wenn Sie den Supervisor zum Aktivieren der Arbeitslastverwaltungsfunktion konfigurieren.
  6. Laden Sie das selbstsignierte Zertifikat herunter, das Sie erstellen.
    1. Klicken Sie auf Sicherheit > SSL/TLS-Zertifikate.
      Wenn das Zertifikat nicht angezeigt wird, aktualisieren Sie die Seite.
    2. Wählen Sie das erstellte Zertifikat aus und klicken Sie auf das Download-Symbol.
    3. Klicken Sie auf der Seite Zertifikat exportieren für das Zertifikat auf In Zwischenablage kopieren. Kopieren Sie nicht den Schlüssel.
    4. Speichern Sie das kopierte Zertifikat für die spätere Verwendung, wenn Sie die Arbeitslastverwaltung aktivieren.
  7. Wenn ein vorab erstelltes gültiges Zertifikat vorhanden ist, laden Sie es hoch, indem Sie für Typ die Option Import auswählen.
    1. Klicken Sie unter Zertifikat auf Datei hochladen und importieren Sie das Zertifikat.
      Das SAN-Feld des Zertifikats, das Sie hochladen, muss über die IP-Adresse oder den FQDN des Controllers verfügen.
      Hinweis: Stellen Sie sicher, dass Sie den Inhalt des Zertifikats nur einmal hochladen oder einfügen.
    2. Klicken Sie in Schlüssel (PEM) oder PKCS12 auf Datei hochladen und importieren Sie den Schlüssel.
    3. Klicken Sie Validieren, um das Zertifikat und den Schlüssel zu validieren.
    4. Klicken Sie auf Speichern.
  8. Um das Portalzertifikat zu ändern, führen Sie die folgenden Schritte aus.
    1. Klicken Sie im Avi-Controller-Dashboard auf das Menü in der oberen linken Ecke und wählen Sie Verwaltung > Einstellungen aus.
    2. Klicken Sie auf Zugriffseinstellungen.
    3. Klicken Sie auf das Symbol „Bearbeiten“.
    4. Entfernen Sie aus dem SSL/TLS-Zertifikat die vorhandenen Standardportalzertifikate.
    5. Wählen Sie im Dropdown-Menü das neu erstellte oder hochgeladene Zertifikat aus.
    6. Klicken Sie auf Speichern.