Vous pouvez configurer un équilibreur de charge externe pour répartir le trafic vers les gestionnaires NSX dans un cluster de gestionnaires.

Un cluster NSX Manager n'a pas besoin d'un équilibreur de charge externe. L'adresse IP virtuelle (VIP) de NSX Manager fournit une résilience en cas d'échec d'un nœud de gestionnaire, mais présente les limitations suivantes :
  • L'adresse IP virtuelle n'effectue pas l'équilibrage de charge sur les instances de NSX Manager.
  • L'adresse IP virtuelle nécessite que toutes les instances de NSX Manager se trouvent dans le même sous-réseau.
  • La récupération d'adresses IP virtuelles dure entre 1 et 3 minutes en cas d'échec d'un nœud de gestionnaire.
Un équilibreur de charge externe peut offrir les avantages suivants :
  • Équilibrage de la charge entre les instances de NSX Manager.
  • Les instances de NSX Manager peuvent se trouver dans des sous-réseaux différents.
  • Temps de récupération rapide en cas d'échec d'un nœud de gestionnaire.

Un équilibreur de charge externe ne fonctionnera pas avec l'adresse IP virtuelle de NSX Manager. Ne configurez pas une adresse IP virtuelle NSX Manager si vous utilisez un équilibreur de charge externe.

Méthodes d'authentification lors de l'accès à NSX Manager

Les méthodes d'authentification suivantes sont prises en charge par NSX Manager. Pour plus d'informations sur les méthodes d'authentification, reportez-vous au Guide de l'API de NSX-T Data Center.
  • Authentification HTTP de base
  • Authentification basée sur une session
  • Authentification à l'aide d'un certificat X.509 et d'une identité de principal
  • Authentification dans VMware Cloud on AWS (VMC)

La méthode d'authentification basée sur une session (utilisée lorsque vous accédez à NSX Manager à partir d'un navigateur) nécessite la persistance de l'adresse IP source (toutes les demandes du client doivent accéder au même NSX Manager). Les autres méthodes ne nécessitent pas la persistance de l'adresse IP source (les demandes du client peuvent être envoyées à différentes instances de NSX Manager).

Recommandations

  • Créez une adresse IP virtuelle unique sur l'équilibreur de charge avec la persistance de l'adresse IP source configurée pour gérer toutes les méthodes d'authentification.
  • Si vous disposez d'applications ou de scripts qui peuvent générer un grand nombre de demandes à NSX Manager, créez une deuxième adresse IP virtuelle sans persistance d'adresse IP source pour ces applications ou scripts. Utilisez la première adresse IP virtuelle pour un accès au navigateur à NSX Manager uniquement.
L'adresse IP virtuelle doit avoir les configurations suivantes :
  • Type : Layer4-TCP
  • Port : 443
  • Pool : pool NSX Manager
  • Persistance : persistance de l'adresse IP source pour la première adresse IP virtuelle. Aucune pour la deuxième adresse IP virtuelle (le cas échéant).

Exemple de configuration d'équilibreur de charge externe :

Certificat de NSX Manager

Les clients accèdent à NSX Manager à l'aide d'un nom de domaine complet (par exemple, nsx.mycompany.com). Ce nom de domaine complet est résolu sur l'adresse IP virtuelle de l'équilibreur de charge. Pour éviter toute incompatibilité de certificat, chaque NSX Manager doit disposer d'un certificat valide pour le nom de domaine complet de l'adresse IP virtuelle. Par conséquent, vous devez configurer chaque NSX Manager avec un certificat SAN valide pour son propre nom (par exemple, nsxmgr1.mycompany.com) et le nom de domaine complet de l'adresse IP virtuelle.

Surveillance de la santé des instances de NSX Manager

L'équilibreur de charge peut vérifier que chaque NSX Manager s'exécute avec l'API suivante :
GET /api/v1/reverse-proxy/node/health
Les en-têtes de demande sont les suivants :
  • En-tête1
    • Nom : autorisation
    • Valeur : <Valeur Base64> de base

    Remarque : <Valeur Base64> est le nom d'utilisateur : mot de passe codé en Base64. Vous pouvez utiliser https://www.base64encode.net pour effectuer le codage. Par exemple, En-tête1 peut être Authorization: Basic YWRtaW46Vk13YXJlMSFWTXdhcmUxIQ== pour admin:VMware1!VMware1!.

  • En-tête2
    • Nom : type de contenu
    • Valeur : application/json
  • En-tête3
    • Nom : accepter
    • Valeur : application/json
Voici une réponse indiquant que NSX Manager est en cours d'exécution :
"healthy" : true

Notez que le format de la réponse est “healthy”<space>:<space>true.

Si vous modifiez le mot de passe de l'utilisateur que vous spécifiez dans En-tête1, vous devez mettre à jour En-tête1 en conséquence.