統合のサポート

NSX Advanced Load Balancer は、高可用性 (HA) モードの HSM デバイスのクラスタをサポートするように構成できます。HSM デバイスの NSX Advanced Load Balancer サポートには、Thales の Web サイトからダウンロードできるユーザーの Thales Luna クライアント ソフトウェア バンドルをインストールする必要があります。

デフォルトでは、NSX Advanced Load Balancer Controller とサービス エンジンは HSM 通信に対応する管理インターフェイスを使用します。CSP では、HSM の操作に NSX Advanced Load Balancer の専用のサービス エンジン データ インターフェイスを使用できます。また、CSP プラットフォームでは、HSM 通信に専用のコントローラ インターフェイスを使用できます。

すべてのサービス エンジンが複数のテナントに分散された管理テナントに HSM グループを作成することを選択できます。これにより、HSM グループを対応する SE グループに接続することで、SE グループごとに HSM を有効にできます。このモードでは、HSM 通信用の専用インターフェイスと管理インターフェイス間の構成の選択が管理テナントで行われます。他のすべてのテナントは、その構成の使用を強制されます。

または、それぞれのテナントに HSM グループを作成することもできます。HSM 通信用の専用インターフェイスまたは管理インターフェイスの構成の選択は、テナント レベルで決定されます。このモードでは、コントローラの IP アドレスがすべての HSM グループで重複する可能性があります。内部的には、これらの重複するクライアントの証明書は 1 回作成され、後続の HSM グループの作成に再利用されます。

前提条件

• Thales Luna デバイスがネットワークにインストールされている。

• NSX Advanced Load Balancer Controller およびサービス エンジンから Thales Luna デバイスにアクセスできる。

• Thales Luna デバイスには、クライアント ソフトウェアをインストールする前に、仮想 HSM パーティションが定義されている必要がある。クライアントは HSM の一意のパーティションに関連付けられます。これらのパーティションは、HA/非 HA モードで構成されるすべての HSM に事前に作成する必要があります。また、これらのパーティションにアクセスするためのパスワードは、すべての HSM デバイスのパーティションで同じでなければなりません。

• Thales Luna デバイスのサーバ証明書が、相互認証用の NSX Advanced Load Balancer Controller で HSM グループを作成するために使用できる。

• 各 NSX Advanced Load Balancer Controller およびサービス エンジンは、次の要件を満たしている必要がある。

  • HSM にアクセスするために、Thales Luna のクライアント ライセンスを取得する。

  • コントローラ管理またはコントローラ専用インターフェイス、およびサービス エンジン管理またはサービス エンジン専用管理インターフェイスを介してポート 22 および 1792 で HSM にアクセスできる。

以下をダウンロードします。

• Thales Luna Network HSM クライアント ソフトウェア。

• Thales Luna Network HSM ユーザー ドキュメント。

HSM グループの更新

HSM グループの作成、更新、または削除後に、新しい Thales Luna 構成を再ロードする必要があります。これは、サービス エンジンを再起動することによってのみ実現できます。サービス エンジンを再起動すると、トラフィックが一時的に中断されます。