NSX Advanced Load Balancer は、次の環境でサービス エンジンでの HSM 通信専用インターフェイスをサポートします。

  • Cisco CSP

  • vCenter Server(Orchestrator なしモード)

注:

NSX Advanced Load Balancer では、vCenter Server(Orchestrator なし)に展開されたサービス エンジンの専用インターフェイスがサポートされます。

NSX Advanced Load Balancer サービス エンジンでの専用ハードウェア セキュリティ モジュール (HSM) インターフェイスは、次の構成パラメータを使用します。

  • avi.hsm-ip.SE

  • avi.hsm-static-routes.SE

  • avi.hsm-vnic-id.SE

パラメータ

YAML パラメータ

説明

形式

Example

avi.hsm-ip.SE

SE 上の専用 HSM vNIC の IP アドレス(これは HSM の IP アドレスではありません)

IP アドレス/サブネット マスク

avi.hsm-ip.SE: 10.160.103.227/24

avi.hsm-static-routes.SE

HSM デバイスにアクセスするためのカンマ区切りのスタティック ルート。/32 ルートも指定できます。

注:

スタティック ルートが 1 つの場合は、同じルートを指定し、角括弧が一致している必要があります。また、HSM デバイスが専用インターフェイスと同じサブネットにある場合は、ゲートウェイをサブネットのデフォルト ゲートウェイとして指定します。

[ hsm network1/mask1 via gateway1, hsm network2/mask2 via gateway2 ] または [ hsm network1/mask1 via gateway1 ]

avi.hsm-static-routes.SE:[ 10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2]

avi.hsm-vnic-id.SE

CSP の場合、これは専用 HSM vNIC の ID で、CSP では通常 3 です(vNIC0 は管理インターフェイス、vNIC1 はデータイン インターフェイス、vNIC2 はデータアウト インターフェイス)。vCenter Server(Orchestrator なし)の場合は、vNIC ID(「Eth3」の「3」など)です。

数値の vNIC ID

avi.hsm-vnic-id.SE: '3'

Cisco CSP

CSP の Day-0 構成用のサンプル YAML ファイルは次のとおりです。

bash# cat avi_meta_data_dedicated_hsm_SE.yml
avi.mgmt-ip.SE: "10.128.2.18"
avi.mgmt-mask.SE: "255.255.255.0"
avi.default-gw.SE: "10.128.2.1"
AVICNTRL: "10.10.22.50"
AVICNTRL_AUTHTOKEN: “febab55d-995a-4523-8492-f798520d4515"
avi.hsm-ip.SE: 10.160.103.227/24
avi.hsm-static-routes.SE:[ 10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2]
avi.hsm-vnic-id.SE: '3'

NSX Advanced Load Balancer サービス エンジンが Day-0 構成ファイルで作成され、該当する仮想 NIC インターフェイスが Cisco CSP の SE サービス インスタンスに追加されたら、専用 vNIC 構成が正常に適用され、HSM デバイスにアクセスできることを、このインターフェイスで確認します。この場合、インターフェイス eth3(専用 HSM インターフェイス)は IP 10.160.103.227/24 で構成されています。

NSX Advanced Load Balancer SE の bash プロンプトにログインして ip route コマンドを使用し、ping テストを実行して、専用インターフェイスの IP にアクセスできることを確認します。

bash# ssh admin@<SE-MGMT-IP>
bash# ifconfig eth3
eth3      Link encap:Ethernet  HWaddr 02:6a:80:02:11:05  
          inet addr:10.160.103.227  Bcast:10.160.103.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4454601 errors:0 dropped:1987 overruns:0 frame:0
          TX packets:4510346 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
       
          RX bytes:672683711 (672.6 MB)  TX bytes:875329395 (875.3 MB)
bash# ip route
default via 10.128.2.1 dev eth0 
10.128.1.0/24 via 10.160.103.1 dev eth3
10.128.2.0/24 via 10.160.103.2 dev eth3
10.128.2.0/24 dev eth0  proto kernel  scope link  src 10.128.2.27 
10.160.103.0/24 dev eth3  proto kernel  scope link  src 10.160.103.227
bash# ping -I eth3 <HSM-IP>
ping -I eth3 10.128.1.51
PING 10.128.1.51 (10.128.1.51) from 10.160.103.227 eth3: 56(84) bytes of data.
64 bytes from 10.128.1.51: icmp_seq=1 ttl=62 time=0.229 ms

vCenter Server(Orchestrator なし)

サービス エンジンが展開されている場合は、前述の OVF プロパティを仮想マシンに追加します。既存のサービス エンジンでは、SE 仮想マシンをパワーオフし、OVF プロパティを追加し、仮想マシンをパワーオンします。