vSphere IaaS control plane は、[Default-Group] をテンプレートとして使用し、スーパーバイザー ごとにサービス エンジン グループを構成します。必要に応じて、グループ内に [Default-Group] サービス エンジンを構成して、vCenter Server 内のサービス エンジン仮想マシンの配置と数を定義することができます。NSX Advanced Load Balancer Controller が Enterprise モードになっている場合は、高可用性を構成することもできます。

手順

  1. NSX Advanced Load Balancer Controller ダッシュボードで、[インフラストラクチャ] > [クラウド リソース] > [サービス エンジン グループ] の順に選択します。
  2. [サービス エンジン グループ] ページで、[Default-Group] の編集アイコンをクリックします。
    [全般設定] タブが表示されます。
  3. [高可用性と配置設定] セクションで、高可用性と仮想サービスの設定を構成します。
    1. [高可用性モード] を選択します。
      デフォルトのオプションは N + M (buffer) です。デフォルト値をそのまま使用することも、次のいずれかのオプションを選択することもできます。
      • Active/Standy
      • Active/Active
    2. [サービス エンジンの数] を構成します。これは、サービス エンジン グループ内に作成できるサービス エンジンの最大数です。デフォルトは 10 です。
    3. [サービス エンジン間の仮想サービスの配置] を構成します。
      デフォルトのオプションは [コンパクト] です。次のいずれかのオプションを選択できます。
      • [配布済み]NSX Advanced Load Balancer Controller は、新しくスピンアップされたサービス エンジンに仮想サービスを指定したサービス エンジンの最大数まで配置することで、パフォーマンスを最大化します。
      • [コンパクト]NSX Advanced Load Balancer Controller は、許容される最小限のサービス エンジンをスピンアップし、既存のサービス エンジンに新しい仮想サービスを配置します。新しいサービス エンジンは、すべてのサービス エンジンが使用されている場合にのみ作成されます。
  4. その他の設定ではデフォルト値を使用できます。
  5. [保存] をクリックします。

結果

AKO は、各 vSphere IaaS control plane クラスタごとに 1 つのサービス エンジン グループを作成します。サービス エンジン グループの構成は、[Default-Group] 構成から取得されます。[Default-Group] の必須の値が構成されると、AKO によって作成されるすべての新しいサービス エンジン グループの設定が同じになります。ただし、[Default-Group] 構成に加えた変更は、作成済みのサービス エンジン グループには反映されません。既存のサービス エンジン グループの構成は、個別に変更する必要があります。

NSX Advanced Load Balancer ControllerNSX Manager への登録

NSX Advanced Load Balancer ControllerNSX Manager に登録します。

前提条件

NSX Advanced Load Balancer Controller がデプロイされ、構成されていることを確認します。

手順

  1. root ユーザーとして NSX Manager にログインします。
  2. 次のコマンドを実行します。
    curl -k --location --request PUT 'https://<nsx-mgr-ip>/policy/api/v1/infra/alb-onboarding-workflow' \
    --header 'X-Allow-Overwrite: True' \
    --header 'Authorization: Basic <base64 encoding of username:password of NSX Mgr>' \
    --header 'Content-Type: application/json' \
    --data-raw '{
    "owned_by": "LCM",
    "cluster_ip": "<nsx-alb-controller-cluster-ip>",
    "infra_admin_username" : "username",
    "infra_admin_password" : "password"
    }'
    API 呼び出しで DNS 設定と NTP 設定を指定すると、グローバル設定がオーバーライドされます。たとえば、 "dns_servers": ["<dns-servers-ips>"] および "ntp_servers": ["<ntp-servers-ips>"] などです。

NSX Advanced Load Balancer Controller への証明書の割り当て

NSX Advanced Load Balancer Controller は、クライアントに送信する証明書を使用してサイトを認証し、セキュアな通信を確立します。証明書は、NSX Advanced Load Balancer によって自己署名されるか、信頼されている (CA) に送信される証明書署名リクエスト (CSR) として作成され、そこで信頼できる証明書が生成されます。自己署名証明書を作成することも、外部証明書をアップロードすることもできます。

スーパーバイザー を有効にするには、カスタム証明書を指定する必要があります。デフォルトの証明書は使用できません。証明書の詳細については、「SSL/TLS Certificates」を参照してください。

プライベート認証局 (CA) 署名付き証明書を使用すると、スーパーバイザー のデプロイが完了せず、NSX Advanced Load Balancer 構成が適用されないことがあります。詳細については、『NSX Advanced Load Balancer 構成が適用されない』を参照してください。

前提条件

NSX Advanced Load BalancerNSX Manager に登録されていることを確認します。

手順

  1. コントローラ ダッシュボードで、左上隅にあるメニューをクリックして、[テンプレート] > [セキュリティ] の順に選択します。
  2. [SSL/TLS 証明書] を選択します。
  3. 証明書を作成するには、[作成] をクリックし、[コントローラ証明書] を選択します。
    [新しい証明書 (SSL/TLS)] ウィンドウが表示されます。
  4. 証明書の名前を入力します。
  5. 事前に作成された有効な証明書がない場合は、[タイプ]Self Signed を選択して自己署名証明書を追加します。
    1. 次の詳細を入力します。
      オプション 説明
      共通名

      サイトの完全修飾名を指定します。サイトが信頼されていると見なされるには、このエントリがクライアントのブラウザに入力されたホスト名と一致する必要があります。

      アルゴリズム EC(楕円曲線暗号)または RSA を選択します。EC が推奨です。
      キーのサイズ ハンドシェイクに使用する暗号化のレベルを選択します。
      • SECP256R1 は EC 証明書に使用されます。
      • RSA 証明書には 2048 ビットが推奨です。
    2. [サブジェクト代替名 (SAN)] で、[追加] をクリックします。
    3. NSX Advanced Load Balancer Controller が単一ノードとしてデプロイされている場合は、クラスタの IP アドレスまたは FQDN、あるいは両方を入力します。IP アドレスまたは FQDN のみが使用されている場合は、これがデプロイ時に指定した NSX Advanced Load Balancer Controller 仮想マシンの IP アドレスと一致する必要があります。
      NSX Advanced Load Balancer Controller のデプロイを参照してください。 NSX Advanced Load Balancer Controller クラスタが 3 ノードのクラスタとしてデプロイされている場合は、クラスタの IP アドレスまたは FQDN を入力します。
    4. [保存] をクリックします。
    この証明書は、ワークロード管理機能を有効にするよう スーパーバイザー を構成する場合に必要になります。
  6. 作成した自己署名証明書をダウンロードします。
    1. [セキュリティ] > [SSL/TLS 証明書] の順に選択します。
      証明書が表示されない場合は、ページを更新します。
    2. 作成した証明書を選択し、ダウンロード アイコンをクリックします。
    3. 表示された [証明書のエクスポート] 画面で、証明書に対して [クリップボードにコピー] をクリックします。キーをコピーしないでください。
    4. 後でワークロード管理の有効化の際に使用するためにコピーした証明書を保存します。
  7. 事前に作成された有効な証明書がある場合は、[タイプ]Import を選択してアップロードします。
    1. [証明書][ファイルのアップロード] をクリックして、証明書をインポートします。
      アップロードする証明書の SAN フィールドには、コントローラのクラスタ IP アドレスまたは FQDN が必要です。
      注: 証明書の内容をアップロードまたは貼り付けるのは、必ず 1 回だけにしてください。
    2. [キー (PEM) または PKCS12][ファイルのアップロード] をクリックして、キーをインポートします。
    3. [検証] をクリックして、証明書とキーを検証します。
    4. [保存] をクリックします。
  8. 証明書を変更するには、次の手順を実行します。
    1. コントローラ ダッシュボードで、[管理] > [システム設定] の順に選択します。
    2. [編集] をクリックします。
    3. [アクセス] タブを選択します。
    4. [SSL/TLS 証明書] で、既存のデフォルト ポータル証明書を削除します。
    5. ドロップダウンで、新しく作成した証明書またはアップロードした証明書を選択します。
    6. [基本認証] を選択します。
    7. [保存] をクリックします。