vSphere IaaS control plane기본 그룹을 템플릿으로 사용하여 감독자별 서비스 엔진 그룹을 구성합니다. 필요한 경우 vCenter 내 서비스 엔진 VM의 수와 배치를 정의하는 그룹 내에서 기본 그룹 서비스 엔진을 구성할 수 있습니다. NSX Advanced Load Balancer Controller가 Enterprise 모드에 있는 경우에도 고가용성을 구성할 수 있습니다.

프로시저

  1. NSX Advanced Load Balancer Controller 대시보드에서 인프라 > 클라우드 리소스 > 서비스 엔진 그룹을 선택합니다.
  2. 서비스 엔진 그룹 페이지에서 기본 그룹의 편집 아이콘을 클릭합니다.
    일반 설정 탭이 나타납니다.
  3. 고가용성 및 배치 설정 섹션에서 고가용성 및 가상 서비스 설정을 구성합니다.
    1. 고가용성 모드를 선택합니다.
      기본 옵션은 N + M (buffer)입니다. 기본값을 유지하거나 다음 옵션 중 하나를 선택할 수 있습니다.
      • Active/Standy
      • Active/Active
    2. 서비스 엔진 수를 구성합니다. 서비스 엔진 그룹 내에서 생성될 수 있는 최대 서비스 엔진 수입니다. 기본값은 10입니다.
    3. 서비스 엔진 전반의 가상 서비스 배치를 구성합니다.
      기본 옵션은 컴팩트입니다. 다음 옵션 중 하나를 선택할 수 있습니다.
      • 분산. NSX Advanced Load Balancer Controller가 새로 가동된 서비스 엔진에 가상 서비스를 지정된 최대 서비스 엔진 수까지 배치하여 성능을 최대화합니다.
      • 컴팩트. NSX Advanced Load Balancer Controller가 가능한 최소한의 서비스 엔진을 스핀 업하고 새 가상 서비스를 기존 서비스 엔진에 배치합니다. 새 서비스 엔진은 모든 서비스 엔진이 활용되는 경우에만 생성됩니다.
  4. 다른 설정에 대해서는 기본값을 유지할 수 있습니다.
  5. 저장을 클릭합니다.

결과

AKO는 각 vSphere IaaS control plane 클러스터에 대해 하나의 서비스 엔진 그룹을 생성합니다. 서비스 엔진 그룹 구성은 기본 그룹 구성에서 파생됩니다. 기본 그룹이 필수 값으로 구성되면 AKO에서 생성된 모든 새 서비스 엔진 그룹은 동일한 설정을 갖게 됩니다. 하지만 기본 그룹 구성에 대한 변경 사항은 이미 생성된 서비스 엔진 그룹에 반영되지 않습니다. 기존 서비스 엔진 그룹에 대한 구성은 별도로 수정해야 합니다.

NSX Advanced Load Balancer ControllerNSX Manager에 등록

NSX Advanced Load Balancer ControllerNSX Manager에 등록합니다.

사전 요구 사항

NSX Advanced Load Balancer Controller를 배포하고 구성했는지 확인합니다.

프로시저

  1. 루트 사용자로 NSX Manager에 로그인합니다.
  2. 다음 명령을 실행합니다. 
    curl -k --location --request PUT 'https://<nsx-mgr-ip>/policy/api/v1/infra/alb-onboarding-workflow' \
--header 'X-Allow-Overwrite: True' \
--header 'Authorization: Basic <base64 encoding of username:password of NSX Mgr>' \
--header 'Content-Type: application/json' \
--data-raw '{
"owned_by": "LCM",
"cluster_ip": "<nsx-alb-controller-cluster-ip>",
"infra_admin_username" : "username",
"infra_admin_password" : "password"
}'
    API 호출에 DNS 및 NTP 설정을 제공하는 경우 전역 설정이 재정의됩니다. 예를 들어 "dns_servers": ["<dns-servers-ips>"] "ntp_servers": ["<ntp-servers-ips>"]를 선택합니다.

NSX Advanced Load Balancer Controller에 인증서 할당

NSX Advanced Load Balancer Controller는 클라이언트에 보내는 인증서를 사용하여 사이트를 인증하고 보안 통신을 설정합니다. 인증서는 NSX Advanced Load Balancer에서 자체 서명되거나 CSR(인증서 서명 요청)으로 생성될 수 있으며, 이것이 신뢰할 수 있는 CA(인증 기관)로 전송되면 신뢰할 수 있는 인증서가 생성됩니다. 자체 서명된 인증서를 생성하거나 외부 인증서를 업로드할 수 있습니다.

감독자를 사용하도록 설정하려면 사용자 지정 인증서를 제공해야 합니다. 기본 인증서는 사용할 수 없습니다. 인증서에 대한 자세한 내용은 SSL/TLS 인증서를 참조하십시오.

사설 CA(인증 기관) 서명 인증서를 사용하는 경우 감독자 배포가 완료되지 않고 NSX Advanced Load Balancer 구성이 적용되지 않을 수 있습니다. 자세한 내용은 NSX Advanced Load Balancer 구성이 적용되지 않음의 내용을 참조하십시오.

사전 요구 사항

NSX Advanced Load BalancerNSX Manager에 등록되어 있는지 확인합니다.

프로시저

  1. 컨트롤러 대시보드에서 왼쪽 상단 모서리에 있는 메뉴를 클릭하고 템플릿 > 보안을 선택합니다.
  2. SSL/TLS 인증서를 선택합니다.
  3. 인증서를 생성하려면 생성을 클릭하고 컨트롤러 인증서를 선택합니다.
    새 인증서(SSL/TLS) 창이 나타납니다.
  4. 인증서의 이름을 입력합니다.
  5. 미리 생성된 유효한 인증서가 없는 경우 유형Self Signed로 선택하여 자체 서명된 인증서를 추가합니다.
    1. 다음과 같은 세부 정보를 입력합니다.
      옵션 설명
      일반 이름

      사이트의 정규화된 이름을 지정합니다. 사이트가 신뢰할 수 있는 사이트로 간주되려면 이 항목이 클라이언트가 브라우저에 입력한 호스트 이름과 일치해야 합니다.
      알고리즘 EC(타원 곡선) 암호화 또는 RSA를 선택합니다. EC가 권장됩니다.
      키 크기 핸드셰이크에 사용할 암호화 수준을 선택합니다.
      • SECP256R1은 EC 인증서에 사용됩니다.
      • 2048비트는 RSA 인증서에 권장됩니다.
    2. SAN(대체 이름)에서 추가를 클릭합니다.
    3. NSX Advanced Load Balancer Controller가 단일 노드로 배포된 경우 이것의 클러스터 IP 주소나 FQDN 또는 둘 다를 입력합니다. IP 주소 또는 FQDN만 사용되는 경우 배포 중에 지정한 NSX Advanced Load Balancer Controller VM의 IP 주소와 일치해야 합니다.
      NSX Advanced Load Balancer Controller 배포의 내용을 참조하십시오. NSX Advanced Load Balancer Controller 클러스터가 3개의 노드로 구성된 클러스터로 배포된 경우 해당 클러스터의 IP 또는 FQDN을 입력합니다.
    4. 저장을 클릭합니다.
    워크로드 관리 기능을 사용하도록 감독자를 구성할 때 이 인증서가 필요합니다.
  6. 생성한 자체 서명된 인증서를 다운로드합니다.
    1. 보안 > SSL/TLS 인증서를 선택합니다.
      인증서가 표시되지 않으면 페이지를 새로 고칩니다.
    2. 생성한 인증서를 선택하고 다운로드 아이콘을 클릭합니다.
    3. 인증서 내보내기 페이지가 나타나면 인증서에 대해 클립보드에 복사를 클릭합니다. 키를 복사하지 마십시오.
    4. 나중에 워크로드 관리를 사용하도록 설정할 때 사용할 수 있도록 복사한 인증서를 저장합니다.
  7. 미리 생성된 유효한 인증서가 있는 경우 유형Import로 선택하여 업로드합니다.
    1. 인증서에서 파일 업로드를 클릭하고 인증서를 가져옵니다.
      업로드한 인증서의 SAN 필드에는 컨트롤러의 클러스터 IP 주소 또는 FQDN이 있어야 합니다.
      참고: 인증서의 컨텐츠를 한 번만 업로드하거나 붙여넣어야 합니다.
    2. 키(PEM) 또는 PKCS12에서 파일 업로드를 클릭하고 키를 가져옵니다.
    3. 유효성 검사를 클릭하여 인증서와 키의 유효성을 검사합니다.
    4. 저장을 클릭합니다.
  8. 인증서를 변경하려면 다음 단계를 수행합니다.
    1. 컨트롤러 대시보드에서 관리 > 시스템 설정을 선택합니다.
    2. 편집을 클릭합니다.
    3. 액세스 탭을 선택합니다.
    4. SSL/TLS 인증서에서 기존 기본 포털 인증서를 제거합니다.
    5. 드롭다운에서 새로 생성 또는 업로드된 인증서를 선택합니다.
    6. 기본 인증을 선택합니다.
    7. 저장을 클릭합니다.