您可以設定外部負載平衡器,以將流量散佈到管理程式叢集中的 NSX Manager。
NSX Manager 叢集不需要外部負載平衡器。在管理程式節點失敗的情況下,NSX Manager 虛擬 IP (VIP) 可提供復原能力,但具有下列限制:
- VIP 不會在整個 NSX Manager 中執行負載平衡。
- VIP 要求所有 NSX Manager 都位於相同的子網路中。
- 在管理程式節點失敗的情況中,VIP 復原需要大約 1 - 3 分鐘的時間。
外部負載平衡器可提供下列優點:
- 在整個 NSX Manager 間的負載平衡。
- NSX Manager 可以位於不同的子網路中。
- 管理程式節點失敗時的快速復原時間。
外部負載平衡器將無法與 NSX Manager VIP 搭配使用。如果您使用外部負載平衡器,則請勿設定 NSX Manager VIP。
存取 NSX Manager 時的驗證方法
NSX Manager 支援以下驗證方法。如需有關驗證方法的詳細資訊,請參閱
《NSX-T Data Center API 指南》。
- HTTP 基本驗證
- 以工作階段為基礎的驗證
- 使用 X.509 憑證和主體身分識別進行驗證
- VMware Cloud on AWS (VMC) 中的驗證
以工作階段為基礎的驗證方法 (從瀏覽器存取 NSX Manager 時會使用此方法) 需要來源 IP 持續性 (來自用戶端的所有要求都必須前往相同的 NSX Manager)。其他方法則不需要來源 IP 持續性 (來自用戶端的要求可以前往不同的 NSX Manager)。
建議
- 在負載平衡器上建立一個設定了來源 IP 持續性的 VIP,以處理所有驗證方法。
- 如果您的應用程式或指令碼可能會向 NSX Manager 產生大量要求,請為這些應用程式或指令碼建立另一個不具有來源 IP 持續性的 VIP。第一個 VIP 僅用於透過瀏覽器存取 NSX Manager。
VIP 必須具有以下組態:
- 類型:Layer4-TCP
- 連接埠:443
- 集區:NSX Manager 集區
- 持續性:第一個 VIP 的來源 IP 持續性。第二個 VIP (如果存在) 則沒有。
外部負載平衡器組態範例:
NSX Manager 的憑證
用戶端使用 FQDN 名稱 (例如,nsx.mycompany.com) 存取 NSX Manager。此 FQDN 會解析為負載平衡器的 VIP。為避免有任何憑證不相符,每個 NSX Manager 都必須具有對 VIP 的 FQDN 名稱有效的憑證。因此,您必須為每個 NSX Manager 設定一個對其本身名稱有效的 SAN 憑證 (例如,nsxmgr1.mycompany.com) 和 VIP 的 FQDN。
監控 NSX Manager 的健全狀況
負載平衡器可以使用以下 API 來確認每個 NSX Manager 是否都正在執行:
GET /api/v1/reverse-proxy/node/health
要求標頭包括:
- Header1
- 名稱:授權
- 值:基本 <Base64 值>
注意:<Base64 值> 是以 Base64 進行編碼的 Username:Password。您可以使用 https://www.base64encode.net 來進行編碼。例如,admin:VMware1!VMware1! 的 Header1 可能是
Authorization: Basic YWRtaW46Vk13YXJlMSFWTXdhcmUxIQ==
。 - Header2
- 名稱:Content-Type
- 值:應用程式/json
- Header3
- 名稱:接受
- 值:應用程式/json
會指出 NSX Manager 正在執行的回應如下:
"healthy" : true
請注意,回應格式為 “healthy”<space>:<space>true
。
如果變更在 Header1 中所指定使用者的密碼,則必須相應地更新 Header1。