您可以設定外部負載平衡器,以將流量散佈到管理程式叢集中的 NSX Manager。

NSX Manager 叢集不需要外部負載平衡器。在管理程式節點失敗的情況下,NSX Manager 虛擬 IP (VIP) 可提供復原能力,但具有下列限制:
  • VIP 不會在整個 NSX Manager 中執行負載平衡。
  • VIP 要求所有 NSX Manager 都位於相同的子網路中。
  • 在管理程式節點失敗的情況中,VIP 復原需要大約 1 - 3 分鐘的時間。
外部負載平衡器可提供下列優點:
  • 在整個 NSX Manager 間的負載平衡。
  • NSX Manager 可以位於不同的子網路中。
  • 管理程式節點失敗時的快速復原時間。

外部負載平衡器將無法與 NSX Manager VIP 搭配使用。如果您使用外部負載平衡器,則請勿設定 NSX Manager VIP。

存取 NSX Manager 時的驗證方法

NSX Manager 支援以下驗證方法。如需有關驗證方法的詳細資訊,請參閱 《NSX-T Data Center API 指南》
  • HTTP 基本驗證
  • 以工作階段為基礎的驗證
  • 使用 X.509 憑證和主體身分識別進行驗證
  • VMware Cloud on AWS 中的驗證

以工作階段為基礎的驗證方法 (從瀏覽器存取 NSX Manager 時會使用此方法) 需要來源 IP 持續性 (來自用戶端的所有要求都必須前往相同的 NSX Manager)。其他方法則不需要來源 IP 持續性 (來自用戶端的要求可以前往不同的 NSX Manager)。

建議

  • 在負載平衡器上建立一個設定了來源 IP 持續性的 VIP,以處理所有驗證方法。
  • 如果您的應用程式或指令碼可能會向 NSX Manager 產生大量要求,請為這些應用程式或指令碼建立另一個不具有來源 IP 持續性的 VIP。第一個 VIP 僅用於透過瀏覽器存取 NSX Manager。
VIP 必須具有以下組態:
  • 類型:Layer4-TCP
  • 連接埠:443
  • 集區:NSX Manager 集區
  • 持續性:第一個 VIP 的來源 IP 持續性。第二個 VIP (如果存在) 則沒有。

外部負載平衡器組態範例:

外部負載平衡器組態範例

NSX Manager 的憑證

用戶端會使用 FQDN 名稱 (例如,nsx.mycompany.com) 來存取 NSX Manager。此 FQDN 會解析為負載平衡器的 VIP。為避免有任何憑證不相符,每個 NSX Manager 都必須具有對 VIP 的 FQDN 名稱有效的憑證。因此,您必須為每個 NSX Manager 設定一個對其本身名稱有效的 SAN 憑證 (例如,nsxmgr1.mycompany.com) 和 VIP 的 FQDN。

監控 NSX Manager 的健全狀況

負載平衡器可以使用以下 API 來確認每個 NSX Manager 是否都正在執行:
GET /api/v1/reverse-proxy/node/health
要求標頭包括:
  • Header1
    • 名稱:授權
    • 值:基本 <Base64 值>

    注意:<Base64 值> 是以 Base64 進行編碼的 Username:Password。您可以使用 https://www.base64encode.net 來進行編碼。例如,admin:VMware1!VMware1! 的 Header1 可能是 Authorization: Basic YWRtaW46Vk13YXJlMSFWTXdhcmUxIQ==

  • Header2
    • 名稱:Content-Type
    • 值:應用程式/json
  • Header3
    • 名稱:接受
    • 值:應用程式/json
會指出 NSX Manager 正在執行的回應如下:
"healthy" : true

請注意,回應格式為 “healthy”<space>:<space>true

如果變更在 Header1 中所指定使用者的密碼,則必須相應地更新 Header1。