vSphere IaaS control plane 使用 Default-Group 作為範本,按主管設定服務引擎群組。或者,您可以在群組內設定 Default-Group 服務引擎,以定義 vCenter 內的服務引擎虛擬機器的放置和數目。如果 NSX Advanced Load Balancer Controller處於 Enterprise 模式,您也可以設定高可用性。

程序

  1. NSX Advanced Load Balancer Controller儀表板中,選取基礎結構 > 雲端資源 > 服務引擎群組
  2. 服務引擎群組頁面中,按一下 Default-Group 中的編輯圖示。
    一般設定索引標籤隨即顯示。
  3. 高可用性和放置設定區段中,設定高可用性和虛擬服務設定。
    1. 選取高可用性模式
      預設選項為 N + M (buffer)。您可以保留預設值或選取下列選項之一:
      • Active/Standy
      • Active/Active
    2. 設定服務引擎數目。這表示可在服務引擎群組中建立的最大服務引擎數目。預設為 10
    3. 設定跨服務引擎放置虛擬服務
      預設選項為 精簡式。您可以選取以下選項之一:
      • 分散式NSX Advanced Load Balancer Controller可將虛擬服務放置在新開啟的服務引擎上,最多不超過指定的最大服務引擎數目,從而最大限度地提高效能。
      • 精簡式NSX Advanced Load Balancer Controller將開啟盡可能最少的服務引擎,並將新的虛擬服務放置在現有服務引擎上。僅當所有服務引擎均在使用中時,才會建立新的服務引擎。
  4. 可以讓其他設定保留預設值。
  5. 按一下儲存

結果

AKO 將為每個 vSphere IaaS control plane 叢集建立一個服務引擎群組。服務引擎群組組態衍生自 Default-Group 組態。為 Default-Group 設定所需的值後,由 AKO 建立的任何新服務引擎群組將具有相同的設定。但是,對 Default-Group 組態所做的變更不會反映在已建立的服務引擎群組中。您必須單獨修改現有服務引擎群組的組態。

NSX Manager 登錄 NSX Advanced Load Balancer Controller

NSX Manager 登錄 NSX Advanced Load Balancer Controller

必要條件

驗證是否已部署並設定 NSX Advanced Load Balancer Controller

程序

  1. 以 root 使用者身分登入 NSX Manager
  2. 執行下列命令: 
    curl -k --location --request PUT 'https://<nsx-mgr-ip>/policy/api/v1/infra/alb-onboarding-workflow' \
--header 'X-Allow-Overwrite: True' \
--header 'Authorization: Basic <base64 encoding of username:password of NSX Mgr>' \
--header 'Content-Type: application/json' \
--data-raw '{
"owned_by": "LCM",
"cluster_ip": "<nsx-alb-controller-cluster-ip>",
"infra_admin_username" : "username",
"infra_admin_password" : "password"
}'
    如果在 API 呼叫中提供 DNS 和 NTP 設定,則會覆寫全域設定。例如, "dns_servers": ["<dns-servers-ips>"] "ntp_servers": ["<ntp-servers-ips>"]

將憑證指派給 NSX Advanced Load Balancer Controller

NSX Advanced Load Balancer Controller 使用傳送到用戶端的憑證對站台進行驗證並建立安全通訊。憑證可由 NSX Advanced Load Balancer 自我簽署,也可以作為憑證簽署要求 (CSR) 建立,該要求會傳送到受信任的憑證授權機構 (CA),然後憑證授權機構會產生受信任憑證。您可以建立自我簽署的憑證或上傳外部憑證。

您必須提供自訂憑證才能啟用 主管。您無法使用預設憑證。如需有關憑證的詳細資訊,請參閱〈SSL/TLS 憑證〉

如果使用私人憑證授權機構 (CA) 簽署的憑證,則 主管 部署可能無法完成,並且可能不會套用 NSX Advanced Load Balancer 組態。如需詳細資訊,請參閱 不會套用 NSX Advanced Load Balancer 組態

必要條件

確認已向 NSX Manager 登錄 NSX Advanced Load Balancer

程序

  1. 在控制器儀表板中,按一下左上角的功能表,然後選取範本 > 安全性
  2. 選取 SSL/TLS 憑證
  3. 若要建立憑證,請按一下建立,然後選取控制器憑證
    隨即顯示 新增憑證 (SSL/TLS) 視窗。
  4. 輸入憑證的名稱。
  5. 如果沒有預先建立的有效憑證,請為類型選取 Self Signed 以新增自我簽署憑證。
    1. 輸入以下詳細資料:
      選項 說明
      一般名稱

      指定站台的完整限定名稱。對於被視為受信任的站台,此項目必須與用戶端在瀏覽器中輸入的主機名稱相符。
      演算法 選取 EC (橢圓曲線密碼編譯) 或 RSA。建議使用 EC。
      金鑰大小 選取要用於信號交換的加密層級:
      • SECP256R1 用於 EC 憑證。
      • 建議將 2048 位元用於 RSA 憑證。
    2. 主體替代名稱 (SAN) 中,按一下新增
    3. 如果 NSX Advanced Load Balancer Controller 部署為單一節點,請輸入該控制器的叢集 IP 位址和/或 FQDN。如果只使用 IP 位址或 FQDN,則該值必須與您在部署期間指定的 NSX Advanced Load Balancer Controller 虛擬機器的 IP 位址相符。
      請參閱 部署 NSX Advanced Load Balancer Controller。如果 NSX Advanced Load Balancer Controller 叢集部署為包含三個節點的叢集,請輸入該叢集的叢集 IP 或 FQDN。
    4. 按一下儲存
    設定 主管 以啟用工作負載管理功能時,您需要此憑證。
  6. 下載您建立的自我簽署憑證。
    1. 選取安全性 > SSL/TLS 憑證
      如果未看到此憑證,請重新整理頁面。
    2. 選取已建立的憑證,然後按下載圖示。
    3. 在出現的匯出憑證頁面中,按一下憑證對應的複製到剪貼簿。請勿複製金鑰。
    4. 儲存複製的憑證,以供稍後在啟用工作負載管理時使用。
  7. 如果您有預先建立的有效憑證,請為類型選取 Import 以上傳該憑證。
    1. 憑證中,按一下上傳檔案並匯入憑證。
      您上傳之憑證的 SAN 欄位必須具有控制器的叢集 IP 位址或 FQDN。
      備註: 請確保僅上傳或貼上憑證的內容一次。
    2. 金鑰 (PEM) 或 PKCS12 中,按一下上傳檔案,然後匯入金鑰。
    3. 按一下驗證,來驗證憑證和金鑰。
    4. 按一下儲存
  8. 若要變更憑證,請執行以下步驟。
    1. 在控制器儀表板中,選取管理 > 系統設定
    2. 按一下編輯
    3. 選取存取索引標籤。
    4. SSL/TLS 憑證中,移除現有的預設入口網站憑證。
    5. 在下拉式功能表中,選取新建立或上傳的憑證。
    6. 選取基本驗證
    7. 按一下儲存