NSX Advanced Load Balancer 控制器虛擬機器部署到 vSphere IaaS control plane 環境中的管理網路。

必要條件

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 選取指定用於管理元件的 vSphere 叢集。
  3. 建立名為 AVI-LB 的資源集區。
  4. 在資源集區中按一下滑鼠右鍵,然後選取部署 OVF 範本
  5. 選取本機檔案,然後按一下上傳檔案
  6. 瀏覽至您下載做為必要條件的 controller-VERSION.ova 檔案並加以選取。
  7. 輸入控制器的名稱並選取資料夾。
    選項 敘述
    虛擬機器名稱 avi-controller-1
    虛擬機器的位置 資料中心
  8. 選取 AVI-LB 資源集區做為計算資源。
  9. 檢閱組態詳細資料,然後按下一步
  10. 選取虛擬機器儲存區原則,例如 vsanDatastore
  11. 選取管理網路,例如 network-1
  12. 按如下所示自訂組態,並在完成後按下一步
    選項 敘述
    管理介面 IP 位址 輸入控制器虛擬機器的 IP 位址,例如 10.199.17.51
    管理介面子網路遮罩 輸入子網路遮罩,例如 255.255.255.0
    預設閘道 輸入管理網路的預設閘道,例如 10.199.17.235
    Sysadmin 登入驗證金鑰 (可選) 貼上公開金鑰的內容。您可以將金鑰留空。
    Avi 控制器的主機名稱 輸入控制器的 FQDN 或 IP 位址。
  13. 檢閱部署設定。
  14. 按一下完成以完成組態。
  15. 使用 vSphere Client工作面板中監控控制器虛擬機器的佈建。
  16. 使用 vSphere Client 在部署控制器虛擬機器後將其電源開啟。

部署控制器叢集

您可以選擇性地部署包含三個控制器節點的叢集。建議在生產環境中設定叢集以實現 HA 和災難復原。如果執行的是單一節點 NSX Advanced Load Balancer 控制器,則必須使用「備份和還原」功能。

若要執行三個節點叢集,請在部署第一個控制器虛擬機器後,再部署其他兩個控制器虛擬機器並開啟電源。不得執行 [初始設定] 精靈或變更這些控制器的管理員密碼。第一個控制器虛擬機器的組態將指派給兩個新控制器虛擬機器。

程序

  1. 移至管理 > 控制器
  2. 選取節點
  3. 按一下編輯圖示。
  4. 新增靜態 IP 作為控制器叢集 IP
    此 IP 位址必須來自管理網路。
  5. 叢集節點中,設定兩個新叢集節點。
    選項 說明
    IP 控制器節點的 IP 位址。
    名稱 節點的名稱。名稱可以是 IP 位址。
    密碼 控制器節點的密碼。將密碼保留空白。
    公用 IP 控制器節點的公用 IP 位址。將此設定保留空白。
  6. 按一下儲存
    備註: 部署叢集後,必須使用控制器叢集 IP (而非控制器節點 IP) 進行任何進一步的設定。

開啟控制器電源

部署控制器虛擬機器後,您可以將其開啟電源。在開機程序期間,部署期間指定的 IP 位址會指派給虛擬機器。

開啟電源後,控制器虛擬機器的首次開機程序可能最多需要 10 分鐘。

必要條件

部署控制器。

程序

  1. vCenter Server 中,在您部署的 avi-controller-1 虛擬機器上按一下滑鼠右鍵。
  2. 選取電源 > 開啟電源
    將為虛擬機器指派在部署期間指定的 IP 位址。
  3. 若要確認虛擬機器是否已開啟電源,請在瀏覽器中存取 IP 位址。
    當虛擬機器上線時,有關 TLS 憑證和連線的警告會出現。
  4. 此連線不是私人的警告中,按一下顯示詳細資料
  5. 在顯示的視窗中按一下造訪此網站
    系統會提示您輸入使用者認證。

設定控制器

vSphere IaaS control plane 環境設定控制器虛擬機器,並設定雲端。

若要將負載平衡器控制平面與 vCenter Server 環境進行連線,控制器需要數個部署後組態參數。在對控制器進行初始設定期間,將建立一個 Default-cloud 雲端,第一個控制器部署在其中。若要允許負載平衡器為多個 vCenter Server 或多個資料中心提供服務,您可以為每個 vCenter 和資料中心組合建立類型為 VMware vCenter 的自訂雲端。如需詳細資訊,請參閱〈NSX Advanced Load Balancer 元件〉

必要條件

程序

  1. 使用瀏覽器,導覽至部署控制器時指定的 IP 位址。
  2. 建立管理員帳戶
    選項 說明
    Username 初始組態的管理員使用者名稱。您無法編輯此欄位。
    密碼 輸入控制器虛擬機器的管理員密碼。

    密碼必須至少包含 8 個字元,並且必須包含數字、特殊字元、大寫字元和小寫字元的組合。
    確認密碼 再次輸入管理員密碼。
    電子郵件地址 (可選) 輸入管理員電子郵件地址。

    建議您提供電子郵件地址,便於在生產環境中復原密碼。
  3. 設定系統設定
    選項 說明
    複雜密碼 輸入用於控制器備份的複雜密碼。控制器組態會定期自動備份到本機磁碟。如需詳細資訊,請參閱備份和還原

    複雜密碼必須至少包含 8 個字元,並且必須包含數字、特殊字元、大寫字元和小寫字元的組合。
    確認複雜密碼 再次輸入備份複雜密碼。
    DNS 解析程式 輸入您用於 vSphere IaaS control plane 環境之 DNS 伺服器的 IP 位址。例如,10.14.7.12
    DNS 搜尋網域 輸入網域字串。
  4. (選擇性) 設定電子郵件 /SMTP 設定。
    選項 說明
    SMTP 來源 選取以下選項之一:本機主機SMTP 伺服器匿名伺服器

    預設為本機主機
    來源位址 電子郵件地址。
  5. 下一步
  6. 設定多承租人設定。
    1. 保留預設承租人存取權。
    2. 選取之後設定雲端,然後按一下儲存
      備註: 如果在儲存之前未選取 之後設定雲端選項,則 [初始設定] 精靈將結束。雲端組態視窗不會自動啟動,系統會將您導向至控制器上的儀表板視圖。在此案例中,瀏覽至 基礎結構 > 雲端,然後設定雲端。
  7. 設定 VMware vCenter/vSphere ESX 雲端。按一下建立,然後選取 VMware vCenter/vSphere ESX 作為雲端類型。
    此時將顯示 新增雲端設定頁面。
  8. 配置一般設定。
    選項 說明
    名稱 輸入雲端的名稱。例如,Custom-Cloud
    類型 雲端類型為 VMware vCenter/vSphere ESX
  9. (選擇性) 預設網路 IP 位址管理區段中,選取 DHCP 已啟用 (如果 DHCP 在 vSphere 連接埠群組上可用)。
    如果希望服務引擎介面僅使用靜態 IP 位址,請將此選項保留為未選取狀態。您可以為每個網路單獨進行設定。

    如需詳細資訊,請參閱 設定虛擬 IP 網路

  10. 設定虛擬服務放置設定。
    選項 說明
    對於虛擬服務放置,偏好靜態路由,而不是直接連線網路 選取此選項可強制服務引擎虛擬機器透過預設閘道對其進行路由來存取伺服器網路。

    依預設,控制器會直接將 NIC 連線至伺服器網路,您必須強制服務引擎僅連線至資料網路並路由至工作負載網路。
    將靜態路由用於 VIP 的網路解析 將此選項保留為未選取狀態。
  11. 設定 vCenter/vSphere 認證。
    按一下 設定認證,然後輸入以下詳細資料:
    選項 敘述
    vCenter 位址 輸入 vSphere IaaS control plane 環境的 vCenter Server 主機名稱或 IP 位址。
    Username

    輸入 vCenter 管理員使用者名稱,例如 [email protected]

    若要使用較低的權限,請建立專用角色。請參閱 VMware 使用者角色以取得詳細資訊。
    密碼 輸入使用者密碼。
    存取權限

    讀取:建立和管理服務引擎虛擬機器。

    寫入:控制器會建立和管理服務引擎虛擬機器。

    您必須選取 [寫入] 。
  12. 設定 Data Center 設定。
    1. 選取 vSphere 資料中心,可在其中啟用工作負載管理
    2. 選取使用內容程式庫選項,然後從清單中選取本機內容程式庫。
  13. 選取儲存並重新啟動,以使用您設定的設定建立 VMware vCenter/vSphere ESX 雲端。
  14. 設定網路設定。
    選項 說明
    管理網路 選取虛擬機器網路。服務引擎將使用此網路介面與控制器進行連線。
    服務引擎 範本服務引擎群組保留為空。
    管理網路 IP 位址的管理 選取 DHCP 已啟用
  15. (選擇性) 僅當未選取 DHCP 已啟用時,才進行以下網路設定。
    選項 說明
    IP 子網路 輸入管理網路的 IP 子網路。例如,10.199.32.0/24
    備註: 僅當 DHCP 無法使用時,輸入 IP 子網路。
    預設閘道 輸入管理網路的預設閘道,例如 10.199.32.253
    備註: 僅當 DHCP 無法使用時,輸入 IP 子網路。
    新增靜態 IP 位址集區 輸入一或多個 IP 位址或者 IP 位址範圍。例如,10.99.32.62-10.199.32.65
    備註: 僅當 DHCP 無法使用時,輸入 IP 子網路。
  16. 建立 IPAM 設定檔並設定 IPAM/DNS 設定。
    建立虛擬服務時,若要配置虛擬 IP 位址,則需要 IPAM。
    1. IPAM 設定檔的 [更多動作] 功能表中,選取建立
      新建 IPAM/DNS 設定檔頁面隨即顯示。
    2. 設定 IPAM 設定檔
      選項 敘述
      名稱 使用者定義的字串,例如 ipam-profile
      類型

      選取 AVI Vantage IPAM
      在 VRF 中配置 IP 取消選取此選項。
      雲端 從下拉式清單中選取 Custom-Cloud
    3. 按一下可使用網路中的新增,然後選取已設定的虛擬 IP 網路。此網路是主要網路。
    4. 按一下儲存
  17. (選擇性) 如果您想要使用內部 NTP 伺服器,請設定 NTP 設定。
    1. 選取管理 > 設定 > DNS/NTP
    2. 刪除現有的 NTP 伺服器 (如有),然後輸入所使用的 DNS 伺服器的 IP 位址。例如:192.168.100.1

結果

完成設定後,會看到控制器儀表板。選取基礎結構 > 雲端,然後驗證 Custom-Cloud 的控制器狀態是否為綠色。有時,此狀態可能會有一段時間為黃色,直到控制器探索到 vCenter Server 環境中的所有連接埠群組,然後才會變為綠色。

新增授權

設定 NSX Advanced Load Balancer 後,必須向其新增授權。控制器將在評估模式下開機,該模式具有等同於 Enterprise 版本授權提供的所有功能。您必須在評估期到期前為控制器指派有效的 Enterprise Tier 授權。

必要條件

確認您擁有 Enterprise Tier 授權。

程序

  1. 在 [NSX Advanced Load Balancer 控制器] 儀錶板中,選取管理 > 授權
  2. 選取設定
  3. 選取 Enterprise Tier
  4. 按一下儲存
  5. 若要新增授權,請選取從電腦上傳
    上傳授權檔案後,它會出現在控制器的授權清單中。系統會顯示授權的相關資訊,包括開始日期和到期日期。

將憑證指派給控制器

控制器必須將憑證傳送至用戶端,以建立安全通訊。此憑證必須具有與 NSX Advanced Load Balancer 控制器叢集主機名稱或 IP 位址相符的主體別名 (SAN)

控制器具有預設的自我簽署憑證。此憑證沒有正確的 SAN。您必須將其取代為具有正確 SAN 的有效憑證或自我簽署的憑證。您可以建立自我簽署的憑證或上傳外部憑證。

如需有關憑證的詳細資訊,請參閱 Avi 說明文件

程序

  1. 在控制器儀表板中,按一下左上角的功能表,然後選取範本 > 安全性
  2. 選取 SSL/TLS 憑證
  3. 若要建立憑證,請按一下建立,然後選取控制器憑證
    隨即顯示 新增憑證 (SSL/TLS) 視窗。
  4. 輸入憑證的名稱。
  5. 如果沒有預先建立的有效憑證,請為類型選取 Self Signed 以新增自我簽署憑證。
    1. 輸入以下詳細資料:
      選項 說明
      一般名稱

      指定站台的完整限定名稱。對於被視為受信任的站台,此項目必須與用戶端在瀏覽器中輸入的主機名稱相符。
      演算法 選取 EC (橢圓曲線密碼編譯) 或 RSA。建議使用 EC。
      金鑰大小 選取要用於信號交換的加密層級:
      • SECP256R1 用於 EC 憑證。
      • 建議將 2048 位元用於 RSA 憑證。
    2. 主體替代名稱 (SAN) 中,按一下新增
    3. 如果 Avi 控制器部署為單一節點,請輸入該控制器的叢集 IP 位址和/或 FQDN。如果只使用 IP 位址或 FQDN,則該值必須與您在部署期間指定的控制器虛擬機器的 IP 位址相符。
      請參閱 部署 NSX Advanced Load Balancer 控制器
      如果 NSX Advanced Load Balancer 控制器叢集部署為包含三個節點的叢集,請輸入該叢集的叢集 IP 或 FQDN。如需部署包含三個控制器節點的叢集的相關資訊,請參閱 部署控制器叢集
    4. 按一下儲存
    設定 主管 以啟用工作負載管理功能時,您需要此憑證。
  6. 下載您建立的自我簽署憑證。
    1. 選取安全性 > SSL/TLS 憑證
      如果未看到此憑證,請重新整理頁面。
    2. 選取已建立的憑證,然後按下載圖示。
    3. 在出現的匯出憑證頁面中,按一下憑證對應的複製到剪貼簿。請勿複製金鑰。
    4. 儲存複製的憑證,以供稍後在啟用工作負載管理時使用。
  7. 如果您有預先建立的有效憑證,請為類型選取 Import 以上傳該憑證。
    1. 憑證中,按一下上傳檔案並匯入憑證。
      您上傳之憑證的 SAN 欄位必須具有控制器的叢集 IP 位址或 FQDN。
      備註: 請確保僅上傳或貼上憑證的內容一次。
    2. 金鑰 (PEM) 或 PKCS12 中,按一下上傳檔案,然後匯入金鑰。
    3. 按一下驗證,來驗證憑證和金鑰。
    4. 按一下儲存
  8. 若要變更入口網站憑證,請執行以下步驟。
    1. 在控制器儀錶板中,選取管理 > 系統設定
    2. 按一下編輯
    3. 選取存取索引標籤。
    4. SSL/TLS 憑證中,移除現有的預設入口網站憑證。
    5. 在下拉式功能表中,選取新建立或上傳的憑證。
    6. 選取基本驗證
    7. 按一下儲存