Konfigurieren
Erfahren Sie mehr über die erforderlichen Konfigurationsschritte für die Verwendung von X509-Zertifikaten auf einem Load Balancer vor der VMware-Umgebung.
Führen Sie die folgenden Aktivitäten aus.
- Zertifikate erstellen.
- Verbinden Sie die SDDC-Workload mit LBaaS.
- Verwenden Sie die Zertifikate in OCI LBaaS.
Dynamische Gruppe erstellen
Eine dynamische Gruppe wird erstellt, damit OCI Certificates (die Zertifikatsverwaltungslösung) auf Schlüssel in OCI Vault zugreifen können.
- Klicken Sie in der OCI-Konsole auf das Menü und dann auf Identität und Sicherheit.
- Klicken Sie unter Identität auf Domains.
- Klicken Sie auf den Link Standard.
- Klicken Sie links auf Dynamische Gruppen.
- Klicken Sie auf die Schaltfläche Dynamische Gruppe erstellen.
- Geben Sie im Feld Name
Dynamic-group-cert-authority
ein. - Geben Sie im Feld Regel 1
resource.type = 'certificateauthority'
ein. - Klicken Sie auf die Schaltfläche Erstellen.
Erstellen Sie eine Policy
Die Policy ermöglicht der dynamischen Gruppe den Zugriff auf Schlüssel aus dem Vault, um eine Certificate Authority erstellen zu können. Optional kann es auch einer Gruppe von Benutzern ermöglichen, OCI-Zertifikate zu verwalten.
Vault erstellen
Nachdem die Policys definiert wurden, kann eine private Certificate Authority erstellt werden, die den in OCI Vault gespeicherten Schlüssel verwendet.
Masterschlüssel und Verschlüsselungsschlüssel erstellen
Der Masterschlüssel, der private Schlüssel der Certificate Authority, wird erstellt. OCI-Zertifikate unterstützen nur Schlüssel, die in HSM und nicht im Softwareabschnitt von OCI Vault gespeichert sind.
- Klicken Sie in der OCI-Konsole auf das Menü und dann auf Key Management und Secret Management.
Hinweis:
Wenn Sie der vorherigen Aufgabe folgen, sollte bereits der Bildschirm Vault angezeigt werden. - Klicken Sie auf den Link WebCert.
- Klicken Sie auf die Schaltfläche Schlüssel erstellen.
- Stellen Sie unter Schutzmodus sicher, dass HSM ausgewählt ist.
- Geben Sie im Feld Name
OCVS
ein. - Wählen Sie unter Schlüsselausprägung: Algorithmus die Option RSA aus.
- Klicken Sie auf die Schaltfläche Schlüssel erstellen.
Certificate Authority erstellen
Nachdem der Vault erstellt wurde und den Schlüssel speichert, kann die private Certificate Authority erstellt werden. Wenn dies nicht erfolgreich ist, sind Policys möglicherweise nicht korrekt, oder die Servicelimits können überschritten werden.
- Klicken Sie in der OCI-Konsole auf das Menü und dann auf Identität und Sicherheit.
- Klicken Sie unter Zertifikate auf Certificate Authoritys.
- Klicken Sie auf die Schaltfläche Create Certificate Authority.
- Geben Sie im Feld Name
OCVS
ein. - Klicken Sie auf die Schaltfläche Weiter.
- Geben Sie im Feld Allgemeiner Name
ocvs.local
ein. - Klicken Sie auf die Schaltfläche Weiter, Weiter, Weiter.
- Aktivieren Sie auf der Seite Widerrufskonfiguration die Option Widerruf überspringen.
- Klicken Sie auf die Schaltfläche Weiter.
- Prüfen Sie die Übersicht, und klicken Sie dann auf die Schaltfläche Create Certificate Authority.
- Klicken Sie auf den Link Schließen.
Hinweis:
OCI-Zertifikate bietet Organisationen Funktionen für die Ausstellung, Speicherung und Verwaltung von Zertifikaten. Weitere Informationen zum Verwalten Ihrer Zertifikate finden Sie unter Weitere Informationen.Zertifikat ausstellen
Geben Sie ein SSL/TLS-Zertifikat aus, mit dem die Identität der Netzwerkkommunikation geprüft und gesichert wird.
- Klicken Sie in der OCI-Konsole auf das Menü und dann unter Zertifikate auf Zertifikate.
Hinweis:
Wenn Sie der vorherigen Aufgabe folgen, sollte bereits der Bildschirm Zertifikatsautoritäten angezeigt werden. - Klicken Sie auf den Link
OCVS
. - Klicken Sie auf die Schaltfläche Zertifikat ausstellen.
- Geben Sie im Feld Name
ocvssecurity
ein. - Klicken Sie auf die Schaltfläche Weiter.
- Geben Sie im Feld Allgemeiner Name
ocvs.local
ein. - Klicken Sie auf die Schaltfläche Weiter.
- Wählen Sie unter Zertifikatprofiltyp die Option TLS-Server aus.
- Klicken Sie unter Nicht gültig nach auf die Kalenderschaltfläche, und wählen Sie ein Datum aus.
- Klicken Sie auf die Schaltfläche Weiter und dann erneut auf Weiter.
- Klicken Sie auf die Schaltfläche Zertifikat erstellen.
Verbindung zu VCN-Ressourcen konfigurieren
Aktivieren Sie die Kommunikation zwischen dem NSX-Segment, in dem die Webserver bereitgestellt werden, und dem öffentlichen OCI-Subnetz, in dem der Load Balancer im nächsten Schritt bereitgestellt wird.
- Klicken Sie in der OCI-Konsole auf das Menü und dann auf Hybrid.
- Klicken Sie unter VMware-Lösung auf Softwaredefinierte Data Center.
- Klicken Sie auf die Schaltfläche Konnektivität zu VCN-Ressourcen konfigurieren.
- Geben Sie im Feld SDDC-Workload-CIDR die NSX-Segment-IP-Adresse des Webservers ein (Beispiel: 192.168.10.0/24).
- Klicken Sie auf die Schaltfläche Subnetze hinzufügen.
- Klicken Sie auf das Kontrollkästchen neben dem öffentlichen Subnetz.
- Klicken Sie auf die Schaltfläche Subnetze hinzufügen.
- Klicken Sie auf die Schaltfläche Weiter.
Load Balancer erstellen und bereitstellen
Erstellen Sie einen OCI-Load Balancer, der sich vor der OCVS-Infrastruktur befindet.
- Klicken Sie in der OCI-Konsole auf das Menü und dann auf Networking.
- Klicken Sie unter Load Balancer auf Load Balancer.
- Klicken Sie auf die Schaltfläche Load Balancer erstellen.
- Wählen Sie unter Virtuelles Cloud-Netzwerk in Ocvs die Option OCVS-INTEL-VCN aus.
- Wählen Sie unter Subnetz in Ocvs die Option Öffentlich (regional) aus.
- Klicken Sie auf die Schaltfläche Weiter und dann erneut auf Weiter.
Hinweis:
Backends werden später hinzugefügt. - Wählen Sie unter Zertifikat in Ocvs die Option ocvssecurity aus.
- Klicken Sie auf die Schaltfläche Weiter.
- Wählen Sie unter Loggruppe die angegebene Loggruppe oder eine bereits erstellte Loggruppe aus.
Hinweis:
Zum Speichern der Logdateien ist eine Loggruppe erforderlich. - Klicken Sie auf die Schaltfläche Weiterleiten.
- Klicken Sie auf Gehe zu Smart Check.
Hinweis:
Die Smart Check-Warnung wird angezeigt, weil das Hinzufügen des Backends zuvor übersprungen wurde. - Klicken Sie in der unteren linken Ecke unter Ressourcen auf den Link Backend-Sets.
- Klicken Sie unter Backend-Sets auf den Link des Backends (Beispiel: bs_lb_2023-1003-1521).
Hinweis:
Der Load Balancer muss erstellt und sein Status auf Aktiv gesetzt werden. - Klicken Sie unter Ressourcen auf den Link Backend-Sets.
- Klicken Sie unter Backend-Sets auf den Link des Backends (Beispiel: bs_lb_2023-1003-1521).
- Klicken Sie unter Ressourcen auf den Link Backends.
- Klicken Sie auf die Schaltfläche Backends hinzufügen.
- Klicken Sie auf das Optionsfeld IP-Adressen.
- Geben Sie in das Feld IP-Adresse die IP-Adresse der Ubuntu-Webserver ein.
- Klicken Sie auf die Schaltfläche Zusätzliches Backend, und geben Sie die IP-Adresse für jedes Backend ein, das Sie hinzufügen.
- Klicken Sie auf die Schaltfläche Hinzufügen.
- Klicken Sie auf die Schaltfläche Schließen.
Prüfen Sie die Konfiguration
Prüfen Sie die unterstützende Infrastruktur.
- Klicken Sie in der OCI-Konsole auf das Menü und dann auf Networking.
- Klicken Sie unter Load Balancer auf Load Balancer.
- Kopieren Sie unter IP-Adresse die öffentliche IP-Adresse des Load Balancers.
- Öffnen Sie eine neue Browserregisterkarte, und gehen Sie dann zu der URL
https://
gefolgt von der kopierten IP-Adresse.
- Prüfen Sie, ob das Internetgateway funktioniert.
- Prüfen Sie, ob die Routingtabellen auf das Internet zugreifen können.
- Prüfen Sie, ob die Protokolle für Sicherheitsregeln und Netzwerkgruppen zulässig sind.