Configurer
Découvrez les étapes de configuration nécessaires pour utiliser les certificats X509 sur un équilibreur de charge devant l'environnement VMware.
Effectuez les activités suivantes.
- Créer des certificats.
- Connectez la charge globale du SDDC avec LBaaS.
- Utilisez les certificats dans OCI LBaaS.
Créer un groupe dynamique
Un groupe dynamique est créé pour permettre aux certificats OCI (solution de gestion des certificats) d'accéder aux clés dans OCI Vault.
- Dans la console OCI, cliquez sur le menu, puis sur Identité et sécurité.
- Sous Identité, cliquez sur Domaines.
- Cliquez sur le lien Par défaut.
- Dans le menu de gauche, cliquez sur Groupes dynamiques.
- Cliquez sur le bouton Créer un groupe dynamique.
- Dans le champ Nom, entrez
Dynamic-group-cert-authority
. - Dans le champ Règle 1, entrez
resource.type = 'certificateauthority'
. - Cliquez sur le bouton Créer.
Créer une stratégie
La stratégie permet au groupe dynamique d'accéder aux clés du coffre pour créer une autorité de certification. Elle peut également autoriser un groupe d'utilisateurs à gérer des certificats OCI (facultatif).
Création d'un coffre
Une fois les stratégies définies, une autorité de certification privée peut être créée, qui utilisera la clé stockée dans OCI Vault.
Création d'une clé maître et d'une clé de cryptage
La clé maître, la clé privée de l'autorité de certification, est créée. Les certificats OCI prennent uniquement en charge les clés stockées dans HSM et non dans la section logicielle d'OCI Vault.
- Dans la console OCI, cliquez sur le menu, puis sur Gestion des clés et gestion des clés secrètes.
Remarques :
Si vous suivez la tâche précédente, vous devriez déjà voir l'écran Vault. - Cliquez sur le lien WebCert.
- Cliquez sur le bouton Créer une clé.
- Sous Mode de protection, assurez-vous que HSM est sélectionné.
- Dans le champ Nom, entrez
OCVS
. - Sous Forme de clé : Algorithme, sélectionnez RSA.
- Cliquez sur le bouton Créer une clé.
Créer une autorité de certification
Une fois le coffre créé et la clé stockée, l'autorité de certification privée peut être créée. En cas d'échec, les stratégies peuvent ne pas être correctes ou les limites de service peuvent être dépassées.
- Dans la console OCI, cliquez sur le menu, puis sur Identité et sécurité.
- Sous Certificats, cliquez sur Autorités de certification.
- Cliquez sur le bouton Créer une autorité de certification.
- Dans le champ Nom, entrez
OCVS
. - Cliquez sur le bouton Suivant.
- Dans le champ Nom commun, saisissez
ocvs.local
. - Cliquez sur le bouton Suivant, Suivant, puis Suivant à nouveau.
- Sur la page Configuration de la révocation, activez Ignorer la révocation.
- Cliquez sur le bouton Suivant.
- Vérifiez le récapitulatif, puis cliquez sur le bouton Créer une autorité de certification.
- Cliquez sur le lien Fermer.
Remarques :
OCI Certificates fournit aux entreprises des fonctionnalités d'émission, de stockage et de gestion de certificats. Pour savoir comment gérer vos certificats, reportez-vous à Explorer davantage.Émettre un certificat
Émettez un certificat SSL/TLS qui sera utilisé pour vérifier l'identité et sécuriser la communication réseau.
- Dans la console OCI, cliquez sur le menu, puis sur Autorités de certificat sous Certificats.
Remarques :
Si vous suivez la tâche précédente, vous devriez déjà voir l'écran Certificate Authorities. - Cliquez sur le lien
OCVS
. - Cliquez sur le bouton Emettre un certificat.
- Dans le champ Nom, entrez
ocvssecurity
. - Cliquez sur le bouton Suivant.
- Dans le champ Nom commun, saisissez
ocvs.local
. - Cliquez sur le bouton Suivant.
- Sous Type de profil de certificat, sélectionnez Serveur TLS.
- Sous Non valide après, cliquez sur le bouton de calendrier et sélectionnez une date.
- Cliquez sur le bouton Suivant, puis Suivant à nouveau.
- Cliquez sur Créer un certificat.
Configuration de la connectivité aux ressources VCN
Activez la communication entre le segment NSX où les serveurs Web sont déployés et le sous-réseau public OCI où l'équilibreur de charge sera déployé à l'étape suivante.
- Dans la console OCI, cliquez sur le menu, puis sur Hybride.
- Sous Solution VMware, cliquez sur Centres de données définis par logiciel.
- Cliquez sur le bouton Configurer la connectivité aux ressources VCN.
- Dans le champ CIDR de charge globale de SDDC, entrez l'adresse IP du segment NSX du serveur Web (par exemple, 192.168.10.0/24).
- Cliquez sur le bouton Ajouter des sous-réseaux.
- Cliquez sur la case à cocher en regard du sous-réseau Public.
- Cliquez sur le bouton Ajouter des sous-réseaux.
- Cliquez sur le bouton Suivant.
Création et déploiement d'un équilibreur de charge
Créez un équilibreur de charge OCI qui réside devant l'infrastructure OCVS.
- Dans la console OCI, cliquez sur le menu, puis sur Fonctions de réseau.
- Sous équilibreurs de charge, cliquez sur équilibreur de charge.
- Cliquez sur le bouton Créer un équilibreur de charge.
- Sous Netwok cloud virtuel dans Ocvs, sélectionnez OCVS-INTEL-VCN.
- Sous Sous-réseau dans Ocvs, sélectionnez Public (régional).
- Cliquez sur le bouton Suivant, puis Suivant à nouveau.
Remarques :
Les back-ends seront ajoutés ultérieurement. - Sous Certificat dans Ocvs, sélectionnez ocvssecurity.
- Cliquez sur le bouton Suivant.
- Sous Groupe de journaux, sélectionnez le groupe de journaux indiqué ou celui qui a déjà été créé.
Remarques :
Un groupe de journaux est requis pour stocker les fichiers journaux. - Cliquez sur le bouton Soumettre.
- Cliquez sur le bouton Aller à la vérification intelligente.
Remarques :
L'avertissement de vérification intelligente s'affiche car nous avons précédemment ignoré l'ajout du back-end. - Dans l'angle inférieur gauche, sous Ressources, cliquez sur le lien Ensembles de back-ends.
- Sous Ensembles de back-ends, cliquez sur le lien du back-end (par exemple, bs_lb_2023-1003-1521).
Remarques :
L'équilibreur de charge doit être créé et son état défini sur Actif. - Sous Ressources, cliquez sur le lien Ensembles de back-ends.
- Sous Ensembles de back-ends, cliquez sur le lien du back-end (par exemple, bs_lb_2023-1003-1521).
- Sous Ressources, cliquez sur le lien Back-ends.
- Cliquez sur le bouton Ajouter des back-ends.
- Cliquez sur le bouton radio Adresses IP.
- Dans le champ adresse IP, entrez l'adresse IP des serveurs Web Ubuntu.
- Cliquez sur le bouton Back-end supplémentaire et entrez l'adresse IP de chaque back-end que vous ajoutez.
- Cliquez sur le bouton Ajouter.
- Cliquez sur le bouton Fermer.
Vérifiez la configuration
Vérifiez l'infrastructure de support.
- Dans la console OCI, cliquez sur le menu, puis sur Fonctions de réseau.
- Sous équilibreurs de charge, cliquez sur équilibreur de charge.
- Sous Adresse IP, copiez l'adresse IP publique de l'équilibreur de charge.
- Ouvrez un nouvel onglet de navigateur, puis accédez à l'URL
https://
suivie de l'adresse IP copiée.
- Vérifiez que la passerelle Internet fonctionne.
- Vérifiez que les tables de routage peuvent accéder à Internet.
- Vérifiez que les protocoles sont autorisés pour les règles de sécurité et les groupes réseau.