Configurar
Saiba mais sobre as etapas de configuração necessárias para usar certificados X509 em um balanceador de carga na frente do ambiente VMware.
Execute as atividades a seguir.
- Criar certificados.
- Conecte a carga de trabalho do SDDC com LBaaS.
- Use os certificados no OCI LBaaS.
Criar um Grupo Dinâmico
Um grupo dinâmico é criado para permitir que o OCI Certificates (a solução de gerenciamento de certificados) acesse chaves no OCI Vault.
- Na console do OCI, clique no menu e, em seguida, em Identidade e Segurança.
- Em Identidade, clique em Domínios.
- Clique no link Padrão.
- No menu esquerdo, clique em Grupos dinâmicos.
- Clique no botão Criar grupo dinâmico.
- No campo Nome, digite
Dynamic-group-cert-authority
. - No campo Regra 1, digite
resource.type = 'certificateauthority'
. - Clique no botão Criar.
Criar uma Política
A política permite que o grupo dinâmico acesse chaves do vault para criar uma autoridade de certificação. Opcionalmente, também pode permitir que um grupo de usuários gerencie o OCI Certificates.
Criar um Vault
Depois que as políticas forem definidas, uma autoridade de certificação privada poderá ser criada, que usará a chave armazenada no OCI Vault.
Criar uma Chave Principal e uma Chave de Criptografia
A chave mestra, a chave privada da autoridade de certificação, é criada. O OCI Certificates suporta apenas chaves armazenadas no HSM, e não na seção de software do OCI Vault.
- Na console do OCI, clique no menu e, em seguida, em Key Management & Secret Management.
Observação:
Se você estiver acompanhando a tarefa anterior, já deverá ver a tela Vault. - Clique no link WebCert.
- Clique no botão Criar Chave.
- Em Modo de Proteção, certifique-se de que HSM esteja selecionado.
- No campo Nome, informe
OCVS
. - Em Forma da Chave: Algoritmo, selecione RSA.
- Clique no botão Criar Chave.
Criar uma Autoridade de Certificação
Depois que o vault é criado e armazena a chave, a autoridade de certificação privada pode ser criada. Se isso falhar, as políticas podem não estar corretas ou os limites do serviço podem ser excedidos.
- Na console do OCI, clique no menu e, em seguida, em Identidade e Segurança.
- Em Certificates, clique em Autoridades de Certificação.
- Clique no botão Criar Autoridade de Certificação.
- No campo Nome, informe
OCVS
. - Clique no botão Próximo.
- No campo Nome Comum, digite
ocvs.local
. - Clique no botão Próximo, em Próximo e em Próximo novamente.
- Na página Configuração de Revogação, ative a opção Ignorar Revogação.
- Clique no botão Próximo.
- Verifique o resumo e clique no botão Criar Autoridade de Certificação.
- Clique no link Fechar.
Observação:
O OCI Certificates fornece às organizações recursos de emissão, armazenamento e gerenciamento de certificados. Veja Explorar Mais para saber como gerenciar seus certificados.Emitir um Certificado
Emita um certificado SSL/TLS que será usado para verificar a identidade e proteger a comunicação de rede.
- Na console do OCI, clique no menu e, em seguida, em Autoridades de Certificação em Certificados.
Observação:
Se você estiver acompanhando a tarefa anterior, já deverá ver a tela Autoridades de Certificação. - Clique no link
OCVS
. - Clique no botão Certificado de Emissão.
- No campo Nome, informe
ocvssecurity
. - Clique no botão Próximo.
- No campo Nome Comum, digite
ocvs.local
. - Clique no botão Próximo.
- Em Tipo de Perfil de Certificado, selecione Servidor TLS.
- Em Não Válido Após, clique no botão de calendário e selecione uma data.
- Clique no botão Próximo e, em seguida, em Próximo novamente.
- Clique no botão Criar Certificado.
Configurar Conectividade com Recursos da VCN
Ative a comunicação entre o segmento NSX no qual os servidores Web estão implantados e a sub-rede pública do OCI na qual o balanceador de carga será implantado na próxima etapa.
- Na console do OCI, clique no menu e, em seguida, em Híbrido.
- Em VMware Solution, clique em Data Centers Definidos por Software.
- Clique no botão Configurar conectividade com recursos de VCN.
- No campo CIDR da carga de trabalho SDDC, informe o endereço IP do segmento NSX do servidor Web (por exemplo, 192.168.10.0/24).
- Clique no botão Adicionar sub-redes.
- Clique na caixa de seleção ao lado da sub-rede Pública.
- Clique no botão Adicionar sub-redes.
- Clique no botão Próximo.
Criar e Implantar um Balanceador de Carga
Crie um balanceador de carga do OCI que resida na frente da infraestrutura OCVS.
- Na console do OCI, clique no menu e, em seguida, em Networking.
- Em Balanceadores de carga, clique em Balanceador de carga.
- Clique no botão Criar balanceador de carga.
- Em Rede virtual na nuvem em Ocvs, selecione OCVS-INTEL-VCN.
- Em Sub-rede em Ocvs, selecione Público (regional).
- Clique no botão Próximo e, em seguida, em Próximo novamente.
Observação:
Backends serão adicionados posteriormente. - Em Certificado em Ocorrências, selecione ocvssecurity.
- Clique no botão Próximo.
- Em Grupo de logs, selecione o grupo de logs indicado ou um que já tenha sido criado.
Observação:
Um grupo de logs é necessário para armazenar os arquivos de log. - Clique no botão Submeter.
- Clique no botão Ir para verificação inteligente.
Observação:
A advertência de verificação inteligente aparece porque ignoramos a adição do backend anteriormente. - No canto inferior esquerdo, em Recursos, clique no link Conjuntos de backend.
- Em Conjuntos de backend, clique no link do backend (por exemplo, bs_lb_2023-1003-1521).
Observação:
O balanceador de carga deve ser criado e seu Estado definido como Ativo. - Em Recursos, clique no link Conjuntos de backend.
- Em Conjuntos de backend, clique no link do backend (por exemplo, bs_lb_2023-1003-1521).
- Em Recursos, clique no link Backends.
- Clique no botão Adicionar backends.
- Clique no botão de opção Endereços IP.
- No campo Endereço IP, informe o endereço IP dos servidores Web do Ubuntu.
- Clique no botão Backup adicional e digite o endereço IP de cada backend que você está adicionando.
- Clique no botão Adicionar.
- Clique no botão Fechar.
Verifique a Configuração
Verifique a infraestrutura de suporte.
- Na console do OCI, clique no menu e, em seguida, em Networking.
- Em Balanceadores de carga, clique em Balanceador de carga.
- Em Endereço IP, copie o endereço IP público do balanceador de carga.
- Abra uma nova guia do browser e vá para o URL
https://
seguido do endereço IP copiado.
- Verifique se o gateway de internet está funcionando.
- Verifique se as tabelas de roteamento podem acessar a Internet.
- Verifique se os protocolos são permitidos para regras de segurança e grupos de rede.