配置
了解在 VMware 环境前面的负载平衡器上使用 X509 证书所需的配置步骤。
执行以下活动。
- 创建证书。
- 使用 LBaaS 连接 SDDC 工作负载。
- 使用 OCI LBaaS 中的证书。
创建动态组
创建动态组以允许 OCI 证书(证书管理解决方案)访问 OCI Vault 中的密钥。
- 在 OCI 控制台中,依次单击菜单和身份和安全。
- 在身份中,单击域。
- 单击默认链接。
- 在左侧菜单中,单击动态组。
- 单击创建动态组按钮。
- 在名称字段中,输入
Dynamic-group-cert-authority
。 - 在规则 1 字段中,输入
resource.type = 'certificateauthority'
。 - 单击创建按钮。
将创建 Dynamic-group-cert-authority 组。
创建策略
该策略允许动态组从 Vault 访问密钥,以便能够创建证书颁发机构。此外,它还可以允许一组用户管理 OCI 证书。
一个策略可以有多个语句。根据设计,可以将所有语句放在一个或多个策略中。策略包含两部分:授权证书服务访问密钥和创建证书,以及授权用户管理 OCI 证书。
创建主密钥和加密密钥
主密钥是证书颁发机构的私钥。OCI 证书仅支持存储在 HSM 中的密钥,不支持存储在 OCI Vault 的软件部分中的密钥。
必须创建 WebCert 保管库,并且其状态必须处于活动状态,然后才能执行以下步骤。
- 在 OCI 控制台中,依次单击菜单和密钥管理和密钥管理。
注意:
如果您关注上一个任务,则应该已经看到 Vault 屏幕。 - 单击 WebCert 链接。
- 单击 Create Key 按钮。
- 在保护模式下,确保选择 HSM 。
- 在名称字段中,输入
OCVS
。 - 在密钥配置:算法下,选择 RSA 。
- 单击 Create Key 按钮。
将创建主密钥和加密密钥。
创建证书颁发机构
创建 Vault 并存储密钥后,可以创建专用证书颁发机构。如果失败,策略可能不正确或者可以超出服务限制。
- 在 OCI 控制台中,依次单击菜单和身份和安全。
- 在证书下,单击证书颁发机构。
- 单击创建证书颁发机构按钮。
- 在名称字段中,输入
OCVS
。 - 单击下一步按钮。
- 在公用名称字段中,输入
ocvs.local
。 - 依次单击下一步按钮、下一步和下一步。
- 在撤消配置页上,启用跳过撤消。
- 单击下一步按钮。
- 查看概要,然后单击创建证书颁发机构按钮。
- 单击关闭链接。
将创建 OCVS 证书颁发机构。
注意:
OCI 证书为组织提供证书颁发、存储和管理功能。请参阅“了解更多”以了解如何管理证书。发布证书
发出将用于验证网络通信的身份并保护其安全的 SSL/TLS 证书。
- 在 OCI 控制台中,依次单击证书下的菜单和证书颁发机构。
注意:
如果您正在关注上一个任务,则应该已经看到证书颁发机构屏幕。 - 单击
OCVS
链接。 - 单击颁发证书按钮。
- 在名称字段中,输入
ocvssecurity
。 - 单击下一步按钮。
- 在公用名称字段中,输入
ocvs.local
。 - 单击下一步按钮。
- 在证书配置文件类型下,选择 TLS 服务器。
- 在之后无效下,单击日历按钮,然后选择日期。
- 依次单击下一步按钮和下一步。
- 单击创建证书按钮。
已创建 OCVS 证书。
配置与 VCN 资源的连接
在部署了 Web 服务器的 NSX 段与将在下一步中部署负载平衡器的 OCI 公共子网之间启用通信。
- 在 OCI 控制台中,依次单击菜单和混合。
- 在 VMware 解决方案下,单击软件定义的数据中心。
- 单击配置与 VCN 资源的连接按钮。
- 在 SDDC 工作负载 CIDR 字段中,输入 Web 服务器的 NSX 段 IP 地址(例如 192.168.10.0/24)。
- 单击添加子网按钮。
- 单击公共子网旁边的复选框。
- 单击添加子网按钮。
- 单击下一步按钮。
已配置与 VCN 资源的连接。
创建和部署负载平衡器
创建位于 OCVS 基础结构前面的 OCI 负载平衡器。
- 在 OCI 控制台中,依次单击菜单和网络。
- 在负载平衡器下,单击负载平衡器。
- 单击创建负载平衡器按钮。
- 在 Ocv 中的虚拟云网络下,选择 OCVS-INTEL-VCN 。
- 在 Ocvs 中的子网下,选择公共(区域)。
- 依次单击下一步按钮和下一步。
注意:
稍后将添加后端。 - 在 Ocvs 中的证书下,选择 ocvssecurity 。
- 单击下一步按钮。
- 在日志组下,选择指示的日志组或已创建的日志组。
注意:
需要一个日志组来存储日志文件。 - 单击提交按钮。
- 单击转至智能检查按钮。
注意:
此时将显示智能检查警告,因为我们之前已跳过添加后端。 - 在左下角的资源下,单击后端集链接。
- 在后端集下,单击后端的链接(例如,bs_lb_2023-1003-1521 )。
注意:
必须创建负载平衡器并将其状态设置为活动。 - 在资源下,单击后端集链接。
- 在后端集下,单击后端的链接(例如,bs_lb_2023-1003-1521 )。
- 在资源下,单击后端链接。
- 单击添加后端按钮。
- 单击 IP 地址单选按钮。
- 在 IP 地址字段中,输入 Ubuntu Web 服务器的 IP 地址。
- 单击附加后端按钮并输入要添加的每个后端的 IP 地址。
- 单击添加按钮。
- 单击关闭按钮。
后端服务器部署在 OCVS 上。