設定
瞭解在 VMware 環境前的負載平衡器上使用 X509 憑證的必要組態步驟。
執行下列活動。
- 建立憑證。
- 將 SDDC 工作負載與 LBaaS 連線。
- 使用 OCI LBaaS 中的憑證。
建立動態群組
建立的動態群組可讓 OCI Certificates (憑證管理解決方案) 存取 OCI Vault 中的金鑰。
- 在 OCI 主控台中,按一下功能表,然後按一下識別與安全性。
- 在識別底下,按一下網域。
- 按一下預設連結。
- 在左側功能表中,按一下動態群組。
- 按一下建立動態群組按鈕。
- 在名稱欄位中,輸入
Dynamic-group-cert-authority
。 - 在規則 1 欄位中,輸入
resource.type = 'certificateauthority'
。 - 按一下建立按鈕。
Dynamic-group-cert-authority 群組會被建立。
建立原則
此原則可讓動態群組從保存庫存取金鑰,以建立憑證授權機構。您也可以視需要允許一組使用者管理 OCI Certificates。
原則可以有數個敘述句。根據設計,所有敘述句都可以放在一個或多個原則中。原則有兩個部分:授權憑證服務存取金鑰和建立憑證,以及讓使用者管理 OCI 憑證。
建立主要金鑰與加密金鑰
會建立憑證授權機構的主要金鑰 (私密金鑰)。OCI Certificates 只支援儲存在 HSM 中的金鑰,而不支援 OCI Vault 的軟體區段。
必須先建立 WebCert 保存庫,且其狀態必須為作用中,才能遵循這些步驟。
- 在 OCI 主控台中,按一下功能表,然後按一下金鑰管理和加密密碼管理。
附註:
如果您在前一個任務中繼續關注,您應該已經看到金鑰保存庫畫面。 - 按一下 WebCert 連結。
- 按一下「建立金鑰」按鈕。
- 在保護模式下,確定已選取 HSM 。
- 在名稱欄位中,輸入
OCVS
。 - 在金鑰資源配置:演算法下,選取 RSA 。
- 按一下「建立金鑰」按鈕。
會建立主金鑰與加密金鑰。
建立憑證授權機構
建立保存庫並儲存金鑰之後,就可以建立專用憑證授權單位。如果失敗,原則可能不正確,或超出服務限制。
- 在 OCI 主控台中,按一下功能表,然後按一下識別與安全性。
- 在憑證底下,按一下憑證授權單位。
- 按一下「建立憑證授權機構」按鈕。
- 在名稱欄位中,輸入
OCVS
。 - 按一下下一步按鈕。
- 在一般名稱欄位中,輸入
ocvs.local
。 - 依序按一下下一步按鈕、下一步、下一步。
- 在撤銷組態頁面上,啟用略過撤銷。
- 按一下下一步按鈕。
- 複查摘要,然後按一下建立憑證授權機構按鈕。
- 按一下關閉連結。
OCVS 憑證授權單位已建立。
附註:
OCI 憑證為組織提供憑證發行、儲存及管理功能。請參閱「深入瞭解」以瞭解如何管理您的憑證。發行憑證
簽發 SSL/TLS 憑證,用於驗證網路通訊的識別並保護。
- 在 OCI 主控台中,按一下功能表,然後按一下憑證下的憑證授權單位。
附註:
如果您在前一個工作繼續關注,您應該已經看到憑證授權單位畫面。 - 按一下
OCVS
連結。 - 按一下「核發憑證」按鈕。
- 在名稱欄位中,輸入
ocvssecurity
。 - 按一下下一步按鈕。
- 在一般名稱欄位中,輸入
ocvs.local
。 - 按一下下一步按鈕。
- 在憑證設定檔類型下,選取 TLS 伺服器。
- 在之後無效下,按一下行事曆按鈕,然後選取日期。
- 按下一步按鈕,然後再次下一步。
- 按一下建立憑證按鈕。
OCVS 憑證已建立。
設定 VCN 資源連線
啟用部署 Web 伺服器的 NSX 區段與將在下一個步驟部署負載平衡器的 OCI 公用子網路之間的通訊。
- 在 OCI 主控台中,按一下功能表,然後按一下混合。
- 在 VMware 解決方案下,按一下軟體定義資料中心。
- 按一下「設定 VCN 資源連線」按鈕。
- 在 SDDC 工作負載 CIDR 欄位中,輸入 Web 伺服器的 NSX 區段 IP 位址 (例如 192.168.10.0/24)。
- 按一下新增子網路按鈕。
- 按一下公用子網路旁邊的核取方塊。
- 按一下新增子網路按鈕。
- 按一下下一步按鈕。
已設定 VCN 資源連線。
建立及部署負載平衡器
建立位於 OCVS 基礎架構前方的 OCI 負載平衡器。
- 在 OCI 主控台中,按一下功能表,然後按一下網路。
- 在負載平衡器底下,按一下負載平衡器。
- 按一下建立負載平衡器按鈕。
- 在 Ocvs 中的虛擬雲端網路下,選取 OCVS-INTEL-VCN 。
- 在 Ocvs 中的子網路下,選取公用 (區域) 。
- 按下一步按鈕,然後再次下一步。
附註:
後端將於稍後新增。 - 在 Ocvs 中的憑證下,選取 ocvssecurity 。
- 按一下下一步按鈕。
- 在日誌群組底下,選取指示的日誌群組或已經建立的日誌群組。
附註:
儲存日誌檔需要日誌群組。 - 按一下送出按鈕。
- 按一下移至智慧型檢查按鈕。
附註:
系統先前略過新增後端,因此會顯示智慧型檢查警告。 - 在左下角的資源底下,按一下後端集連結。
- 在後端集底下,按一下後端的連結 (例如 bs_lb_2023-1003-1521) .
附註:
必須建立負載平衡器並將其狀態設為作用中。 - 在資源底下,按一下後端集連結。
- 在後端集底下,按一下後端的連結 (例如 bs_lb_2023-1003-1521) .
- 在資源底下,按一下後端連結。
- 按一下新增後端按鈕。
- 按一下 IP 位址圓鈕。
- 在「 IP 位址」欄位中,輸入 Ubuntu Web 伺服器的 IP 位址。
- 按一下其他後端按鈕,然後輸入您新增之每個後端的 IP 位址。
- 按一下新增按鈕。
- 按一下關閉按鈕。
後端伺服器會部署在 OCVS 上。