更新时间:2023-10-20
功能说明
针对SCP双网卡场景,即管理网与业务网分离的情况,推荐大规模交付场景使用。
拓扑规划
注意事项
SCP双网卡场景需要配置负载均衡,vAD版本无强制要求,建议使用vAD7.0.8R4,并推荐AD双机部署。
前提条件
端口4480和443可以正常访问。
操作步骤
- 登录HCI平台控制台,点击[虚拟机/新增/导入虚拟机],选择SCP云主机,选择对应的分组,存储位置和运行位置,点击<开始导入>按钮,显示上传界面。
- 上传成功后,选择导入的SCP云主机,点击[编辑],添加USB硬件,将授权key映射给云主机。(仅SCP主节点需要添加,另外两个节点可跳过此步骤。)
- 编辑网卡,使其连线与HCI平台管理网络二层/三层可达,点击<确定>按钮。
- 配置SCP双网卡:
步骤1.进入HCI虚拟机列表,找到SCP虚拟机,右键点击<编辑>按钮,进入[编辑虚拟机]页面。
步骤2.点击[添加硬件/网卡],为SCP添加双网卡。编辑网卡,连接到租户的业务网络。
步骤3.登录SCP控制台,鼠标点击云主机控制台任意一处,键盘键入“enter”键,进入维护模式,输入密码(初始密码是admin)。使用键盘“↑↓”键选择[设置网络],键盘键入“enter”键,为SCP双网卡配置IP地址、掩码和网关,点击<确定>按钮。
:
1.这里网卡配置固定:eth0配置为管理登录IP,eth1配置为租户登录IP。
2.SCP网关建议配置在eth1上。
步骤4.按照上述步骤为另外两台SCP节点完成双网卡配置。
- 管理员登录主SCP控制台,切换为集群模式。集群模式切换以及集群中节点添加的操作可参考“SCP单网卡场景”章节,步骤6-10。
- 进入[系统管理/平台配置],进行路由配置,点击<创建>按钮,目的地址为本地PC的网关,下一跳为集群管理网网关。
- vAD双机配置。
步骤1.配置管理接口IP地址。登录主AD1的控制台,进入[系统管理/通用配置/管理口配置]页面,配置主AD1的管理IP。
步骤2.同上,登录备AD2控制台,完成管理IP的配置。
步骤3.配置双机模式高可用。进入主AD1的[高可用/主备信息]页面,“主备模式”选择“启用”,“运行角色”选择“主机”
步骤4.同上,对备机AD2做高可用配置。
步骤5.高可用配置完成后,分别进入主备AD的[高可用/主备信息]页面,查看主备状态是否正常。
步骤6.进入[网络部署/网络接口/链路IP配置]页面,配置WAN区域和LAN区域接口IP地址。
:
这里只需要在主机配置,备机会自动同步主机中的配置。
其中配置参数说明如下表所示。
网络接口 |
备注说明 |
网络接口-LAN口 |
- 连接SCP节点的业务口,用于和SCP节点之间通信;
|
- 不需要配置网关、DNS、用户名、上行带宽、下行带宽;
|
- 状态: 启用。
|
网络接口-WAN口 |
- 连接外部网络,租户可通过这个IP地址访问AD,再通过SCP业务口访问SCP;
|
- 上行带宽/下行带宽,推荐配置1000Mbps。
|
|
步骤7.进入[应用负载/节点池/业务健康检查]页面,配置业务健康检查策略,配置策略:SNMP。
其中配置说明如下表所示。
属性 |
说明 |
名称 |
配置策略名称 |
类型 |
选择“SNMP” |
查询密码 |
输入SNMP查询密码,密码查询方式:在SCP平台,进入[系统管理/平台配置/高级设置],在“查询密码”处点击<复制>按钮。 |
CPU权重 |
改成“99” |
内存权重 |
改成“1” |
内存告警阈值 |
改成“80” |
硬盘权重 |
改成“1” |
其他配置 |
默认 |
回到SCP平台,进入[管理/系统管理/高级设置],配置“监视源IP”,此处填写AD上用来与SCP互联的业务IP地址。
步骤8.配置节点池。创建两个地址池,端口分别是443和4480,地址必须是SCP的业务地址,使用上一步的SNMP策略进行探测。进入[应用负载/节点池]页面:
• web节点池配置
其中配置说明如下表所示。
字段 |
说明 |
节点选择策略 |
选择“动态反馈” |
选择节点 |
添加SCP节点业务IP,端口号为443、权重10、优先级1 |
健康检查方法 |
选择SNMP策略 |
会话保持设置 |
节点繁忙时,选择“强制调度” 连接数统计,选择“全状态统计” |
会话保持 |
选择“sourceip” |
其他配置 |
保持默认 |
• NFV节点池配置
其中配置说明如下表所示。
字段 |
说明 |
节点选择策略 |
选择“动态反馈” |
选择节点 |
添加SCP节点业务IP,端口号为4480、权重10、优先级1 |
健康检查方法 |
选择SNMP策略 |
会话保持设置 |
节点繁忙时,选择“强制调度” 连接数统计,选择“全状态统计” |
会话保持 |
选择“sourceip” |
其他配置 |
保持默认 |
步骤9.配置证书卸载和应用负载。
- 添加证书:这里添加证书有两种方式,可选择导入证书或手动新增证书。
• 导入证书:进入[资源管理/证书管理],点击<新增>,颁发类型选择“从文件导入”,将证书导入。
• 新增证书:进入[资源管理/证书管理],点击<新增>,颁发类型选择“自签名”,自定义新增证书。
接下来进入[应用负载/SSL策略],点击<新增>,创建SSL卸载策略。
- 为443端口和4480端口配置虚拟服务。
进入[应用负载/虚拟服务]页面,点击<新增>按钮,选择相应的节电池,端口,和卸载策略。
步骤10.关闭WAF的HTTP卸载
登录SCP控制台,进入[管理/系统管理/高级配置]页面,勾选“关闭eth1 SSL加密”选项。
- 部署完成后,打开浏览器,管理员通过 https://{eth0IP} 登录,租户通过 https:// {eth1IP}登录。