{"id":1651,"date":"2015-01-07T09:24:04","date_gmt":"2015-01-07T08:24:04","guid":{"rendered":"http:\/\/vm.piszki.pl\/?p=1651"},"modified":"2015-03-07T21:55:46","modified_gmt":"2015-03-07T20:55:46","slug":"vcloud-director-5-5-balansowanie-ruchem-za-pomoca-big-ip-f5","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=1651","title":{"rendered":"vCloud Director 5.5: balansowanie ruchem za pomoc\u0105 BIG-IP F5"},"content":{"rendered":"

Ten temat<\/a> by\u0142 poruszany<\/a> w Internecie<\/a> wielokrotnie<\/a>, ale zawsze warto przypomnie\u0107 i od\u015bwie\u017cy\u0107 wiedz\u0119. Szczeg\u00f3lnie, \u017ce nowe wersje oprogramowania pojawiaj\u0105 si\u0119 co chwila, cz\u0119sto r\u00f3\u017cni\u0105c si\u0119 od siebie do\u015b\u0107 mocno. Poza tym, to \u017ce VMware ostatnio traktuje vCloud Director z lekk\u0105 niech\u0119ci\u0105, nie oznacza, \u017ce wszyscy nagle przenie\u015bli si\u0119 na vCAC. Dodatkowo skupi\u0119 tutaj si\u0119 do\u015b\u0107 mocno na balansowaniu ruchem przy dost\u0119pie do wirtualnych maszyn poprzez Console Proxy (vmrc). Na ten temat trudno jest znale\u017a\u0107 wyczerpuj\u0105ce informacje.<\/p>\n

\"vcd16\"<\/a><\/p>\n

<\/p>\n

W pierwszym kroku, je\u015bli jeszcze tego nie mamy, musimy wygenerowa\u0107 kolejnego noda (Cell) vCloud Director. Wszystkie nody musz\u0105 wsp\u00f3\u0142dzieli\u0107, poprzez NFS, katalog \u201ctransfer\u201d (\/opt\/vmware\/vcloud-director\/data\/transfer), dlatego nale\u017cy si\u0119 zastanowi\u0107 sk\u0105d go zamontujemy. Mo\u017ce to by\u0107 zewn\u0119trzny serwer NAS lub katalog wyeksportowany z pierwszego noda (tak jest w moim przypadku). Osobi\u015bcie u\u017cywam systemu CentOS 6.4 jako no\u015bnika dla vCloud Director (zamiast Red Hat), u\u0142atwia to do\u015b\u0107 mocno administracj\u0119. Przygotowanie kolejnego noda jest bardzo proste, wystarczy sklonowa\u0107 pierwszego! Oczywi\u015bcie za pierwszym razem uruchamiamy go w trybie izolacji sieciowej, wy\u0142\u0105czamy na nim vCD (service vmware-vcd stop), rekonfigurujemy karty sieciowe na nowe adresy IP i podnosimy interfejsy. Na pierwszym nodzie (nasz CentOS), je\u015bli jeszcze nie mamy, instalujemy i uruchamiamy serwer NFS:<\/p>\n

yum install nfs-utils nfs-utils-lib
\nchkconfig nfs on
\nservice rpcbind start
\nservice nfs start<\/p>\n

Do pliku \/etc\/exports dopisujemy lini\u0119:<\/p>\n

\/opt\/vmware\/vcloud-director\/data\/transfer\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 172.18.60.128 (rw,sync,no_root_squash,no_subtree_check)<\/p>\n

I wydajemy polecenie: exportfs \u2013a<\/p>\n

W tym momencie mamy wyeksportowany po NFS katalog \u201ctransfer\u201d. Kopiujemy do niego plik \/opt\/vmware\/vcloud-director\/etc\/responses.properties (zawiera on podstawow\u0105 konfiguracj\u0119 kt\u00f3ra zostanie u\u017cyta przez kolejnego noda). Teraz przechodzimy do przygotowania certyfikat\u00f3w SSL dla obydwu nod\u00f3w. Jest to bardzo wa\u017cny krok i musi by\u0107 wykonany poprawnie. Dlaczego modyfikacje musimy wprowadzi\u0107 na obydwu nodach? Poniewa\u017c zgodnie z tym KB<\/a>, je\u015bli chcemy balansowa\u0107 ruchem w po\u0142\u0105czeniach VMRC, to wszystkie nody powinny mie\u0107 wsp\u00f3lny certyfikat SSL dla Console Proxy. Nazwa hosta w certyfikacie musi by\u0107 zgodna z wpisem VCD public console proxy:<\/p>\n

\"vcd1\"<\/a><\/p>\n

W innym wypadku mo\u017cemy spotka\u0107 si\u0119 z b\u0142\u0119dem \u201cException during handshake: javax.net.ssl.SSLException: Received fatal alert: certificate_unknown\u201d. Jak zawsze najlepszym rozwi\u0105zaniem jest posiadanie certyfikatu typu Wildcard (w formacie pkcs12). Spreparowanie pliku certificates.ks na podstawie pkcs12 (pfx) jest bardzo proste:<\/p>\n

Przygotowanie pustego keystore typu JCEKS:<\/p>\n

keytool -keystore certificates.ks -storetype JCEKS -storepass xxxxxxx -genkey -keyalg RSA -keysize 2048 -alias http<\/span><\/p>\n

keytool -delete -alias http -keystore certificates.ks<\/span><\/p>\n

Importujemy certyfikaty CA i Intermediate (tyle ile trzeba<\/a>, nazwy alias\u00f3w mog\u0105 by\u0107 np. intermediate1, intermediate2 etc):<\/p>\n

keytool -storetype JCEKS -storepass xxxxxxx -keystore certificates.ks \u2013importcert \u2013file ca1 \u2013alias root <\/span><\/p>\n

keytool -storetype JCEKS -storepass xxxxxxx -keystore certificates.ks -importcert -file ca2 -alias intermediate<\/span><\/p>\n

Importujemy certyfikat wildcard razem z kluczem:<\/p>\n

keytool -v -importkeystore -srckeystore pulab.pfx -srcstoretype PKCS12 -destkeystore certificates.ks -deststoretype JCEKS -alias http<\/span><\/p>\n

keytool -v -importkeystore -srckeystore pulab.pfx -srcstoretype PKCS12 -destkeystore certificates.ks -deststoretype JCEKS \u2013alias consoleproxy<\/span><\/p>\n

I to wszystko, po kolei, na obydwu nodach wy\u0142\u0105czamy us\u0142ug\u0119 vCloud Director (service vmware-vcd stop), usuwamy stary plik keystore i uruchamiamy \/opt\/vmware\/vcloud-director\/bin\/configure. Program sam wykryje zmian\u0119 pliku certificates.ks i zaproponuje jego zaimportowanie do konfiguracji. Po uruchomieniu obydwu nod\u00f3w (w tym nowego) powinni\u015bmy zobaczy\u0107 nast\u0119puj\u0105cy rezultat:<\/p>\n

\"vcd2\"<\/a><\/p>\n

W tym momencie mo\u017cemy przej\u015b\u0107 do konsoli F5. Przygotowanie odpowiedniej konfiguracji zaczniemy od stworzenia w\u0142a\u015bciwych monitor\u00f3w, jeden dla vCloud Director a drugi dla Console Proxy:<\/p>\n

\"vcd3\"<\/a><\/p>\n

\"vcd4\"<\/a><\/p>\n

W kolejnym kroku tworzymy profil utrzymania sesji (Persistence) dla vCD, Console Proxy nie potrzebuje takiego profilu:<\/p>\n

\"vcd5\"<\/a><\/p>\n

Teraz tworzymy profil SSL dla vCD, w naszym wypadku u\u017cyjemy jak zwykle tego samego profilu Wildcard:<\/p>\n

\"vcd6\"<\/a><\/p>\n

Dodajemy kolejne Nody (na tym etapie wystarczaj\u0105cym monitorem jest ICMP):<\/p>\n

\"vcd7\"<\/a><\/p>\n

Tworzymy pierwsz\u0105 pul\u0119 dla vCloud Director:<\/p>\n

\"vcd8\"<\/a><\/p>\n

\"vcd9\"<\/a><\/p>\n

Tworzymy drug\u0105 pul\u0119 dla Console Proxy:<\/p>\n

\"vcd10\"<\/a><\/p>\n

\"vcd11\"<\/a><\/p>\n

Na tym etapie mamy wszystko, co jest potrzebne do stworzenia Virtualnych Serwer\u00f3w. Jako pierwszy tworzymy VIP dla vCloud Director:<\/p>\n

\"vcd12\"<\/a><\/p>\n

\"vcd13\"<\/a><\/p>\n

Jest to standardowy zestaw dla serwera WWW, u\u017cycie profilu http pozwala na u\u017cycie polityki bezpiecze\u0144stwa (ASM) w dost\u0119pie do vCloud Director. U\u017cycie profilu SSL nie jest obligatoryjne, mo\u017cemy wykona\u0107 te\u017c pe\u0142ne przekazanie sesji do nod\u00f3w (je\u015bli mamy ten sam certyfikat dla wszystkich nod\u00f3w). Je\u015bli nie u\u017cywamy synchronizacji katalog\u00f3w pomi\u0119dzy r\u00f3\u017cnymi chmurami to mo\u017cemy mie\u0107 dla ka\u017cdego noda (Cell) wygenerowany oddzielny certyfikat SSL podpisany przez lokalne CA (dotyczy tylko dost\u0119pu przez WWW). W ostatnim kroku tworzymy VIP dla Console Proxy:<\/p>\n

\"vcd14\"<\/a><\/p>\n

\"vcd15\"<\/a><\/p>\n

W tym przypadku nie u\u017cywamy profilu http, Console Proxy nie jest zwyk\u0142\u0105 us\u0142ug\u0105 HTTPS. W zwi\u0105zku z tym nie mo\u017cemy te\u017c u\u017cy\u0107 ASM dla niej!<\/p>\n

EDIT:<\/p>\n

Wpis dosta\u0142 5 gwiazdek, znaczy si\u0119, kto\u015b go przeczyta\u0142, w zwi\u0105zku z tym, uzupe\u0142ni\u0119 go :-)<\/p>\n

SSL w vCloud Director to delikatny temat, przy balansowaniu jest wiele zmiennych, opis powy\u017cej doprowadzi niestety do tego, \u017ce przestanie poprawnie dzia\u0142a\u0107 zintegrowana autentykacja SSO z vSphere. Rozwi\u0105zanie jest takie: ka\u017cdy node powinien mie\u0107 w\u0142asny, lokalny certyfikat (niezale\u017cnie od SSL-offload na F5), ale nie dotyczy to consoleproxy, na ka\u017cdym node powinien by\u0107 ten sam wildcard.<\/p>\n

P.S. Piszcie o w\u0142asnych do\u015bwiadczeniach z vCloud Director! :-)<\/p>\n

\n

<\/div>","protected":false},"excerpt":{"rendered":"

Ten temat by\u0142 poruszany w Internecie wielokrotnie, ale zawsze warto przypomnie\u0107 i od\u015bwie\u017cy\u0107 wiedz\u0119. Szczeg\u00f3lnie, \u017ce nowe wersje oprogramowania pojawiaj\u0105 si\u0119 co chwila, cz\u0119sto r\u00f3\u017cni\u0105c si\u0119 od siebie do\u015b\u0107 mocno. Poza tym, to \u017ce VMware ostatnio traktuje vCloud Director z … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1525,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"Other","footnotes":""},"categories":[45],"tags":[34,18],"class_list":["post-1651","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-poradniki","tag-f5","tag-vcloud-director"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":2,"sum_votes":10},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1651"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1651"}],"version-history":[{"count":4,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1651\/revisions"}],"predecessor-version":[{"id":2030,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/1651\/revisions\/2030"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/media\/1525"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}