VMware部署概述和要求

回顾在 VMware 环境中部署 API Connect 的要求和注意事项。

API Connect 在 VMware 上部署的概述

API Connect VMware 上的部署由以下部分组成:
  • Linux、macOS或 Windows 系统,管理、门户和分析子系统就是在这些系统上配置和管理的。 您在该系统中创建了一个名为 API Connect 项目目录的目录。 项目目录包含管理、门户和分析子系统的所有初始配置、用于部署它们的 ISO 文件,以及确保它们之间安全通信的 TLS 证书链。 使用名为 apicup 的命令行工具,可从项目目录配置 API Connect
  • 管理子系统:管理虚拟机与管理 OVA 文件一起部署。 三个副本部署的三个虚拟机。 一个虚拟机用于一个副本部署。
  • 门户子系统:门户虚拟机与门户 OVA 文件一起部署。 三个副本部署的三个虚拟机。 一个虚拟机用于一个副本部署。
  • 分析子系统:分析虚拟机与分析 OVA 文件一起部署。 三个副本部署的三个虚拟机。 一个虚拟机用于一个副本部署。
  • 网关子系统:一个或多个 DataPower Gateway 设备(物理或虚拟)。 DataPower Gateway是按照 DataPower 文档部署的:https://www.ibm.com/docs/en/datapower-gateway. 网关不是由 API Connect 项目目录管理的。

在 VMware 部署中,您的 API Connect 虚拟机也被称为 设备

API Connect 软件在 docker 容器中运行,docker 容器在 Kubernetes 环境中运行,该环境在 API Connect 虚拟机上运行。 API Connect VMware 部署的大部分配置在项目目录和 API Connect UI 中完成,但某些操作必须在 API Connect 虚拟机内部的 Kubernetes 级别完成。

VMware 上的部署需求

  • 查看兼容性要求 IBM API Connect 第 10 版软件产品兼容性要求
    注意: API Connect 在支持 FIPS的环境上不受支持。
  • API Connect VM 需要支持 x86-64-v2的 CPU 体系结构。

  • 请勿在安装期间更改 OVA 的硬件版本。 请勿尝试使用不受支持的版本,即使 VMWare 指示与其他版本兼容也如此。 例如,当您部署 API Connect 时,VMware UI 可能会显示类似信息:

    表 1.
    属性
    访客操作系统 Ubuntu Linux (64-bit)
    兼容性 ESXi 5.5 and later (VM version 10)
    VMware 工具 Yes
    CPU 4
    内存 16 GB

    虽然兼容性字段显示 ESXi 5.5 and later (VM version 10), API Connect 仅支持 IBM API Connect Version 10 软件产品兼容性要求中列出的版本。 请勿更改 OVA 的 VM 版本。 兼容性字段值必须保持为 ESXi 5.5 and later (VM version 10)

    尝试修改 VMware 兼容性可能会导致无法启动 OVA,请参阅 https://kb.vmware.com/s/article/52683

  • 为每个子系统虚拟机收集以下网络设置,必须在初始配置时提供:
    表 2.
    网络设置 适用于您系统的值
    虚拟机的 IP 地址。  
    虚拟机的域。  
    名称服务器的 IP 地址(至少需要一个 DNS 服务器)。  
    服务器的网络网关(非 DataPower® 网关)的 IP 地址。  
    以太网接口的名称。  
    VLAN.  

    创建和配置虚拟机时,某些虚拟化环境需要其他信息。 例如,可能需要指定特定 VLAN 标识、资源池或数据存储器。 请参考虚拟化环境管理员提供的信息。

在部署 API Connect 子系统 OVA 文件之前,首先要定义一些 API Connect 配置属性,并创建包含这些属性的 ISO 文件。 ISO 文件用于在部署 OVA 文件时为 API Connect 子系统提供初始配置。

您需要定义 API Connect 属性,并在项目目录中创建 ISO 文件。 您的项目目录系统必须能通过网络访问部署 API Connect OVA 的位置。 对项目目录系统的要求是
  • Linux、macOS或 Windows 操作系统。
  • 您的操作系统必须支持用于创建 ISO 文件的实用程序。 API Connect apicup 工具在 Linux 上使用 mkisofs ,在 macOS 上使用 hdiutil 。 对于 Windows,您需要使用 mkisofs 创建 ISO 文件的软件,如 CDRTools。

    确认您用于创建 ISO 文件的实用程序位置已包含在操作系统的 PATH 环境变量中。 创建 ISO 文件时,如果遇到Error: unable to create config ISO for host信息,请确认您有足够的权限运行命令。

  • 即使某些子系统位于不同的 VMware 集群中,也要对 API Connect 部署中的所有子系统使用单个项目目录。

磁盘空间需求

管理子系统的数据磁盘需求为 200 GB。 启动盘需要 100 GB,因此最低总需求为 300 GB。

开发人员门户和分析磁盘的要求因使用场景而异。 请参阅:

API Connect 关于 VMware 的要点

  • 无法在 NFS上部署 API Connect

  • API Connect 虚拟机的时区设置为协调世界时。 不要更改虚拟机的时区。

  • 项目目录系统上的时间(不是时区)和 VMware Host 时钟必须一致(几秒之内)。

    要验证 VMware 主机时钟配置,请参阅 https://kb.vmware.com/s/article/1003736 。 如果两者之间存在较大的时间差,那么安装可能会因证书无效而失败。

  • API Connect 虚拟机运行需要专用 IP 范围的 Kubernetes 集群。 这些 IP 地址不能与部署中的其他资源(例如 SMTP 服务器或用户注册表)使用的 IP 地址冲突。

    默认值为 172.16.0.0/16172.17.0.0/16。 如果/16子网与网络上的现有 IP 重叠,则可以使用小至/22的 CIDR。

    安装后不能修改 IP 范围。

  • 只支持静态 IP 地址。 安装后不能更改 IP 地址。

  • API Connect 虚拟机主机名和 端点必须全部小写,并且除"-"外不包含任何特殊字符。

    安装后不能更改主机名或 端点。 如果要更改 端点,则必须重新安装 API Connect 并遵循 表单因子迁移步骤。

  • 如果使用 三个副本部署配置文件进行安装,除非数据中心之间的网络延迟小于 10 毫秒,否则不要在多个数据中心之间拆分副本(虚拟机)。有关多数据中心部署选项的更多信息,请参阅 多数据中心部署策略

密码和证书

  • 确保项目目录安全。 项目目录中的 apiconnect-up-v10.yml 文件包含散列密码和 base64 编码密码。
  • 在初始配置过程中,您可以使用 apicup 命令指定一个 ssh 密钥文件,该文件包含用于使用 ssh 登录 API Connect 虚拟机的公共证书。 使用 ssh 密钥文件登录是首选,因为它比基于密码的登录更安全。
  • 会为每个子系统生成默认证书,除非在部署前明确设置证书(使用apicup certs set命令)。 请参见 API Connect TLS 证书最佳实践

设置和使用散列缺省密码

在配置管理、分析和开发人员门户子系统期间,您会创建一个密码,用于首次登录虚拟机控制台。 必须使用密码散列实用程序对密码进行散列处理。 然后,使用 apicup 将此散列密码分配给子系统。 这些配置步骤可确保密码不会以纯文本形式存储在虚拟机数据磁盘上。

apicup 命令的语法为:
apicup subsys set mgmt default-password='hashed_password'

使用说明:

  • default-password 用于虚拟机上的 apicadm 用户账户。
  • apicadm 的密码可用于通过 VMware 控制台登录。 您不能用它来ssh进入虚拟机,以替代使用ssh-keyfiles。 已禁用 ssh 的交互式登录。
  • 配置的 default-password 值仅在每个虚拟设备的初始安装(首次引导)期间使用。 更改值,然后重新生成 ISO,并将新 ISO 附加到虚拟机上,并不会更改 apicadm 密码。
  • default-password 必须进行散列处理。 如果是纯文本,则无法通过 VMware 控制台登录虚拟机。 使用 apicup 设置或获取 default-password 时,apicup 确保密码的散列类型为以下之一:
    • MD5
    • SHA1
    • SHA256
    • SHA512
    • BCRYPT
    • MD5-Crypt

  • 在使用 apicup 来设置子系统的缺省密码时,请注意操作系统之间的语法差别。 Windows 需要使用双引号。 Linux 和 macOS 需要单引号。

    操作系统 命令语法
    Linux或 macOS 
    apicup subsys set mgmt default-password='hashed_password'
    Windows 
    apicup subsys set mgmt default-password="hashed_password"
  • 您可以使用 passwd 命令(在虚拟机上)更改 apicadm 密码。
  • 使用 VMware 远程控制台登录设备时,请注意键盘布局为美式英语。 如果在使用不同键盘布局的系统上创建 ISO 并且使用特殊字符或符号,那么这可能导致散列密码问题。

DataPower Gateway for API Connect on VMware

  • DataPower Gateway在设备(物理或虚拟)上的安装和配置在安装管理、分析和门户子系统后完成。 对于 VMware 环境中的网关服务,请使用 Deploying DataPower Gateway virtual appliance 中的说明。
  • 确保计划安装的 DataPower Gateway 固件版本与 API Connect 管理子系统版本兼容。 要查看兼容性支持,请按照 IBM API Connect Version 10 软件产品兼容性要求 中的说明访问 API Connect 软件产品兼容性报告网站上的信息。 访问 API Connect 版本的信息后,选择 Supported Software > Integration Middleware,并查看兼容的 DataPower Gateway 版本列表。