NSX Manager 提供了图形用户界面 (GUI) 和 REST API 以创建、配置和监控 NSX-T Data Center 组件,例如,逻辑交换机、逻辑路由器和防火墙。

NSX Manager 提供了系统视图并且是 NSX-T Data Center 的管理组件。

为了获得高可用性,NSX-T Data Center 支持三个 NSX Manager 的管理集群。对于生产环境,建议部署管理集群。对于概念证明环境,可以部署单个 NSX Manager

在 vSphere 环境中, NSX Manager 支持以下功能:
  • vCenter Server 可以使用 vMotion 功能在主机和集群之间实时迁移 NSX Manager
  • vCenter Server 可以使用 Storage vMotion 功能在主机和集群之间实时迁移 NSX Manager 文件系统。
  • vCenter Server 可以使用 Distributed Resource Scheduler 功能在主机和集群重新均衡 NSX Manager
  • vCenter Server 可以使用反关联性功能在主机和集群之间管理 NSX Manager

NSX Manager 部署、平台和安装要求

下表详细说明了 NSX Manager 部署、平台和安装要求

要求 说明
支持的部署方法
  • OVA/OVF
  • QCOW2
支持的平台

请参见NSX Manager 虚拟机和主机传输节点系统要求

ESXi 上,建议将 NSX Manager 设备安装在共享存储上。

IP 地址 NSX Manager 必须具有静态 IP 地址。您可以在安装后更改 IP 地址。仅支持 IPv4 地址。
NSX-T Data Center 设备密码
  • 至少 12 个字符
  • 至少一个小写字母
  • 至少一个大写字母
  • 至少一个数字
  • 至少一个特殊字符
  • 至少 5 个不同的字符
  • 默认的密码复杂性规则将由以下 Linux PAM 模块参数强制执行:
    • retry=3:在返回错误之前,可输入新密码的最大次数;对于此参数,最多为 3 次。
    • minlen=12:新密码的最小可接受长度。除了新密码中的字符数以外,还会为每种不同类型的字符(其他、大写、小写和数字)提供额度(长度 +1)。
    • difok=0:新密码中必须包含的最小不同字节数。表示旧密码和新密码之间的相似性。如果为 difok 分配值 0,则旧密码和新密码不需要具有任何不同的字节。允许完全匹配。
    • lcredit=1:在新密码中包含小写字母的最大额度。如果密码包含的小写字母少于或等于 1 个,则将为每个字母计数 +1 以满足当前的 minlen 值。
    • ucredit=1:在新密码中包含大写字母的最大额度。如果密码包含的大写字母少于或等于 1 个,则将为每个字母计数 +1 以满足当前的 minlen 值。
    • dcredit=1:在新密码中包含数字的最大额度。如果密码包含的数字少于或等于 1 个,则将为每个数字计数 +1 以满足当前的 minlen 值。
    • ocredit=1:在新密码中包含其他字符的最大额度。如果密码包含的其他字符少于或等于 1 个,则将为每个字符计数 +1 以满足当前的 minlen 值。
    • enforce_for_root:为 root 用户设置了密码。
    注: 有关使用 Linux PAM 模块根据字典词语检查密码的更多详细信息,请参阅手册页。

    例如,避免使用简单且系统性的密码,例如 VMware123!123VMware12345。符合复杂性标准的密码不是简单且系统性的密码,而是字母、特殊字符和数字的组合(例如 VMware123!45VMware 1!2345VMware@1az23x)。

主机名 在安装 NSX Manager 时,请指定不包含无效字符(如下划线)或特殊字符(如点“.”)的主机名。如果主机名包含任何无效的字符或特殊字符,在部署后,主机名将设置为 nsx-manager

有关主机名限制的详细信息,请参阅https://tools.ietf.org/html/rfc952https://tools.ietf.org/html/rfc1123

VMware Tools 在 ESXi 上运行的 NSX Manager 虚拟机已安装 VMTools。不要移除或升级 VMTools。
系统
  • 确认满足系统要求。请参见系统要求
  • 确认打开了所需的端口。请参见端口和协议
  • 确认配置了一个数据存储,并且可以在 ESXi 主机上访问该数据存储。
  • 确认具有供 NSX Manager 使用的 IP 地址和网关、DNS 服务器 IP 地址、域搜索列表和 NTP 服务器 IP 或 FQDN 列表。
  • 如果还没有目标虚拟机端口组网络,请创建一个网络。将 NSX-T Data Center 设备放在管理虚拟机网络上。

    如果具有多个管理网络,您可以添加从 NSX-T Data Center 设备到其他网络的静态路由。

  • 计划您的 NSX Manager IPv4 IP 地址方案。
OVF 特权

确认您具有足够的权限以在 ESXi 主机上部署 OVF 模板。

可部署 OVF 模板的管理工具,例如 vCenter ServervSphere Client。OVF 部署工具必须支持配置选项以允许进行手动配置。

OVF 工具版本必须为 4.0 或更高版本。

客户端插件

必须安装客户端集成插件。

证书

如果计划在 NSX Manager 集群上配置内部 VIP,您可以将不同的证书应用于集群的每个 NSX Manager 节点。请参见配置集群的虚拟 IP 地址

如果计划配置外部负载均衡器,请确保仅将一个证书应用于所有 NSX Manager 集群节点。请参见配置外部负载均衡器

注:NSX Manager 全新安装或重新引导时,或者在首次登录出现提示时更改 admin 密码后, NSX Manager 可能需要几分钟的时间才会启动。

NSX Manager 安装方案

重要说明:vSphere Client 或命令行中通过 OVA 或 OVF 文件将 NSX Manager 安装为独立主机时,在打开虚拟机电源之前,不会验证 OVA/OVF 属性值(如用户名和密码)。但是,静态 IP 地址字段是进行安装 NSX Manager 的必填字段。在 vCenter Server 中将 NSX Manager 安装为管理的主机时,在打开虚拟机电源之前,将验证 OVA/OVF 属性值(如用户名和密码)。
  • 如果为 adminaudit 用户指定用户名,该名称必须是唯一的。如果指定相同的名称,则会忽略该名称并使用默认名称(adminaudit)。
  • 如果 admin 用户的密码不符合复杂性要求,您必须通过 SSH 或控制台以 admin 用户身份(使用密码 default)登录到 NSX Manager。将提示您更改密码。
  • 如果 audit 用户的密码不符合复杂性要求,则会禁用该用户帐户。要启用该帐户,请通过 SSH 或控制台以 admin 用户身份登录到 NSX Manager,然后运行 set user audit 命令以设置 audit 用户的密码(当前密码为空字符串)。
  • 如果 rootadmin 用户的密码不符合复杂性要求,您必须通过 SSH 或在控制台上以 root 身份使用密码 vmware 和以 admin 身份使用密码 default 登录到 NSX Manager。将提示您更改密码。
小心:root 用户凭据登录时对 NSX-T Data Center 进行的更改可能会导致系统出现故障,且可能会影响您的网络。只能在 Vmware 技术支持团队的指导下使用 root 用户凭据进行更改。
注: 在设置足够复杂的密码后,设备上的核心服务才会启动。

从 OVA 文件部署 NSX Manager 后,您无法通过关闭虚拟机电源,然后从 vCenter Server 中修改 OVA 设置来更改虚拟机的 IP 设置。

配置 NSX Manager 以通过 DNS 服务器访问

默认情况下,传输节点根据 IP 地址访问 NSX Manager。不过,也可以根据 NSX Manager 的 DNS 名称进行访问。

您可以发布 NSX Manager 的 FQDN 以允许使用 FQDN。

注: 对于多站点 Lite 和 NSX Cloud 部署,必须在 NSX Manager 上允许使用 FQDN (DNS)。(对于所有其他部署类型,这是可选的。)请参见 《NSX-T Data Center 管理指南》中的 NSX-T Data Center 的多站点部署以及本指南中的 NSX Cloud 入门

发布 NSX Manager 的 FQDN

安装 NSX-T Data Center 核心组件和 CSM 后,要使用 FQDN 启用 NAT,您必须在 DNS 服务器上为管理器节点设置正向和反向查找条目。

重要说明: 强烈建议使用短 TTL(例如,600 秒)为 NSX Manager FQDN 配置正向和反向查找条目。

此外,您还必须允许使用 NSX-T API 发布 NSX Manager FQDN。

示例请求:PUT https://<nsx-mgr>/api/v1/configs/management

{
  "publish_fqdns": true,
  "_revision": 0
}

示例响应:

{
  "publish_fqdns": true,
  "_revision": 1
}

请参阅《《NSX-T Data Center API 指南》》以了解详细信息。

注: 在发布 FQDN 后,请验证传输节点进行的访问,如下一节中所述。

验证传输节点通过 FQDN 进行的访问

在发布 NSX Manager 的 FQDN 后,请验证传输节点是否可以成功访问 NSX Manager

使用 SSH 登录到一个传输节点(如 Hypervisor 或 Edge 节点),然后运行 get controllers CLI 命令。

示例响应:
Controller IP    Port  SSL     Status       Is Physical Master   Session State    Controller FQDN
192.168.60.5    1235  enabled  connected   true                  up               nsxmgr.corp.com