计算管理器(如 vCenter Server)是一个管理资源(如主机和虚拟机)的应用程序。

NSX-T Data Center 会轮询计算管理器,以从 vCenter Server 中收集集群信息。

有关 vCenter Server 角色和权限的详细信息,请参见《vSphere 安全性》文档。

前提条件

  • 确认使用支持的 vSphere 版本。请参见支持的 vSphere 版本
  • vCenter Server 的 IPv4 通信。
  • 确认使用建议数量的计算管理器。请参见https://configmax.vmware.com/home
  • 提供 vCenter Server 用户的凭据。您可以提供 vCenter Server 管理员的凭据,或者专门为 NSX-T Data Center 创建一个角色和用户并提供该用户的凭据。将全局权限添加到新创建的用户和角色,然后选择传播到子对象
    创建一个具有以下 vCenter Server 特权的 admin 角色:
    Extension.Register extension
    Extension.Unregister extension
    Extension.Update extension
    Sessions.Message
    Sessions.Validate session
    Sessions.View and stop sessions
    Host.Configuration.Maintenance
    Host.Configuration.NetworkConfiguration
    Host.Local Operations.Create virtual machine
    Host.Local Operations.Delete virtual machine
    Host.Local Operations.Reconfigure virtual machine
    Tasks
    Scheduled task
    Global.Cancel task
    Permissions.Reassign role permissions
    Resource.Assign vApp to resource pool
    Resource.Assign virtual machine to resource pool
    Virtual Machine.Configuration
    Virtual Machine.Guest Operations
    Virtual Machine.Provisioning
    Virtual Machine.Inventory
    Network.Assign network
    vApp

    要将 NSX-T Data Center 许可证用于 vSphere Distributed Switch 7.0 功能,vCenter Server 用户必须是管理员,或者用户必须具有 Global.Licenses 特权并且是 LicenseService.Administrators 组的成员。

  • 在为计算管理器创建服务帐户之前,请将以下额外的 vCenter Server 特权添加到管理员用户角色:

    Service Account Management.Administer
    Permissions.Modify permission
    Permissions.Modify role
    VMware vSphere Lifecycle Manager.ESXi Health Perspectives.Read
    VMware vSphere Lifecycle Manager.Lifecycle Manager: General Privileges.Read
    VMware vSphere Lifecycle Manager.Lifecycle Manager: Image Privileges.Read
    VMware vSphere Lifecycle Manager.Lifecycle Manager: Image Privileges.Write
    VMware vSphere Lifecycle Manager.Lifecycle Manager: Image Remediation Privileges.Write
    VMware vSphere Lifecycle Manager.Lifecycle Manager: Settings Privileges.Read
    VMware vSphere Lifecycle Manager.Lifecycle Manager: Settings Privileges.Write
    VMware vSphere Lifecycle Manager.Lifecycle Manager: General Privileges.Write

过程

  1. 从浏览器中,使用 admin 特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择系统 > Fabric > 计算管理器 > 添加计算管理器
  3. 填写计算管理器详细信息。
    选项 描述
    名称和说明 键入名称以标识 vCenter Server

    您可以选择描述任何特殊详细信息,如 vCenter Server 中的集群数。

    类型 默认计算管理器类型设置为 vCenter Server
    多 NSX 实例

    NSX-T Data Center 3.2.2 开始,您可以在多个 NSX Manager 中注册同一 vCenter Server。

    如果要允许多个 NSX-T Data Center 实例管理单个 vCenter Server,请启用此字段。从 vCenter Server 7.0 或更高版本开始,支持此功能。
    注: 无法在工作负载控制平面 (WCP) 集群或 vSphere Lifecycle Manager (vLCM) 集群上启用。
    FQDN 或 IP 地址 键入 vCenter Server 的 FQDN 或 IP 地址。
    反向代理的 HTTPS 端口 默认端口为 443。如果使用其他端口,请确认已在所有 NSX Manager 设备上打开该端口。

    设置反向代理端口以在 NSX-T Data Center 中注册计算管理器。

    用户名和密码 键入 vCenter Server 登录凭据。
    SHA-256 指纹 键入 vCenter Server SHA-256 指纹算法值。
    创建服务帐户 为需要使用 NSX-T Data Center API 进行身份验证的功能(例如,vSphere Lifecycle Manager)启用此字段。使用 [email protected] 凭据登录以注册计算管理器。注册后,计算管理器将创建一个服务帐户。
    注: 不支持在全局 NSX Manager 上创建服务帐户。

    如果服务帐户创建失败,计算管理器的注册状态将设置为已注册,但出现错误。已成功注册计算管理器。不过,无法在 NSX-T Data Center 集群上启用 vSphere Lifecycle Manager。

    如果 vCenter Server admin 在成功创建服务帐户后将其删除,vSphere Lifecycle Manager 会尝试对 NSX-T Data Center API 进行身份验证,且计算管理器的注册状态将设置为已注册,但出现错误

    启用信任

    启用该字段以在 NSX-T Data Center 和计算管理器之间建立信任关系,以便 vCenter Server 中运行的服务可以与 NSX-T Data Center 建立受信任的通信。例如,要在 NSX-T Data Center 集群上启用 vSphere Lifecycle Manager,您必须启用该字段。

    仅在 vCenter Server 7.0 和更高版本上受支持。

    访问级别 根据您的要求,启用以下选项之一:
    • 对 NSX 的完全访问权限:默认情况下,将选择该选项。该访问级别为计算管理器授予 NSX-T Data Center 的完全访问权限。完全访问权限确保 vSphere for Kubernetes 和 vSphere Lifecycle Manager 可以与 NSX-T Data Center 进行通信。vCenter Server 用户的角色必须设置为“企业管理员”。
    • 对 NSX 的有限访问权限:该访问级别确保 vSphere Lifecycle Manager 可以与 NSX-T Data Center 进行通信。vCenter Server 用户的角色必须设置为“受限制的 vSphere 管理员”。
    如果将指纹值保留空白,将提示您接受服务器提供的指纹。

    在接受该指纹后,需要几秒钟 NSX-T Data Center 才能发现并注册 vCenter Server 资源。

    注: 如果计算管理器的 FQDN、IP 或指纹在注册后发生更改,请编辑计算机管理器,然后输入新值。
  4. 如果进度图标从正在进行中更改为未注册,请执行以下步骤解决错误。
    1. 选择错误消息,然后单击解决。一个可能的错误消息如下:
      Extension already registered at CM <vCenter Server name> with id <extension ID>
    2. 输入 vCenter Server 凭据,然后单击解决
      如果存在现有注册,则会替换它。

结果

vCenter Server 注册计算管理器且连接状态显示为已启动需要一些时间。

可以单击计算管理器的名称,以查看详细信息、编辑计算管理器或者管理适用于计算管理器的标记。

成功注册 vCenter Server 后,如果未先删除计算管理器,请勿关闭并删除 NSX Manager 虚拟机。否则,当部署新的 NSX Manager 时,您将无法再次注册同一个 vCenter Server。您将收到错误消息,指出已在其他 NSX Manager 中注册 vCenter Server

注: 成功添加 vCenter Server (VC) 计算管理器后,如果您成功执行了以下任何操作,则无法将其移除:
  • 使用依赖于 VC 的 VDS 准备传输节点。
  • 使用 NSX 服务插入在 VC 中的主机或集群上部署服务虚拟机。
  • 使用 NSX Manager UI 在 VC 中的主机或集群上部署 Edge 虚拟机或 NSX Manager 节点。

如果您尝试执行其中任一操作,但遇到了错误(例如,安装失败),则可以在执行上面列出的任何操作失败之后移除 VC。

如果您已成功使用依赖于 VC 的 VDS 准备任何传输节点或已成功部署任何虚拟机,则可以在完成以下操作后移除 VC:
  • 取消准备所有传输节点。如果无法卸载某个传输节点,则必须强制删除该传输节点。
  • 取消部署所有服务虚拟机、所有 NSX Edge 虚拟机和所有 NSX Manager 节点。取消部署必须成功或处于失败状态。
  • 如果 NSX Manager 集群由从 VC 部署的节点(手动方法)和从 NSX Manager UI 部署的节点组成,并且您必须取消部署手动部署的节点,则无法移除 VC。为成功移除 VC,请确保从 VC 重新部署 NSX Manager 节点。

此限制适用于全新安装 NSX-T Data Center 以及执行升级的情况。