计算管理器(如 VMware vCenter)是一个管理资源(如主机和虚拟机)的应用程序。

NSX 会轮询计算管理器,以从 VMware vCenter 中收集集群信息。

有关 VMware vCenter 角色和权限的详细信息,请参见《vSphere 安全性》文档。

前提条件

  • 确认使用支持的 vSphere 版本。请参见支持的 vSphere 版本
  • VMware vCenter 的 IPv4 通信。
  • 确认使用建议数量的计算管理器。请参见https://configmax.vmware.com/home
  • 确定要用于在计算管理器扩展中标记 NSX Manager 指纹的哈希算法类型。支持 SHA1 和 SHA256 算法类型。默认值为 SHA1。如果使用 SHA256,则 VC 中的 WCP 组件与 NSX Manager 之间可能出现通信问题。
    • 要设置哈希算法,请运行 API PUT https://<nsx-mgr>/api/v1/fabric/compute-managers/thumbprint-hashing-algorithm
      {
          "hashing_algorithm_type": "SHA1"
      }
  • 提供 VMware vCenter 用户的凭据。您可以提供 VMware vCenter 管理员的凭据,或者专门为 NSX 创建一个角色和用户并提供该用户的凭据。转到管理 > 全局权限选项卡。将全局权限添加到新创建的用户和角色,然后选择传播到子对象

    创建一个具有以下 VMware vCenter 特权的 admin 角色:
    Global Cancel task
    Extension Register extension
    Extension Unregister extension
    Extension Update extension
    Host Configuration.Maintenance
    Host Configuration.NetworkConfiguration
    Host Local Operations.Create virtual machine
    Host Local Operations.Delete virtual machine
    Host Local Operations.Reconfigure virtual machine
    Network Assign network
    Permissions Reassign role permissions
    Resource Assign vApp to resource pool
    Resource Assign virtual machine to resource pool
    Sessions Message
    Sessions Validate session
    Sessions View and stop sessions
    Scheduled task 选择所有特权
    Tasks 选择所有特权
    vApp 选择所有特权
    Virtual Machine. Configuration
    Virtual Machine Guest Operations
    Virtual Machine Provisioning
    Virtual Machine Inventory

    要将 NSX 许可证用于 vSphere Distributed Switch 7.0 功能,VMware vCenter 用户必须是管理员,或者用户必须具有 Global.Licenses 特权并且是 LicenseService.Administrators 组的成员。

  • 在为计算管理器创建服务帐户之前,请将以下额外的 VMware vCenter 特权添加到管理员用户角色:

    Permissions Modify permission
    Permissions Modify role
    Service Account Management Administer
    VMware vSphere Lifecycle Manager ESXi Health Perspectives.Read
    VMware vSphere Lifecycle Manager Lifecycle Manager: General Privileges.Read
    VMware vSphere Lifecycle Manager Lifecycle Manager: Image Privileges.Read
    VMware vSphere Lifecycle Manager Lifecycle Manager: Image Privileges.Write
    VMware vSphere Lifecycle Manager Lifecycle Manager: Image Remediation Privileges.Write
    VMware vSphere Lifecycle Manager Lifecycle Manager: Settings Privileges.Read
    VMware vSphere Lifecycle Manager Lifecycle Manager: Settings Privileges.Write
    VMware vSphere Lifecycle Manager Lifecycle Manager: General Privileges.Write

过程

  1. 从浏览器中,使用 admin 特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address> 或 https://<nsx-manager-fqdn>。
  2. 选择系统 > Fabric > 计算管理器 > 添加计算管理器
  3. 填写计算管理器详细信息。
    选项 描述
    名称和说明 键入名称以标识 VMware vCenter

    您可以选择描述任何特殊详细信息,如 VMware vCenter 中的集群数。

    类型 默认计算管理器类型设置为 VMware vCenter
    多 NSX 实例

    NSX 3.2.2 开始,您可以在多个 NSX Manager 中注册同一 vCenter Server。

    如果要允许多个 NSX 实例管理单个 VMware vCenter,请启用此字段。从 VMware vCenter 7.0 或更高版本开始,支持此功能。
    注: 无法在工作负载控制平面 (WCP) 集群或 vSphere Lifecycle Manager (vLCM) 集群上启用。
    FQDN 或 IP 地址 键入 VMware vCenter 的 FQDN 或 IP 地址。
    注: 如果计划在双堆栈模式(IPv4 和 IPv6)下部署 NSX Manager,并且计划为 NSX Manager 配置 CA 签名证书,则必须使用有效的域名设置 FQDN。
    反向代理的 HTTPS 端口 默认端口为 443。如果使用其他端口,请确认已在所有 NSX Manager 设备上打开该端口。

    设置反向代理端口以在 NSX 中注册计算管理器。

    用户名和密码 键入 VMware vCenter 登录凭据。
    SHA-256 指纹 (可选)键入 VMware vCenter SHA-256 指纹算法值。如果配置了 VMware vCenter WCP(工作负载控制平面)功能,则使用 SHA256 设置会导致 VMware vCenter 中的 WCP 组件与 NSX Manager 之间出现通信问题。在这种情况下,请改用 SHA1 算法。
    创建服务帐户 (可选)为需要使用 NSX API 进行身份验证的功能(例如,vSphere Lifecycle Manager)启用此字段。使用 [email protected] 凭据登录以注册计算管理器。注册后,计算管理器将创建一个服务帐户。
    注: 不支持在全局 NSX Manager 上创建服务帐户。

    如果服务帐户创建失败,计算管理器的注册状态将设置为已注册,但出现错误。已成功注册计算管理器。不过,无法在 NSX 集群上启用 vSphere Lifecycle Manager。

    如果 VMware vCenter admin 在成功创建服务帐户后将其删除,vSphere Lifecycle Manager 会尝试对 NSX API 进行身份验证,且计算管理器的注册状态将设置为已注册,但出现错误

    启用信任

    (可选)启用该字段以在 NSX 和计算管理器之间建立信任关系,以便 vCenter Server 中运行的服务可以与 NSX 建立受信任的通信。对于要在 NSX 集群上启用的 vSphere Lifecycle Manager,启用信任字段必须启用。

    仅在 VMware vCenter 7.0 和更高版本上受支持。

    访问级别 根据您的要求,启用以下选项之一:
    • 对 NSX 的完全访问权限:默认情况下,将选择该选项。该访问级别为计算管理器授予 NSX 的完全访问权限。完全访问权限确保 vSphere for Kubernetes 和 vSphere Lifecycle Manager 可以与 NSX 进行通信。VMware vCenter 用户的角色必须设置为“企业管理员”。
    • 对 NSX 的有限访问权限:该访问级别确保 vSphere Lifecycle Manager 可以与 NSX 进行通信。VMware vCenter 用户的角色必须设置为“受限制的 vSphere 管理员”。
    如果将指纹值保留空白,将提示您接受服务器提供的指纹。

    在接受该指纹后,需要几秒钟 NSX 才能发现并注册 VMware vCenter 资源。

    注: 如果计算管理器的 FQDN、IP 或指纹在注册后发生更改,请编辑计算机管理器,然后输入新值。
  4. 如果进度图标从正在进行中更改为未注册,请执行以下步骤解决错误。
    1. 选择错误消息,然后单击解决。一个可能的错误消息如下:
      Extension already registered at CM <vCenter Server name> with id <extension ID>
    2. 输入 VMware vCenter 凭据,然后单击解决
      如果存在现有注册,则会替换它。

结果

VMware vCenter 注册计算管理器且连接状态显示为已启动需要一些时间。

可以单击计算管理器的名称,以查看详细信息、编辑计算管理器或者管理适用于计算管理器的标记。

成功注册 VMware vCenter 后,如果未先删除计算管理器,请勿关闭并删除 NSX Manager 虚拟机。否则,当部署新的 NSX Manager 时,您将无法再次注册同一个 VMware vCenter。您将收到错误消息,指出已在其他 NSX Manager 中注册 VMware vCenter

注: 成功添加 vCenter Server (VC) 计算管理器后,如果您成功执行了以下任何操作,则无法将其移除:
  • 使用依赖于 VC 的 VDS 准备传输节点。
  • 使用 NSX 服务插入在 VC 中的主机或集群上部署服务虚拟机。
  • 使用 NSX Manager UI 在 VC 中的主机或集群上部署 Edge 虚拟机或 NSX Manager 节点。

如果您尝试执行其中任一操作,但遇到了错误(例如,安装失败),则可以在执行上面列出的任何操作失败之后移除 VC。

如果您已成功使用依赖于 VC 的 VDS 准备任何传输节点或已成功部署任何虚拟机,则可以在完成以下操作后移除 VC:
  • 取消准备所有传输节点。如果无法卸载某个传输节点,则必须强制删除该传输节点。
  • 取消部署所有服务虚拟机、所有 NSX Edge 虚拟机和所有 NSX Manager 节点。取消部署必须成功或处于失败状态。
  • 如果 NSX Manager 集群由从 VC 部署的节点(手动方法)和从 NSX Manager UI 部署的节点组成,并且您必须取消部署手动部署的节点,则无法移除 VC。为成功移除 VC,请确保从 VC 重新部署 NSX Manager 节点。

此限制适用于全新安装 NSX 以及执行升级的情况。