您可以在单个 ESXi 主机上配置 NSX

前提条件

  • 确认已打开要准备的单个主机的电源。
  • 确认满足系统要求。请参见系统要求
  • NSX Manager 集群的所有节点上的反向代理服务必须已启动并正在运行。

    要进行验证,请运行 get service http。如果服务已关闭,请在每个 NSX Manager 节点上运行 restart service http 以重新启动该服务。如果该服务仍处于关闭状态,请联系 VMware 技术支持团队。

  • 如果在自定义端口或非默认端口上部署了 VMware vCenter,请将以下规则应用于 NSX Manager
    • 在开始准备主机之前,必须在 NSX Manager 上手动应用 IPv4 规则。
      • iptables -A INPUT -p tcp -m tcp --dport <CUSTOM_PORT> --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
      • iptables -A OUTPUT -p tcp -m tcp --dport <CUSTOM_PORT> --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
    • 在开始准备主机之前,必须在 NSX Manager 上手动应用 IPv6 表规则。
      • ip6tables -A OUTPUT -o eth0 -p tcp -m tcp --dport <CUSTOM_PORT> --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
      • ip6tables -A INPUT -p tcp -m tcp --dport <CUSTOM_PORT> --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
  • (处于锁定模式的主机)如果 vSphere 锁定模式的例外列表中包含过期的用户帐户(如 lldpvim-user),则将无法在 vSphere 上安装 NSX。此用户将在 ESXi 上自动创建,以便与 hostd 通信,获取 LLDP 邻居信息,然后将被删除。在开始安装之前,请确保删除所有过期的用户帐户。有关在锁定模式下拥有访问特权的帐户的更多信息,请参见vSphere 安全指南》中的指定在锁定模式下拥有访问特权的帐户

过程

  1. 检索 Hypervisor 指纹,以便在将主机添加到 Fabric 时提供该指纹。
    1. 收集 Hypervisor 指纹信息。
      使用 Linux shell。 
      # echo -n | openssl s_client -connect <esxi-ip-address>:443 2>/dev/null | openssl x509 -noout -fingerprint -sha256
      使用主机中的 ESXi CLI。 
      [root@host:~] openssl x509 -in /etc/vmware/ssl/rui.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=49:73:F9:A6:0B:EA:51:2A:15:57:90:DE:C0:89:CA:7F:46:8E:30:15:CA:4D:5C:95:28:0A:9E:A2:4E:3C:C4:F4
  2. 从浏览器中,使用 admin 权限登录到 https://<nsx-manager-ip-address> 或 https://<nsx-manager-fqdn> 中的 NSX Manager
  3. 选择系统 > Fabric > 主机
  4. 选择其他节点,然后选择一个主机。
  5. 主机详细信息页面上,输入以下字段的详细信息。
    选项 描述
    名称 输入名称以标识独立主机。
    IP 地址 输入主机 IP 地址。
    描述 您可以选择添加用于主机的操作系统的说明。
    标记 输入要与主机关联的标记。如果要对所有具有特定操作系统版本、ESXi 版本等的主机进行分组,可以使用标记。
  6. 单击下一步
  7. 准备主机选项卡上,单击添加主机交换机
  8. 选择 VDS 下拉菜单中,选择一个 VDS 交换机。
  9. 配置以下字段:
    选项 描述
    名称

    (由 vSphere 集群管理的主机)选择管理主机交换机的 VMware vCenter

    选择在 VMware vCenter 中创建并连接到 ESXi 主机的 VDS。
    传输区域

    在“显示”部分中,选择覆盖网络VLAN全部以查看和选择主机交换机所需的传输区域类型。

    这些传输区域由关联的主机交换机实现。

    支持的传输区域配置:
    • 您可以为每个主机交换机添加多个 VLAN 传输区域。
    • 每个主机交换机只能添加一个覆盖网络传输区域。NSX Manager UI 不允许添加多个覆盖网络传输区域。
    上行链路配置文件 从下拉菜单中选择一个现有的上行链路配置文件,或者创建一个自定义上行链路配置文件。也可以使用默认上行链路配置文件。

    如果将 MTU 值保留为空,NSX 将采用全局默认 MTU 值 1700。如果在 NSX 上行链路配置文件中输入 MTU 值,该 MTU 值将覆盖全局默认 MTU 值。

    注: 无法将上行链路配置文件中定义的链路聚合组映射到 VDS 上行链路。
    IP 地址类型 (TEP) IPv4IPv6 之间进行选择,以指定传输节点的隧道端点 (TEP) 的 IP 版本。
    IPv4 分配

    选择如何将 IPv4 地址分配给 TEP。选项包括:

    • 使用 DHCP:从 DHCP 服务器中分配 IPv4 地址。
    • 使用 IPv4 池:从 IP 池中分配 IPv4 地址。指定要用于 TEP 的 IPv4 池名称。
    IPv6 分配

    选择如何将 IPv6 地址分配给 TEP。选项包括:

    • 使用 DHCPv6:从 DHCP 服务器中分配 IPv6 地址。
    • 使用 IPv6 池:从 IP 池中分配 IPv6 地址。指定要用于 TEP 的 IPv6 池名称。
    • 使用 AutoConf:从路由器通告 (RA) 中分配 IPv6 地址。

    高级配置

    模式

    在以下模式选项之间进行选择:
    • 标准:此模式适用于所有传输节点。传输节点中的数据平面会根据上行链路功能自动选择主机交换机模式。
    • 增强型数据路径 - 标准:此模式是增强型数据路径模式的变体。它仅在 ESXi Hypervisor 7.0 及更高版本上可用。请咨询您的客户代表以了解适用性。
    • 增强型数据路径 - 性能:此增强型数据路径交换机模式适用于 ESXi 主机传输节点。此模式提供了加速的网络性能。它要求节点使用启用了 VMXNET3 vNIC 的网卡。仅 ESXi v6.7 及更高版本(建议使用 v6.7 U2)支持此模式。在 NSX Edge 节点和公有云网关上不支持此模式。请注意,并非所有 NSX 功能在此模式下均可用。
    • 旧版:此模式以前称为“标准”模式,不会显示在 NSX Manager UI 上。您只能通过 API 选择此模式,因为旧版字段在 NSX Manager UI 中为只读。只有在您通过 API 选择此模式后,NSX Manager UI 才会显示旧版,且此字段设置为“是”,模式字段设置为“标准”。此模式适用于所有传输节点。当主机交换机交换机模式设置为“旧版”,将启用数据包处理程序堆栈。
      请注意,增强型数据路径模式(标准和性能)需要更高级别的 NSX 许可证:
      • 具有经典网卡的增强型数据路径模式:NSX Advanced 或更高版本。
      • 具有 SmartNIC 的“增强型数据路径 - 性能”模式:NSX Enterprise Plus 或更高版本。
      您可以运行以下主机传输节点或传输节点配置文件策略 API 以将主机交换机模式设置为“旧版”:
      • 创建或更新主机传输节点:
        PUT https://<NSX-Manager-IP-ADDRESS>/policy/api/v1/infra/sites/<site-id>/enforcement-points/<enforcementpoint-id>/host-transport-nodes/<host-transport-node-id>
      • 创建或更新策略主机传输节点配置文件:
        PUT https://<NSX-Manager-IP-ADDRESS>/policy/api/v1/infra/host-transport-node-profiles/<transport-node-profile-id>

    您也可以更改主机节点的模式,而不从系统中移除该节点,这与早期版本的 NSX 不同,在此版本中,您必须移除此节点,然后才能使用新模式重新添加该节点。

    NSX 支持的模式更改包括:

    • 标准 -> 增强型数据路径 - 标准
    • 增强型数据路径 - 标准 -> 标准
    • 增强型数据路径 - 性能 -> 增强型数据路径 - 标准

    NSX 不支持的模式更改包括:

    • 增强型数据路径 - 性能 -> 标准
    • 增强型数据路径 - 标准 -> 增强型数据路径 - 性能
    • 标准 -> 增强型数据路径 - 性能

    您可以使用以下 API 更改主机交换机的模式。

    POST https://{{nsxmanager-ip}}/policy/api/v1/infra/sites/default/enforcement-points/default/host-transport-nodes/<transport-node-profile-id>
    CPU 配置
    仅当“模式”设置为 增强型数据路径时,才能配置 CPU 配置字段。
    1. 单击设置
    2. 在“CPU 配置”窗口中,单击添加
    3. 输入 NUMA 节点索引字段和每个 NUMA 节点逻辑内核数字段的值。
    4. 要保存值,请单击添加保存
    绑定策略上行链路映射

    在将 NSX 中的上行链路映射到 VDS 中的上行链路之前,请确保在 VDS 交换机上配置了上行链路。要配置或查看 VDS 交换机上行链路,请转到 VMware vCentervSphere Distributed Switch。单击操作→设置→编辑设置

    将选定的 NSX 上行链路配置文件中定义的上行链路映射到 VDS 上行链路。为映射提供的 NSX 上行链路数取决于上行链路配置文件配置。

    例如,在 uplink-1(活动)行中,转到“物理网卡”列,单击编辑图标,然后键入 VDS 上行链路名称以完成将其映射到 uplink-1(活动)的过程。同样,为其他上行链路完成映射。
    注: 上行链路/LAG、NIOC 配置文件、LLDP 配置文件在 VMware vCenter 中定义。这些配置在 NSX Manager 中不可用。要管理 VDS 交换机上的 VMkernel 适配器,请转到 VMware vCenter 以将 VMkernel 适配器连接到分布式虚拟端口组或 NSX 端口组。
  10. 如果选择了多个传输区域,则可以将它们添加到同一交换机。要添加新交换机,请再次单击添加交换机来为其他传输区域配置新交换机。
    NSX 交换机可以同时连接到单个覆盖网络传输区域和多个 VLAN 传输区域。

  11. 单击添加以完成配置。
  12. (可选) 查看 ESXi 连接状态。 
    # esxcli network ip connection list | grep 1235
tcp   0   0  192.168.210.53:20514  192.168.110.34:1234   ESTABLISHED  1000144459  newreno  nsx-proxy
  13. 其他节点选项卡上,确认集群中主机的 NSX Manager 连接状态为“已启动”,且 NSX 配置状态为“成功”。在配置过程中,每个传输节点都会显示安装过程的进度百分比。如果安装在任何阶段失败,您可以通过单击针对该过程失败阶段提供的解决链接来重新启动该过程。
    也可以看到,传输区域已应用于集群中的主机。
    注: 如果您再次配置主机,且该主机属于已由传输节点配置文件准备好的集群,则节点的配置状态为 配置不匹配状态。
    注: 除了 IP 地址外, 其他节点选项卡还显示主机的 TEP 地址。TEP 地址是分配给主机的 VMkernel 网卡的地址,而 IP 地址是管理 IP 地址。
  14. (可选) 移除主机上的 NSX VIB。
    1. 选择一个或多个主机,然后单击操作 > 移除 NSX
    卸载最多需要 3 分钟的时间。卸载 NSX 将移除主机上的传输节点配置,且主机与传输区域和交换机分离。与安装过程类似,您可以跟踪每个传输节点上卸载过程的已完成百分比。如果卸载在任何阶段失败,您可以通过单击针对该过程失败阶段提供的 解决链接来重新启动该过程。
  15. (可选) 从传输区域中移除传输节点。
    1. 选择一个传输节点,然后单击操作 > 从传输区域中移除

下一步做什么

如果主机是传输节点,您可以随时通过 NSX Manager UI 或 API 创建传输区域、逻辑交换机、逻辑路由器和其他网络组件。在 NSX Edge 和主机加入管理平面时,将自动向 NSX Edge 节点和主机推送 NSX 逻辑实体和配置状态。您可以随时通过 NSX Manager UI 或 API 创建传输区域、逻辑交换机、逻辑路由器和其他网络组件。当主机是传输节点时,将在主机上实现这些实体。

创建逻辑交换机并分配逻辑端口。请参见NSX 管理指南中的“高级交换”部分。