Verwenden Sie Ansible, um eine Anwendungs-VIF unter Windows Server 2016 zu konfigurieren und in NSX-T zu integrieren. Der NSX-T-Agent, der auf den Servern installiert ist, bietet Konnektivität und Sicherheit für die Bare Metal-Arbeitslasten.
In diesem Verfahren stellen Sie die Verbindung zwischen den Arbeitslasten und NSX Manager her. Konfigurieren Sie anschließend DFW-Regeln, um eingehenden und ausgehenden Datenverkehr zwischen virtuellen oder physischen Arbeitslasten und Bare Metal-Arbeitslasten unter Windows Server 2016 zu sichern.
Prozedur
- Aktivieren Sie die Windows-Remoteverwaltung (WinRM) unter Windows Server 2016, damit der Server unter Windows mit Software und Hardware von Drittanbietern interagieren kann. So aktivieren Sie den WinRM-Dienst mit einem selbstsignierten Zertifikat.
- Führen Sie PS$ wget -o ConfigureWinRMService.ps1 https://github.com/vmware/bare-metal-server-integration-with-nsxt/blob/master/bms-ansible-nsx/windows/ConfigureWinRMService.ps1 aus.
- Führen Sie PS$ powershell.exe -ExecutionPolicy ByPass -File ConfigureWinRMService.ps1 aus.
- Konfigurieren Sie WinRM für die Verwendung von HTTPS. Die für HTTPS verwendete Standardport ist 5986.
- Führen Sie PowerShell als Administrator aus.
- Führen Sie winrm quickconfig aus.
- Führen Sie winrm set winrm/config/service/auth @{Basic="true"} aus.
- Führen Sie winrm set winrm/config/service @{AllowUnencrypted="true"} aus.
- Führen Sie winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="win16-colib-001";CertificateThumbprint="cd 65 61 d8 b2 25 a7 ca 99 f8 1f a5 0c 55 8b f1 38 0d 06 26"} aus.
- Überprüfen Sie die Konfiguration von WinRM. Führen Sie winrm e winrm/config/listener aus.
- Erstellen Sie mithilfe von Ansible eine Anwendungsschnittstelle für den Server unter Windows.
Informationen finden Sie unter https://github.com/vmware/bare-metal-server-integration-with-nsxt.
- Erstellen Sie mithilfe von Ansible ein Segment und Segmentports für NSX Manager über den WinRM-Kanal.
Die virtuelle Anwendungsschnittstelle, NSX Manager und die Windows-Remoteverwaltung werden mit dem Segment und den Ports synchronisiert, die für die virtuelle Schnittstelle der Appliance erstellt wurden.
- Passen Sie unter Windows den OVSIM-Treiber für den Server unter Windows an, um zwei neue Netzwerkadapter zu erstellen: virtuelle Anwendungsschnittstellen und virtueller Tunnel-Endpoint (VTEP) für die Overlay-gesicherte Arbeitslast.
$:> Get-NetAdaptervEthernet1-VTEP: Wird für die Overlay-gesicherte VTEP-Schnittstelle verwendet. Bei einer VLAN-gesicherten Arbeitslast nicht erforderlich.vEthernet1-VIF1: Wird für die virtuelle Schnittstelle oder Anwendungsschnittstelle des Bare Metal-Servers unter Windows verwendet.
- Um Netzwerkadapter zu überprüfen, wechseln Sie zum Server unter Windows und führen Sie Get-NetAdapter aus.
- Fügen Sie den Bare Metal-Server als eigenständigen Transportknoten hinzu. Wechseln Sie in NSX Manager zu System → Fabric → Knoten → Host-Transportknoten.
- Wählen Sie im Dropdown-Menü Verwaltet von die Option Eigenständige Hosts aus und klicken Sie auf + Hinzufügen.
- Stellen Sie beim Erstellen des Transportknotens sicher, dass die folgenden Bedingungen erfüllt sind:
- Ordnen Sie im Feld Uplink einen Uplink einer verfügbaren IP-Adresse auf dem Server unter Windows zu. Führen Sie Get-NetAdapter auf dem Server unter Windows aus, um herauszufinden, welche Ethernet-Adresse als Uplinks für den Bare Metal-Transportknoten konfiguriert werden muss.
- Wählen Sie bei einer Overlay-gesicherten Arbeitslast zwischen „IP-Pool“, „Statische IP“ „DHCP“ als Modus für die Zuweisung einer VTEP-Adresse zum Host aus.
- Bei VLAN-gesicherten Arbeitslasten ist für den Host keine Zuweisung von IP-Adressen erforderlich.
Hinweis: NSX-T unterstützt keine NIC-Gruppierung oder OVS-Bindungskonfigurationen auf Windows Server 2016-Servern.
- Alternativ können Sie den Bare Metal-Server manuell als Transportknoten vorbereiten oder den interaktiven Modus befolgen, um den Server als Transportknoten vorzubereiten.
- Laden Sie das Windows-Paket NSX-T-LCP mithilfe des Befehls wget herunter und installieren Sie es.
- Führen Sie \\install_helper.ps1 -operation install -setupFile VMware-NSX-<version>_baremetal-server_setup.exe -installPath <path> aus, um NSX-T im Hintergrund zu installieren.
- Wenn Sie NSX-T interaktiv installieren möchten, doppelklicken Sie auf die Datei setup.exe und folgen Sie dem Assistenten, um die Installation abzuschließen.
- Führen Sie den Befehl nsxcli aus, um den Server unter Windows mit dem NSX Manager zu verbinden.
- Konfigurieren Sie den Host entweder über die NSX Manager-Benutzeroberfläche oder über die Rest APIs als Transportknoten. Weitere Einzelheiten finden Sie unter Erstellen eines eigenständigen Hosts oder Bare-Metal-Server-Transportknotens.
- Überprüfen Sie, ob OVS-Bridges auf dem Server unter Windows erstellt wurden. Die OVS-Bridge verbindet die virtuelle Anwendungsschnittstelle mit dem NSX-Switch auf dem Transportknoten.
ovs-vsctl showDie Ausgabe muss die Bridges anzeigen, die von der Hostkomponente nsxswitch und nsx managed erstellt wurden. Die Bridge nsxswitch ist für den erstellten Transportknoten vorgesehen. Die Bridge nsx managed wird für die virtuelle Anwendungsschnittstelle auf dem Host unter Windows erstellt. Diese Bridge-Einträge geben an, dass der Kommunikationskanal zwischen dem NSX-Switch und Windows-Remote-Listener hergestellt wurde.
- Konfigurieren Sie mithilfe des Ansible-Clients eine statische IP-Adresse für das Overlay- oder VLAN-gesicherte Segment.
Führen Sie vi win_hosts aus.
- Starten Sie das Ansible-Textbuch für den Dienst, um den Bare Metal-Server unter Windows zu konfigurieren.
Führen Sie ansible-playbook -i win_hosts win_static_config.yml aus.
- Überprüfen Sie auf dem Overlay-gesicherten Transportknoten Folgendes:
- Die statische IP-Adresse wird als IP-Adresse des Overlay-Segments wiedergegeben, mit dem die Windows Server-Arbeitslast verbunden ist.
- Die GENEVE-Tunnel werden zwischen der Hostkomponente „nxs switch“ und „nsx managed“ auf dem Host unter Windows erstellt.
Hinweis: Überprüfen Sie ebenso auf einem VLAN-gesicherten Transportknoten, ob die statische IP-Adresse als IP-Adresse des VLAN-Segments angezeigt wird, mit dem die Windows Server-Arbeitslast verbunden ist. - Überprüfen Sie die Konnektivität zwischen der Anwendung, dem Bare Metal-Server unter Windows und NSX Manager.
- Fügen Sie L2- oder L3-DFW-Regeln für die Overlay- oder VLAN-gesicherte Bare Metal-Arbeitslast hinzu und veröffentlichen Sie die Regeln.
- Überprüfen Sie, ob der eingehende und ausgehende Datenverkehr zwischen virtuellen oder physischen Arbeitslasten und den Bare Metal-Arbeitslasten gemäß der veröffentlichten DFW-Regeln fließt.