NSX Manager bietet eine grafische Benutzeroberfläche (GUI) und REST-APIs zum Erstellen, Konfigurieren und Überwachen von NSX-T Data Center-Komponenten wie logischen Switches, logischen Routern und Firewalls.

NSX Manager stellt eine Systemansicht bereit und ist die Managementkomponente von NSX-T Data Center.

Für Hochverfügbarkeit unterstützt NSX-T Data Center einen Verwaltungscluster mit drei NSX Managern. Es empfiehlt sich, für eine Produktionsumgebung einen Verwaltungscluster bereitzustellen. Ab NSX-T Data Center 3.1 wird die Bereitstellung eines einzelnen NSX Manager-Clusters unterstützt.

In einer vSphere-Umgebung werden die folgenden Funktionen von NSX Manager unterstützt:
  • vCenter Server kann die vMotion-Funktion zum Live-Migrieren von NSX Manager über Hosts und Cluster hinweg verwenden.
  • vCenter Server kann die Storage vMotion-Funktion zum Live-Migrieren eines Dateisystems von NSX Manager über Hosts und Cluster hinweg verwenden.
  • vCenter Server kann die Distributed Resource Scheduler-Funktion verwenden, um NSX Manager über Hosts und Cluster neu zu verteilen.
  • vCenter Server kann die Anti-Affinitätsfunktion verwenden, um NSX Manager über Hosts und Cluster hinweg zu verwalten.

Anforderung an die NSX Manager-Bereitstellung, -Plattform und -Installation

In der folgenden Tabelle sind die Anforderungen für NSX Manager-Bereitstellung, -Plattform und -Installation aufgeführt.

Anforderungen Beschreibung
Unterstützte Bereitstellungsmethoden
  • OVA/OVF
  • QCOW2
Unterstützte Plattformen

Siehe Systemanforderungen für NSX Manager-VM und -Host-Transportknoten.

Es wird empfohlen, unter ESXi die NSX Manager-Appliance auf freigegebenem Speicher zu installieren.

IP-Adresse Ein NSX Manager muss eine statische IP-Adresse aufweisen. Sie können die IP-Adresse nach der Installation ändern. Es werden nur IPv4-Adressen unterstützt.
Kennwort für NSX-T Data Center-Appliance
  • mindestens 12 Zeichen
  • mindestens ein Kleinbuchstabe
  • mindestens ein Großbuchstabe
  • mindestens eine Zahl
  • mindestens ein Sonderzeichen
  • mindestens fünf unterschiedliche Zeichen
  • Standard-Kennwortkomplexitätsregeln werden von den Argumenten des Linux PAM-Moduls erzwungen:
    • retry=3: die maximale Anzahl, wie oft ein neues Kennwort für dieses Argument eingegeben werden kann (maximal 3 mal), bevor eine Fehlermeldung zurückgegeben wird.
    • minlen=12: die zulässige Mindestgröße für das neue Kennwort. Zusätzlich zur Anzahl von Zeichen im neuen Kennwort erfolgt eine Gutschrift (+ 1 für die Länge) für jede Art von Zeichen (sonstige, großgeschrieben, kleingeschrieben und Ziffer).
    • difok=0: die minimale Anzahl von Bytes, die sich im neuen Kennwort unterscheiden müssen. Zeigt die Ähnlichkeit zwischen dem alten und dem neuen Kennwort an. Wenn difok der Wert 0 zugewiesen wird, müssen sich die Bytes des alten und des neuen Kennworts nicht unterscheiden. Eine genaue Übereinstimmung ist zulässig.
    • lcredit=1: die maximale Gutschrift für die Verwendung von Kleinbuchstaben im neuen Kennwort. Wenn Sie weniger als oder 1 Kleinbuchstaben haben, zählt jeder Buchstabe + 1, um den aktuellen minlen-Wert zu erfüllen.
    • ucredit=1: die maximale Gutschrift für die Verwendung von Großbuchstaben im neuen Kennwort. Wenn Sie weniger als oder 1 Großbuchstaben haben, zählt jeder Buchstabe + 1, um den aktuellen minlen-Wert zu erfüllen.
    • dcredit=1: die maximale Gutschrift für die Verwendung von Ziffern im neuen Kennwort. Wenn Sie weniger als oder 1 Ziffer haben, zählt jede Ziffer + 1, um den aktuellen minlen-Wert zu erfüllen.
    • ocredit=1: die maximale Gutschrift für die Verwendung von sonstigen Zeichen im neuen Kennwort. Wenn Sie weniger als oder 1 sonstiges Zeichen haben, zählt jedes Zeichen + 1, um den aktuellen minlen-Wert zu erfüllen.
    • enforce_for_root: Das Kennwort ist für den Root-Benutzer festgelegt.
    Hinweis: Weitere Einzelheiten zum Linux-PAM-Modul zum Abgleichen des Kennworts mit den Wörtern aus dem Wörterbuch finden Sie auf der Hauptseite.

    Vermeiden Sie zum Beispiel einfache und systematische Kennwörter wie VMware123!123 oder VMware12345. Kennwörter, die den Komplexitätsstandards entsprechen, sind nicht einfach und systematisch, sondern bestehen aus einer Kombination von Buchstaben, Sonderzeichen und Zahlen wie VMware123!45, VMware 1!2345 oder VMware@1az23x.

Hostname Geben Sie beim Installieren von NSX Manager einen Hostnamen an, der keine ungültigen Zeichen wie einen Unterstrich oder Sonderzeichen wie den Punkt „.“ enthält. Wenn der Hostname ein ungültiges Zeichen oder Sonderzeichen enthält, wird der Hostname nach der Bereitstellung auf nsx-manager festgelegt.

Weitere Informationen zu Hostnamenbeschränkungen finden Sie unter https://tools.ietf.org/html/rfc952 und https://tools.ietf.org/html/rfc1123.

VMware Tools Auf der unter ESXi ausgeführtenNSX Manager-VM sind VMware Tools installiert. Entfernen oder aktualisieren Sie VMTools nicht.
System
  • Stellen Sie sicher, dass die Systemanforderungen erfüllt sind. Siehe Systemvoraussetzungen.
  • Stellen Sie sicher, dass die erforderlichen Ports geöffnet sind. Siehe Ports und Protokolle.
  • Stellen Sie sicher, dass auf dem ESXi-Host ein Datenspeicher konfiguriert und verfügbar ist.
  • Stellen Sie sicher, dass Sie die IP-Adresse und das Gateway, die IP-Adressen des DNS-Servers, die Domänensuchliste und die NTP-Server-IP oder FQDN-Liste haben, die von NSX Manager oder Cloud Service Manager verwendet werden.
  • Erstellen Sie das Ziel-VM-Portgruppennetzwerk, wenn noch keines vorhanden ist. Platzieren Sie die NSX-T Data Center-Appliances in einem VM-Verwaltungsnetzwerk.

    Wenn Sie über mehrere Verwaltungsnetzwerke verfügen, können Sie statische Routen von der NSX-T Data Center-Appliance zu den anderen Netzwerken hinzufügen.

  • Planen Sie das IPv4-IP-Adressschema für NSX Manager.
OVF-Berechtigungen

Stellen Sie sicher, dass Sie über ausreichende Berechtigungen zum Bereitstellen einer OVF-Vorlage auf dem ESXi-Host verfügen.

Ein Managementtool, das OVF-Vorlagen wie vCenter Server oder den vSphere-Client bereitstellen kann. Das OVF-Bereitstellungstool muss Konfigurationsoptionen für manuelle Konfiguration unterstützen.

Die Version des OVF-Tools muss 4.0 oder höher sein.

Client-Plug-In

Das Client-Integrations-Plug-In muss installiert sein.

Zertifikate

Wenn Sie planen, ein interne VIP auf einem NSX Manager-Cluster zu konfigurieren, können Sie auf jeden NSX Manager-Knoten des Clusters ein anderes Zertifikat anwenden. Siehe Konfigurieren einer virtuellen IP-Adresse für einen Cluster.

Wenn Sie planen, einen externen Load Balancer zu konfigurieren, stellen Sie sicher, dass nur ein einziges Zertifikat auf alle NSX Manager-Clusterknoten angewendet wird. Siehe Konfigurieren eines externen Load Balancer.

Hinweis: Wenn Sie NSX Manager neu installieren, neu starten oder das admin-Kennwort bei der ersten Anmeldung geändert haben, kann der NSX Manager-Start einige Minuten dauern.

NSX Manager-Installationsszenarien

Wichtig: Wenn Sie NSX Manager über eine OVA- oder OVF-Datei installieren (entweder über den vSphere-Client oder die Befehlszeile als eigenständiger Host), werden OVA/OVF-Eigenschaftswerte wie Benutzernamen und Kennwörter erst beim Einschalten der virtuellen Maschine validiert. Das Feld mit der statischen IP-Adresse ist jedoch ein obligatorisches Feld zum Installieren von NSX Manager. Wenn Sie NSX Manager als verwalteten Host in vCenter Server installieren, werden die OVA/OVF-Eigenschaftswerte wie Benutzernamen und Kennwörter geprüft, bevor die VM eingeschaltet wird.
  • Wenn Sie einen Benutzernamen für einen lokalen Benutzer angeben, muss er eindeutig sein. Wenn Sie den gleichen Namen angeben, wird er ignoriert, und die Standardnamen (zum Beispiel , admin und audit) werden verwendet.
  • Wenn das Kennwort für den root- oder admin-Benutzer die Komplexitätsanforderungen nicht erfüllt, müssen Sie sich bei NSX Manager über SSH oder bei der Konsole als root-Benutzer mit dem Kennwort vmware bzw. als admin-Benutzer mit dem Kennwort default anmelden. Sie werden aufgefordert, das Kennwort zu ändern.
  • Wenn das Kennwort für andere lokale Benutzer (zum Beispiel audit) nicht die Anforderungen an die Komplexität erfüllt, wird das Benutzerkonto deaktiviert. Um das Konto zu aktivieren, melden Sie sich bei NSX Manager über SSH oder an der Konsole als admin-Benutzer an, und führen Sie den Befehl set user name_lokaler_benutzer aus, um das Kennwort des lokalen Benutzers festzulegen (das aktuelle Kennwort ist leer). Sie können Kennwörter auch in der Benutzeroberfläche über „System“ > „Benutzerverwaltung“ > „Lokale Benutzer“ zurücksetzen.
Vorsicht: Änderungen, die am NSX-T Data Center vorgenommen werden, während Sie mit den root-Benutzeranmeldedaten angemeldet sind, können zu Systemausfällen führen und sich möglicherweise auf Ihr Netzwerk auswirken. Sie können Änderungen unter Verwendung der root-Benutzeranmeldedaten nur mithilfe des Teams von VMware Support vornehmen.
Hinweis: Die Kerndienste der Appliance werden erst gestartet, wenn ein Kennwort mit ausreichender Komplexität festgelegt wurde.

Nach der Bereitstellung von NSX Manager über eine OVA-Datei können Sie die IP-Einstellungen der VM nicht durch Ausschalten der VM und Bearbeiten der OVA-Einstellungen in vCenter Server ändern.

Konfigurieren von NSX Manager für den Zugriff durch den DNS-Server

Standardmäßig greifen Transportknoten basierend auf ihren IP-Adressen auf NSX Manager zu. Dies kann jedoch auch auf den DNS-Namen der NSX Manager basieren.

Sie aktivieren die FQDN-Nutzung, indem Sie die FQDNs der NSX Manager veröffentlichen.

Hinweis: Die Aktivierung der FQDN-Nutzung (DNS) auf NSX Managern ist für Multisite Lite- Bereitstellungen erforderlich. (Für alle anderen Bereitstellungstypen ist sie optional.) Weitere Informationen finden Sie unter Bereitstellung von NSX Data Center für mehrere Standorte im Admin-Handbuch für NSX-T Data Center.

Veröffentlichen der FQDNs der NSX Manager

Damit Sie nach der Installation der NSX-T Data Center-HauptkomponentenNAT mithilfe des FQDN aktiveren können, müssen Sie die Forward- und Reverse-Sucheinträge für die Manager-Knoten auf dem DNS-Server einrichten.

Wichtig: Es wird dringend empfohlen, sowohl die Forward- als auch die Reverse-Sucheinträge für den FQDN der NSX Manager mit einer kurzen TTL zu konfigurieren, z. B. 600 Sekunden.

Zusätzlich müssen Sie unter Verwendung der NSX-T Data Center-API die Veröffentlichung der NSX Manager-FQDNs aktivieren.

Beispielanforderung: PUT https://<nsx-mgr>/api/v1/configs/management

{
  "publish_fqdns": true,
  "_revision": 0
}

Beispielantwort:

{
  "publish_fqdns": true,
  "_revision": 1
}

Weitere Informationen finden Sie unter Handbuch für die NSX-T Data Center-API.

Hinweis: Validieren Sie nach dem Veröffentlichen der FQDNs den Zugriff durch die Transportknoten wie im nächsten Abschnitt beschrieben.

Validieren des Zugriffs über den FQDN durch Transportknoten

Stellen Sie nach dem Veröffentlichen der FQDNs der NSX Manager sicher, dass die Transportknoten erfolgreich auf die NSX Manager zugreifen.

Melden Sie sich mithilfe von SSH bei einem Transportknoten an, z. B. einem Hypervisor oder einem Edge-Knoten, und führen Sie den CLI-Befehl get controllers aus.

Beispielantwort:
Controller IP    Port  SSL     Status       Is Physical Master   Session State    Controller FQDN
192.168.60.5    1235  enabled  connected   true                  up               nsxmgr.corp.com