NSX Manager bietet eine grafische Benutzeroberfläche (GUI) und REST-APIs zum Erstellen, Konfigurieren und Überwachen von NSX-Komponenten wie logischen Switches, logischen Routern und Firewalls.

NSX Manager stellt eine Systemansicht bereit und ist die Managementkomponente von NSX.

Für Hochverfügbarkeit unterstützt NSX einen Verwaltungscluster mit drei NSX Managern. Es empfiehlt sich, für eine Produktionsumgebung einen Verwaltungscluster bereitzustellen. Ab NSX 3.1 wird die Bereitstellung eines einzelnen NSX Manager-Clusters unterstützt.

In einer vSphere-Umgebung werden die folgenden Funktionen von NSX Manager unterstützt:
  • vCenter Server kann die vMotion-Funktion zum Live-Migrieren von NSX Manager über Hosts und Cluster hinweg verwenden.
  • vCenter Server kann die Storage vMotion-Funktion zum Live-Migrieren eines Dateisystems von NSX Manager über Hosts und Cluster hinweg verwenden.
  • vCenter Server kann die Distributed Resource Scheduler-Funktion verwenden, um NSX Manager über Hosts und Cluster neu zu verteilen.
  • vCenter Server kann die Anti-Affinitätsfunktion verwenden, um NSX Manager über Hosts und Cluster hinweg zu verwalten.

Anforderung an die NSX Manager-Bereitstellung, -Plattform und -Installation

In der folgenden Tabelle sind die Anforderungen für NSX Manager-Bereitstellung, -Plattform und -Installation aufgeführt.

Anforderungen Beschreibung
Unterstützte Bereitstellungsmethoden
  • OVA/OVF
Unterstützte Plattformen

Siehe Systemanforderungen für NSX Manager-VM und -Host-Transportknoten.

Es wird empfohlen, unter ESXi die NSX Manager-Appliance auf freigegebenem Speicher zu installieren.

IP-Adresse

Ein NSX Manager muss eine statische IP-Adresse aufweisen. Sie können die IP-Adresse nach der Installation ändern. Es wird sowohl IPv4 als auch IPv6 unterstützt. Sie können „Nur IPv4“ auswählen oder Dual-Stack verwenden (sowohl IPv4 als auch IPv6).

Hinweis: Wenn Sie „Nur IPv4“ verwenden, müssen die NSX Manager-Dienste (z. B. SNMP, NTP, vIDM usw.) über IPv4-Adressen verfügen.
Kennwort für NSX-Appliance
  • mindestens 12 Zeichen
  • mindestens ein Kleinbuchstabe
  • mindestens ein Großbuchstabe
  • mindestens eine Zahl
  • mindestens ein Sonderzeichen
  • mindestens fünf unterschiedliche Zeichen
  • Standard-Kennwortkomplexitätsregeln werden von den Argumenten des Linux PAM-Moduls erzwungen:
    • retry=3: die maximale Anzahl, wie oft ein neues Kennwort für dieses Argument eingegeben werden kann (maximal 3 mal), bevor eine Fehlermeldung zurückgegeben wird.
    • minlen=12: die zulässige Mindestgröße für das neue Kennwort. Zusätzlich zur Anzahl von Zeichen im neuen Kennwort erfolgt eine Gutschrift (+ 1 für die Länge) für jede Art von Zeichen (sonstige, großgeschrieben, kleingeschrieben und Ziffer).
    • difok=0: die minimale Anzahl von Bytes, die sich im neuen Kennwort unterscheiden müssen. Zeigt die Ähnlichkeit zwischen dem alten und dem neuen Kennwort an. Wenn difok der Wert 0 zugewiesen wird, müssen sich die Bytes des alten und des neuen Kennworts nicht unterscheiden. Eine genaue Übereinstimmung ist zulässig.
    • lcredit=1: die maximale Gutschrift für die Verwendung von Kleinbuchstaben im neuen Kennwort. Wenn Sie weniger als oder 1 Kleinbuchstaben haben, zählt jeder Buchstabe + 1, um den aktuellen minlen-Wert zu erfüllen.
    • ucredit=1: die maximale Gutschrift für die Verwendung von Großbuchstaben im neuen Kennwort. Wenn Sie weniger als oder 1 Großbuchstaben haben, zählt jeder Buchstabe + 1, um den aktuellen minlen-Wert zu erfüllen.
    • dcredit=1: die maximale Gutschrift für die Verwendung von Ziffern im neuen Kennwort. Wenn Sie weniger als oder 1 Ziffer haben, zählt jede Ziffer + 1, um den aktuellen minlen-Wert zu erfüllen.
    • ocredit=1: die maximale Gutschrift für die Verwendung von sonstigen Zeichen im neuen Kennwort. Wenn Sie weniger als oder 1 sonstiges Zeichen haben, zählt jedes Zeichen + 1, um den aktuellen minlen-Wert zu erfüllen.
    • enforce_for_root: Das Kennwort ist für den Root-Benutzer festgelegt.
    Hinweis: Weitere Einzelheiten zum Linux-PAM-Modul zum Abgleichen des Kennworts mit den Wörtern aus dem Wörterbuch finden Sie auf der Hauptseite.

    Vermeiden Sie zum Beispiel einfache und systematische Kennwörter wie VMware123!123 oder VMware12345. Kennwörter, die den Komplexitätsstandards entsprechen, sind nicht einfach und systematisch, sondern bestehen aus einer Kombination von Buchstaben, Sonderzeichen und Zahlen wie VMware123!45, VMware 1!2345 oder VMware@1az23x.

Hostname Geben Sie beim Installieren von NSX Manager einen Hostnamen an, der keine ungültigen Zeichen wie einen Unterstrich oder Sonderzeichen wie den Punkt „.“ enthält. Wenn der Hostname ein ungültiges Zeichen oder Sonderzeichen enthält, wird der Hostname nach der Bereitstellung auf nsx-manager festgelegt.

Weitere Informationen zu Hostnamenbeschränkungen finden Sie unter https://tools.ietf.org/html/rfc952 und https://tools.ietf.org/html/rfc1123.

VMware Tools Auf der unter ESXi ausgeführtenNSX Manager-VM sind VMware Tools installiert. Entfernen oder aktualisieren Sie VMTools nicht.
System
  • Stellen Sie sicher, dass die Systemanforderungen erfüllt sind. Siehe Systemvoraussetzungen.
  • Stellen Sie sicher, dass die erforderlichen Ports geöffnet sind. Siehe Ports und Protokolle.
  • Stellen Sie sicher, dass auf dem ESXi-Host ein Datenspeicher konfiguriert und verfügbar ist.
  • Stellen Sie sicher, dass Sie die IP-Adresse und das Gateway, die IP-Adressen des DNS-Servers, die Domänensuchliste und die IP-Adresse des NTP-Servers oder den FQDN für den zu verwendenden NSX Manager oder Cloud Service Manager haben.
  • Erstellen Sie eine Verwaltungs-VDS und eine Ziel-VM-Portgruppe in vCenter. Platzieren Sie die NSX-Appliances in diesem Verwaltungs-VDS-Portgruppennetzwerk. Siehe Vorbereiten eines vSphere Distributed Switches für NSX.
    Sofern die NSX Manager-Knoten über eine konsistente Konnektivität und empfohlene Latenz zwischen ihnen verfügen, können mehrere Verwaltungsnetzwerke verwendet werden.
    Hinweis: Wenn Sie die Cluster-VIP verwenden möchten, sollten alle NSX Manager-Appliances zum selben Subnetz gehören.
  • Planen Sie Ihr NSX Manager-IP- und NSX Manager Cluster-VIP-Adressschema.
    Hinweis: Stellen Sie sicher, dass Sie über den Hostnamen für den zu verwendenden NSX Manager verfügen. Der Hostname muss im Format muss [email protected] vorliegen. Dieses Format ist erforderlich, wenn die NSX-Installation nach dem Dual-Stack-Prinzip erfolgt (IPv4, IPv6) und/oder wenn Sie planen, von einer Zertifizierungsstelle signierte Zertifikate zu konfigurieren.
OVF-Berechtigungen

Stellen Sie sicher, dass Sie über ausreichende Berechtigungen zum Bereitstellen einer OVF-Vorlage auf dem ESXi-Host verfügen.

Ein Managementtool, das OVF-Vorlagen wie vCenter Server oder den vSphere-Client bereitstellen kann. Das OVF-Bereitstellungstool muss Konfigurationsoptionen für manuelle Konfiguration unterstützen.

Die Version des OVF-Tools muss 4.0 oder höher sein.

Client-Plug-In

Das Client-Integrations-Plug-In muss installiert sein.

Zertifikate

Wenn Sie planen, ein interne VIP auf einem NSX Manager-Cluster zu konfigurieren, können Sie auf jeden NSX Manager-Knoten des Clusters ein anderes Zertifikat anwenden. Siehe Konfigurieren einer virtuellen IP-Adresse für einen Cluster.

Wenn Sie planen, einen externen Load Balancer zu konfigurieren, stellen Sie sicher, dass nur ein einziges Zertifikat auf alle NSX Manager-Clusterknoten angewendet wird. Siehe Konfigurieren eines externen Load Balancer.

Hinweis: Wenn Sie NSX Manager neu installieren, neu starten oder das admin-Kennwort bei der ersten Anmeldung geändert haben, kann der NSX Manager-Start einige Minuten dauern.

NSX Manager-Installationsszenarien

Wichtig: Wenn Sie NSX Manager über eine OVA- oder OVF-Datei installieren (entweder über den vSphere-Client oder die Befehlszeile als eigenständiger Host), werden OVA/OVF-Eigenschaftswerte wie Benutzernamen und Kennwörter erst beim Einschalten der virtuellen Maschine validiert. Das Feld mit der statischen IP-Adresse ist jedoch ein obligatorisches Feld zum Installieren von NSX Manager. Wenn Sie NSX Manager als verwalteten Host in vCenter Server installieren, werden die OVA/OVF-Eigenschaftswerte wie Benutzernamen und Kennwörter geprüft, bevor die VM eingeschaltet wird.
  • Wenn Sie einen Benutzernamen für einen lokalen Benutzer angeben, muss der Name eindeutig sein. Wenn Sie den gleichen Namen angeben, wird er ignoriert, und die Standardnamen (zum Beispiel , admin und audit) werden verwendet.
  • Wenn das Kennwort für den root- oder admin-Benutzer die Komplexitätsanforderungen nicht erfüllt, müssen Sie sich bei NSX Manager über SSH oder bei der Konsole als root-Benutzer mit dem Kennwort vmware bzw. als admin-Benutzer mit dem Kennwort default anmelden. Sie werden aufgefordert, das Kennwort zu ändern.
  • Wenn das Kennwort für andere lokale Benutzer (zum Beispiel audit) nicht die Anforderungen an die Komplexität erfüllt, wird das Benutzerkonto deaktiviert. Um das Konto zu aktivieren, melden Sie sich bei NSX Manager über SSH oder an der Konsole als admin-Benutzer an, und führen Sie den Befehl set user name_lokaler_benutzer aus, um das Kennwort des lokalen Benutzers festzulegen (das aktuelle Kennwort ist leer). Sie können Kennwörter auch in der Benutzeroberfläche über „System“ > „Benutzerverwaltung“ > „Lokale Benutzer“ zurücksetzen.
Vorsicht: Änderungen, die am NSX vorgenommen werden, während Sie mit den root-Benutzeranmeldedaten angemeldet sind, können zu Systemausfällen führen und sich möglicherweise auf Ihr Netzwerk auswirken. Sie können Änderungen unter Verwendung der root-Benutzeranmeldedaten nur mithilfe des Teams von VMware Support vornehmen.
Hinweis: Die Kerndienste der Appliance werden erst gestartet, wenn ein Kennwort mit ausreichender Komplexität festgelegt wurde.

Nach der Bereitstellung von NSX Manager über eine OVA-Datei können Sie die IP-Einstellungen der VM nicht durch Ausschalten der VM und Bearbeiten der OVA-Einstellungen in vCenter Server ändern.

Konfigurieren von NSX Manager für den Zugriff durch den DNS-Server

Standardmäßig greifen Transportknoten basierend auf ihren IP-Adressen auf NSX Manager zu. Dies kann jedoch auch auf den DNS-Namen der NSX Manager basieren.

Sie aktivieren die FQDN-Nutzung, indem Sie die FQDNs der NSX Manager veröffentlichen.

Hinweis: Für Multisite-Bereitstellungen ist die Aktivierung der FQDN-Nutzung (DNS) auf NSX Managern erforderlich. (Für alle anderen Bereitstellungstypen ist sie optional.) Weitere Informationen finden Sie unter Bereitstellung von NSX für mehrere Standorte im Administratorhandbuch für NSX.

Veröffentlichen der FQDNs der NSX Manager

  • Gehen Sie zum DNS-Server und konfigurieren Sie die Forward- und Reverse-Lookup-Einträge für NSX Manager-Knoten. Konfigurieren Sie in Lookup-Einträgen eine kurze TTL für FQDNs. Legen Sie für die kurze TTL z. B. 600 Sekunden fest.
  • Verwenden Sie die NSX Manager-API, um dem DNS-Server den Zugriff auf den NSX Manager-Knoten zu ermöglichen.

Beispielanforderung: PUT https://<nsx-mgr>/api/v1/configs/management

{
  "publish_fqdns": true,
  "_revision": 0
}

Beispielantwort:

{
  "publish_fqdns": true,
  "_revision": 1
}

Weitere Informationen finden Sie unter Handbuch zu NSX-API.

Hinweis: Validieren Sie nach dem Veröffentlichen der FQDNs den Zugriff durch die Transportknoten wie im nächsten Abschnitt beschrieben.

Validieren des Zugriffs über den FQDN durch Transportknoten

Stellen Sie nach dem Veröffentlichen der FQDNs der NSX Manager sicher, dass die Transportknoten erfolgreich auf die NSX Manager zugreifen.

Melden Sie sich mithilfe von SSH bei einem Transportknoten an, z. B. einem Hypervisor oder einem Edge-Knoten, und führen Sie den CLI-Befehl get controllers aus.

Beispielantwort:
Controller IP    Port  SSL     Status       Is Physical Master   Session State    Controller FQDN
192.168.60.5    1235  enabled  connected   true                  up               nsxmgr.corp.com