Une connexion entre NSX Manager et vCenter Server permet à NSX Manager d'utiliser vSphere API pour exécuter des fonctionnalités telles que déployer des machines virtuelles de service, préparer des hôtes et créer des groupes de ports de commutateur logique. Le processus de connexion installe un plug-in de client Web pour NSX sur Web Client Server.

Pour que la connexion fonctionne, DNS et NTP doivent être configurés sur NSX Manager, vCenter Server et les hôtes ESXi. Si vous avez ajouté des hôtes ESXi par nom à l'inventaire vSphere, assurez-vous que des serveurs DNS ont été configurés sur NSX Manager et que la résolution de noms fonctionne correctement. Sinon, NSX Manager ne peut pas résoudre les adresses IP. Le serveur NTP doit être spécifié de sorte que l'heure du serveur SSO et l'heure de NSX Manager soient synchronisées. Sur NSX Manager, le fichier drift dans /etc/ntp.drift est inclus dans le bundle de support technique de NSX Manager.

De plus, le compte que vous utilisez pour connecter NSX Manager à vCenter Server doit posséder le rôle vCenter « Administrateur ». Posséder le rôle « Administrateur » permet également à NSX Manager de s'enregistrer avec le serveur de service de jeton de sécurité. Lorsqu'un compte d'utilisateur particulier est utilisé pour connecter NSX Manager à vCenter, un rôle « Administrateur d'entreprise » pour l'utilisateur est également créé sur NSX Manager.

Problèmes courants liés à la connexion de NSX Manager à vCenter Server

  • DNS mal configuré sur NSX Manager, vCenter Server ou un hôte ESXi.

  • NTP mal configuré sur NSX Manager, vCenter Server ou un hôte ESXi.

  • Compte d'utilisateur sans rôle vCenter « Administrateur » utilisé pour connecter NSX Manager à vCenter.

  • Problèmes de connectivité réseau entre NSX Manager et vCenter Server.

  • Utilisateur se connectant à vCenter avec un compte qui n'a pas de rôle sur NSX Manager.

Vous devez commencer par vous connecter à vCenter avec le compte que vous avez utilisé pour lier NSX Manager à vCenter Server. Ensuite, vous pouvez créer des utilisateurs supplémentaires avec des rôles sur NSX Manager à l'aide de l'interface utilisateur Accueil de vCenter > Networking & Security > Instances de NSX Manager > {Adresse IP de NSX Manager} > Gérer > Utilisateurs (vCenter Home > Networking & Security > NSX Managers > {IP of NSX Manager} > Manage > Users).

La première connexion prend jusqu'à 4 minutes pendant que vCenter charge et déploie les bundles d'interface utilisateur de NSX.

Vérifier la connectivité de NSX Manager vers vCenter Server

Pour vérifier la connectivité, exécutez une commande ping à partir du dispositif virtuel NSX et affichez les tables ARP et de routage.

nsxmgr# show arp
IP address       HW type     Flags     HW address            Mask     Device
192.168.110.31   0x1         0x2       00:50:56:ae:ab:01     *        mgmt
192.168.110.2    0x1         0x2       00:50:56:01:20:a5     *        mgmt
192.168.110.1    0x1         0x2       00:50:56:01:20:a5     *        mgmt
192.168.110.33   0x1         0x2       00:50:56:ae:4f:7c     *        mgmt
192.168.110.32   0x1         0x2       00:50:56:ae:50:bf     *        mgmt
192.168.110.10   0x1         0x2       00:50:56:03:19:4e     *        mgmt
192.168.110.51   0x1         0x2       00:50:56:03:30:2a     *        mgmt
192.168.110.22   0x1         0x2       00:50:56:01:21:f9     *        mgmt
192.168.110.55   0x1         0x2       00:50:56:01:23:21     *        mgmt
192.168.110.26   0x1         0x2       00:50:56:01:21:ef     *        mgmt
192.168.110.54   0x1         0x2       00:50:56:01:22:ef     *        mgmt
192.168.110.52   0x1         0x2       00:50:56:03:30:16     *        mgmt

nsxmgr# show ip route
Codes: K - kernel route, C - connected, S - static,
       > - selected route, * - FIB route

S>* 0.0.0.0/0 [1/0] via 192.168.110.1, mgmt
C>* 192.168.110.0/24 is directly connected, mgmt

Recherchez les erreurs dans le journal de NSX Manager qui indiquent la raison de la non-connexion à vCenter Server. La commande qui permet d'afficher le journal est show log manager follow.

Connectez-vous à la console CLI de NSX Manager, exécutez la commande debug connection IP_of_ESXi_or_VC et examinez la sortie.

Exécuter la capture de paquets sur NSX Manager pour afficher les connexions

Utilisez la commande de paquet de débogage : debug packet [capture|display] interface interface filter

Le nom d'interface sur NSX Manager est mgmt.

La syntaxe de filtre présente le format suivant : « port_80_or_port_443 »

La commande s'exécute uniquement en mode privilégié. Pour passer en mode privilégié, exécutez la commande enable et fournissez le mot de passe d'administrateur.

Exemple de capture de paquet :

nsxmgr# en
nsxmgr# debug packet display interface mgmt port_80_or_port_443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on mgmt, link-type EN10MB (Ethernet), capture size 262144 bytes
23:40:25.321085 IP 192.168.210.15.54688 > 192.168.210.22.443: Flags [P.], seq 2645022162:2645022199, ack 2668322748, win 244, options [nop,nop,TS val 1447550948 ecr 365097421], length 37
...

Vérifier la configuration réseau sur NSX Manager

La commande show running-config indique la configuration de base de l'interface de gestion, de NTP et des paramètres d'itinéraire par défaut.

nsxmgr# show running-config
Building configuration...

Current configuration:
!
ntp server 192.168.110.1
!
ip name server 192.168.110.10
!
hostname nsxmgr
!
interface mgmt
 ip address 192.168.110.15/24
!
ip route 0.0.0.0/0 192.168.110.1
!
web-manager

Certificats de NSX Manager

NSX Manager prend en charge deux manières de générer des certificats.

  • CSR générée par NSX Manager : fonctionnalité limitée due à une CSR de base

  • PKCS#12 : recommandé pour la production

L'impossibilité du CMS à passer des appels API en mode silencieux est un problème connu.

Cela se produit lorsque l'émetteur du certificat n'est pas connu de l'appelant, car il s'agit d'une autorité de certification racine non approuvée ou car le certificat est auto-signé. Pour résoudre ce problème, utilisez un navigateur pour accéder à l'adresse IP ou au nom d'hôte de NSX Manager et accepter le certificat.