NSX Manager fournit l'interface utilisateur graphique (GUI) et les API REST pour la création, la configuration et la surveillance de composants NSX-T Data Center, par exemple, des commutateurs logiques, des routeurs logiques et des pare-feu.

NSX Manager fournit une vue du système et constitue le composant de gestion de NSX-T Data Center.

Pour la haute disponibilité, NSX-T Data Center prend en charge un cluster de gestion de trois instances de NSX Manager. Pour un environnement de production, le déploiement d'un cluster de gestion est recommandé. Pour un environnement de validation technique, vous pouvez déployer une seule instance de NSX Manager.

Dans un environnement vSphere, les fonctions suivantes sont prises en charge par NSX Manager :
  • vCenter Server peut utiliser la fonction vMotion pour effectuer une migration en direct de NSX Manager sur des hôtes et des clusters.
  • vCenter Server peut utiliser la fonction Storage vMotion pour effectuer une migration en direct d'un système de fichiers d'une instance de NSX Manager sur des hôtes et des clusters.
  • vCenter Server peut utiliser la fonction Distributed Resource Scheduler pour rééquilibrer NSX Manager sur des hôtes et des clusters.
  • vCenter Server peut utiliser la fonction d'anti-affinité pour gérer NSX Manager sur des hôtes et des clusters.

Exigences du déploiement, de la plate-forme et de l'installation de NSX Manager

Le tableau suivant décrit les exigences du déploiement, de la plate-forme et de l'installation de NSX Manager

Exigences Description
Méthodes de déploiement prises en charge
  • OVA/OVF
  • QCOW2
Plates-formes prises en charge

Reportez-vous à la section Configuration système requise pour le nœud de transport hôte et la machine virtuelle NSX Manager.

Sous ESXi, il est recommandé d'installer le dispositif NSX Manager sur un stockage partagé.

Adresse IP Un système NSX Manager doit posséder une adresse IP statique. Vous pouvez modifier l'adresse IP après l'installation. Seules les adresses IPv4 sont prises en charge.
Mot de passe du dispositif NSX-T Data Center
  • Au moins 12 caractères
  • Au moins une lettre minuscule
  • Au moins une lettre majuscule
  • Au moins un chiffre
  • Au moins un caractère spécial
  • Au moins cinq caractères différents
  • Les règles de complexité de mot de passe par défaut sont appliquées par les arguments du module PAM Linux suivants :
    • retry=3 : nombre maximal de fois qu'un nouveau mot de passe peut être entré, 3 fois au maximum pour cet argument, avant de renvoyer une erreur.
    • minlen=12 : taille minimale acceptable pour le nouveau mot de passe. En plus du nombre de caractères dans le nouveau mot de passe, un crédit (de +1 dans la longueur) est donné pour chaque type de caractère différent (autre, supérieur, inférieur et chiffre).
    • difok=0 : nombre minimal d'octets qui doivent être différents dans le nouveau mot de passe. Indique la similarité entre l'ancien et le nouveau mot de passe. Avec une valeur 0 attribuée à difok, il n'est pas nécessaire que l'ancien et le nouveau mot de passe soient différents. Une correspondance exacte est autorisée.
    • lcredit=1 : crédit maximal pour avoir des lettres minuscules dans le nouveau mot de passe. Si vous avez au maximum 1 lettre minuscule, chaque lettre compte +1 pour répondre à la valeur minlen actuelle.
    • ucredit=1 : crédit maximal pour avoir des lettres majuscules dans le nouveau mot de passe. Si vous avez au maximum 1 lettre majuscule, chaque lettre compte +1 pour répondre à la valeur minlen actuelle.
    • dcredit=1 : crédit maximal pour avoir des chiffres dans le nouveau mot de passe. Si vous avez au maximum 1 chiffre, chaque chiffre compte +1 pour répondre à la valeur minlen actuelle.
    • ocredit=1 : crédit maximal pour avoir d'autres caractères dans le nouveau mot de passe. Si vous avez au maximum 1 autre caractère, chaque caractère compte +1 pour répondre à la valeur minlen actuelle.
    • enforce_for_root : le mot de passe est défini pour l'utilisateur racine.
    Note : Pour plus d'informations sur le module PAM Linux pour vérifier le mot de passe par rapport aux mots du dictionnaire, reportez-vous à la page man.

    Par exemple, évitez les mots de passe simples et systématiques tels que VMware123!123 ou VMware12345. Les mots de passe qui répondent aux normes de complexité ne sont pas simples et systématiques, mais il s'agit d'une combinaison de lettres, de caractères spéciaux et de chiffres, comme VMware123!45, VMware 1!2345 ou VMware@1az23x.

Nom d'hôte Lorsque vous installez NSX Manager, spécifiez un nom d'hôte qui ne contient pas de caractères non valides comme un caractère de soulignement (« - ») ou de caractères spéciaux comme un point (« . »). Si le nom d'hôte contient un caractère non valide ou des caractères spéciaux, après le déploiement, le nom d'hôte sera défini sur nsx-manager.

Pour plus d'informations sur les restrictions de nom d'hôte, reportez-vous à https://tools.ietf.org/html/rfc952 et https://tools.ietf.org/html/rfc1123.

VMware Tools VMTools est installé sur la machine virtuelle NSX Manager exécutée sur ESXi. Ne supprimez pas ou ne mettez pas VMTools à niveau.
Système
  • Vérifiez que la configuration requise est respectée. Reportez-vous à la section Configuration système requise.
  • Vérifiez que les ports requis sont ouverts. Reportez-vous à la section Ports et protocoles.
  • Assurez-vous qu'une banque de données est configurée et accessible sur l'hôte ESXi.
  • Vérifiez que vous disposez de l'adresse IP et de la passerelle, des adresses IP du serveur DNS, de la liste de recherche de domaines et de la liste Adresses IP ou Nom de domaine complet du serveur NTP que NSX Manager utilisera.
  • Créez le réseau du groupe de ports de machines virtuelles cible, si celui-ci n'existe pas déjà. Placez les dispositifs NSX-T Data Center sur un réseau de machines virtuelles de gestion.

    Si vous disposez de plusieurs réseaux de gestion, vous pouvez ajouter des itinéraires statiques aux autres réseaux à partir du dispositif NSX-T Data Center.

  • Planifiez votre schéma d'adressage IP IPv4 NSX Manager.
Privilèges OVF

Vérifiez que vous disposez des privilèges appropriés pour déployer un modèle OVF sur l'hôte ESXi.

Un outil de gestion pouvant déployer des modèles OVF, tels que vCenter Server ou vSphere Client. L'outil de déploiement de modèles OVF doit prendre en charge des options de configuration qui permettent la configuration manuelle.

La version de l'outil OVF doit être la 4.0 ou une version ultérieure.

Plug-in client

Le plug-in d'intégration du client doit être installé.

Certificats

Si vous prévoyez de configurer une adresse IP virtuelle interne sur un cluster NSX Manager, vous pouvez appliquer un certificat différent à chaque nœud NSX Manager du cluster. Reportez-vous à la section Configurer une adresse IP virtuelle pour un cluster.

Si vous prévoyez de configurer un équilibreur de charge externe, assurez-vous qu'un seul certificat est appliqué à tous les nœuds de cluster de NSX Manager. Reportez-vous à la section Configuration d'un équilibreur de charge externe.

Note : Lors d'une nouvelle installation de NSX Manager, d'un redémarrage ou après la modification du mot de passe admin à la première connexion, le démarrage de NSX Manager peut prendre plusieurs minutes.

Scénarios d'installation de NSX Manager

Important : Lorsque vous installez NSX Manager à partir d'un fichier OVA ou OVF, depuis vSphere Client ou depuis la ligne de commande en tant qu'hôte autonome, les valeurs de propriété OVA/OVF, telles que les noms d'utilisateur et les mots de passe, ne sont pas validées avant la mise sous tension de la machine virtuelle. Toutefois, le champ Adresse IP statique est un champ obligatoire pour installer NSX Manager. Lorsque vous installez NSX Manager en tant qu'hôte géré dans vCenter Server, les valeurs de propriété OVA/OVF, telles que les noms d'utilisateur et les mots de passe, sont validées avant la mise sous tension de la machine virtuelle.
  • Si vous spécifiez un nom d'utilisateur pour l'utilisateur admin ou audit, le nom doit être unique. Si vous spécifiez le même nom, il est ignoré et les noms par défaut (admin et audit) sont utilisés.
  • Si le mot de passe de l'utilisateur admin ne respecte pas la configuration requise de complexité, vous devez vous connecter à NSX Manager via SSH ou sur la console en tant qu'utilisateur admin avec le mot de passe default. Vous êtes invité à modifier le mot de passe.
  • Si le mot de passe de l'utilisateur audit ne respecte pas les exigences de complexité, le compte d'utilisateur est désactivé. Pour activer le compte, connectez-vous à NSX Manager via SSH ou à la console en tant qu'utilisateur admin et exécutez la commande set user audit pour définir le mot de passe de l'utilisateur audit (le mot de passe actuel est une chaîne vide).
  • Si le mot de passe de l'utilisateur racine ou administrateur ne respecte pas les exigences de complexité, vous devez vous connecter à NSX Manager via SSH ou à la console en tant que racine avec le mot de passe vmware et administrateur avec le mot de passe default. Vous êtes invité à modifier le mot de passe.
Attention : Les modifications apportées à NSX-T Data Center tout en étant connecté avec les informations d'identification de l'utilisateur racine peuvent provoquer la défaillance du système et avoir éventuellement un impact sur votre réseau. Vous pouvez uniquement apporter des modifications à l'aide les informations d'identification de l'utilisateur racine en suivant les instructions de l'équipe de support de VMware.
Note : Sur le dispositif, les services de base ne démarrent pas tant qu'un mot de passe suffisamment complexe n'est pas défini.

Après avoir déployé NSX Manager à partir d'un fichier OVA, vous ne pouvez pas modifier les paramètres IP de la machine virtuelle en mettant la machine virtuelle hors tension, puis en modifiant les paramètres OVA de vCenter Server.

Configuration de NSX Manager pour l'accès par le serveur DNS

Par défaut, les nœuds de transport accèdent à des instances de NSX Manager en fonction de leurs adresses IP. Toutefois, cela peut être basé également sur les noms DNS des instances de NSX Manager.

Vous activez l'utilisation du nom de domaine complet en publiant les noms de domaine complets des instances de NSX Manager.

Note : L'activation de l'utilisation du nom de domaine complet (DNS) sur des instances de NSX Manager est requise pour les déploiements multisite de Lite et de NSX Cloud. (Il est facultatif pour tous les autres types de déploiement.) Reportez-vous à la section Déploiement multisite de NSX-T Data Center du Guide d'administration de NSX-T Data Center et à la section Démarrage avec NSX Cloud de ce guide.

Publication des noms de domaine complets des instances de NSX Manager

Après l'installation des composants principaux de NSX-T Data Center et de CSM, pour activer NAT à l'aide du nom de domaine complet, vous devez configurer les entrées de recherche directe et inversée pour les nœuds de gestionnaire sur le serveur DNS.

Important : Il est vivement recommandé de configurer les entrées de recherche directe et inversée pour le nom de domaine complet des instances de NSX Manager avec une durée de vie courte (par exemple, 600 secondes).

Vous devez également activer la publication du nom de domaine complet de NSX Manager à l'aide de l'API NSX-T :

Exemple de demande : PUT https://<nsx-mgr>/api/v1/configs/management

{
  "publish_fqdns": true,
  "_revision": 0
}

Exemple de réponse :

{
  "publish_fqdns": true,
  "_revision": 1
}

Reportez-vous à Guide de l'API de NSX-T Data Center pour plus de détails.

Note : Après la publication des noms de domaine complets, validez l'accès par les nœuds de transport comme décrit dans la section suivante.

Validation de l'accès via un nom de domaine complet par les nœuds de transport

Après la publication des noms de domaine complets des instances de NSX Manager, vérifiez que les nœuds de transport accèdent correctement aux instances de NSX Manager.

À l'aide de SSH, connectez-vous à un nœud de transport tel qu'un hyperviseur ou un nœud Edge, puis exécutez la commande d'interface de ligne de commande get controllers.

Exemple de réponse :
Controller IP    Port  SSL     Status       Is Physical Master   Session State    Controller FQDN
192.168.60.5    1235  enabled  connected   true                  up               nsxmgr.corp.com