NSX Manager offre un'interfaccia utente grafica (GUI) e REST API per la creazione, la configurazione e il monitoraggio di componenti NSX-T Data Center quali commutatori logici, router logici e firewall.

Inoltre, NSX Manager fornisce una vista di sistema ed è il componente di gestione di NSX-T Data Center.

Per l'alta disponibilità, NSX-T Data Center supporta un cluster di gestione di tre NSX Manager. Per un ambiente di produzione, è consigliabile distribuire un cluster di gestione. A partire da NSX-T Data Center 3.1, è supportata una singola distribuzione di cluster NSX Manager.

In un ambiente vSphere, sono supportate le seguenti funzioni di NSX Manager:
  • vCenter Server può utilizzare la funzione vMotion per eseguire la migrazione in tempo reale di NSX Manager tra host e cluster.
  • vCenter Server può utilizzare la funzione Storage vMotion per eseguire la migrazione in tempo reale del file system di un NSX Manager tra host e cluster.
  • vCenter Server può utilizzare la funzione Distributed Resource Scheduler per ribilanciare NSX Manager tra gli host e i cluster.
  • vCenter Server può utilizzare la funzione anti-affinità per gestire NSX Manager tra gli host e i cluster.

Requisiti per la distribuzione, la piattaforma e l'installazione di NSX Manager

Nella tabella seguente sono indicati i requisiti per la distribuzione, la piattaforma e l'installazione di NSX Manager

Requisiti Descrizione
Metodi di distribuzione supportati
  • OVA/OVF
  • QCOW2
Piattaforme supportate

Vedere Requisiti di sistema di macchina virtuale e del nodo di trasporto host di NSX Manager.

In ESXi, si consiglia di installare l'appliance NSX Manager nell'archivio condiviso.

Indirizzo IP Un NSX Manager deve avere un indirizzo IP statico. È possibile modificare l'indirizzo IP dopo l'installazione. Sono supportati solo indirizzi IPv4.
Password dell'appliance NSX-T Data Center
  • Almeno 12 caratteri
  • Almeno una lettera minuscola
  • Almeno una lettera maiuscola
  • Almeno una cifra
  • Almeno un carattere speciale
  • Almeno cinque caratteri diversi
  • Le regole di complessità della password predefinite vengono applicate dai seguenti argomenti del modulo PAM di Linux:
    • retry=3: numero massimo di volte per cui è possibile immettere una nuova password prima che venga restituito un errore. Per questo argomento il numero massimo è 3.
    • minlen=12: dimensioni minime accettabili per la nuova password. Oltre al numero di caratteri nella nuova password, il credito (+1 nella lunghezza) viene fornito per ogni tipo di carattere diverso (altri, maiuscoli, minuscoli e numerici).
    • difok=0: numero minimo di byte che devono essere diversi nella nuova password. Indica la somiglianza tra la vecchia password e la nuova password. Se si assegna il valore 0 a difok, non è necessario che alcun byte della vecchia password e della nuova password sia diverso. È consentita una corrispondenza esatta.
    • lcredit=1: credito massimo per la presenza di lettere minuscole nella nuova password. Se è presente al massimo 1 lettera minuscola, ogni lettera verrà conteggiata come +1 per soddisfare il valore di minlen corrente.
    • ucredit=1: credito massimo per la presenza di lettere maiuscole nella nuova password. Se è presente al massimo una lettera maiuscola, ogni lettera verrà conteggiata come +1 per soddisfare il valore di minlen corrente.
    • dcredit=1: credito massimo per la presenza di cifre nella nuova password. Se è presente al massimo una cifra, ogni cifra verrà conteggiata come +1 per soddisfare il valore di minlen corrente.
    • ocredit=1: credito massimo per la presenza di altri caratteri nella nuova password. Se è presente al massimo 1 altro carattere, ogni carattere verrà conteggiato come +1 per soddisfare il valore di minlen corrente.
    • enforce_for_root: la password viene impostata per l'utente root.
    Nota: Per ulteriori dettagli sul modulo PAM di Linux per verificare se la password è valida rispetto alle parole del dizionario, fare riferimento alla pagina man.

    Ad esempio, evitare password semplici e sistematiche come VMware123!123 o VMware12345. Le password che soddisfano gli standard di complessità non sono semplici e sistematiche, ma sono una combinazione di lettere, alfabeti, caratteri speciali e numeri, come VMware123!45, VMware 1!2345 o VMware@1az23x.
Nome host Quando si installa NSX Manager, specificare un nome host che non contenga caratteri non validi, ad esempio un carattere di sottolineatura o caratteri speciali come il punto ".". Se il nome host contiene caratteri speciali o caratteri non validi, dopo la distribuzione tale nome verrà impostato su nsx-manager.

Per ulteriori informazioni sulle restrizioni dei nomi host, vedere https://tools.ietf.org/html/rfc952 e https://tools.ietf.org/html/rfc1123.

VMware Tools Nella macchina virtuale NSX Manager in esecuzione su ESXi sono installate le utilità VMTools. Non rimuovere o aggiornare VMTools.
Sistema
  • Verificare che i requisiti di sistema siano soddisfatti. Vedere Requisiti di sistema.
  • Verificare che le porte necessarie siano aperte. Vedere Porte e protocolli.
  • Verificare che un datastore sia configurato e accessibile nell'host ESXi.
  • Verificare di disporre dell'indirizzo IP e del gateway, degli indirizzi IP del server DNS, dell'elenco di ricerca del dominio e dell'elenco di IP o di nomi di dominio completi del server NTP per NSX Manager o Cloud Service Manager da utilizzare.
  • Se non è già presente, creare una rete del gruppo di porte della macchina virtuale di destinazione. Posizionare le appliance NSX-T Data Center in una rete di macchine virtuali di gestione.

    Se si dispone di più reti di gestione, è possibile aggiungere route statiche alle altre reti dall'appliance NSX-T Data Center.

  • Pianificare lo schema di indirizzamento IP IPv4 di NSX Manager.
Privilegi OVF

Verificare di disporre di privilegi adeguati per distribuire un modello OVF nell'host ESXi.

Uno strumento di gestione che possa distribuire modelli OVF, ad esempio vCenter Server o vSphere Client. Lo strumento di distribuzione OVF deve supportare le opzioni di configurazione per consentire la configurazione manuale.

La versione dello strumento OVF deve essere la 4.0 o successiva.

Plug-in client

È necessario installare il plug-in di integrazione del client.

Certificati

Se si intende configurare un VIP interno in un cluster NSX Manager, è possibile applicare un certificato diverso a ciascun nodo NSX Manager del cluster. Vedere Configurazione di un indirizzo IP virtuale per un cluster.

Se si intende configurare un bilanciamento del carico esterno, assicurarsi che a tutti i nodi del cluster di NSX Manager venga applicato solo un singolo certificato. Vedere Configurazione di un bilanciamento del carico esterno.
Nota: In presenza di una nuova installazione di NSX Manager, quando si esegue il riavvio o quando viene richiesta la modifica della password di admin dopo il primo accesso, l'avvio di NSX Manager potrebbe richiedere diversi minuti.

Scenari di installazione di NSX Manager

Importante: Quando si installa NSX Manager da un file OVA o OVF, da vSphere Client o dalla riga di comando come host autonomo, i valori delle proprietà OVA/OVF, quali nomi utente e password, non vengono convalidati prima dell'accensione della macchina virtuale. Tuttavia, il campo dell'indirizzo IP statico è un campo obbligatorio per l'installazione di NSX Manager. Quando si installa NSX Manager come host gestito in vCenter Server, i valori delle proprietà OVA/OVF, quali i nomi utente e le password, vengono convalidati prima dell'accensione della macchina virtuale.
  • Se si specifica un nome utente per ogni utente locale, tale nome deve essere univoco. Se si specifica lo stesso nome, questo viene ignorato e vengono utilizzati i nomi predefiniti, ad esempio admin e audit.
  • Se la password per l'utente root o admin non soddisfa i requisiti di complessità, è necessario accedere a NSX Manager tramite SSH o dalla console come utente root con la password vmware e come utente admin con la password default. Verrà richiesta la modifica della password.
  • Se la password per altri utenti locali, ad esempio audit, non soddisfa i requisiti di complessità, l'account utente viene disabilitato. Per abilitare l'account, accedere a NSX Manager tramite SSH o dalla console come utente admin ed eseguire il comando set user local_user_name per impostare la password dell'utente locale (la password corrente è una stringa vuota). È anche possibile reimpostare le password dall'interfaccia utente selezionando Sistema > Gestione utenti > Utenti locali.
Attenzione: Le modifiche apportate a NSX-T Data Center dopo aver eseguito l'accesso con le credenziali dell'utente root possono causare un errore di sistema e produrre un potenziale impatto sulla rete. È possibile apportare modifiche solo utilizzando le credenziali dell'utente root seguendo le indicazioni del team di supporto di VMware.
Nota: I servizi di base dell'appliance non vengono avviati finché non viene impostata una password con complessità sufficiente.

Dopo aver distribuito NSX Manager tramite un file OVA, non è possibile modificare le impostazioni IP della macchina virtuale spegnendo la macchina virtuale e modificando le impostazioni OVA da vCenter Server.

Configurazione di NSX Manager per l'accesso da parte del server DNS

Per impostazione predefinita, i nodi di trasporto accedono a NSX Manager in base ai rispettivi indirizzi IP. Tuttavia, questa operazione può essere basata anche sui nomi DNS di NSX Manager.

È possibile abilitare l'utilizzo dei nomi di dominio completi pubblicando gli FQDN delle istanze di NSX Manager.

Nota: L'abilitazione dell'utilizzo del nome di dominio completo (DNS) sulle istanze di NSX Manager è necessaria per le distribuzioni multisito Lite. È facoltativa per tutti gli altri tipi di distribuzione. Vedere Distribuzione multisito di NSX Data Center in Guida all'amministrazione di NSX-T Data Center.

Pubblicazione dei nomi di dominio completi degli NSX Manager

Dopo l'installazione dei componenti principali di NSX-T Data Center, per abilitare NAT utilizzando il nome di dominio completo, è necessario configurare le voci di ricerca diretta e inversa per i nodi di gestione sul server DNS.

Importante: È consigliabile configurare sia le voci di ricerca diretta sia quelle di ricerca inversa per il nome di dominio completo degli NSX Manager con un TTL breve, ad esempio 600 secondi.

È inoltre necessario abilitare la pubblicazione degli FQDN di NSX Manager utilizzando l'API di NSX-T Data Center.

Richiesta di esempio: PUT https://<nsx-mgr>/api/v1/configs/management 

{
  "publish_fqdns": true,
  "_revision": 0
}

Risposta di esempio: 

{
  "publish_fqdns": true,
  "_revision": 1
}

Per i dettagli, vedere la Guida all'API di NSX-T Data Center.

Nota: Dopo la pubblicazione dei nomi di dominio completi, convalidare l'accesso da parte dei nodi di trasporto come descritto nella sezione successiva.

Convalida dell'accesso da parte dei nodi di trasporto tramite FQDN

Dopo aver pubblicato i nomi di dominio completi degli NSX Manager, verificare che i nodi di trasporto accedano correttamente agli NSX Manager.

Utilizzando SSH, accedere a un nodo di trasporto, come un hypervisor o un nodo Edge, ed eseguire il comando della CLI di get controllers.

Risposta di esempio: 
Controller IP    Port  SSL     Status       Is Physical Master   Session State    Controller FQDN
192.168.60.5    1235  enabled  connected   true                  up               nsxmgr.corp.com