NSX Manager offre un'interfaccia utente grafica (GUI) e REST API per la creazione, la configurazione e il monitoraggio di componenti NSX quali commutatori logici, router logici e firewall.

Inoltre, NSX Manager fornisce una vista di sistema ed è il componente di gestione di NSX.

Per l'alta disponibilità, NSX supporta un cluster di gestione di tre NSX Manager. Per un ambiente di produzione, è consigliabile distribuire un cluster di gestione. A partire da NSX 3.1, è supportata una singola distribuzione di cluster NSX Manager.

In un ambiente vSphere, sono supportate le seguenti funzioni di NSX Manager:
  • vCenter Server può utilizzare la funzione vMotion per eseguire la migrazione in tempo reale di NSX Manager tra host e cluster.
  • vCenter Server può utilizzare la funzione Storage vMotion per eseguire la migrazione in tempo reale del file system di un NSX Manager tra host e cluster.
  • vCenter Server può utilizzare la funzione Distributed Resource Scheduler per ribilanciare NSX Manager tra gli host e i cluster.
  • vCenter Server può utilizzare la funzione anti-affinità per gestire NSX Manager tra gli host e i cluster.

Requisiti per la distribuzione, la piattaforma e l'installazione di NSX Manager

Nella tabella seguente sono indicati i requisiti per la distribuzione, la piattaforma e l'installazione di NSX Manager

Requisiti Descrizione
Metodi di distribuzione supportati
  • OVA/OVF
Piattaforme supportate

Vedere Requisiti di sistema di macchina virtuale e del nodo di trasporto host di NSX Manager.

In ESXi, si consiglia di installare l'appliance NSX Manager nell'archivio condiviso.

Indirizzo IP

Un NSX Manager deve avere un indirizzo IP statico. È possibile modificare l'indirizzo IP dopo l'installazione. Sono supportati sia IPv4 che IPv6. È possibile scegliere solo IPv4 o utilizzare dual stack (IPv4 e IPv6).

Nota: Se si sceglie di utilizzare un solo IPv4, i servizi di NSX Manager (ad esempio, SNMP, NTP, vIDM e così via) devono disporre di indirizzi IPv4.
Password dell'appliance NSX
  • Almeno 12 caratteri
  • Almeno una lettera minuscola
  • Almeno una lettera maiuscola
  • Almeno una cifra
  • Almeno un carattere speciale
  • Almeno cinque caratteri diversi
  • Le regole di complessità della password predefinite vengono applicate dai seguenti argomenti del modulo PAM di Linux:
    • retry=3: numero massimo di volte per cui è possibile immettere una nuova password prima che venga restituito un errore. Per questo argomento il numero massimo è 3.
    • minlen=12: dimensioni minime accettabili per la nuova password. Oltre al numero di caratteri nella nuova password, il credito (+1 nella lunghezza) viene fornito per ogni tipo di carattere diverso (altri, maiuscoli, minuscoli e numerici).
    • difok=0: numero minimo di byte che devono essere diversi nella nuova password. Indica la somiglianza tra la vecchia password e la nuova password. Se si assegna il valore 0 a difok, non è necessario che alcun byte della vecchia password e della nuova password sia diverso. È consentita una corrispondenza esatta.
    • lcredit=1: credito massimo per la presenza di lettere minuscole nella nuova password. Se è presente al massimo 1 lettera minuscola, ogni lettera verrà conteggiata come +1 per soddisfare il valore di minlen corrente.
    • ucredit=1: credito massimo per la presenza di lettere maiuscole nella nuova password. Se è presente al massimo una lettera maiuscola, ogni lettera verrà conteggiata come +1 per soddisfare il valore di minlen corrente.
    • dcredit=1: credito massimo per la presenza di cifre nella nuova password. Se è presente al massimo una cifra, ogni cifra verrà conteggiata come +1 per soddisfare il valore di minlen corrente.
    • ocredit=1: credito massimo per la presenza di altri caratteri nella nuova password. Se è presente al massimo 1 altro carattere, ogni carattere verrà conteggiato come +1 per soddisfare il valore di minlen corrente.
    • enforce_for_root: la password viene impostata per l'utente root.
    Nota: Per ulteriori dettagli sul modulo PAM di Linux per verificare se la password è valida rispetto alle parole del dizionario, fare riferimento alla pagina man.

    Ad esempio, evitare password semplici e sistematiche come VMware123!123 o VMware12345. Le password che soddisfano gli standard di complessità non sono semplici e sistematiche, ma sono una combinazione di lettere, alfabeti, caratteri speciali e numeri, come VMware123!45, VMware 1!2345 o VMware@1az23x.
Nome host Quando si installa NSX Manager, specificare un nome host che non contenga caratteri non validi, ad esempio un carattere di sottolineatura o caratteri speciali come il punto ".". Se il nome host contiene caratteri speciali o caratteri non validi, dopo la distribuzione tale nome verrà impostato su nsx-manager.

Per ulteriori informazioni sulle restrizioni dei nomi host, vedere https://tools.ietf.org/html/rfc952 e https://tools.ietf.org/html/rfc1123.

VMware Tools Nella macchina virtuale NSX Manager in esecuzione su ESXi sono installate le utilità VMTools. Non rimuovere o aggiornare VMTools.
Sistema
  • Verificare che i requisiti di sistema siano soddisfatti. Vedere Requisiti di sistema.
  • Verificare che le porte necessarie siano aperte. Vedere Porte e protocolli.
  • Verificare che un datastore sia configurato e accessibile nell'host ESXi.
  • Verificare di disporre del gateway e dell'indirizzo IP, degli indirizzi IP del server DNS, dell'elenco di ricerca del dominio e dell'indirizzo IP o del nome di dominio completo del server NTP che NSX Manager o Cloud Service Manager dovrà utilizzare.
  • Creare un VDS di gestione e un gruppo di porte della macchina virtuale di destinazione in vCenter. Inserire le appliance NSX in questa rete del gruppo di porte del VDS di gestione. Vedere Preparazione di un vSphere Distributed Switch per NSX.
    È possibile utilizzare più reti di gestione purché i nodi NSX Manager dispongano di connettività coerente e una latenza consigliata tra loro.
    Nota: Se si intende utilizzare il VIP del cluster, tutte le appliance NSX Manager devono appartenere alla stessa subnet.
  • Pianificare lo schema di indirizzamento del VIP del cluster NSX Manager e IP di NSX Manager.
    Nota: Verificare di disporre del nome host da utilizzare per NSX Manager. Il formato del nome host deve essere [email protected]. Questo formato è necessario se l'installazione di NSX è dual stack (IPv4, IPv6) e/o se si intende configurare certificati firmati dall'autorità di certificazione.
Privilegi OVF

Verificare di disporre di privilegi adeguati per distribuire un modello OVF nell'host ESXi.

Uno strumento di gestione che possa distribuire modelli OVF, ad esempio vCenter Server o vSphere Client. Lo strumento di distribuzione OVF deve supportare le opzioni di configurazione per consentire la configurazione manuale.

La versione dello strumento OVF deve essere la 4.0 o successiva.

Plug-in client

È necessario installare il plug-in di integrazione del client.

Certificati

Se si intende configurare un VIP interno in un cluster NSX Manager, è possibile applicare un certificato diverso a ciascun nodo NSX Manager del cluster. Vedere Configurazione di un indirizzo IP virtuale per un cluster.

Se si intende configurare un bilanciamento del carico esterno, assicurarsi che a tutti i nodi del cluster di NSX Manager venga applicato solo un singolo certificato. Vedere Configurazione di un bilanciamento del carico esterno.
Nota: In presenza di una nuova installazione di NSX Manager, quando si esegue il riavvio o quando viene richiesta la modifica della password di admin dopo il primo accesso, l'avvio di NSX Manager potrebbe richiedere diversi minuti.

Scenari di installazione di NSX Manager

Importante: Quando si installa NSX Manager da un file OVA o OVF, da vSphere Client o dalla riga di comando come host autonomo, i valori delle proprietà OVA/OVF, quali nomi utente e password, non vengono convalidati prima dell'accensione della macchina virtuale. Tuttavia, il campo dell'indirizzo IP statico è un campo obbligatorio per l'installazione di NSX Manager. Quando si installa NSX Manager come host gestito in vCenter Server, i valori delle proprietà OVA/OVF, quali i nomi utente e le password, vengono convalidati prima dell'accensione della macchina virtuale.
  • Se si specifica un nome utente per qualsiasi utente locale . Il nome deve essere univoco . Se si specifica lo stesso nome, questo viene ignorato e vengono utilizzati i nomi predefiniti, ad esempio admin e audit.
  • Se la password per l'utente root o admin non soddisfa i requisiti di complessità, è necessario accedere a NSX Manager tramite SSH o dalla console come utente root con la password vmware e come utente admin con la password default. Verrà richiesta la modifica della password.
  • Se la password per altri utenti locali, ad esempio audit, non soddisfa i requisiti di complessità, l'account utente viene disabilitato. Per abilitare l'account, accedere a NSX Manager tramite SSH o dalla console come utente admin ed eseguire il comando set user local_user_name per impostare la password dell'utente locale (la password corrente è una stringa vuota). È anche possibile reimpostare le password dall'interfaccia utente selezionando Sistema > Gestione utenti > Utenti locali.
Attenzione: Le modifiche apportate a NSX dopo aver eseguito l'accesso con le credenziali dell'utente root possono causare un errore di sistema e produrre un potenziale impatto sulla rete. È possibile apportare modifiche solo utilizzando le credenziali dell'utente root seguendo le indicazioni del team di supporto di VMware.
Nota: I servizi di base dell'appliance non vengono avviati finché non viene impostata una password con complessità sufficiente.

Dopo aver distribuito NSX Manager tramite un file OVA, non è possibile modificare le impostazioni IP della macchina virtuale spegnendo la macchina virtuale e modificando le impostazioni OVA da vCenter Server.

Configurazione di NSX Manager per l'accesso da parte del server DNS

Per impostazione predefinita, i nodi di trasporto accedono a NSX Manager in base ai rispettivi indirizzi IP. Tuttavia, questa operazione può essere basata anche sui nomi DNS di NSX Manager.

È possibile abilitare l'utilizzo dei nomi di dominio completi pubblicando gli FQDN delle istanze di NSX Manager.

Nota: L'abilitazione dell'utilizzo del nome di dominio completo (DNS) nelle istanze di NSX Manager è necessaria per le distribuzioni multisito. È facoltativa per tutti gli altri tipi di distribuzione. Vedere Distribuzione multisito di NSX in Guida all'amministrazione di NSX.

Pubblicazione dei nomi di dominio completi degli NSX Manager

  • Passare al server DNS e configurare le voci di ricerca diretta e inversa per i nodi NSX Manager. Nelle voci di ricerca, configurare il TTL breve per i nomi di dominio completi, ad esempio impostare il TTL breve su 600 secondi.

  • Utilizzare l'API di NSX Manager per consentire al server DNS di accedere al nodo NSX Manager.

Richiesta di esempio: PUT https://<nsx-mgr>/api/v1/configs/management 

{
  "publish_fqdns": true,
  "_revision": 0
}

Risposta di esempio: 

{
  "publish_fqdns": true,
  "_revision": 1
}

Per i dettagli, vedere la Guida di NSX API.

Nota: Dopo la pubblicazione dei nomi di dominio completi, convalidare l'accesso da parte dei nodi di trasporto come descritto nella sezione successiva.

Convalida dell'accesso da parte dei nodi di trasporto tramite FQDN

Dopo aver pubblicato i nomi di dominio completi degli NSX Manager, verificare che i nodi di trasporto accedano correttamente agli NSX Manager.

Utilizzando SSH, accedere a un nodo di trasporto, come un hypervisor o un nodo Edge, ed eseguire il comando della CLI di get controllers.

Risposta di esempio: 
Controller IP    Port  SSL     Status       Is Physical Master   Session State    Controller FQDN
192.168.60.5    1235  enabled  connected   true                  up               nsxmgr.corp.com