NSX Manager には、論理スイッチ、論理ルーター、ファイアウォールなどの NSX-T Data Center コンポーネントを作成、設定、監視するためのグラフィカル ユーザー インターフェイス (GUI) と REST API があります。

NSX Manager はシステム ビューを提供するものであり、NSX-T Data Center の管理コンポーネントです。

高可用性の場合、NSX-T Data Center は 3 つの NSX Manager の管理クラスタをサポートします。本番環境では、管理クラスタの展開をお勧めします。POC(事前検証)環境では、単一の NSX Manager を展開できます。

vSphere 環境では、次の機能が NSX Manager でサポートされています。
  • vCenter Server で vMotion 機能を使用して、ホストおよびクラスタ間で NSX Manager のライブ移行を実行できます。
  • vCenter Server で Storage vMotion 機能を使用して、ホストおよびクラスタ間で NSX Manager のファイル システムをライブ移行できます。
  • vCenter Server で Distributed Resource Scheduler 機能を使用して、ホストおよびクラスタ間で NSX Manager を再調整できます。
  • vCenter Server で非アフィニティ機能を使用して、ホストおよびクラスタ間で NSX Manager を管理できます。

NSX Manager の展開、プラットフォームおよびインストール要件

次の表では、NSX Manager の展開、プラットフォーム、インストールの要件について詳しく説明します。

要件 説明
サポートされる展開方法
  • OVA/OVF
  • QCOW2
サポート対象のプラットフォーム

NSX Manager 仮想マシンとホスト トランスポート ノードのシステム要件 を参照してください。

ESXi では、共有ストレージに NSX Manager アプライアンスをインストールすることが推奨されます。

IP アドレス NSX Manager には固定 IP アドレスが必要です。インストール後に IP アドレスを変更できます。IPv4 アドレスのみがサポートされます。
NSX-T Data Center アプライアンスのパスワード
  • 12 文字以上
  • 1 文字以上の小文字
  • 1 文字以上の大文字
  • 1 文字以上の数字
  • 1 文字以上の特殊文字
  • 5 文字以上の異なる文字
  • 次の Linux PAM モジュールの引数によって、デフォルトのパスワード強度ルールが適用されます。
    • retry=3:新しいパスワードの最大入力回数。この引数では、最大 3 回までの入力を許可しています。これを超えると、エラーが返されます。
    • minlen=12:新しいパスワードに許容される最小サイズ。新しいパスワードの文字数だけでなく、それぞれの文字種(特殊、大文字、小文字、数字)ごとにクレジット (+1) が指定されます。
    • difok=0:新しいパスワードで異なる必要がある最小バイト数。古いパスワードと新しいパスワードの類似性を示します。difok に 0 を割り当てると、古いパスワードと新しいパスワードで異なる文字列を使用する必要はありません。完全一致が許可されます。
    • lcredit=1:新しいパスワードに小文字を使用する場合の最大クレジット。小文字が 1 文字以下の場合は、現在の minlen 値に合わせるため、それぞれの文字が +1 とカウントされます。
    • ucredit=1:新しいパスワードに大文字を使用する場合の最大クレジット。大文字が 1 文字以下の場合、現在の minlen 値に合わせるため、それぞれの文字が +1 とカウントされます。
    • dcredit=1:新しいパスワードに数字が含まれる場合の最大クレジット。数字が 1 個以下の場合、現在の minlen 値に合わせるため、それぞれの数字が +1 とカウントされます。
    • ocredit=1:新しいパスワードに特殊文字を使用する場合の最大クレジット。特殊文字が 1 個以下の場合、現在の minlen 値に合わせるため、それぞれの文字が +1 とカウントされます。
    • enforce_for_root:root ユーザーに設定されるパスワード。
    注: Linux PAM モジュールでパスワードと辞書の単語を比較する方法については、man ページを参照してください。

    たとえば、VMware123!123VMware12345 のような単純で体系的なパスワードの使用は避けます。単純で体系的なパスワードは強度の要件を満たしませんが、VMware123!45VMware 1!2345VMware@1az23x のような英字、特殊文字、数字を組み合わせたパスワードは強度の要件を満たします。

ホスト名 NSX Manager をインストールするときに、アンダースコアなどの無効な文字や、ドット (.) などの特殊文字を含まないホスト名を指定します。ホスト名に無効な文字や特殊文字が含まれていると、展開後にホスト名が nsx-manager に設定されます。

ホスト名の制限の詳細については、https://tools.ietf.org/html/rfc952およびhttps://tools.ietf.org/html/rfc1123を参照してください。

VMware Tools ESXi で実行される NSX Manager 仮想マシンには、VMware Tools がインストールされています。VMware Tools を削除またはアップグレードしないでください。
システム
  • システム要件を満たしていることを確認します。システム要件を参照してください。
  • 必要なポートが開いていることを確認します。ポートとプロトコル を参照してください。
  • ESXi ホストでデータストアが構成されていて、アクセスできることを確認します。
  • NSX Manager または Cloud Service Manager で使用する IP アドレスとゲートウェイ、DNS サーバの IP アドレス、ドメイン検索リスト、NTP サーバの IP または FQDN のリストを確認します 。
  • まだ作成していない場合は、宛先の仮想マシン ポート グループ ネットワークを作成します。NSX-T Data Center アプライアンスを管理仮想マシン ネットワークに配置します。

    複数の管理ネットワークが存在する場合は、NSX-T Data Center アプライアンスから他のネットワークへのスタティック ルートを追加できます。

  • NSX Manager IPv4 IP アドレス スキームを使用します。
OVF の権限

ESXi ホストに OVF テンプレートを展開するために必要な権限があることを確認します。

OVF テンプレートを展開できる管理ツール(vCenter ServervSphere Client など)が必要です。手動で構成するには、OVF 展開ツールで構成オプションがサポートされている必要があります。

OVF ツールは、4.0 以降のバージョンを使用する必要があります。

クライアント プラグイン

クライアント統合プラグインがインストールされている必要があります。

証明書

NSX Manager クラスタで内部仮想 IP アドレスを構成する場合は、クラスタの各 NSX Manager ノードに異なる証明書を適用できます。クラスタの仮想 IP アドレスの構成 を参照してください。

外部ロード バランサを構成する場合は、すべての NSX Manager クラスタ ノードに 1 つの証明書のみが適用されるようにします。外部ロード バランサの構成 を参照してください。

注: NSX Manager のフレッシュ インストールや再起動時、また初回のログイン時にプロンプトで admin のパスワードを変更した後は、 NSX Manager の起動に数分かかる場合があります。

NSX Manager のインストール シナリオ

重要: vSphere Client またはコマンド ラインのいずれかを使用して OVA または OVF ファイルから NSX Manager をスタンドアローン ホストとしてインストールすると、仮想マシンがパワーオン状態になるまで、ユーザー名、パスワードなどの OVA/OVF プロパティ値が検証されません。ただし、[固定 IP アドレス] フィールドは、 NSX Manager のインストールに必要なフィールドです。 vCenter Server で管理対象ホストとして NSX Manager をインストールすると、仮想マシンがパワーオンされる前に、ユーザー名やパスワードなどの OVA/OVF プロパティ値が検証されます。
  • ローカル ユーザーのユーザー名を指定する場合、名前は一意にする必要があります。同じ名前を指定すると、名前が無視され、デフォルトの名前(adminaudit など)が使用されます。
  • root または admin ユーザーのパスワードが複雑さの要件を満たしていない場合には、root または admin として SSH 経由またはコンソール経由で NSX Manager にログインする必要があります。root のパスワードは vmware、admin のパスワードは default です。プロンプトが表示され、パスワードの変更が指示されます。
  • 他のローカル ユーザー(audit など)のパスワードが要件を満たしていない場合、ユーザー アカウントは無効になります。アカウントを有効にするには、admin ユーザーとして SSH またはコンソール経由で NSX Manager にログインし、set user local_user_name コマンドを実行してローカル ユーザーのパスワードを設定します(現在のパスワードは空の文字列です)。UI でパスワードをリセットするには、[ユーザー管理] > [ローカル ユーザー] を使用します。
注意: root ユーザー認証情報を使用してログインしている際に NSX-T Data Center に変更を加えると、システム障害が発生し、ネットワークに影響する可能性があります。 root ユーザー認証情報を使用して変更を加えるのは、VMware のサポート チームから指示があった場合のみにすることをお勧めします。
注: アプライアンス上のコア サービスは、要件を満たすパスワードが設定されるまで起動しません。

NSX Manager を OVA ファイルから展開した後は、仮想マシンをパワーオフして vCenter Server から OVA 設定を変更し、仮想マシンの IP アドレス設定を変更することはできません。

DNS サーバからアクセスする場合の NSX Manager の構成

デフォルトでは、トランスポート ノードは IP アドレスに基づいて NSX Manager にアクセスします。この処理は、NSX Manager の DNS 名に基づいて行うこともできます。

FQDN の使用を有効にするには、NSX Manager の FQDN を公開します。

注: 複数サイトの Lite と NSX Cloud および展開には、 NSX Manager で FQDN 使用 (DNS) を有効にする必要があります。他の展開タイプではオプションです。『 NSX-T Data Center 管理ガイド』の「 NSX-T Data Center の複数サイトの展開」とこのガイドの NSX Cloud の使い方を参照してください。

NSX Manager の FQDN の公開

NSX-T Data Center コア コンポーネントと CSM をインストールした後、FQDN を使用して NAT を有効にするには、DNS サーバのマネージャ ノードに正引き参照とと逆引き参照のエントリを設定する必要があります。

重要: NSX Manager の FQDN に正引き参照と逆引き参照の両方のエントリを設定し、短い TTL(たとえば 600 秒)を設定することを推奨します。

また、NSX-T API を使用して NSX Manager の FQDN を公開できるようにする必要があります。

要求の例︰PUT https://<nsx-mgr>/api/v1/configs/management

{
  "publish_fqdns": true,
  "_revision": 0
}

応答の例:

{
  "publish_fqdns": true,
  "_revision": 1
}

詳細については、『NSX-T Data Center API ガイド』を参照してください。

注: FQDN を公開した後、次のセクションの説明に従ってトランスポート ノードによるアクセスを検証します。

トランスポート ノードによる FQDN を介したアクセスの検証

NSX Manager の FQDN を公開した後、トランスポート ノードが NSX Manager に正常にアクセスしていることを確認します。

SSH を使用して、ハイパーバイザーまたは Edge ノードなどのトランスポート ノードにログインし、get controllers CLI コマンドを実行します。

応答の例:
Controller IP    Port  SSL     Status       Is Physical Master   Session State    Controller FQDN
192.168.60.5    1235  enabled  connected   true                  up               nsxmgr.corp.com