- 实验摘要:
- 正文:
- 主题:迷你SDDC环境搭建
- 任务21:NSX Manager的安装
- 在DNS服务器上添加NSX Manager的主机记录和反向记录
- 选择在v587-esxi-01服务器部署OVF模板
- 选择从VMware官网下载的NSX for vSphere Manager OVF模板
- 定义NSX Manager的虚拟机名,如:nsxmgr-a
下文中,我将直接以nsxmgr称呼迷你SDDC环境的NSX Manager - 根据OVF模板部署向导的要求,依次完成各项设置
- 定义nsxmgr的管理员密码,默认的管理员用户名为admin
- 定义nsxmgr的基本网络配置,包括主机名、管理地址、NTP同步服务器地址等设置
- 为了便于管理,可以选择开启nsxmgr的SSH访问
- 确认各项设置无误后,点击完成,开始nsxmgr虚拟机的上传操作
- 等待nsxmgr上传完成
- 打开nsxmgr操作系统电源,开始后续包括与vCenter 1:1注册在内的配置操作
- 在DNS服务器上添加NSX Manager的主机记录和反向记录
- 主题:迷你SDDC环境搭建
- 任务22:NSX Manager与vCenter 1:1注册
- 通过域名访问nsxmgr,使用默认的管理员admin和OVF部署向导定义的密码登录
- ">
- ">首先点击View Summary,检查nsxmgr的各项服务运行状态
- 需要特别注意的是,NSX Universal Sync Service是在部署了NSX cross VC后,只有在Primary NSX Manager上才会正常运行的服务
- 进入Manager管理页面
- 检查OVF部署向导定义的NTP同步服务器是否生效,同时将时区更新为Asia/Shanghai
- 如果需要更改nsxmgr管理地址,也可以通过本页面下的network界面实现
- 进入NSX Management Service页面,完成与vCenter,即vcsa-a的1:1注册操作
- 设置Lookup Service URL为vCenter Platform Service Controller的地址;在迷你SDDC环境中,由于vCenter是嵌入式PSC部署,因此PSC服务器为vcsa-a.eccomat.local本身
- 接受证书指纹
- 设置与vCenter的注册关系
- 接受证书指纹
- 在NSX Management Service界面确认服务的连接状态均为Connected
- 通过域名访问nsxmgr,使用默认的管理员admin和OVF部署向导定义的密码登录
- 主题:迷你SDDC环境搭建
- 任务23:集群主机准备
- 在部署NSX的环境中,一般会有三类集群,分别是用于承载包括vCenter、PSC、NSX Manager、NSX Controller Cluster在内的管理集群;承载包括Edge和DLR CVM在内的边界集群和承载业务虚拟机的计算集群;有时候处于规模的考量,会选择将管理和边界集群合二为一。
- NSX的主机准备,是NSX Manager借助于vCenter的EAM(ESX Agent Manager),将nsx-esx.vib安装到集群的每一台esxi服务器中,该vib会在esxi服务器的内核空间运行三个关键的vmkernal:
- vdl2:用于虚拟网络逻辑交换
- vdrb:用于虚拟网络逻辑路由和桥接功能
- vsip:用于分布式防火墙的安全微分段
- 首先为NSX Solution上传许可;在没有许可的情况下,主机无法安装VIB,完成主机准备
- 点击Home,进入Networking and Security页面
- 在Installation and Upgrade页面,可以看到所有VC集群;我将对AT Management and Edge Cluster和AT Compute Cluster进行主机准备
- 选中需要安装nsx-esx.vib的集群,点击ACTIONS,选择Install安装
- 主机准备将以集群作为单位进行,在使用FQDN作为esxi主机名添加到VC清单列表的场景中,请务必保证DNS服务器配置正确
- 耐心等待集群准备工作完成;在Web Client可以看到VC通过EAM在集群的esxi服务器安装nsx-esx.vib
- 重复上述步骤,完成所有相关集群的主机准备操作
- 在完成主机准备阶段后,可以看到NSX Installation和Firewall状态已经正常;借助这个信息,至少可以得出两个结论:
想要使用NSX分布式防火墙,必须要经过主机准备工作
NSX分布式防火墙策略的下发和生效无需NSX Controller参与,与NSX的控制平面完全无关
- 主题:迷你SDDC环境搭建
- 任务24:逻辑网络准备
- 进入Logical Network Settings,在默认的VXLAN Settings页面下,点击Segement IDs旁的EDIT,编辑VxLAN ID段
- 定义VxLAN ID段,如5000-5999
- 回到Host Preparation主机准备界面,在完成VXLAN ID范围定义后,点击VXLAN旁的CONFIGURE,创建VTEP
- 在VXLAN配置向导,选择分布式交换机vDS-overlay作为VTEP承载虚拟交换机,设置MTU满足不低于1600,并创建一个VTEP IP地址池,用于自动分配VTEP地址
- 在迷你SDDC环境中,我定义了172.20.11.0/24作为VTEP地址段,设置172.20.11.100-109,合计10个IP地址,用于VTEP IP分配
- 点击Save,完成VXLAN配置
- 回到主机准备界面,可以看到VXLAN配置已经呈现绿色健康状态
- 回到逻辑网络配置界面,创建传输控制区域
- 定义一个命名为TZ-ECCOMAT的传输控制区域,将完成主机准备的两个集群添加到该传输控制区域
- 回到主机准备页面,可以看到除了控制平面呈现Unknown未知状态外,其他所有操作均已完成
- 在本阶段,在每一台完成主机准备的esxi服务器分布式交换机上,均添加了一个vmkernal端口,用于VXLAN流量的传输
- 进入Logical Network Settings,在默认的VXLAN Settings页面下,点击Segement IDs旁的EDIT,编辑VxLAN ID段
- 主题:迷你SDDC环境搭建
- 任务25:NSX Controller安装
- 主题:迷你SDDC环境搭建
- 任务26:NSX Controller规模调整
实验摘要:
1>部署NSX Manager [难度★复杂度★]
2>NSX Manager与VC 1:1注册 [难度★复杂度★★]
3>NSX集群的主机准备 [难度★复杂度★]
4>NSX集群的逻辑网络准备 [难度★复杂度★★]
5>部署NSX控制器 [难度★复杂度★]
6>修改NSX控制器虚拟机默认部署硬件分配 [难度★★复杂度★★★]
正文:
今天起,我将陆续推出NSX-V的基本安装及配置演示。
实际上,现在的NSX已经不是单单针对vSphere环境的产品;现在演示的NSX-V和NSX-T都属于VMware NSX Data Center解决方案涵盖的产品,能提供除了vSphere虚拟化数据中心以外,包括KVM、容器、裸机等异构对象,统一的网络和安全;此外,借助于NSX Cloud,用户可以实现公有云和私有云一致的网络及安全性,真正实现混合云2.0定义的目标;而NSX Hybrid Connect可以助力用户将工作负载从数据中心迁移到云。
言归正传,接下来我将首先完成迷你SDDC环境NSX Manager的安装操作。
主题:迷你SDDC环境搭建
任务21:NSX Manager的安装
NSX Manager通过OVF模板文件部署,管理员可以通过OVF部署向导上传NSX Manager虚拟机,并定义NSX Manager的基本网络设置。
在DNS服务器上添加NSX Manager的主机记录和反向记录
选择在v587-esxi-01服务器部署OVF模板
选择从VMware官网下载的NSX for vSphere Manager OVF模板
定义NSX Manager的虚拟机名,如:nsxmgr-a
下文中,我将直接以nsxmgr称呼迷你SDDC环境的NSX Manager
根据OVF模板部署向导的要求,依次完成各项设置
定义nsxmgr的管理员密码,默认的管理员用户名为admin
定义nsxmgr的基本网络配置,包括主机名、管理地址、NTP同步服务器地址等设置
为了便于管理,可以选择开启nsxmgr的SSH访问
确认各项设置无误后,点击完成,开始nsxmgr虚拟机的上传操作
等待nsxmgr上传完成
打开nsxmgr操作系统电源,开始后续包括与vCenter 1:1注册在内的配置操作
主题:迷你SDDC环境搭建
任务22:NSX Manager与vCenter 1:1注册
在NSX for vSphere的架构中,管理平面包括三个组件,分别是NSX Manager、vCenter和运行在esxi主机用户空间的vsfwd(ESXi服务进程);对于NSX for vSphere而言,用户的所有管理配置均不是通过NSX Manager直接去实现的,而是在NSX Manager与vCenter 1:1集成后,借助于vCenter Web Client配置实现。
此架构的优势在于VC可以统一管理包括vSphere、vSAN和NSX在内的VMware软件定义基础架构的全部组件;劣势在于强制绑定关系造成了NSX for vSphere面对异构Hypervisor时无法应对的窘境;而NSX DC产品中的NSX-T很好地弥补了这一个缺点,相信在未来,NSX-T一定会大放异彩。
在nsxmgr正常启动后,管理员访问nsxmgr-a.eccomat.local,在登录后进行基本配置:
通过域名访问nsxmgr,使用默认的管理员admin和OVF部署向导定义的密码登录
首先点击View Summary,检查nsxmgr的各项服务运行状态
需要特别注意的是,NSX Universal Sync Service是在部署了NSX cross VC后,只有在Primary NSX Manager上才会正常运行的服务
进入Manager管理页面
检查OVF部署向导定义的NTP同步服务器是否生效,同时将时区更新为Asia/Shanghai
如果需要更改nsxmgr管理地址,也可以通过本页面下的network界面实现
进入NSX Management Service页面,完成与vCenter,即vcsa-a的1:1注册操作
设置Lookup Service URL为vCenter Platform Service Controller的地址;在迷你SDDC环境中,由于vCenter是嵌入式PSC部署,因此PSC服务器为vcsa-a.eccomat.local本身
接受证书指纹
设置与vCenter的注册关系
接受证书指纹
在NSX Management Service界面确认服务的连接状态均为Connected
主题:迷你SDDC环境搭建
任务23:集群主机准备
在部署NSX的环境中,一般会有三类集群,分别是用于承载包括vCenter、PSC、NSX Manager、NSX Controller Cluster在内的管理集群;承载包括Edge和DLR CVM在内的边界集群和承载业务虚拟机的计算集群;有时候处于规模的考量,会选择将管理和边界集群合二为一。
NSX的主机准备,是NSX Manager借助于vCenter的EAM(ESX Agent Manager),将nsx-esx.vib安装到集群的每一台esxi服务器中,该vib会在esxi服务器的内核空间运行三个关键的vmkernal:
vdl2:用于虚拟网络逻辑交换
vdrb:用于虚拟网络逻辑路由和桥接功能
vsip:用于分布式防火墙的安全微分段
首先为NSX Solution上传许可;在没有许可的情况下,主机无法安装VIB,完成主机准备
点击Home,进入Networking and Security页面
在Installation and Upgrade页面,可以看到所有VC集群;我将对AT Management and Edge Cluster和AT Compute Cluster进行主机准备
选中需要安装nsx-esx.vib的集群,点击ACTIONS,选择Install安装
主机准备将以集群作为单位进行,在使用FQDN作为esxi主机名添加到VC清单列表的场景中,请务必保证DNS服务器配置正确
耐心等待集群准备工作完成;在Web Client可以看到VC通过EAM在集群的esxi服务器安装nsx-esx.vib
重复上述步骤,完成所有相关集群的主机准备操作
在完成主机准备阶段后,可以看到NSX Installation和Firewall状态已经正常;借助这个信息,至少可以得出两个结论:
想要使用NSX分布式防火墙,必须要经过主机准备工作
NSX分布式防火墙策略的下发和生效无需NSX Controller参与,与NSX的控制平面完全无关
主题:迷你SDDC环境搭建
任务24:逻辑网络准备
对于NSX for vSphere来说,借助于VxLAN技术,可以实现跨数据中心的网络一致性;与之不同的是,NSX-T的逻辑网络采用的是Geneve封装;
在逻辑网络准备阶段,我将演示如何定义VxLAN ID的范围和传输控制区域覆盖的集群:
进入Logical Network Settings,在默认的VXLAN Settings页面下,点击Segement IDs旁的EDIT,编辑VxLAN ID段
定义VxLAN ID段,如5000-5999
回到Host Preparation主机准备界面,在完成VXLAN ID范围定义后,点击VXLAN旁的CONFIGURE,创建VTEP
在VXLAN配置向导,选择分布式交换机vDS-overlay作为VTEP承载虚拟交换机,设置MTU满足不低于1600,并创建一个VTEP IP地址池,用于自动分配VTEP地址
在迷你SDDC环境中,我定义了172.20.11.0/24作为VTEP地址段,设置172.20.11.100-109,合计10个IP地址,用于VTEP IP分配
点击Save,完成VXLAN配置
回到主机准备界面,可以看到VXLAN配置已经呈现绿色健康状态
回到逻辑网络配置界面,创建传输控制区域
定义一个命名为TZ-ECCOMAT的传输控制区域,将完成主机准备的两个集群添加到该传输控制区域
回到主机准备页面,可以看到除了控制平面呈现Unknown未知状态外,其他所有操作均已完成
在本阶段,在每一台完成主机准备的esxi服务器分布式交换机上,均添加了一个vmkernal端口,用于VXLAN流量的传输
主题:迷你SDDC环境搭建
任务25:NSX Controller安装
接下来,我将演示NSX Controller的安装,完成逻辑网络创建前的最后一项准备工作:
在Management管理页面的最下方,点击Controller Node下的ADD,添加NSX控制器;一台NSX Manager最多拥有三台NSX Controllers,在迷你SDDC环境中,由于资源有限,我将只部署一台NSX Controller
定义NSX控制器的密码,如VMware1!VMware1!,请务必注意密码长度和复杂度要求
选择承载该NSX控制器的集群
完成一系列基本设置后,NSX将借助VC的EAM,在目标集群,如管理与边界集群创建NSX控制器虚拟机
等待NSX控制器虚拟机部署完成,并自动开启电源
完成NSX控制器的部署后,在主机准备界面可以看到所有的状态均已正常
主题:迷你SDDC环境搭建
任务26:NSX Controller规模调整
不知道是否有朋友注意到,默认安装需要4vCPU和4GB内存资源的NSX控制器虚拟机,在迷你SDDC环境中只需要2vCPU和2GB内存,这是如何实现的呢?
如果各位有兴趣不妨试一下,这台虚拟机的编辑设置选项是灰色的,意味着默认情况不允许管理员手动调整硬件分配。
那么,2vCPU和2GB内存硬件分配是如何实现的呢?在今天文章的最后,我将演示如何调整NSX控制虚拟机的硬件资源分配。
在我好友的公众号“NSX很可爱的”推出的NSX系列中,有一篇专门介绍NSX工程模式的文章,有兴趣的朋友不妨去翻阅该篇文章,了解更加详细的内容。
实现NSX控制器虚拟机硬件分配调整的操作如下:
通过命令行访问NSX Manager底层
注意,必须在创建NSX控制器虚拟机前更改部署规模,已经创建的虚拟机无法直接更改
依次键入一下命令:
# en
输入NSX特权模式密码
# st eng
输入工程模式密码:IAmOnThePhoneWithTechSupport
修改/common/em/components/vdn/controller/ovf/目录下的控制器虚拟机OVF模板文件
将默认部署使用的4vCPU和4GB内存部署规模调整成2vCPU和2GB内存即可
经过上述几个配置任务,我已经在迷你SDDC环境中创建了用于网络与安全解决方案的NSX Manager,并执行了包括主机准备和控制器部署等后续步骤。