在多個Nutanix超融合叢集運作架構中,必須部署PC管理主控台,以達到多個Nutanix超融合叢集資源統一調度和管理,而非透過PE管理介面逐一連線至個別Nutanix叢集進行管理。本文將說明PC管理主控台正式上線之前,應完成那些基礎設定,避免後續產生維護困擾。
在Nutanix HCI超融合基礎架構中,為何需要Prism Central(PC)主控台角色的存在?簡單來說,在Nutanix HCI超融合基礎架構中,Prism Central(PC)主要擔任集中式管理主控台的角色,可以同時針對多個Nutanix HCI超融合叢集進行統一的資源管理和調度的工作任務。
因此,倘若中小型企業組織部署Nutanix超融合叢集時,可能會因為部署規模不大,在只有單一Nutanix HCI超融合叢集的情況下,僅採用預設的Prism Element(PE)管理機制,就能夠完成大部分的維護管理工作任務。如果超過一個以上的Nutanix HCI超融合叢集規模時,便應該部署且採用PC主控台,以便資源整合及統一調度,如圖1所示。
圖1 Prism Central管理主控台運作架構示意圖。 (圖片來源:Prism Central Architecture | Nutanix Bible)
同樣的情況下,無論企業部署的PC主控台規模是採用輕便的單台PCVM,或是具備高可用性的多台PCVM,如圖2所示,剛部署完成後的PC主控台運作架構雖然已經成形並且正常運作中,然而此時的PC管理主控台仍有許多基礎的組態設定並未完整。舉例來說,管理人員可以使用預設的admin管理帳號登入PC管理介面進行管理作業,若想要採用企業組織的SSO帳號登入時,便需要先進行組態設定才能夠順利登入PC管理介面,進行多個Nutanix超融合叢集的管理和調度任務。
圖2 Prism Central VM運作架構示意圖。 (圖片來源:Prism Central Architecture | Nutanix Solutions Documentation)
接下來的實作演練將示範說明,在PC管理主控台部署完畢後,有哪些重要的基礎設定必須先進行組態設定和驗證,確保完成Day-1 Operations進階設定後,才接著進行後續的Day-2 Operations階段,例如多個Nutanix超融合叢集資源調度和工作負載的管理作業。
設定FQDN完整網域名稱
首先,順利採用PC安裝流程中組態設定的admin管理帳號登入後,依序點選「Prism Central Settings > Settings > General > Prism Central Management」項目,在右邊Prism Central Summary區塊中點選Edit項目。在彈出的Cluster Details視窗中,於FQDN欄位內鍵入PC主控台的FQDN完整網域名稱,例如pc.lab.weithenn.org,然後按下〔Update〕鈕,如圖3所示。
圖3 組態設定PC主控台的FQDN完整網域名稱。
至於Virtual IP欄位為何不填,從下方系統資訊可以明白看到,由於本文實作環境部署的是單台PCVM,而非具備高可用性和水平擴展的多台PCVM架構,因此無須進行組態設定Virtual IP(VIP)的動作。
一旦組態設定PC主控台的FQDN完整網域名稱後,切換回PE管理介面,可以發現在PE儀表板介面中,原本連線至Prism Central區塊內顯示的IP位址,便會轉換為PC主控台的FQDN完整網域名稱,日後即便改變IP位址,也不影響PE儀表板介面的顯示和連線。
倘若在PE管理介面中並未正確顯示PC主控台的FQDN完整網域名稱,而是仍然顯示IP位址時,管理人員可以先中斷連線,再嘗試重新執行註冊PC主控台的動作,按下Register or create new之後,在彈出的視窗中點選I already have a Prism Central instance deployed.區塊內的〔Connect〕鈕,如圖4所示,然後在2. Configuration的註冊PC主控台資訊欄位中,記得填入PC主控台的FQDN和管理帳號密碼,並再次進行連接註冊的動作,便能正確顯示PC主控台FQDN連線資訊。
圖4 在PE管理介面中,重新連線註冊PC主控台。
變更管理帳號密碼過期時間
預設情況下,在PC主控台中的admin管理帳號,密碼過期時間為60天,如果這樣的預設密碼過期天數不符合企業組織的密碼管理原則,管理人員可以依據需求進行調整。
值得注意的是,調整PC主控台admin管理帳號密碼過期時間,尚未實作在GUI圖形介面中,必須透過SSH方式登入後以指令做調整。
登入後執行「sudo chage -l admin」指令,可以看到Maximum number of days between password change欄位為「60」,接著執行「sudo chage -M admin」,便可以指定最大密碼過期時間的天數,若指定「99999」則表示密碼永遠不會過期,再次查看便會發現Password expires欄位變更為「never」,如圖5所示。
圖5 調整PC主控台admin管理帳號密碼過期時間。
再次提醒管理人員,企業和組織的密碼管理原則應套用適合的密碼過期天數,無論所設定的密碼長度或強度為何,定期更換密碼才是相較安全的密碼管理方式。
另一個PC主控台的Nutanix使用者帳號,同樣60天後預設密碼便會過期。由於這個Nutanix使用者帳號的權限並不像admin這麼大,所以只要變更其預設密碼後,系統便會自動套用Nutanix使用者帳號的密碼不會過期。
同樣透過SSH方式登入PC主控台,執行「sudo passwd nutanix」指令,然後鍵入兩次Nutanix使用者帳號的密碼,再執行「sudo chage -l nutanix」指令,即可看到Nutanix使用者帳號的Password expires欄位變更為「never」,代表密碼不會過期,如圖6所示。
圖6 變更Nutanix密碼確保延長密碼有效時間。
DNS名稱解析機制
在PC主控台的部署流程中,管理人員可以指定DNS名稱解析伺服器,後續有相關的管理維護需求時,也都可以隨時調整PC主控台指向使用的DNS名稱解析伺服器。
登入PC主控台管理介面後,依序點選「Admin Center > Settings > Network > Name Servers」,接著在Server IP欄位中填入指定使用的DNS名稱解析伺服器,再按下〔+Add〕鈕即可新增,然後下方的IP Address區塊內便會顯示新增的DNS名稱解析伺服器清單,如圖7所示。
圖7 組態設定PC主控台的DNS名稱解析伺服器。
值得注意的是,無論是新增或變更PC主控台DNS名稱解析伺服器,系統的組態設定變更套用時間可能需要幾分鐘,在這段變更套用期間,PC主控台DNS名稱解析機制可能無法正常運作。此外,最多只能為PC主控台組態設定「3台」DNS名稱解析伺服器。
當管理人員為PC主控台組態設定DNS名稱解析伺服器後,雖然Nutanix叢集每隔12小時會自動執行系統健康狀態檢查作業,但可以透過NCC Health Check健康檢查機制中的「dns_server_check」功能,手動檢查PC主控台和Nutanix叢集DNS名稱解析伺服器的健康狀態。
只要透過SSH機制登入CVM主機,然後執行「ncc health_checks system_checks dns_server_check」指令,即可立即觸發執行PC主控台和Nutanix叢集DNS名稱解析伺服器的健康狀態檢查作業,確保DNS名稱解析伺服器順利套用,並且DNS名稱解析機制正常運作中,詳細資訊可參考Nutanix KB-3005知識庫文件內容。
NTP時間校對機制
與DNS名稱解析機制同等重要的組態設定,便是指定PC主控台的NTP時間校對伺服器。在Nutanix叢集規模較小,叢集節點主機數量少的情況下,未組態設定PC主控台的NTP時間校對機制,可能感受不到受影響的程度,然而當Nutanix叢集規模增長為中大型時,一旦叢集節點主機的數量增多,是否正確組態設定NTP時間校對機制,便會影響日後的管理維護作業。
舉例來說,當Nutanix叢集規模的節點主機數量為64台時,如果未組態設定NTP時間校對機制,雖然在一般運作上可能不會產生影響,然而當管理人員需要進行故障排除或追蹤資源使用情況時,由於未設定NTP時間校對機制,便會導致叢集節主機之間系統時間不一致,讓PC主控台與每一台節點主機之間,日誌檔案內容產生的時間點不一致,造成時間追蹤和故障排除的麻煩及困擾。
因此,NTP時間校對機制看似微不足道,但在PC主控台和Nutanix叢集後續維護管理上,卻具備舉足輕重的地位,管理人員不可不慎。登入PC主控台管理介面,依序點選「Admin Center > Settings > Network > NTP Servers」後,在NTP Server欄位中填入指定使用的NTP時間校對伺服器,格式可以使用Hostname、FQDN、IP位址等類型,按下〔+Add〕鈕即可新增,下方的Hostname or IP Address區塊內,便會顯示新增的NTP時間校對伺服器清單,如圖8所示。
圖8 組態設定PC主控台使用的NTP時間校對伺服器。
同樣地,當為PC主控台組態設定NTP時間校對伺服器後,系統每隔12小時便會自動執行系統健康狀態檢查作業,但是管理人員可以登入Nutanix叢集其中一台CVM主機,透過NCC Health Check機制中的「check_ntp」功能,同時檢查PC主控台和Nutanix叢集NTP時間校對伺服器的健康狀態。
只要透過SSH機制登入CVM主機,並執行「ncc health_checks system_checks check_ntp」指令,就能夠立即觸發執行PC主控台和Nutanix叢集NTP時間校對伺服器的健康狀態檢查作業,確保NTP時間校對伺服器順利套用,以及NTP時間校對機制是否正常運作中,詳細資訊請參考Nutanix KB-4519知識庫文件內容。
設定SMTP郵件伺服器
透過為PC主控台組態設定SMTP郵件伺服器,能夠讓PC主控台定期發送系統資訊給指定的相關管理人員,以便在日常管理維護流程中,透過PC主控台的管理日誌,快速了解PC主控台的健康狀態和運作情況,再判斷是否需要登入PC主控台進行相關的管理維護作業。
在PC主控台管理介面中,依序點選「Admin Center > Settings > Alerts and Notifications > SMTP Server」,然後在SMTP Server Settings區塊中新增內部SMTP郵件伺服器資訊,依照系統需求依序填入下列欄位資訊:
‧Hostname Or IP Address:填入內部SMTP郵件伺服器的網域名稱或IP位址,例如relay.lab.weithenn.org。
‧Port:鍵入與SMTP郵件伺服器進行溝通的通訊埠號,預設情況下,系統支援採用Port 25(未加密連線)、465(SSL加密連線)、587(TLS加密連線)。
‧Security Mode:選擇採用哪種安全模式進行溝通,系統支援採用NONE、STARTTLS、SSL等三種模式,當選擇採用STARTTLS或SSL安全模式時,系統會提示需要鍵入使用者帳號和密碼,通過身分驗證程序後才能順利使用。
‧From Email Address:填入寄件人的電子郵件地址,屆時管理人員收到的PC主控台通知郵件中,郵件顯示的寄件人地址便是此欄位的電子郵件地址,例如PC@lab.weithenn.org
確認填入的SMTP郵件伺服器資訊無誤後,按下〔Save〕鈕即可儲存組態設定並套用生效,如圖9所示。接著,按下〔Test〕鈕,在彈出視窗中填入收件人地址和郵件的主旨及內容,然後按下〔Send test email〕鈕,便能立即從PC主控台系統中寄出測試郵件給剛才填入的指定收件人,同時系統也會顯示測試郵件送信的結果。
圖9 組態設定PC主控台SMTP郵件伺服器資訊。
然後,點選左側Alert Email Configuration項目,切換到告警郵件組態設定,在Settings頁面中,預設情況下,PC主控台會自動每天檢查系統健康情況,一旦發生任何告警事件,便會在指定時間,例如早上6點,寄送至下方Email Recipients欄位中,指定的收件人地址,例如Nutanix_Admins@lab.weithenn.org,倘若沒有任何告警事件時則不予寄送。
若管理人員希望無論PC主控台的系統健康情況檢查結果好或壞,每天都要收到系統的通知郵件,只須取消勾選「Skip the daily digest email if there are no alerts generated on a given day」項目,如圖10所示,那麼無論健康檢查情況如何,系統都會寄送通知郵件至指定收件人信箱中。
圖10 管理人員依照需求組態設定告警郵件行為和每日寄送時間。
LDAP身分認證機制
預設情況下,當PC主控台部署完成後,管理人員僅能使用預設的管理帳號「admin」登入,必須等到組態設定LDAP身分認證機制之後,才能指派企業組織的使用者帳號具備哪些管理權限,在PC主控台運作環境中,支援常見的微軟Active Directory(AD)和OpenLDAP身分認證機制。
在登入PC主控台管理介面後,依序點選「Admin Center > IAM > IdP Configuration > Add Identity Provider > Active Director/OpenLDAP」項目,在彈出的Configure Directory視窗中填入LDAP身分認證機制相關欄位資訊,如圖11所示,如下所示:
圖11 組態設定PC主控台LDAP身分驗證和目錄服務資訊。
‧Directory Type:選擇採用的使用者身分驗證類型,PC主控台支援採用微軟Active Directory(AD)目錄服務以及OpenLDAP身分驗證機制。
‧Name:填入目錄服務名稱,屆時可以用來識別此目錄服務的名稱,例如WS2025 DC。
‧Domain:填入網域名稱,提供目錄服務的網域名稱,例如lab.weithenn.org。
‧Directory URL:填入目錄服務的網址,PC主控台支援採用未加密連線的LDAP(Port 389),以及加密連線的LDAPS(Port 636)、LDAP-GC(Port 3268)、LDAPS-GC(Port 3269),例如ldaps://dc.lab.weithenn.org:636。
‧Search Type:選擇搜尋類型,選擇系統進行身分驗證的目錄搜尋方式,除非有特殊情況,否則保持預設值Non Recursive即可。請注意,採用非預設值的Recursive目錄搜尋方式,可能會導致登入效能異常緩慢。
‧Service Account:鍵入服務帳號和密碼,這個服務帳號將用於登入剛才指定的目錄服務,通常這個服務帳戶僅僅為了執行特定服務而建立,管理人員應該限制這個服務帳戶的權限,值得注意的是,服務帳號必須採用UPN格式,例如ntx-query@lab.weithenn.org。
填入上述LDAP身分驗證和目錄服務資訊並確認無誤後,按下〔Save〕鈕即可儲存並套用生效,系統便會在IdP Configuration下方區塊中顯示剛才新增的目錄服務資訊。
值得注意的是,預設情況下,組態設定目錄服務完成後,通過系統身分驗證程序的使用者帳號並不會被系統授予任何管理權限,所以管理人員必須接著為企業使用者帳號指定角色並授予權限,才能登入及管理PC主控台和Nutanix叢集環境。
在PC主控台管理介面中,依序點選「Admin Center > IAM > Roles」,預設情況下,系統已經有許多內建的角色在裡面,舉例來說,可以勾選「Cluster Admin」角色,再依序點選「Actions > Duplicate」項目,即可快速複製出原有的系統角色進行修改,或是點選「Create Role > New role」項目,從頭開始設定角色。
當角色建立完成後,最後是指派群組或使用者帳號套用權限。依序點選「Admin Center > IAM > Authorization Policies > Create Authorization Policy」項目,在彈出的Create New Authorization Policy視窗中總共有3個組態設定程序。首先可以修改原則名稱以利識別,例如NTX Admins,並且1. Choose Role中,便是選擇剛才建立的角色或其他系統內建角色,例如Cluster Admin,下方便會顯示選擇角色所具備的權限,如圖12所示。
圖12 新增授權原則並選擇授予權限的角色。
確認套用的角色後,按下右下方的〔Next〕鈕,進入2. Define Scope,可以視角色所擁有的權限,選擇Full access或Configure access,倘若不知道如何選擇,採用預設值即可。
在3. Identities頁面中,支援採用Local User本機使用者帳號,或是剛才建立的WS2025-DC(AD)使用者身分驗證服務,然後填入企業內部的使用者帳號或群組名稱,請不要在此欄位中鍵入網域名稱,例如使用者的UPN帳號為weithenn@lab.weithenn.org,那麼此欄位鍵入weithenn使用者名稱即可。如果有多筆使用者帳號或群組需要鍵入時,用逗號隔開處理即可,最後按下〔Save〕鈕儲存並套用設定。
值得注意的是,在PC主控台登入畫面中,若是採用預設的admin帳號登入時,那麼應該確保系統提示為Log in with your Nutanix Local Account,並填入admin帳號及密碼即可登入。
如果在這個本機登入模式中,填入的是企業AD使用者帳號及密碼,如圖13所示,並且嘗試登入。
圖13 在本機登入模式中,填入企業AD使用者帳號及密碼。
將會發現系統回覆找不到使用者帳號,如圖14所示。因此,當管理人員希望使用企業AD目錄服務,登入使用者帳號時,應該先點選下方Login with your Company ID,並確保系統提示為Login with your Company ID時,再填入企業內部AD的使用者帳號和密碼,才能順利登入,否則即便填入正確的帳號和密碼,卻採用錯誤的登入方式,系統將會拒絕登入並顯示找不到使用者帳號。
圖14 目前為本機帳號登入模式,所以無法使用AD帳號登入。
此外,若組態設定LDAP身分驗證和目錄服務,並選擇正確的登入模式後,仍然無法正確登入的話,管理人員可以嘗試登入CVM主機,執行「ncc health_checks system_checks ldap_config_check」指令,檢查LDAP身分驗證和目錄服務健康情況,也可以參考Nutanix KB-3363知識庫文件內容,進行故障排除程序。
延長預設登出時間
預設情況下,登入PC主控台後,若閒置15分鐘沒有任何操作,那麼系統會自動將使用者登出管理介面。
在PC主控台管理介面中,依序點選「Admin Center > Settings > Appearance > UI Settings」項目,管理人員便能依照需求,針對目前登入的使用者或是Non-Admin權限的使用者,組態設定閒置時間到達後強制登出的時間,如圖15所示。
圖15 組態設定閒置多少時間後強制登出。
自訂歡迎登入訊息
預設情況下,系統歡迎登入訊息為空白,管理人員可以依照企業內部的原則,客製化歡迎登入訊息。
在PC主控台管理介面中,依序點選「Admin Center > Settings > Appearance > Welcome Banner」項目,在左邊黑色框範圍中填入HTML語法內容,並按下〔Preview〕鈕,即可在右邊白色框範圍中預覽屆時自訂歡迎登入訊息的效果,如圖16所示,確認內容無誤後勾選「Enable Banner」選項,按下〔Save〕鈕儲存並套用生效。
圖16 客製化企業和組織自訂的歡迎登入訊息。
儲存完成後,登出PC主控台並將這個頁面關閉,重新開啟瀏覽器並連接PC主控台頁面,便會出現剛才自訂的歡迎登入訊息,如圖17所示。
圖17 登入PC主控台頁面時,自動顯示自訂的歡迎登入訊息。
當企業有多台PC主控台時,除了透過FQDN辨別之外,透過自訂的歡迎登入訊息也是個不錯的辨別方式之一。此外,眼尖的管理人員應該已經發現,其實PE管理介面也可以自訂歡迎登入訊息,讓企業組織可以分別針對PC/PE自訂不同的歡迎登入訊息,除了辨別度提升之外,也能夠顯示相關資訊。
結語
透過本文的深入剖析和實戰演練後,管理人員應該完全理解,在多個Nutanix超融合叢集運作架構中,應該透過部署PC管理主控台,達到多個Nutanix超融合叢集資源統一調度和管理,而非透過PE管理介面,逐一連線至個別Nutanix叢集進行管理任務。
然而,在PC管理主控台正式上線營運之前,也應該將PC管理主控台的基礎設定完成,以避免後續產生不可預設的管理維護困擾,增加無謂的故障排除時間。
<本文作者:王偉任,Microsoft MVP及VMware vExpert。早期主要研究Linux/FreeBSD各項整合應用,目前則專注於Microsoft及VMware虛擬化技術及混合雲運作架構,部落格weithenn.org。>