網管人雜誌
本文刊載於
網管人雜誌第 242 期 - 2026 年 3 月 1 日出刊,NetAdmin 網管人雜誌
為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology
Learning
技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份
1 日出刊您可於各大書店中看到它,或透過城邦出版人讀者服務網進行訂閱。
本文目錄
前言
日前,Nutanix 官方發佈最新 7.5 版本,除了原有的特色功能增強之外,也新增許多特色功能。舉例來說,過往企業或組織在管理 VM 虛擬主機時,採用的是 Nutanix Prism 管理平台,將運算、儲存、網路、自動化、災難復原……等,整合至單一介面當中。
在容器工作負載管理方面,則是透過 Nutanix Kubernetes Platform(NKP)管理平台,簡化 Kubernetes 叢集的部署、管理、擴充……等。
現在,新推出的 Nutanix Central 管理平台,將提供統一且可視化的集中管理機制,無論工作負載是部署在地端資料中心,或是 AWS、Azure、GCP Nutanix NC2……等公有雲環境,都可以統一進行管理(如圖 1 所示)。
圖 1、Nutanix Central 運作架構示意圖
實戰 – Nutanix 叢集基礎設定
當企業或組織的管理人員,透過 Nutanix Foundation VM,部署 Nutanix Cluster 運作環境,和 Nutanix 叢集節點主機後,雖然 Nutanix 叢集運作架構已經成形並且正常運作中。
然而,此時的 Nutanix 叢集仍有許多基礎架構的組態設定並未完整,舉例來說,管理人員可以使用預設的 admin 管理帳號,登入 Nutanix Prism Element(PE)管理介面進行管理作業,但是想要採用企業或組織的 SSO 帳號登入時,便需要先進行組態設定後才能順利登入 Nutanix PE 管理介面,進行 Nutanix 叢集的管理和維護作業。
那麼,在實作演練小節中,便會一步一步帶領讀者,在 Nutanix 叢集部署完畢後,有哪些重要的 Nutanix 叢集基礎設定,必須先進行組態設定和驗證,也就是管理人員應該先完成 Day-1 Operations 階段後,才接著進行 Day-2 Operations 階段,例如,Nutanix 叢集資源使用率和工作負載的管理作業。
DNS 名稱解析機制
無論哪種基礎架構,DNS 名稱解析機制都是最重要且最基礎的一環。雖然,在 Nutanix Foundation 部署流程中,管理人員已經可以指定 DNS 名稱解析伺服器,管理人員仍然可以視後續維護管理需求,隨時調整 Nutanix 叢集指向使用的 DNS 名稱解析伺服器。
請在登入 Nutanix PE 管理介面後,依序點選「Settings > Network > Name Servers」後,在 Server IP 欄位中,填入指定使用的 DNS 名稱解析伺服器後,按下 +Add 鈕即可新增,然後下方 IP Address 區塊,便會顯示新增的 DNS 名稱解析伺服器清單(如圖 2 所示)。
圖 2、組態設定 Nutanix 叢集 DNS 名稱解析伺服器
值得注意的是,無論是新增或變更 Nutanix 叢集 DNS 名稱解析伺服器,系統的組態設定變更套用時間可能需要 5 分鐘左右,在這段變更套用期間 Nutanix 叢集 DNS 名稱解析機制,可能無法正常運作。此外,管理人員最多可以為 Nutanix 叢集,組態設定「3 台」DNS 名稱解析伺服器。
同時,當管理人員為 Nutanix 叢集組態設定 DNS 名稱解析伺服器後,雖然 Nutanix 叢集每隔 12 小時,會自動執行系統健康狀態檢查作業,但管理人員也可以登入 Nutanix 叢集中,其中一台 CVM 主機,並透過 NCC Health Check 機制中的「dns_server_check」功能,檢查 Nutanix 叢集 DNS 名稱解析伺服器的健康狀態。
管理人員只要透過 SSH 機制登入 CVM 主機後,執行「ncc health_checks system_checks dns_server_check」指令,即可立即觸發執行 Nutanix 叢集 DNS 名稱解析伺服器,健康狀態檢查作業,確保 DNS 名稱解析伺服器順利套用,並且 DNS 名稱解析機制正常運作中,詳細資訊請參考 Nutanix KB-3005 知識庫文件內容。
NTP 時間校對機制
和 DNS 名稱解析機制同等重要的,第 2 項基礎設定便是指定 Nutanix 叢集,採用的 NTP 時間校對伺服器。在 Nutanix 叢集規模較小,叢集節點主機數量少的情況下,未組態設定 NTP 時間校對機制時,可能受影響的感受不大,然而在 Nutanix 叢集規模中大型,並且叢集節點主機數量多的情況時,那麼是否組態設定 NTP 時間校對機制,便會顯得影響重大。
舉例來說,倘若 Nutanix 叢集規模中,叢集節點主機數量有 32 台時,倘若未組態設定 NTP 時間校對機制,雖然在運作上可能不致產生影響,然而當管理人員需要追蹤資源使用情況時,或是系統發生錯誤需要故障排除時,由於並未設定 NTP 時間校對機制,造成叢集節主機之間的系統時間不一致,導致系統產生的日誌檔案內容時間點不一致,造成時間追蹤和故障排除的麻煩及困擾。
因此,NTP 時間校對機制看似微不足道,然而在 Nutanix 叢集後續的維護管理作業上,卻是具備舉足輕重的地位,管理人員應重視才對。請在登入 Nutanix PE 管理介面後,依序點選「Settings > Network > NTP Servers」後,在 NTP Server 欄位中,填入指定使用的 NTP 時間校對伺服器,格式可以使用 Hostname、FQDN、IP 位址後,按下 +Add 鈕即可新增,然後下方 Hostname or IP Address 區塊,便會顯示新增的 NTP 時間校對伺服器清單(如圖 3 所示)。
圖 3、組態設定 Nutanix 叢集 NTP 時間校對伺服器
同樣的,當管理人員為 Nutanix 叢集組態設定 NTP 時間校對伺服器後,系統會每隔 12 小時,自動執行系統健康狀態檢查作業,但是管理人員可以登入 Nutanix 叢集其中一台 CVM 主機,透過 NCC Health Check 機制中的「check_ntp」功能,檢查 Nutanix 叢集 NTP 時間校對伺服器的健康狀態。
管理人員只要透過 SSH 機制登入 CVM 主機後,執行「ncc health_checks system_checks check_ntp」指令,即可立即觸發執行 Nutanix 叢集 NTP 時間校對伺服器,健康狀態檢查作業,確保 NTP 時間校對伺服器順利套用,並且 NTP 時間校對機制正常運作中,詳細資訊請參考 Nutanix KB-4519 知識庫文件內容。
LDAP 身份認證機制
預設情況下,當 Nutanix 叢集剛部署完成後,管理人員僅能使用預設的管理帳號「admin」登入,必須要組態設定 LDAP 身份認證機制後,才能指派企業或組織的使用者帳號具備哪些管理權限,在 Nutanix 叢集環境中,支援常見的微軟 Active Directory(AD)和 OpenLDAP 身份認證機制。
請在登入 Nutanix PE 管理介面後,依序點選「Settings > Users and Roles > Authentication > Directory List」後,點選下方 +New Directory 鈕,準備新增 LDAP 身份認證機制,並填入下列欄位資訊(如圖 4 所示):
- Directory Type: 選擇使用的 LDAP 身份認證類型,Nutanix 支援採用微軟 Active Directory(AD),以及 OpenLDAP 身份認證機制。
- Name: 鍵入目錄名稱,屆時管理人員可以用來識別此目錄服務的名稱,例如,WS2025 AD。
- Domain: 鍵入網域名稱,請提供目錄服務的網域名稱,例如,lab.weithenn.org。
- Directory URL: 鍵入目錄服務的網址,Nutanix 支援採用 LDAP(Port 389)、LDAPS(Port 636、LDAP-GC(Port 3268)、LDAPS-GC(Port 3269),例如,ldaps://dc.lab.weithenn.org:636。
- Search Type: 搜尋類型,選擇系統進行身份驗證目錄搜尋方式,除非有特殊情況,否則請保持預設值 Non Recursive 即可,採用非預設值的 Recursive 目錄搜尋方式,可能會導致登入效能異常緩慢。
- Service Account: 鍵入服務帳號和密碼,這個服務帳號將用於登入剛才指定的目錄服務,通常這個服務帳戶僅僅為了執行特定服務而建立,管理人員應該限制這個服務帳戶的權限,值得注意的是,服務帳號必須採用 UPN 格式,例如,ad-query@lab.weithenn.org。
圖 4、組態設定 Nutanix 叢集 LDAP 身份認證和目錄服務資訊
以上 LDAP 身份驗證和目錄服務資訊確認無誤後,按下 Save 鈕即可儲存,系統便會在 Directory List 區塊中,顯示剛才新增的目錄服務資訊,管理人員可以按下 Test 鈕,在 Test Connection 視窗中,於 Directory Name 欄位選擇目錄服務,在 User 和 Password 欄位,鍵入服務帳號和密碼後,按下 Test 鈕進行 LDAP 身份驗證和目錄服務測試程序,驗證成功的話,系統將會出現「Authentication test successful.」資訊。
值得注意的是,預設情況下,組態設定的目錄服務中,通過身份驗證的使用者帳號,並不會被系統授予任何權限,所以管理人員必須接著為使用者帳號指定角色並授予權限,才能登入及管理 Nutanix 叢集環境。
請在 Nutanix PE 管理介面中,依序點選「Settings > Users and Roles > Role Mapping > +New Mapping」,在 Create Role Mapping 視窗中,請選擇和鍵入下列資訊,以便為使用者帳號指定角色並授予權限(如圖 5 所示):
- Directory or Provider: 選擇目錄服務或 LDAP 身分認證提供者,倘若在下拉式選單中,沒有看到欲連接的目錄服務時,請回到 LDAP 身份認證步驟,確認組態設定內容是否正確。
- Type: 選擇 LDAP 採用類型,支援使用 Group、User、OU 等 3 種類型。
- Role: 選擇指派的角色,支援 Viewer、Cluster Admin、User Admin、Backup Admin 等角色,其中 Cluster Admin 雖然可以查看叢集資訊,並且執行各種叢集管理任務,但是無法建立或修改使用者帳號,必須採用 User Admin 角色才能管理使用者帳號。
- Values: 鍵入使用者帳號或群組名稱,請不要在此欄位中鍵入網域名稱,例如,使用者的 UPN 帳號為 weithenn@lab.weithenn.org,那麼此欄位請鍵入 weithenn 使用者名稱即可,如果有多筆使用者帳號或群組需要鍵入時,請用逗號隔開處理。
圖 5、選擇目錄服務並指派使用者帳號具備的 Nutanix 叢集角色
以上 Nutanix 叢集角色和目錄服務資訊確認無誤後,按下 Save 鈕即可儲存,系統便會在 Role Mapping Management 區塊中,顯示剛才新增的叢集角色資訊,並顯示「Successfully saved Role Mappings」字樣,提醒管理人員叢集角色套用生效。
倘若,組態設定 LDAP 身分驗證和目錄服務後,發生錯誤需要故障排除時,除了登入 CVM 主機,執行「ncc health_checks system_checks ldap_config_check」指令,檢查 LDAP 身分驗證和目錄服務健康情況之外,也可以參考 Nutanix KB-3363 知識庫文件內容,進行故障排除作業。
叢集虛擬網路
在 Nutanix 叢集虛擬網路環境中,包含,Subnets 虛擬網路環境,Internal Interfaces 叢集網路介面,Virtual Switch 虛擬網路交換器等組態設定項目,以便因應企業或組織多種網路環境的需求。
其中,最簡單的應用場景,便是透過預設的 vs0 虛擬網路交換器,搭配建立 Subnets 虛擬網路環境及 VLAN ID 後,達到 Layer 2 層級的網路隔離效果。
請在登入 Nutanix PE 管理介面後,依序點選「Settings > Network > Network Configuration > Subnets」後,點選右方 +Create Subnet 鈕,準備新增 Subnets 虛擬網路環境,並填入下列欄位資訊(如圖 6 所示):
- Subnet Name: 鍵入虛擬網路名稱,以便後續辨識管理使用。
- Virtual Switch: 選擇採用的虛擬網路交換器,預設虛擬網路交換器名稱為 vs0。
- VLAN ID: 鍵入 VLAN ID 識別號碼,例如,168。
- Enable IP address management: 是否啟用 IP 位址管理機制,倘若區域網路內已經有 DHCP 伺服器的話,那麼便不需要啟動 IP 位址管理機制避免衝突。
圖 6、管理人員依據需求建立 Subnet 虛擬網路
告警郵件
透過為 Nutanix 叢集組態設定 SMTP 郵件伺服器,能夠讓 Nutanix 叢集定期發送系統資訊給予管理人員。請在 Nutanix PE 管理介面中,依序點選「Settings > Alerts and Notifications > SMTP Server」後,準備新增 SMTP 郵件伺服器資訊,並填入下列欄位資訊:
- Hostname Or IP Address: 鍵入 SMTP 郵件伺服器的網域名稱或 IP 位址,例如,relay.lab.weithenn.org。
- Port: 鍵入和 SMTP 郵件伺服器的通訊埠號,支援 Port 25(未加密)、465(SSL)、587(TLS)。
- Security Mode: 選擇採用哪種安全模式,支援 NONE、STARTTLS、SSL。當選擇採用 STARTTLS 或 SSL 安全模式時,需要鍵入使用者帳號及密碼進行身份驗證。
- From Email Address: 鍵入電子郵件地址,屆時郵件中此欄位將顯示為寄件人地址。
填寫完畢確認無誤後,按下 Save 鈕即可。然後按下 Test 鈕,填入收件人地址和郵件的主旨及內容後,按下 Send test email 鈕,便能立即從 Nutanix 叢集中,寄出測試郵件給指定的收件人,並且系統也將顯示測試郵件送信結果(如圖 7 所示)。
圖 7、組態設定 Nutanix 叢集 SMTP 郵件伺服器資訊
接著點選左側 Alert Email Configuration 項目,切換到告警郵件組態設定,在 Settings 頁面中,預設情況下,系統每天會檢查系統情況,一旦發生告警事件時,便會在指定時間,例如,早上 6 點,寄送至下方 Email Recipients 欄位中,指定的收件人地址,例如,Nutanix_Admins@lab.weithenn.org,然而若沒有任何告警事件時則不予寄送。
倘若,管理人員希望無論如何,都能夠每天收到系統的檢查郵件時,只需要取消勾選「Skip the daily digest email if there are no alerts generated on a given day」項目即可(如圖 8 所示)。
圖 8、管理人員依據需求組態設定告警郵件行為和寄送時間
儲存資源池
在 Nutanix HCI 超融合架構中,儲存資源池(Storage Pool)是一組定義的實體磁碟,在建構 Nutanix 叢集時,系統便會自動將叢集節點主機的實體磁碟,融合並建立儲存資源池。
然而,預設的儲存資源池名稱不易辨識,例如,預設名稱為「default-storage-pool-<14 個字元數字 >」,倘若企業或組織的地端資料中心內,只有一組 Nutanix 叢集的話,此預設名稱雖然不易辨識,但也還算容易找到,倘若有多組 Nutanix 叢集時便會造成辨識上的困難,後續若採用 Prism Central(PC)主控台納管後,也會因為辨識困難導致管理不易。
請在 Nutanix PE 管理介面中,依序點選「Storage > Table > Storage Pool」後,點選欲修改名稱的儲存資源池後,按下右側 Update,在彈出的 Update Storage Pool 視窗中,鍵入新的儲存資源池名稱,例如,taipei-cluster01-sp 後,按下 Save 鈕即可套用生效(如圖 9 所示)。
圖 9、變更預設的儲存資源池名稱以利識別
儲存容器
在 Nutanix HCI 超融合架構中,儲存容器(Storage Container)是底層儲存資源池的可用儲存空間子集。簡單來說,當系統將所有叢集節點的儲存空間匯集融合成 70TB 儲存資源池後,再利用儲存容器機制,將儲存空間切割成顆粒較細的功能和空間,例如,切割出 5TB 儲存空間,並且啟用壓縮和重複資料刪除的進階儲存功能。
請在 Nutanix PE 管理介面中,依序點選「Storage > Table > Storage Container」後,會看到系統預設建立好的 3 個儲存容器,分別是系統用途的 SelfServiceContainer 和 NutanixManagementShare,以及預設的「default-container-<14 個字元數字 >」。
值得注意的是,預設的 default-container 儲存容器,和預設的儲存資源池不同,在管理人員嘗試變更名稱時,會發現呈現灰色無法變更名稱,管理人員可以直接使用,或是刪除它建立新的儲存容器使用。
雖然,在刪除預設的 default-container 儲存容器時,系統將會發出警告並且說明一旦刪除後便無法回復,然而目前系統都在初始設定階段,在預設的 default-container 儲存容器中,並沒有任何資料存在,所以管理人員可以放心刪除,並且底層都是使用同一個儲存資源池,所以刪除後過一段時間之後,系統會自動將預設的 default-container 儲存容器儲存空間回收,管理人員無須擔心。
倘若管理人員擔心叢集不會自動回收儲存空間的話,只要透過 SSH 機制登入 CVM 主機後,執行「ncc health_checks stargate_checks container_on_removed_storage_pool」指令,即可立即觸發執行 Nutanix 叢集儲存資源健康狀態檢查作業,確保儲存資源池中標記為移除的儲存容器,是否刪除並回收儲存空間,詳細資訊請參考 Nutanix KB-9491 知識庫文件內容。
管理人員要建立新的儲存容器時,只要按下右上方的 +Storage Container,在彈出的 Create Storage Container 視窗中,依據需求選擇或填入下列欄位資訊(如圖 10 所示):
- Name: 鍵入儲存容器名稱,例如,windows-server-sc,表示此儲存容器屆時將用於存放 Windows Server VM 虛擬主機,儲存容器名稱最大長度為 75 個字元。
- Storage Pool: 選擇採用的儲存資源池,準備將此新增的儲存容器,建立於指定的儲存資源池內。
- Cluster Fault Tolerance: 叢集的容錯能力,例如,目前叢集規模為 4 台節點主機,所以 Replication Factor(RF)能力為 2,容錯能力為允許 1 顆硬碟或 1 台節點主機發生故障損壞。
- Reserved Capacity(Logical): 強制系統預留給儲存容器的儲存空間。
- Advertised Capacity(Logical): 強制系統儲存容器最大能夠使用的儲存空間。
- Compression: 設定此儲存容器是否啟用壓縮功能,以便壓縮資料大小達到節省儲存空間的目的,Nutanix 建議設定壓縮延遲時間為 60 分鐘。
- Deduplication: 設定此儲存容器是否啟用重複資料刪除功能,Nutanix 建議用於 Full Clone 和 Persistent Desktops 環境,值得注意的是當 RF=1 時,將無法啟用重複資料刪除功能。
- Erasure Coding: 設定此儲存容器是否啟用 Erasure Coding 功能,當值得注意的是當 RF=1 時,將無法啟用 Erasure Coding 功能。
- Filesystem Allowlists: 設定能夠存取此儲存容器的 IP 位址白名單,例如,10.10.75.0/255.255.255.0,表示只有來自這段網路遮罩的主機才能存取,其它 IP 來源則一律禁止存取。
圖 10、新增名稱為 windows-server-sc 的儲存容器
啟用 HA 高可用性機制
預設情況下,Nutanix 叢集並沒有啟用 HA 高可用性機制,管理人員必須登入 Nutanix PE 管理介面進行啟用。
順利登入 Nutanix PE 管理介面後,請依序點選「Settings > Data Resiliency > Manage VM High Availability」後,勾選「Enable HA Reservation」項目,同時系統將會顯示啟用 HA 高可用性功能後,系統將會為叢集預留 1006.9GB 記憶體空間(如圖 11 所示),以便因應單一節點主機發生災難事件時,能夠快速因應,叢集預留的記憶體空間將會隨著資源使用和工作負載情況而有所不同。
圖 11、為 Nutanix 叢集啟用 HA 高可用性機制
啟用預留重建空間
預設情況下,Nutanix 叢集並沒有啟用預留重建空間機制,雖然可用儲存空間會有所增長,但是未來在面對災難事件時,將因為沒有預留重建空間,而讓 Nutanix 叢集自我修復速度緩慢,甚至無法快速因應重大災難事件。
請在登入 Nutanix PE 管理介面後,依序點選「Settings > Data Resiliency > Rebuild Capacity Reservation」後,勾選「Reserve Rebuild Capacity」項目後(如圖 12 所示),按下 Save 鈕儲存設定,系統經過一段時間計算後,便會為 Nutanix 叢集啟用預留重建空間機制。
圖 12、為 Nutanix 叢集啟用預留重建空間機制
圖 13、查看 Nutanix 叢集預留重建空間詳細資訊
圖 14、調整儲存空間告警門檻值
結語
透過本文的深入剖析和實戰演練後,管理人員應充分理解,雖然 Nutanix 叢集部署完畢並正常運作,然而應該先將基礎架構的組態設定完成後,讓 Nutanix 叢集整體運作架構強健,才開始運作 VM 虛擬主機或容器等工作負載,切勿因為專案時程緊迫而忽略這些基礎設定,為日後正式營運的專案架構留下不穩定的隱憂。
