設定 Prism Central 組態，集中管 Nutanix 超融合叢集

網管人雜誌

本文刊載於 網管人雜誌第 245 期 - 2026 年 6 月 1 日出刊，NetAdmin 網管人雜誌 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌，下列筆記為本站投稿網管人雜誌獲得刊登的文章，網管人雜誌於每月份 1 日出刊您可於各大書店中看到它，或透過城邦出版人讀者服務網進行訂閱。

本文目錄

前言

實戰 – Prism Central（PC）組態設定

          FQDN 完整網域名稱

          變更管理帳號密碼過期時間

          DNS 名稱解析機制

          NTP 時間校對機制

          SMTP 郵件伺服器

          LDAP 身份認證機制

          延長預設登出時間

          自訂歡迎登入訊息

結語

前言

在 Nutanix HCI 超融合基礎架構中，為何需要 Prism Central（PC）主控台角色的存在？ 簡單來說，在 Nutanix HCI 超融合基礎架構中，Prism Central（PC）主要擔任集中式管理主控台的角色，可以同時針對多個 Nutanix HCI 超融合叢集，進行統一的資源管理和調度的工作任務。

因此，倘若中小型企業或組織部署 Nutanix 超融合叢集時，可能會因為部署規模不大，只有單一 Nutanix HCI 超融合叢集的情況下，僅採用預設的 Prism Element（PE）管理機制，即可完成大部份的維護管理工作任務，倘若超過一個以上的 Nutanix HCI 超融合叢集規模時，便建議應該部署且採用 PC 主控台，以便資源整合及統一調度（如圖 1 所示）。

圖 1、Prism Central 管理主控台運作架構示意圖

圖片來源： Prism Central Architecture | Nutanix Bible

同樣的情況下，無論企業或組織部署的 PC 主控台規模，是採用輕便的單台 PCVM，或者是具備高可用性的多台 PCVM（如圖 2 所示），剛部署完成後的 PC 主控台，雖然運作架構已經成形並且正常運作中。然而，此時的 PC 管理主控台仍有許多基礎的組態設定並未完整，舉例來說，管理人員可以使用預設的 admin 管理帳號，登入 PC 管理介面進行管理作業，倘若想要採用企業或組織的 SSO 帳號登入時，便需要先進行組態設定後才能順利登入 PC 管理介面，進行多個 Nutanix 超融合叢集的管理和調度任務。

圖 2、Prism Central VM 運作架構示意圖

圖片來源： Prism Central Architecture | Nutanix Solutions Documentation

實戰 – Prism Central（PC）組態設定

在實作演練小節中，將一步一步帶領讀者，在 PC 管理主控台部署完畢後，有哪些重要的基礎設定，必須先進行組態設定和驗證，確保完成 Day-1 Operations 進階設定後，才接著進行後續的 Day-2 Operations 階段，例如，多個 Nutanix 超融合叢集資源調度和工作負載的管理作業。

FQDN 完整網域名稱

首先，順利採用 PC 安裝流程中組態設定的 admin 管理帳號登入後，請依序點選「Prism Central Settings > Settings > General > Prism Central Management」項目，在右邊 Prism Central Summary 區塊中點選 Edit 項目，在彈出的 Cluster Details 視窗中，請於 FQDN 欄位，鍵入 PC 主控台的 FQDN 完整網域名稱，例如，pc.lab.weithenn.org 後，按下 Update 鈕即可（如圖 3 所示）。

圖 3、組態設定 PC 主控台的 FQDN 完整網域名稱

至於 Virtual IP 欄位為何不填，從下方系統資訊可以明白看到，由於本文實作環境部署的是單台 PCVM，而非具備高可用性和水平擴展的多台 PCVM 架構，因此無須進行組態設定 Virtual IP（VIP）的動作。

一旦組態設定 PC 主控台的 FQDN 完整網域名稱後，管理人員可以切換回 PE 管理介面，可以發現在 PE 儀表板介面中，原本連線至 Prism Central 區塊中顯示的 IP 位址，便會轉換為 PC 主控台的 FQDN 完整網域名稱，日後即便改變 IP 位址，也不影響 PE 儀表板介面的顯示和連線。

倘若，在 PE 管理介面中，並未正確顯示 PC 主控台的 FQDN 完整網域名稱，而是仍然顯示 IP 位址時，管理人員可以中斷連線後，嘗試重新執行註冊 PC 主控台的動作，按下 Register or create new 之後，在彈出的視窗中，點選 I already have a Prism Central instance deployed. 區塊內的 Connect 鈕（如圖 4 所示），然後在 2. Configuration 的註冊 PC 主控台資訊欄位中，記得填入 PC 主控台的 FQDN 及管理帳號密碼後，再次進行連接註冊的動作，便能正確顯示 PC 主控台 FQDN 連線資訊。

圖 4、在 PE 管理介面中，重新連線註冊 PC 主控台

變更管理帳號密碼過期時間

預設情況下，在 PC 主控台中的 admin 管理帳號，密碼過期時間為「60 天」，倘若這樣的預設密碼過期天數，不符合企業或組織的密碼管理原則時，管理人員可以依據需求進行調整。

值得注意的是，調整 PC 主控台 admin 管理帳號密碼過期時間，尚未實作在 GUI 圖形介面中，管理人員必須透過 SSH 方式登入後以指令進行調整。首先，登入後執行「sudo chage -l admin」指令，可以看到 Maximum number of days between password change 欄位為 60，接著執行「sudo chage -M <Days> admin」，便可以指定最大密碼過期時間的天數，倘若指定「99999」的話則表示密碼永遠不會過期，再次查看後便會發現 Password expires 欄位變更為「never」（如圖 5 所示）。

圖 5、調整 PC 主控台 admin 管理帳號密碼過期時間

再次提醒管理人員，應該視企業和組織的密碼管理原則，套用適合的密碼過期天數，無論所設定的密碼長度或強度為何，定期更換密碼才是相較安全的密碼管理方式。

另一個 PC 主控台的 Nutanix 使用者帳號，同樣 60 天後預設密碼便會過期，然而這個 Nutanix 使用者帳號，由於權限並不像 admin 這麼大，所以管理人員只要變更其預設密碼之後，系統便會自動套用 Nutanix 使用者帳號的密碼不會過期。

請同樣 SSH 方式登入 PC 主控台後，執行「sudo passwd nutanix」指令，然後鍵入二次 Nutanix 使用者帳號的密碼後，執行「sudo chage -l nutanix」指令，即可看到 Nutanix 使用者帳號的 Password expires 欄位變更為「never」，表示密碼不會過期（如圖 6 所示）。

圖 6、變更 Nutanix 密碼確保延長密碼有效時間

DNS 名稱解析機制

在 PC 主控台的部署流程中，管理人員可以指定 DNS 名稱解析伺服器，後續有相關的管理維護需求時，也都可以隨時調整 PC 主控台指向使用的 DNS 名稱解析伺服器。

請登入 PC 主控台管理介面後，依序點選「Admin Center > Settings > Network > Name Servers」後，在 Server IP 欄位中，填入指定使用的 DNS 名稱解析伺服器後，按下 +Add 鈕即可新增，然後下方 IP Address 區塊，便會顯示新增的 DNS 名稱解析伺服器清單（如圖 7 所示）。

圖 7、組態設定 PC 主控台的 DNS 名稱解析伺服器

值得注意的是，無論是新增或變更 PC 主控台 DNS 名稱解析伺服器，系統的組態設定變更套用時間可能需要幾分鐘，在這段變更套用期間 PC 主控台 DNS 名稱解析機制，可能無法正常運作。此外，管理人員最多只能為 PC 主控台，組態設定「3 台」DNS 名稱解析伺服器。

當管理人員為 PC 主控台組態設定 DNS 名稱解析伺服器後，雖然 Nutanix 叢集每隔 12 小時，會自動執行系統健康狀態檢查作業，管理人員可以透過 NCC Health Check 健康檢查機制中的「dns_server_check」功能，手動檢查 PC 主控台和 Nutanix 叢集 DNS 名稱解析伺服器的健康狀態。

管理人員只要透過 SSH 機制登入 CVM 主機後，執行「ncc health_checks system_checks dns_server_check」指令，即可立即觸發執行 PC 主控台和 Nutanix 叢集 DNS 名稱解析伺服器，健康狀態檢查作業，確保 DNS 名稱解析伺服器順利套用，並且 DNS 名稱解析機制正常運作中，詳細資訊請參考 Nutanix KB-3005 知識庫文件 內容。

NTP 時間校對機制

與 DNS 名稱解析機制同等重要的組態設定，便是指定 PC 主控台的 NTP 時間校對伺服器。在 Nutanix 叢集規模較小，叢集節點主機數量少的情況下，未組態設定 PC 主控台的 NTP 時間校對機制時，可能感受不到受影響的程度，然而當 Nutanix 叢集規模增長為中大型時，一旦叢集節點主機數量增多的情況下，是否正確組態設定 NTP 時間校對機制，便會影響日後的管理維護作業。

舉例來說，當 Nutanix 叢集規模的節點主機數量為 64 台時，倘若未組態設定 NTP 時間校對機制，雖然在一般運作上可能不會產生影響，然而當管理人員需要進行故障排除時，或者追蹤資源使用情況時，由於未設定 NTP 時間校對機制，便會導致叢集節主機之間系統時間不一致，讓 PC 主控台與每一台節點主機之間，日誌檔案內容產生的時間點不一致，造成時間追蹤和故障排除的麻煩及困擾。

因此，NTP 時間校對機制看似微不足道，然而在 PC 主控台和 Nutanix 叢集後續維護管理上，卻具備舉足輕重的地位，管理人員不可不慎。請在登入 PC 主控台管理介面後，依序點選「Admin Center > Settings > Network > NTP Servers」後，在 NTP Server 欄位中，填入指定使用的 NTP 時間校對伺服器，格式可以使用 Hostname、FQDN、IP 位址等類型，按下 +Add 鈕即可新增，下方 Hostname or IP Address 區塊，便會顯示新增的 NTP 時間校對伺服器清單（如圖 8 所示）。

圖 8、組態設定 PC 主控台使用的 NTP 時間校對伺服器

同樣的，當管理人員為 PC 主控台組態設定 NTP 時間校對伺服器後，系統每隔 12 小時之後，便會自動執行系統健康狀態檢查作業，但是管理人員可以登入 Nutanix 叢集其中一台 CVM 主機，透過 NCC Health Check 機制中的「check_ntp」功能，同時檢查 PC 主控台和 Nutanix 叢集 NTP 時間校對伺服器的健康狀態。

管理人員只要透過 SSH 機制登入 CVM 主機後，執行「ncc health_checks system_checks check_ntp」指令，即可立即觸發執行 PC 主控台和 Nutanix 叢集 NTP 時間校對伺服器，健康狀態檢查作業，確保 NTP 時間校對伺服器順利套用，以及 NTP 時間校對機制是否正常運作中，詳細資訊請參考 Nutanix KB-4519 知識庫文件 內容。

SMTP 郵件伺服器

透過為 PC 主控台組態設定 SMTP 郵件伺服器，能夠讓 PC 主控台定期發送系統資訊，給指定的相關管理人員，以便在日常管理維護流程中，能夠透過 PC 主控台的管理日誌，快速了解 PC 主控台的健康狀態及運作情況，再判斷是否需要登入 PC 主控台進行相關的管理維護作業。

請在 PC 主控台管理介面中，依序點選「Admin Center > Settings > Alerts and Notifications > SMTP Server」後，在 SMTP Server Settings 區塊中，新增內部 SMTP 郵件伺服器資訊，請依照系統需求依序填入下列欄位資訊：

• Hostname Or IP Address： 請填入內部 SMTP 郵件伺服器的網域名稱或 IP 位址，例如，relay.lab.weithenn.org 。
• Port： 鍵入和 SMTP 郵件伺服器進行溝通的通訊埠號，預設情況下，系統支援採用 Port 25（未加密連線）、465（SSL 加密連線）、587（TLS 加密連線）。
• Security Mode： 選擇採用哪種安全模式進行溝通，系統支援採用 NONE、STARTTLS、SSL 等三種模式，當選擇採用 STARTTLS 或 SSL 安全模式時，系統會提示需要鍵入使用者帳號及密碼後，通過身份驗證程序後才能順利使用。
• From Email Address： 請填入寄件人的電子郵件地址，屆時管理人員收到的 PC 主控台通知郵件中，郵件顯示的寄件人地址便是此欄位的電子郵件地址，例如，PC@lab.weithenn.org

確認填入的 SMTP 郵件伺服器資訊無誤後，按下 Save 鈕即可儲存組態設定並套用生效（如圖 9 所示），接著，按下 Test 鈕，在彈出視窗中填入收件人地址和郵件的主旨及內容後，按下 Send test email 鈕，便能立即從 PC 主控台系統中，寄出測試郵件給剛才填入的指定收件人，同時系統也會顯示測試郵件送信的結果。

圖 9、組態設定 PC 主控台 SMTP 郵件伺服器資訊

然後點選左側 Alert Email Configuration 項目，切換到告警郵件組態設定，在 Settings 頁面中，預設情況下，PC 主控台會自動每天檢查系統健康情況，一旦發生任何告警事件時，便會在指定時間，例如，早上 6 點，寄送至下方 Email Recipients 欄位中，指定的收件人地址，例如，Nutanix_Admins@lab.weithenn.org，倘若沒有任何告警事件時則不予寄送。

當管理人員希望，無論 PC 主控台的系統健康情況檢查結果好或壞，每天都要收到系統的通知郵件時，只需要取消勾選「Skip the daily digest email if there are no alerts generated on a given day」項目（如圖 10 所示），那麼無論健康檢查情況如何，系統都會寄送通知郵件至指定收件人信箱中。

圖 10、管理人員依照需求組態設定告警郵件行為和每日寄送時間

LDAP 身份認證機制

預設情況下，當 PC 主控台部署完成後，管理人員僅能使用預設的管理帳號「admin」登入，必須等到組態設定 LDAP 身份認證機制之後，才能指派企業或組織的使用者帳號具備哪些管理權限，在 PC 主控台運作環境中，支援常見的微軟 Active Directory（AD）和 OpenLDAP 身份認證機制。

請在登入 PC 主控台管理介面後，依序點選「Admin Center > IAM > IdP Configuration > Add Identity Provider > Active Director/OpenLDAP」項目後，在彈出的 Configure Directory 視窗中，填入 LDAP 身份認證機制相關欄位資訊（如圖 11 所示），如下所示：

• Directory Type： 選擇採用的使用者身份驗證類型，PC 主控台支援採用微軟 Active Directory（AD）目錄服務，以及 OpenLDAP 身份驗證機制。
• Name： 填入目錄服務名稱，屆時管理人員可以用來識別此目錄服務的名稱，例如，WS2025 DC 。
• Domain： 填入網域名稱，請提供目錄服務的網域名稱，例如，lab.weithenn.org 。
• Directory URL： 填入目錄服務的網址，PC 主控台支援採用未加密連線的 LDAP（Port 389），以及加密連線的 LDAPS（Port 636）、LDAP-GC（Port 3268）、LDAPS-GC（Port 3269），例如，ldaps://dc.lab.weithenn.org:636 。
• Search Type： 選擇搜尋類型，選擇系統進行身份驗證的目錄搜尋方式，除非有特殊情況，否則請保持預設值 Non Recursive 即可。請注意，採用非預設值的 Recursive 目錄搜尋方式，可能會導致登入效能異常緩慢。
• Service Account： 鍵入服務帳號和密碼，這個服務帳號將用於登入剛才指定的目錄服務，通常這個服務帳戶僅僅為了執行特定服務而建立，管理人員應該限制這個服務帳戶的權限，值得注意的是，服務帳號必須採用 UPN 格式，例如，ntx-query@lab.weithenn.org。

圖 11、組態設定 PC 主控台 LDAP 身份驗證和目錄服務資訊

填入上述 LDAP 身份驗證和目錄服務資訊並確認無誤後，按下 Save 鈕即可儲存並套用生效，系統便會在 IdP Configuration 下方區塊中，顯示剛才新增的目錄服務資訊。

值得注意的是，預設情況下，組態設定目錄服務完成後，通過系統身份驗證程序的使用者帳號，並不會被系統授予任何管理權限，所以管理人員必須接著為企業使用者帳號指定角色並授予權限，才能登入及管理 PC 主控台和 Nutanix 叢集環境。

請在 PC 主控台管理介面中，依序點選「Admin Center > IAM > Roles」，預設情況下，系統已經有許多內建的角色在裡面，舉例來說，管理人員可以勾選「Cluster Admin」角色後，依序點選「Actions > Duplicate」項目，即可快速複製出原有的系統角色進行修改，或是點選「Create Role > New role」項目，從頭開始設定角色。

當角色建立完成後，最後便是指派群組或使用者帳號套用權限，請依序點選「Admin Center > IAM > Authorization Policies > Create Authorization Policy」項目，在彈出的 Create New Authorization Policy 視窗中，總共有 3 個組態設定程序，首先可以修改原則名稱以利識別，例如，NTX Admins，並且 1. Choose Role 中，便是選擇剛才建立的角色或其它系統內建角色，例如，Cluster Admin，下方便會顯示選擇角色所具備的權限（如圖 12 所示）。

圖 12、新增授權原則並選擇授予權限的角色

確認套用的角色後，按下右下方的 Next 鈕，進入 2. Define Scope，管理人員可以視角色所擁有的權限，選擇 Full access 或 Configure access，倘若不知道如何選擇，可以採用預設值即可。

在 3. Identities 頁面中，支援採用 Local User 本機使用者帳號，或是剛才建立的 WS2025-DC（AD）使用者身份驗證服務，然後填入企業內部的使用者帳號或群組名稱，請不要在此欄位中鍵入網域名稱，例如，使用者的 UPN 帳號為 weithenn@lab.weithenn.org，那麼此欄位請鍵入 weithenn 使用者名稱即可，如果有多筆使用者帳號或群組需要鍵入時，請用逗號隔開處理即可，最後按下 Save 鈕儲存並套用設定。

值得注意的是，在 PC 主控台登入畫面中，倘若是採用預設的 admin 帳號登入時，那麼應該確保系統提示為 Log in with your Nutanix Local Account，並填入 admin 帳號及密碼即可登入。倘若，在這個本機登入模式中，填入的是企業 AD 使用者帳號及密碼（如圖 13 所示），並且嘗試登入。

圖 13、在本機登入模式中，填入企業 AD 使用者帳號及密碼

可以發現系統回覆找不到使用者帳號（如圖 14 所示）。因此，當管理人員希望使用企業 AD 目錄服務，登入使用者帳號時，應該先點選下方 Login with your Company ID，並確保系統提示為 Login with your Company ID 時，再填入企業內部 AD 的使用者帳號和密碼才能順利登入，否則即便填入正確的帳號和密碼，卻採用錯誤的登入方式時，系統將會拒絕你登入並顯示找不到使用者帳號。

圖 14、目前為本機帳號登入模式，所以無法使用 AD 帳號登入

此外，組態設定 LDAP 身分驗證和目錄服務，並選擇正確的登入模式後，仍然無法正確登入的話，管理人員可以嘗試登入 CVM 主機，執行「ncc health_checks system_checks ldap_config_check」指令，檢查 LDAP 身分驗證和目錄服務健康情況之外，也可以參考 Nutanix KB-3363 知識庫文件 內容，進行故障排除程序。

延長預設登出時間

預設情況下，登入 PC 主控台後，倘若閒置 15 分鐘沒有任何操作，那麼系統便會自動將使用者登出管理介面。請在 PC 主控台管理介面中，依序點選「Admin Center > Settings > Appearance > UI Settings」項目，管理人員便能依照需求，針對目前登入的使用者或是 Non-Admin 權限的使用者，組態設定閒置時間到達後強制登出的時間（如圖 15 所示）。

圖 15、組態設定閒置多少時間後強制登出

自訂歡迎登入訊息

預設情況下，系統歡迎登入訊息為空白，管理人員可以依照企業及組織內部的原則，客製化歡迎登入訊息，請在 PC 主控台管理介面中，依序點選「Admin Center > Settings > Appearance > Welcome Banner」項目，在左邊黑色框範圍中，填入 HTML 語法內容後，按下 Preview 鈕即可在右邊白色框範圍中預覽屆時自訂歡迎登入訊息的效果（如圖 16 所示），確認內容無誤後勾選「Enable Banner」選項後，按下 Save 鈕儲存並套用生效。

圖 16、客製化企業和組織自訂的歡迎登入訊息

儲存完成後，請登出 PC 主控台並將這個頁面關閉後，重新開啟瀏覽器並連接 PC 主控台頁面，便會出現剛才自訂的歡迎登入訊息（如圖 17 所示）。

圖17、登入 PC 主控台頁面時，自動顯示自訂的歡迎登入訊息

當企業有多台 PC 主控台時，除了透過 FQDN 辨別之外，透過自訂的歡迎登入訊息也是個不錯的辨別方式之一。此外，眼尖的管理人員應該已經發現，其實 PE 管理介面也是可以自訂歡迎登入訊息，讓企業和組織可以分別針對 PC/PE 自訂不同的歡迎登入訊息，除了辨別度提升之外也可以顯示相關資訊。

結語

透過本文的深入剖析和實戰演練後，管理人員應該完全理解，在多個 Nutanix 超融合叢集運作架構中，應該透過部署 PC 管理主控台，達到多個 Nutanix 超融合叢集資源統一調度和管理，而非透過 PE 管理介面，逐一連線至個別 Nutanix 叢集進行管理任務。然而，在 PC 管理主控台正式上線營運之前，也應該將 PC 管理主控台的基礎設定完成，避免後續產生不可預設的管理維護困擾，增加無謂的故障排除時間。