VMware Hands-on Labs - HOL-1703-SDC-1-ZH


练习概述 - HOL-1703-SDC-1 - VMware NSX 功能特性导览

练习指导


注:完成本练习需要 90 多分钟。每次最好只完成 2 到 3 个单元。这些单元彼此独立,因此您可以从任何单元的开头学起。您可以使用目录访问所选择的任何单元。

目录可以从练习手册的右上角访问。

VMware NSX 是适用于软件定义的数据中心 (SDDC) 的网络虚拟化平台,也是本练习的重点。在本练习期间,我们将指导您了解 NSX 的基本功能特性。首先,我们会向您介绍 NSX 的典型安装流程及其所需的所有组件。然后,我们会详细讲解逻辑交换和逻辑路由,帮助您更好地了解这些概念。接着,我们会介绍 Edge 服务网关以及它如何提供 DHCP、VPN、NAT、动态路由和负载均衡等通用服务。最后,我们会介绍如何将 VLAN 与 VXLAN 和分布式防火墙桥接起来。下面是完整的练习单元列表,所有单元都是完全独立的,您可以在不同单元间自由移动。

练习单元列表:

练习负责人:

本练习手册可以从动手练习文档站点下载,网址为:

[http://docs.hol.pub/HOL-2017]

本练习可能提供其他语言版本。要设置语言首选项并在练习中部署本地化手册,可以在本文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红色框区域包含主控制台。练习手册位于主控制台右侧的选项卡上。
  2. 特定练习可能会需要其他控制台,分别位于左上角单独的选项卡上。如有需要,系统将引导您打开其他具体的控制台。
  3. 练习时间为 90 分钟,由计时器计时。练习无法保存。所有工作必须在练习会话中完成。但是您可以单击EXTEND(延长)延长时间。在 VMware 活动期间,您可以延时两次,最多可延长 30 分钟。每单击一次可延长 15 分钟。如果没有 VMware 活动,您最多可以将练习时间延长到 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘数据输入的其他方法

在本单元中,您要将文本输入到主控制台。除了直接输入,还有两种非常实用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击练习手册内容并将其拖放到控制台的活动窗口

也可以单击文本和命令行界面 (CLI) 命令并将其从练习手册直接拖放到主控制台中的活动窗口。 

 

 

使用在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

在活动的控制台窗口中单击一下

 

在本例中,您将使用在线键盘输入电子邮件地址中所使用的@符号。在美式键盘布局中,输入@符号需要按住 Shift 并按 2。

  1. 在当前的控制台窗口中单击一下。
  2. 单击 Shift键。

 

 

单击 @ 键

 

  1. 单击@键。

您会看到活动控制台窗口中输入了@符号。

 

 

查看屏幕右下部分

 

请检查练习是否已完成所有启动例程并准备好开始运行。如果您没有看到Ready(准备就绪),请稍等几分钟。如果 5 分钟后您的练习仍未变为Ready(准备就绪)状态,请寻求帮助。

 

 

激活提示或水印

 

首次开始练习时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手练习利用了这一优势,我们可以运行多个数据中心内的练习。但是,这些数据中心的处理器可能不同,导致需要通过 Internet 进行 Microsoft 激活检查。

请放心,VMware 和本动手练习完全符合 Microsoft 的许可要求。您正在使用的练习是一个独立的单元,没有对 Internet 的完全访问权限,而 Windows 验证激活正需要这一权限。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一表面问题不会影响到您的练习。 

 

第 1 单元 - 安装讲解示范(15 分钟)

NSX 部署简介


VMware NSX 是提供虚拟机网络操作模式的领先网络虚拟化平台。就像服务器虚拟化能使您更全面地控制在服务器硬件池中运行的许多虚拟机一样,利用 NSX 实现网络虚拟化可提供一个集中的 API,使您能够调配和配置在单个物理网络上运行的众多隔离的逻辑网络。

逻辑网络可以将虚拟机连接和网络服务与物理网络分离,从而使云计算供应商和企业能够灵活地在数据中心内的任何位置安置或迁移虚拟机,同时仍然支持第 2 层/第 3 层连接以及第 4-7 层的网络服务。

在本单元中,我们将重点介绍如何在您的环境中实际执行 NSX 部署。在练习环境中,我们已经为您完成了实际部署。

本单元包含以下课程:


 

NSX 组件

 

在本练习中,您将按照要求的流程安装各种组件(包括 NSX Manager、NSX Controller),然后在 hypervisor 中安装内核模块。

 

动手实验交互模拟:NSX安装与配置


这部分内容将展现动手实验交互模拟,这个模拟带你走进NSX Manager 的安装和配置

1. 点击这里打开交互模拟界面,将在一个新的窗口或者新的标签下显示

2. 如果完成操作,请点击浏览器窗口右上角的”返回实验”或者直接关闭浏览器标签


第 1 单元总结


在本单元中,我们介绍了安装和配置 NSX 的简便流程,完成此流程后,便可通过软件中的七种服务提供第二层应用。

我们讲解了 NSX Manager 设备的安装和配置,包括部署、与 vCenter 集成和配置日志记录和备份。然后,我们介绍了 NSX Controller 作为控制层的部署和 VMware Infrastructure 捆绑包 (vib) 的安装,这些捆绑包是推送到 hypervisor 的内核模块。最后,我们介绍了 VXLAN 隧道端点 (VTEP) 的自动部署、VXLAN 网络标识符池 (VNI) 的创建和传输域的创建。


 

您已完成第 1 单元的学习

祝贺您!您已经完成了第 1 单元的学习。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.2 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

第 2 单元 - 逻辑交换(30 分钟)

逻辑交换 - 单元概述


在本练习中,您首先将了解 VMware NSX 的主要组件。本单元中涉及的其他重要方面包括:

1) 通过添加 NSX Controller 集群,物理结构无需再支持多播协议。控制器集群还提供 VTEP、IP 和 MAC 解析等其他功能。

2) 您将创建一个逻辑交换机,然后将两个虚拟机挂接到您创建的逻辑交换机。

3) 最后,我们将探讨 NSX 平台的可扩展性和高可用性。


逻辑交换


在此部分中,我们将:

  1. 确认主机的配置就绪状态。
  2. 确认逻辑网络的准备情况。
  3. 创建新的逻辑交换机。
  4. 将逻辑交换机挂接到 NSX Edge Gateway。
  5. 将虚拟机添加到逻辑交换机。
  6. 测试虚拟机间的连接。

 


 

启动 Google Chrome

 

在桌面上双击 Google Chrome 图标打开浏览器。

 

 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。)

  1. 选中Use Windows Session Authentication(使用 Windows 会话身份验证)复选框登录。
  2. 单击Login(登录)。

 

 

导航到 Web Client 中的 Networking  Security (网络连接和安全性)部分。

 

  1. 单击Networking  Security(网络连接和安全性)选项卡。

 

 

查看已部署的组件

 

  1. 单击Installation(安装)。
  2. 单击Host Preparation(主机准备)。

您会看到在我们集群中的主机上安装了数据层组件(也称为网络虚拟化组件)。这些组件包括以下内容:

用于端口安全、VXLAN、分布式防火墙和分布式路由的 hypervisor 级内核模块。在安装完网络虚拟化组件后,会在每个集群上配置并启用防火墙和 VXLAN 功能。配置了 NSX Edge 逻辑路由器控制虚拟机后,端口安全模块会在启用分布式路由模块后辅助 VXLAN 功能。

 

 

主机准备好数据路径组件后的拓扑

 

 

 

查看 VTEP 配置

 

  1. 单击Logical Network Preparation(逻辑网络准备)选项卡。
  2. 单击VXLAN Transport(VXLAN 传输)选项卡。
  3. 单击小三角展开集群。

VXLAN 配置可以分为三个重要步骤:

如示意图中所示,计算集群中的主机都使用相同的 VTEP、VXLAN 安全加密链路端点进行配置。该环境使用 VTEP 池的 192.168.130.0/24 子网。

 

 

跨集群配置 VTEP 后的拓扑

 

关于 VXLAN 部署,客户过去面临的主要挑战之一是物理网络设备需要多播协议支持。通过提供基于控制器的 VXLAN 实施,以及不再需要在物理网络中配置多播功能,此挑战已在 NSX 平台中得到解决。这种模式(单播)是默认模式,客户在定义逻辑网络池时不必配置任何多播地址。

如果为指定逻辑交换机选择多播复制模式,NSX 将依靠物理网络的本地 L2/L3 多播功能来确保封装 VXLAN 的多目标流量能够发送至所有 VTEP。在此模式下,多播 IP 地址必须与每个定义的 VXLAN L2 网段(即逻辑交换机)相关联。L2 多播功能用于在本地网段(即相同 IP 子网中的 VTEP IP 地址)中将流量复制到所有 VTEP。此外,应在物理交换机上配置 IGMP 监听以优化 L2 多播流量的交付。

混合模式可提供类似于单播模式的操作简易性(在物理网络中不需要 IP 多播路由配置),同时还可以利用物理交换机的 L2 多播功能。

因此,控制层配置的三种模式为:

 

 

网段 ID 和多播组地址配置

 

  1. 单击Segment ID(网段 ID)。请注意上方的Multicast addresses(多播地址)部分为空。如上所述,我们正在使用默认单播模式进行基于控制器的 VXLAN 实施。

 

 

定义传输域设置

 

  1. 单击Transport Zones(传输域)。
  2. 双击RegionA0_TZ。

传输域可定义逻辑交换机的跨度。传输域可指定哪些集群有权使用特殊逻辑网络。在数据中心内添加新集群时,您可扩大传输域,进而扩大逻辑网络的跨度。在创建横跨所有计算集群的逻辑交换机后,即会消除以往因 VLAN 边界限制造成的所有移动和放置问题。

 

 

确认集群在本地传输域之中

 

确认所有 3 个集群都位于传输域中。

  1. 单击Manage(管理)选项卡,显示属于此传输域的集群。

 

 

定义传输域后的拓扑

 

了解了各个 NSX 组件和 VXLAN 相关配置后,我们现在将创建一个逻辑网络(也称作逻辑交换机)。

 

 

返回 Networking  Security (网络连接和安全性)菜单

 

  1. 单击Back/History(后退/历史记录)按钮返回前一个窗口,即本练习中的Networking  Security(网络连接和安全性)菜单。

如果您在查看Transport Zone(传输区域)后无意中单击了其他位置,可像前面步骤中那样使用Home(主页)菜单返回 Web Client 的Networking  Security(网络连接和安全性)部分。

 

 

创建新的逻辑交换机

 

  1. 单击左侧的Logical Switches(逻辑交换机)。
  2. 单击绿色加号图标以创建新的逻辑交换机。
  3. 将此逻辑交换机命名为Prod_Logical_Switch。
  4. 确保将RegionA0_TZ选为传输域注意:系统应自动选择Unicast(单播)模式。
  5. 系统应自动选择Unicast(单播)模式。
  6. 确保选中Enable IP Discovery(启用 IP 发现)复选框。

IP 发现会启用ARP 抑制功能。

选择Enable IP Discovery(启用 IP 发现)会激活 ARP(地址解析协议)抑制。ARP 用于通过在第 2 层网段上发送广播的方式确定来自 IP 地址的目标 MAC(媒体访问控制)地址。如果带有 NSX Virtual Switch 的 ESXi 主机接收来自 VM(虚拟机)或以太网请求的 ARP 流量,则主机会向带有 ARP 表的 NSX Controller 发送该请求。如果 NSX Controller 实例在其 ARP 表中已经有信息,则会将该信息返回给负责回复该虚拟机的主机。

7. 单击OK(确定)。

 

 

将新逻辑交换机挂接到 NSX Edge 服务网关以供外部访问

 

  1. 突出显示新创建的逻辑交换机。
  2. 右键单击Prod_Logical_Switch,然后选择Connect Edge(连接 Edge)。

 

 

将逻辑交换机连接到 NSX Edge

 

我们会在下一单元更加详细地讲解路由功能,但是,为了将主控制台虚拟机和/或练习中的其他虚拟机与新的逻辑交换机上的虚拟机连接起来,我们需要将它们连接到路由器。正如组件部分所述,可以用两种不同的形式来安装 NSX Edge:分布式路由器和外围网关。 

在该示例中,您将连接逻辑交换机与 NSX Edge 服务网关(外围网关)。

  1. 单击Perimeter-Gateway(外围网关)旁边的单选按钮。
  2. 单击Next(下一步)。

 

 

将逻辑交换机挂接到 NSX Edge

 

  1. 单击vnic7旁的单选按钮。
  2. 单击Next(下一步)。

 

 

命名该接口并为其配置 IP 地址

 

  1. 将该接口命名为Prod_Interface。
  2. 选择Connected(已连接)。
  3. 单击加号以配置子网(其他设置原样保留)。

 

 

为该接口分配一个 IP

 

  1. 在Primary IP Address(主要 IP 地址)中输入 172.16.40.1(将Secondary IP Address[次要 IP 地址] 留空)。
  2. 输入24作为Subnet Prefix Length(子网前缀长度)。
  3. 确认您的设置正确无误,然后单击Next(下一步)。

 

 

完成接口编辑过程

 

  1. 单击Finish(完成)(您将看到新的逻辑交换机显示在逻辑交换机列表中)

 

 

将 Prod_Logical_Switch 连接到 NSX Edge 服务网关后的拓扑

 

在配置完逻辑交换机并向外部网络提供访问权后,即可将 Web 应用虚拟机连接到该网络。

 

 

转到 Hosts  Clusters (主机和集群)

 

  1. 单击Home(主页)按钮。
  2. 单击Hosts and Clusters(主机和集群)。

 

 

将虚拟机连接到 vDS

 

为了能够将虚拟机添加至创建的逻辑交换机,我们需要确保虚拟机网络适配器已启用并连接至正确的 vDS。

  1. 单击Hosts  Clusters(主机和集群)按钮。
  2. 展开 RegionA01-COMP01下的小三角。
  3. 选择Web-03a。
  4. 选择Manage(管理)。
  5. 选择Settings(设置)。
  6. 选择Edit(编辑)。

 

 

连接并启用网络接口

 

  1. 在Network Adaptor(网络适配器)旁,单击接口的下拉菜单。
  2. 选择VM-RegionA01-vDS-COMP (RegionA01-vDS-COMP)
  3. 选中旁边的Connected(已连接)复选框。
  4. 单击OK(确定)。

对 RegionA01-COMP2 集群下的 Web-04a 重复相同步骤。

 

 

将 web-03a 和 web-04a 挂接到新建的 Prod_Logical_Switch

 

  1. 请单击Home(主页)按钮。

 

 

返回 Network  Security (网络和安全性)

 

  1. 单击Networking  Security(网络连接和安全性)。

 

 

选择 Logical Switches (逻辑交换机)

 

  1. 选择Logical Switches(逻辑交换机)选项卡。

 

 

添加虚拟机

 

  1. 单击以突出显示已创建的新逻辑交换机
  2. 右键单击并选择Add VM(添加虚拟机)菜单项。

 

 

添加虚拟机以挂接到新的逻辑交换机

 

  1. 输入相应筛选条件来查找名称以web开头的虚拟机。
  2. 突出显示 web-03a 和 web-04a 虚拟机。
  3. 单击向右箭头,以选择要添加到逻辑交换机的虚拟机。
  4. 单击Next(下一步)。

 

 

将虚拟机的虚拟网卡添加到逻辑交换机

 

  1. 为这两个虚拟机选择虚拟网卡。
  2. 单击Next(下一步)。

 

 

完成将虚拟机添加到逻辑交换机的流程

 

  1. 单击Finish(完成)。

 

 

测试 Web-03a 和 Web-04a 间的连接

 

 

 

Hosts and clusters (主机和集群)视图

 

  1. 单击Home(主页)按钮。
  2. 从下拉菜单中选择Hosts and Clusters(主机和集群)。

 

 

展开集群

 

 

 

打开 Putty

 

  1. 单击Start(开始)。
  2. 在Start(开始)菜单中,单击Putty应用图标。

您将从位于 192.168.110.0/24 子网中的主控制台进行连接。此流量将通过 NSX Edge 然后到达 Web 界面。

 

 

打开 SSH 到 web-03a 的会话

 

  1. 选择web-03a.corp.local。
  2. 单击Open(打开)。

** 注意:如果 web-3a 由于某种原因未作为选项显示,您还可以尝试将 IP 地址 172.16.40.11 放入Host Name(主机名)框中。

 

 

登录该虚拟机

 

注意:如果您在连接 web-03a 时遇到困难,请回顾之前的步骤并验证是否已正确完成这些步骤。

 

 

对 Web 服务器 web-sv-04a 执行 Ping 操作以显示第 2 层连接情况

 

切记使用SEND TEXT(发送文本)选项向控制台发送此命令。(查看练习指导)

输入 ping -c 2 web-04a以便只发送 2 次 ping,而不是连续执行 ping 操作。注意:web-04a 的 IP 为 172.16.40.12,您可以根据需要使用 IP 代替名称执行 ping 操作。

ping -c 2 web-04a

*** 注意:您可能会看到DUP!数据包。这是由于 VMware 采用的嵌套式练习环境的特性所致。生产环境下不会发生这种情况。

**** 请勿关闭您的 Putty 会话。将该窗口最小化以待以后使用。

 

可扩展性/可用性


在此部分,您将了解控制器的可扩展性和可用性。NSX 平台中的控制器集群是控制层组件,负责管理 hypervisor 中的交换和路由模块。控制器集群包含用于管理特定逻辑交换机的控制器节点。使用控制器集群来管理基于 VXLAN 的逻辑交换机,这样就不再要求物理网络基础架构支持多播。

为了实现高恢复能力和高性能,生产部署必须在多个节点部署控制器集群。NSX Controller 集群表示横向扩展分布式系统,其中每个控制器节点分配有一组角色,这些角色定义了节点可以实施的任务类型。控制器节点部署为奇数个数。当前的集群最佳实践(也是唯一受支持的配置)是将三个节点设置为主动-主动-主动模式的负载共享和冗余。

为了提高 NSX 体系结构的可扩展性特征,系统会利用切片机制以确保所有控制器节点在任何给定时间都能保持活动状态。

如果控制器出现故障,数据层(虚拟机)流量不会受到影响。流量会继续。这是因为逻辑网络信息已向下推送到逻辑交换机(数据层)。在没有完整控制层(控制器集群)的情况下,您不能执行添加/移动/更改操作。


 

NSX Controller 可扩展性/可用性

 

  1. 将光标悬停在主页图标上。
  2. 单击Networking  Security(网络连接和安全性)。

 

 

验证现有的控制器设置

 

  1. 单击Installation(安装)。
  2. 单击Management(管理)。

检查 NSX Controller 节点,您可以看到已经部署了三个控制器。NSX Controller 始终以奇数个数一起部署,以实现高可用性和可扩展性。

 

 

查看 NSX Controller 虚拟机

 

要在虚拟环境中查看 NSX Controller,请执行以下操作:

  1. 将光标悬停在主页图标上。
  2. 单击VMs and Templates(虚拟机和模板)。

 

 

您将看到 3 个 NSX Controller

 

  1. 展开RegioA01容器
  2. 突出显示一个 NSX_Controllers
  3. 选择Summary(摘要)选项卡。

请注意与此控制器连接的 ESX 主机。在本练习环境中,其他控制器可能位于不同的 ESX 主机上。在生产环境中,每个控制器将驻留在集群中带有 DRS 反关联性规则集的不同主机上,以避免单主机故障造成多个控制器故障。

 

第 2 单元总结


在本单元中,我们介绍了 NSX 平台的以下主要优点。

速度快,您可以快速调配逻辑交换机,快速将它们与虚拟机和外部网络对接。

平台可扩展性,从扩展传输域和控制器节点的能力即可得到印证。


 

您已完成第 2 单元的学习

祝贺您!您已经完成了第 2 单元的学习。

如果您想了解有关逻辑交换的其他信息,请访问以下 URL:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

第 3 单元 - 逻辑路由(60 分钟)

路由概述


练习单元概述

在上一单元中,我们了解到用户只需单击几下即可创建隔离的逻辑交换机/网络。为了在这些隔离的第 2 层逻辑网络之间提供通信,路由支持必不可少。在 NSX 平台中,您可以借助分布式逻辑路由器在逻辑交换机之间路由流量。这种逻辑路由器的一大特点是路由能力分布在 hypervisor 中。通过采用这种逻辑路由组件,用户可以在逻辑空间中重现复杂的路由拓扑。例如,在一个连接到三个逻辑交换机的三层应用中,各层之间的路由由此分布式逻辑路由器处理。

在本单元中,您将演示以下内容

1) 当路由由外部物理路由器或 NSX Edge 服务网关处理时,流量如何流动。

2) 然后我们将在逻辑路由器上配置逻辑接口 (LIF),并在应用程序的应用层 (App) 和数据库层 (DB) 之间启用路由

3) 稍后我们将在分布式逻辑路由器和 NSX Edge 服务网关之间配置动态路由协议。我们将演示如何控制通向外部路由器的内部路由通告。

4) 最终,我们将了解 ECMP(等价多路径路由)等各种路由协议如何用于扩展和保护 Edge 服务网关。

本单元将帮助我们了解 NSX 平台支持的一些路由功能,以及在部署三层应用时如何利用这些功能。


 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示动手练习中的 CLI 命令,然后使用 Ctrl + C组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项SEND TEXT(发送文本)。
  3. Ctrl + V组合键将该命令从剪贴板粘贴到窗口。
  4. 单击SEND(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、PuTTY、控制台等)中。某些字符并不总是存在于世界各地的所有键盘上。如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。

 

动态路由和分布式路由


您将首先了解分布式路由的配置,以及在内核级别执行路由的优势。


 

当前拓扑和数据包流概览

 

在上面的图片中,请注意应用虚拟机和数据库虚拟机均位于同一物理主机上,这是练习中的情形。在不使用分布式路由的情况下,为了让这两个虚拟机实现通信,在上方我们可以看到用红色箭头步骤指示的流量。首先我们看到,流量离开了应用虚拟机,因为数据库虚拟机不在同一个网络子网中,所以物理主机将该流量发送到第 3 层设备。在此环境中,该设备是驻留在管理集群上的 NSX(外围)Edge。然后,NSX Edge 会将流量发回到它最终到达的数据库虚拟机所在的主机。 

在本练习的末尾,我们将再次查看一个类似的通信流示意图,以了解在配置分布式路由后这种行为发生了何种改变。

 

 

访问 vSphere Web Client

 

 

 

登录 vSphere Web Client

 

使用 Windows 会话身份验证登录 vSphere Web Client。

  1. 勾选Use Windows session authentication(使用 Windows 会话身份验证)- 这样便会自动填充凭证 CORP\Administrator/VMware1!
  2. 单击Login(登录)

 

 

确认 3 层应用的功能

 

  1. 打开一个新的浏览器选项卡
  2. 单击名为Customer DB App(客户数据库应用)的收藏夹

 

 

Web 应用返回数据库信息

 

在开始配置分布式路由之前,我们先来验证三层的 Web 应用是否运行正常。应用的三个层(Web、应用和数据库)位于不同的逻辑交换机上,由 NSX Edge 在各层之间提供路由。

 

 

从外围边缘移除应用和数据库接口

 

正如您在前面的拓扑中看到的,三个逻辑交换机或三个应用层的终点是外围边缘。外围边缘提供这三层之间的路由。我们准备改变该拓扑,首先,从外围边缘移除应用和数据库接口。删除这些接口后,我们将这些移至分布式边缘上。为了节约部署组件的时间,我们已为您创建了分布式路由器。

  1. 单击Networking  Security(网络连接和安全性)按钮

 

 

选择 NSX Edge

 

  1. 单击左侧导航面板中的NSX Edges
  2. 双击edge-3 Perimeter-Gateway-01打开此外围网关配置

 

 

从 Settings (设置)选项卡选择 Interfaces (接口)以显示当前接口

 

  1. 单击Manage(管理)选项卡
  2. 单击Settings(设置)
  3. 在Settings(设置)导航选项卡下,单击Interfaces(接口)

此时您即可看到当前配置的接口及其属性。相关信息包括:虚拟网卡编号、接口名称、接口是配置为内部接口还是上行链路,以及接口当前状态(即活动状态还是禁用状态)。

 

 

删除应用接口

 

  1. 突出显示App_Tier接口。此时Actions(操作)栏会亮起,以提供该选定接口的特定选项
  2. 单击红色的X以便从外围边缘删除该选定接口。此时将弹出一个警告框,要求我们确认是否删除该接口
  3. 单击OK(确定)确认删除

 

 

删除数据库接口

 

  1. 突出显示DB_Tier接口。此时Actions(操作)栏会亮起,以提供该选定接口的特定选项
  2. 单击红色的X以便从外围边缘删除该选定接口。此时将弹出一个警告框,要求我们确认是否删除该接口
  3. 单击OK(确定)确认删除

 

 

从外围边缘移除应用和数据库接口之后的拓扑

 

 

 

导航回 NSX 主页

 

现在,您已经从外围边缘移除了应用和数据库接口,需要导航回到边缘设备屏幕来访问分布式边缘。 

 

 

将应用和数据库接口添加到分布式路由器中

 

现在,我们将通过向分布式路由器中添加应用和数据库接口,来开始配置分布式路由。

  1. 双击edge-6配置分布式路由器。

 

 

显示分布式路由器上的接口

 

  1. 单击Manage(管理)
  2. 单击Settings(设置)
  3. 单击Interfaces(接口)显示此分布式路由器上目前配置的所有接口

 

 

将接口添加到分布式路由器

 

  1. 单击绿色加号添加新的接口
  2. 将该接口命名为App_Tier
  3. 在Connected To(连接到)部分上单击Select(选择)

 

 

指定网络

 

  1. 选择App_Tier_Logical_Switch(它将是此接口要在其上进行通信的网络)单选按钮
  2. 单击OK(确定)

 

 

添加子网

 

  1. 单击Configure Subnets(配置子网)下的绿色加号。
  2. 单击Primary IP Address(主要 IP 地址)框,然后输入172.16.20.1作为 IP 地址
  3. 输入24作为Subnet Prefix Length(子网前缀长度)
  4. 然后,单击OK(确定)完成添加子网的过程

 

 

添加数据库接口

 

系统添加并配置 DB_Interface 后,验证App_Tier和DB_Tier接口是否与上图一致。

 

 

将应用和数据库接口移到分布式路由器之后的新拓扑

 

在分布式路由器上配置这些接口后,这些接口配置会自动推送到环境中的每个主机上。自此,将由主机的分布式路由 (DR) 内核可加载模块处理应用和数据库接口之间的路由。所以,如果运行在同一个主机上并连接到两个不同子网的两个虚拟机要进行通信,则流量不会采用如前面的通信流示意图中所示的非优化路径。

 

 

使用 3 层 Web 应用返回浏览器选项卡

 

更改之后,您将测试 3 层应用的访问是否会失败。失败的原因是当我们设置将由分布式路由器处理的路由时,在该应用与 Web 服务器位置之间目前没有路由流量。

注意:如果您在先前的步骤中关闭了该选项卡,请打开一个新的浏览器选项卡,然后单击Customer DB App(客户数据库应用)收藏夹

 

 

验证 3 层应用是否已停止工作

 

  1. 单击Refresh(刷新)

该应用将停顿几秒钟直到最终超时,您可能需要选择红色的x来关闭浏览器。如果您确实看到客户数据,它们可能来源于以前的缓存,而您可能需要关闭浏览器再重新打开予以纠正。

关闭创建的选项卡以测试到 Web 服务器的连接情况。接下来,我们将配置路由来恢复服务。

注意:如果您确实必须重新打开浏览器,则在验证 3 层应用无法工作之后,在浏览器中单击 vSphere Web Client 的书签,然后用凭证root和密码VMware1!再次登录。然后,单击Networking and Security(网络连接和安全性)和Edge Appliances(边缘设备),最后双击Distributed-Router(分布式路由器)。

 

 

在分布式路由器上配置动态路由

 

  1. 单击Routing(路由)选项卡
  2. 单击Global Configuration(全局配置)
  3. 单击Dynamic Routing Configuration(动态路由配置)旁边的Edit(编辑)按钮

 

 

编辑动态路由配置

 

  1. 选择默认路由器 ID,即上行链路接口的 IP 地址,在本练习中为Transit_Network_01 - 192.168.5.2
  2. 单击OK(确定)

注意:路由器 ID 在 OSPF 操作中非常重要,因为它在自控系统中用于指示路由器标识。它是一个表示为 IP 地址的 32 位标识符,但可以专门用于该特定路由器所关注的子网。在我们的例子中,我们使用的路由器 ID 和边缘设备的上行链路接口 IP 地址相同,这是可以接受的,但并非必需。屏幕将返回到Global Configuration(全局配置)主屏幕,Publish Changes(发布变更)绿色对话框再次出现。

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

配置 OSPF 特定参数

 

我们使用 OSPF 作为动态路由协议。

  1. 在Routing(路由)下的导航树中,选择OSPF打开 OSPF 主配置页
  2. 单击OSPF Configuration(OSPF 配置)右侧的Edit(编辑)打开OSPF Configuration(OSPF 配置)对话框

 

 

启用 OSPF

 

  1. 单击Enable OSPF(启用 OSPF)对话框
  2. 在Protocol Address(协议地址)框中输入192.168.5.3
  3. 在Forwarding Address(转发地址)框中输入192.168.5.2
  4. 验证是否已选中Enable Graceful Restart(启用正常重新启动)对话框
  5. 然后单击OK(确定)

注意:对于分布式路由器,Protocol Address(协议地址)字段是必填字段,用于将控制流量发送到分布式路由器控制虚拟机。Forwarding address(转发地址)用于发送所有常规的数据路径流量。屏幕将返回到OSPF配置主窗口。此时将显示绿色Publish Changes(发布变更)对话框。

注意:在 NSX 中,将控制层与数据层流量分离,这样您便有可能在维护路由实例数据转发功能的同时,重新启动或重新加载控制功能。此功能称为正常重新启动或不停止转发。

暂且不要发布变更!不要在每一步中都发布变更,即使有配置更改我们也会继续,然后一次性发布所有变更。

 

 

配置区域定义

 

  1. 单击绿色加号,打开New Area Definition(新建区域定义)对话框
  2. 在Area ID(区域 ID)框中,输入10。您可以将其他对话框保留为默认设置
  3. 单击OK(确定)

注意:OSPF 的区域 ID 非常重要。有多种类型的 OSPF 区域。请务必检查边缘设备是否位于正确的区域中,以确保与网络中的其余 OSPF 配置进行正确的配合。

 

 

区域到接口映射

 

  1. 在Area to Interface Mapping(区域到接口映射)区域下,单击绿色加号以打开New Area to Interface Mapping(新建区域到接口映射)对话框
  2. 对于Interface(接口),选择Transit_Network_01
  3. 对于Area(区域),选择10
  4. 单击OK(确定)

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

确认在分布式路由器上启用了 OSPF 路由

 

我们现在可以确认已经在分布式边缘上启用和配置了 OSPF 路由。确认显示的所有信息正确无误。

 

 

确认路由重新分发

 

 

 

验证路由重新分发

 

 

 

将 BGP 添加到 OSPF 路由重新分发表

 

  1. 从Route Redistribution table(路由重新分发表)中,单击OSPF
  2. 单击铅笔图标以编辑OSPF的设置
  3. 在Allow learning from(允许从以下位置获知)列表中,选中BGP复选框
  4. 单击OK(确定)

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

在外围边缘上配置 OSPF 路由

 

现在,我们必须在外围边缘设备上配置动态路由以恢复与测试用 3 层应用的连接。 

 

 

选择外围边缘

 

可以从NSX Edges主页面上看到我们配置的边缘设备。

 

 

外围边缘的全局配置

 

  1. 单击Manage(管理)导航选项卡
  2. 选择Routing(路由)导航按钮进入设备路由配置页
  3. 单击OSPF
  4. 单击OSPF Configuration(OSPF 配置)右侧的Edit(编辑)打开OSPF Configuration(OSPF 配置)对话框

您将注意到,已经为带有 BGP 的动态路由配置了此 Edge 设备。已设置此路由配置,以便此 Edge 设备可以与在整个练习中运行的路由器进行通信并向其分发路由流量。由于已经将此 Edge 设备连接到逻辑分布式路由器,我们现在将继续。已经完成 Edge 设备的所有全局路由器和 BGP 设置。

 

 

启用 OSPF

 

  1. 单击Enable OSPF(启用 OSPF)对话框
  2. 验证是否已选中Enable Graceful Restart(启用正常重新启动)对话框
  3. 然后单击OK(确定)

 

 

配置区域定义

 

  1. 单击绿色加号,打开New Area Definition(新建区域定义)对话框
  2. 在Area ID(区域 ID)框中,输入10。您可以将其他对话框保留为默认设置
  3. 单击OK(确定)

注意:OSPF 的区域 ID 非常重要。有多种类型的 OSPF 区域。请务必检查边缘设备是否位于正确的区域中,以确保与网络中的其余 OSPF 配置进行正确的配合。

 

 

将传输接口添加到 Area to Interface Mapping (区域到接口的映射)

 

我们现在只需要导向 OSPF,以通过将与分布式路由器进行通信的接口进行通信。

  1. 单击Area to Interface Mapping(区域到接口的映射)下的绿色加号
  2. 选择vNIC(虚拟网卡)下的Transit_Network_01
  3. 选择Area(区域)下的10
  4. 单击OK(确定)

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

确认在外围边缘上启用了 OSPF 路由

 

我们现在可以确认已经在外围边缘上启用和配置了 OSPF 路由。确认显示的所有信息正确无误。

 

 

配置路由重新分发

 

  1. 单击Route Redistribution(路由重新分发)打开路由重新分发的主配置页。
  2. 单击Route Redistribution Status(路由重新分发状态)右侧的Edit(编辑),以打开Change redistribution settings(更改重新分发设置)对话框

 

 

更改重新分发设置

 

  1. 单击OSPF对话框
  2. 验证是否已选中BGP对话框
  3. 单击OK(确定)

注意:BGP 是用于 Perimeter-Gateway-01 与 vPod 路由器之间的路由协议。

 

 

编辑 BGP 重新分发标准

 

  1. 突出显示Route Redistribution table(路由重新分发表)中Learner(学习方)下的BGP
  2. 单击铅笔图标编辑从外围边缘选定的学习方
  3. 单击OSPF对话框
  4. 单击OK(确定)

 

 

配置 OSPF 路由重新分发

 

  1. 单击Route Redistribution Table(路由重新分发表)下的绿色加号
  2. 选择OSPF作为Learner Protocol(学习方协议)
  3. 单击BGP对话框
  4. 单击Connected(已连接)对话框
  5. 单击OK(确定)

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

检查新拓扑

 

了解现在的拓扑配置之后,您可以明白路由对等是如何在分布式路由器与 NSX 外围边缘设备之间发生的。您在Distribute Router(分布式路由器)下创建的任何网络现在将直接分布到 Edge,在此您可以控制如何将其路由到您的物理网络。

下一节将更加详细地介绍此内容。

 

 

验证与 3 层应用的通信

 

现在,我们一起来验证路由功能是否正常。现在正在分布式路由器与 Perimeter-Gateway 之间交换路由信息,这种交换操作依次将连接恢复到 Web 应用。为了验证这一点,我们将再次测试该 Web 应用。

  1. 单击您之前为 Web 应用打开的选项卡,若之前的测试失败,在该选项卡中可能会显示503 Service Temp...(503 服务暂时...)。
  2. 再次刷新您的浏览器来验证 3 层应用是否正常运行

注意:这可能需要花一分钟时间进行路由传播,该时间是由于该嵌套式环境所致。

 

 

动态和分布式路由已完成

至此,有关配置动态路由和分布式路由的部分结束。在下一部分中,我们将介绍如何使用外围边缘实现集中式路由。

 

集中式路由


在此部分中,我们来看看各个元素,了解如何从边缘进行北向路由。这包括如何在整个系统中控制、更新和传播 OSPF 动态路由。通过可运行和路由整个练习的虚拟路由设备,我们将验证外围边缘设备上的路由。

特别声明:在桌面上,您将看到一个名为 README.txt 的文件。它包含本练习中需要的所有 CLI 命令。如果您无法输入这些命令,则可以将其复制并粘贴到 PuTTY 会话中。如果您看到带有大括号的编号,例如 {1},它指示您在文本文件中为本单元查找该 CLI 命令。


 

当前练习拓扑

 

此图表为当前练习拓扑,包括到 vPod 路由器的北向链接。您可以看到,OSPF 将重新分发从 NSX Edge 路由器到分布式逻辑路由器的路由。

 

 

查看外围网关中的 OSPF 路由

首先,我们要确认 Web 应用运行正常,然后我们将登录 NSX 外围网关,查看 OSPF 邻居并查看现有的路由分配。这样将演示外围网关如何获知来自分布式路由器以及正在运行整个练习的 vPod 路由器的路由信息。

 

 

确认 3 层应用的功能

 

  1. 打开一个新的浏览器选项卡
  2. 单击名为Customer DB App(客户数据库应用)的收藏夹

 

 

Web 应用返回数据库信息

 

在开始配置分布式路由之前,我们先来验证三层的 Web 应用是否运行正常。应用的三个层(Web、应用和数据库)位于不同的逻辑交换机上,由 NSX Edge 在各层之间提供路由。

 

 

导航到外围网关虚拟机

 

 

 

启动远程控制台

 

  1. 展开RegionalA01文件夹
  2. 选择Perimeter-Gateway-01-0
  3. 选择Summary(摘要)选项卡
  4. 单击Launch Remote Console(启动远程控制台)

 

 

访问远程控制台

 

当 VMRC 窗口首次打开时,它将显示为黑色。在窗口内单击,按几次 Enter 键,就能使控制台从屏幕保护程序中显示出来。

***注意***要从窗口中释放光标,请按 Ctrl + Alt 组合键

 

 

登录外围网关

 

使用以下凭证登录外围网关。请注意,所有 Edge 设备的密码都是由 12 个字符组成的复杂密码。

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示动手练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项SEND TEXT(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击SEND(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、PuTTY、控制台等)中。某些特定字符通常并不存在于世界各地使用的所有键盘上。如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。

 

 

查看 BGP 邻居

 

我们首先要查看位于练习路由层中心的外围边缘的 BGP 邻居。

注意 - Tab 键补全功能可用于 NSX 中的 Edge 设备。

show ip bgp neighbor

 

 

查看显示的 BGP 邻居信息

 

现在,我们来看看显示的内容和内容的各项含义。

  1. BGP neighbor is 192.168.100.1 - 这是 NSX 环境内 vPod 路由器的路由器 ID
  2. Remote AS 65002 - 这显示 vPod 路由器外部网络的自控系统数量
  3. BGP state = Established, up - 这表示 BGP 邻居邻接关系已建成,BGP 路由器将发送更新数据包以交换路由信息。

 

 

查看外围边缘上的路由及其来源信息

 

输入show ip route

show ip route

 

 

查看路由信息

 

让我们来看看显示的路由内容。

  1. 第一行表示我们的默认路由,该路由源自 vPod 路由器 (192.168.100.1),行首的B表示该路由是通过 BGP 获知的。
  2. 172.16.10.0/24行表示的是 Web 层逻辑交换机及其接口。由于该交换机直连到 Edge,行首还以字母C加以标示。
  3. 标有3的部分表示 Web 应用的另外两个部分,即应用层和数据库层的网段。如第 1 行所示,行首有一个O,表示它们是通过 OSPF 和分布式路由器 (192.168.5.2)获知的。

 

 

控制 BGP 路由分配

在某种情况下,您可能只想在虚拟环境内分配 BGP 路由,而不想将其向外分配到物理环境中。利用 Edge 接口,我们能够轻松控制路由的分配。

 

 

在 vSphere Web Client 中导航到 NSX

 

**注意**您需要按 Ctrl + Alt 组合键退出外围网关的 VMRC 窗口

 

 

访问外围网关

 

  1. 单击NSX Edges(NSX Edge)
  2. 双击edge-3

 

 

访问 BGP 路由配置

 

  1. 选择Manage(管理)选项卡
  2. 单击Routing(路由)
  3. 单击左侧窗格中的BGP

 

 

删除 BGP 与 vPod 路由器的邻居关系

 

现在,我们将删除 BGP 本地 AS 65002 的映射。这样,外围网关和 vPod 路由器将不再是对等路由。

  1. 在Neighbors(邻居)部分中,突出显示 vPod 路由器的 IP 地址192.168.100.1
  2. 单击红色的X删除选定的邻居关系

 

 

确认删除

 

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)按钮推送配置更改。

 

 

导航到外围网关 VMRC

 

在任务栏中选择Perimeter-Gateway

 

 

显示 BGP 邻居

 

**注意**窗口弹出后,您可能需要在窗口内单击并按 Enter 键,使屏幕显示出来

1. 输入show ip bgp neighbor,然后按 Enter 键

show ip bgp neighbor

现在您将看到 vPod 路由器 (192.168.250.1)已从列表中删除。

 

 

显示路由

 

1. 输入show ip route,然后按 Enter 键

show ip route

现在您可以看到,通过 OSPF 获知的唯一路由来自分布式路由器 (192.168.5.2)

 

 

验证 3 层应用是否已停止工作

 

**注意**您需要按 Ctrl + Alt 组合键退出外围网关的 VMRC 窗口

由于控制中心与虚拟网络连接环境之间不存在任何路由,Web 应用会失败。

  1. 单击HOL - Multi-Tier App(HOL - 多层应用)选项卡
  2. 单击Refresh(刷新)。

应用可能需要一点时间才会最终超时关闭,您可能需要选择红色的x关闭浏览器。如果您确实看到客户数据,它们可能来源于以前的缓存,而您可能需要关闭浏览器再重新打开予以纠正。

 

 

重新建立路由对等

 

现在,让我们将外围网关与 vPod 路由器之间的路由对等恢复原状。

 

 

重新添加 BGP 邻居配置

 

  1. 在Neighbors(邻居)面板中,单击绿色加号图标
  2. 在IP Address(IP 地址)中,输入192.168.100.1
  3. 在Remote AS(远程 AS)中,输入65002
  4. 单击OK(确定)

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)按钮推送配置更改。

 

 

导航到外围网关 VMRC

 

在任务栏中选择Perimeter-Gateway

 

 

显示 BGP 邻居

 

**注意**窗口弹出后,您可能需要在窗口内单击并按 Enter 键,使屏幕显示出来

1. 输入show ip bgp neighbor,然后按 Enter 键

show ip bgp neighbor

现在您将看到 vPod 路由器 (192.168.100.1)已显示为邻居。

 

 

查看外围边缘上的路由及其来源信息

 

输入show ip route

show ip route

 

 

显示路由

 

来自 vPod 路由器 (192.168.100.1) 的默认路由和连接网络现在都重新显示在列表中。

 

 

验证 3 层应用是否运行正常

 

**注意**您需要按 Ctrl + Alt 组合键退出外围网关的 VMRC 窗口

随着路由恢复原状,Web 应用现在也应该重新运行起来。

  1. 单击HOL - Multi-Tier App(HOL - 多层应用)选项卡
  2. 单击Refresh(刷新)。

至此我们已经完成练习的这一部分,接下来将介绍利用 NSX Edge 实现的 ECMP 和高可用性。

 

ECMP 和高可用性


在这个部分,我们会将另一个外围网关添加到网络中,然后使用 ECMP(等价多路径路由)扩展 Edge 的容量并提高其可用性。借助 NSX,我们能够就地添加 Edge 设备并启用 ECMP。

ECMP 是一项路由策略,允许通过多条最佳路径将下一跃点数据包转发到单个目标。对于这些最佳路径,可以通过静态方式来添加,也可以利用 OSPF 或 BGP 等动态路由协议进行的衡量指标计算来添加。Edge 服务网关利用 Linux 网络协议栈实施,这是一种带有随机组件的循环算法。针对特定的源和目标 IP 地址对选择下一跃点后,路由缓存将存储选定的下一个跃点。该流的所有数据包都将流向选定的下一跃点。分布式逻辑路由器使用 XOR 算法从可能的 ECMP 下一跃点列表中确定下一跃点。此算法使用出站数据包上的源和目标 IP 地址作为熵源。

现在,我们将配置新的外围网关,并在外围网关之间建立 ECMP 集群,以便利用分布式逻辑路由器来提高容量和可用性。我们将关闭其中一个外围网关,并观察流量路径的变化情况,以测试可用性。


 

在 vSphere Web Client 中导航到 NSX

 

**注意**您需要按 Ctrl + Alt 组合键退出外围网关的 VMRC 窗口

  1. 单击Home(主页)图标
  2. 单击Networking  Security(网络连接和安全性)

 

 

添加另一个 Perimeter Gateway Edge

 

首先要添加另一个外围边缘设备。

  1. 单击NSX Edges(NSX Edge)
  2. 单击绿色加号

 

 

选择 Edge 并为其命名

 

  1. 对于Install Type(安装类型),单击Edge Services Gateway(Edge 服务网关)
  2. 在Name(名称)下输入Perimeter-Gateway-02
  3. 单击Next(下一步)

 

 

设置密码

 

  1. 输入密码VMware1!VMware1!
  2. 确认密码VMware1!VMware1!
  3. 选中Enable SSH Access(启用 SSH 访问)
  4. 单击Next(下一步)

请注意 - 所有 NSX Edge 的密码都是由 12 个字符组成的复杂密码。

 

 

添加 Edge 设备

 

  1. 在NSX Appliances(NSX 设备)下,单击绿色加号,打开Add NSX Edge Appliance(添加 NSX Edge 设备)对话框
  2. 对于Cluster/Resource Pool(集群/资源池),选择RegionA01-MGMT01
  3. 对于Datastore(数据存储),选择RegionA01-ISCSI01-MGMT01
  4. 对于Host(主机),选择esx-04a.corp.local
  5. 单击OK(确定)

 

 

继续部署

 

  1. 单击Next(下一步)

 

 

添加上行链路接口

 

  1. 单击绿色加号添加首个接口

 

 

选择连接到的交换机

 

必须为此 Edge(一个分布式端口组)选择北向交换机接口。

  1. 单击Connected To(连接到)字段旁边的Select(选择)
  2. 单击Distributed Portgroup(分布式端口组)
  3. 选择Uplink-RegionA01-vDS-MGMT
  4. 单击OK(确定)

 

 

命名并添加 IP

 

  1. 在Name(名称)下,输入Uplink
  2. 在Type(类型)下,选择Uplink(上行链路)
  3. 单击绿色加号
  4. 在Primary IP Address(主要 IP 地址)下,输入192.168.100.4
  5. 在Subnet Prefix Length(子网前缀长度)下,输入24
  6. 单击OK(确定)

 

 

添加 Edge 传输接口

 

  1. 单击绿色加号添加第二个接口

 

 

选择连接到的交换机

 

我们必须为此 Edge(一个基于 VXLAN 的逻辑交换机)选择北向交换机接口。

  1. 单击Connected To(连接到)字段旁边的Select(选择)
  2. 单击Logical Switch(逻辑交换机)
  3. 选择Transit_Network_01_5006
  4. 单击OK(确定)

 

 

命名并添加 IP

 

  1. 在Name(名称)下,输入Transit_Network_01
  2. 在Type(类型)下,选择Internal(内部)
  3. 单击绿色加号
  4. 在Primary IP Address(主要 IP 地址)下,输入192.168.5.4
  5. 在Subnet Prefix Length(子网前缀长度)下,输入29

注意 - 这是29,而不是24!请确保输入正确的数字,否则练习无法正常进行。

  1. 单击OK(确定)

 

 

继续部署

 

重要信息!继续操作前,请检查信息以及 IP 地址和子网前缀数字是否正确。

  1. 单击Next(下一步)

 

 

移除默认网关

 

通过 OSPF 接收到相关信息后,我们将移除默认网关

  1. 取消选中Configure Default gateway(配置默认网关)
  2. 单击Next(下一步)

 

 

默认防火墙设置

 

  1. 选中Configure Firewall default policy(配置防火墙默认策略)
  2. 选择ACCEPT(接受)
  3. 单击Next(下一步)

 

 

完成部署

 

 

 

Edge 部署

 

部署 Edge 需要几分钟时间。

  1. 我们会发现,Edge-7 的状态下显示Busy(忙碌),还显示正在安装一个项目。这表示部署正在进行。
  2. 我们可以单击 Web Client 上的刷新图标加快屏幕上的自动刷新。

在状态显示为Deployed(已部署)后,可以转到下一步骤。

注意:如果无法看到 Edge-7 的状态,滚动到窗口右侧即可查看部署状态。

 

 

在新 Edge 上配置路由

 

必须先在新的 Edge 设备上配置 OSPF,才能启用 ECMP。

  1. 双击刚部署的edge-7

 

 

路由全局配置

 

必须设置基本配置,用以标识与网络连接的路由器。

  1. 单击Manage(管理)选项卡
  2. 单击Routing(路由)选项卡
  3. 在左侧窗格中,选择Global Configuration(全局配置)
  4. 单击Dynamic Routing Configuration(动态路由配置)旁边的Edit(编辑)
  5. 对于Router ID(路由器 ID),选择Uplink -192.168.100.4(上行链路 - 192.168.100.4)
  6. 单击OK(确定)

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

启用 OSPF

 

  1. 在左侧窗格中,选择OSPF
  2. 单击OSPF Configuration(OSPF 配置)旁的Edit(编辑)
  3. 选中Enable OSPF(启用 OSPF)
  4. 单击OK(确定)

 

 

添加新区域

 

  1. 单击Area Definitions(区域定义)下的绿色加号
  2. 对于Area ID(区域 ID),输入10
  3. 单击OK(确定)

 

 

添加传输接口映射

 

现在,必须执行相同操作,将下行链路接口添加到分布式路由器

  1. 单击Area to Interface Mapping(区域到接口的映射)下的绿色加号
  2. 对于vNIC(虚拟网卡),选择Transit_Network_01
  3. 对于Area(区域),选择10
  4. 单击OK(确定)

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

启用 BGP

 

  1. 在左侧窗格中,选择BGP
  2. 单击BGP Configuration(BGP 配置)旁的Edit(编辑)
  3. 选中Enable BGP(启用 BGP)
  4. 输入65001作为Local AS(本地 AS)
  5. 单击OK(确定)

 

 

添加新邻居

 

  1. 单击Neighbors(邻居)下的绿色加号
  2. 对于IP Address(IP 地址),输入192.168.100.1
  3. 对于Remote AS(远程 AS),输入65002
  4. 单击OK(确定)

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

启用 BGP 和 OSPF 路由分发

 

为了能够通过此 Edge 访问路由,现在我们必须启用 BGP 和 OSPF 路由重新分发。

  1. 单击左侧窗格中的Route Redistribution(路由重新分发)
  2. 单击与Route Redistribution Status(路由重新分发状态)对应的Edit(编辑)
  3. 选中OSPF
  4. 选中BGP
  5. 单击OK(确定)

 

 

OSPF 路由分发表

 

  1. 单击Route Redistribution Table(路由重新分发表)下的绿色加号
  2. 选中BGP
  3. 选中Connected(已连接)
  4. 单击OK(确定)

 

 

BGP 路由分发表

 

  1. 单击Route Redistribution Table(路由重新分发表)下的绿色加号
  2. 选择BGP作为Learner Protocol(学习方协议)
  3. 选中OSPF
  4. 选中Connected(已连接)
  5. 单击OK(确定)

 

 

发布变更

 

  1. 再次单击该对话框中的Publish Changes(发布变更)按钮,将更新后的配置推送到分布式边缘设备。

 

 

启用 ECMP

 

现在,我们将在分布式路由器和外围网关上启用 ECMP

  1. 在Navigator(导航器)面板中,单击Networking and Security(网络连接和安全性)后退按钮

 

 

在分布式路由器上启用 ECMP

 

首先要在分布式路由器上启用 ECMP

  1. 单击NSX Edges(NSX Edge)
  2. 双击edge-6

 

 

在 DLR 上启用 ECMP

 

  1. 单击Manage(管理)选项卡
  2. 单击Routing(路由)选项卡
  3. 在左侧窗格中,单击Global Configuration(全局配置)
  4. 单击ECMP旁边的Enable(启用)按钮

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)推送配置更改。

 

 

返回至 Edge 设备

 

  1. 单击Networking  Security(网络连接和安全性)后退按钮,返回到前一页面。

 

 

访问外围网关 01

 

  1. 双击edge-3(外围网关 01)

 

 

在外围网关 01 上启用 ECMP

 

  1. 单击Manage(管理)选项卡
  2. 单击Routing(路由)选项卡
  3. 在左侧窗格中,单击Global Configuration(全局配置)
  4. 单击ECMP旁边的Enable(启用)按钮

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)推送配置更改。

 

 

返回至 Edge 设备

 

 

 

访问外围网关 02

 

 

 

 

在外围网关 02 上启用 ECMP

 

  1. 单击Manage(管理)选项卡
  2. 单击Routing(路由)选项卡
  3. 在左侧窗格中,单击Global Configuration(全局配置)
  4. 单击ECMP旁边的Enable(启用)按钮

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)推送配置更改。

 

 

拓扑概述

 

在这一阶段,本练习将探讨拓扑的相关知识。内容包括新添加的外围网关、已配置的路由以及已启用的 ECMP。

 

 

验证分布式路由器的 ECMP 功能

 

现在,请访问分布式路由器,确保 OSPF 正在进行通信并且 ECMP 运行正常。

  1. 单击Home(主页)图标
  2. 选择VMs and Templates(虚拟机和模板)

 

 

启动远程控制台

 

  1. 单击刷新图标
  2. 展开RegionA01文件夹
  3. 选择Distributed-Router-01-0
  4. 选择Summary(摘要)选项卡
  5. 单击Launch Remote Console(启动远程控制台)

 

 

访问远程控制台

 

当 VMRC 窗口首次打开时,它将显示为黑色。在窗口内单击,按几次 Enter 键,就能使控制台从屏幕保护程序中显示出来。

注意:要从窗口中释放光标,请按 Ctrl + Alt组合键

 

 

登录外围网关

 

使用以下凭证登录分布式路由器

  1. 用户名:admin
  2. 密码:VMware1!VMware1!

 

 

查看 OSPF 邻居

 

我们首先要查看分布式路由器的 OSPF 邻居。

  1. 输入show ip ospf neighbors,然后按 Enter 键。(请记得使用SEND TEXT[发送文本] 选项。)
show ip ospf neighbors

此时将显示,分布式路由器现在拥有两个 OSPF 邻居。这两个邻居分别是 Perimeter-Gateway-1 (192.168.100.3)Perimeter-Gateway-2 (192.168.100.4)。

注意:Tab 键补全功能可用于 NSX 中的 Edge 设备。

 

 

查看从分布式路由器到外围边缘的路由

 

  1. 输入show ip route,然后按 Enter 键
show ip route

注意:vPod 路由器网段和默认路由均通过这两个外围网关网络地址公布。上面的红色箭头指向 Perimeter-Gateway-01 Perimeter-Gateway-02的地址。

在以下步骤中,保持此窗口的打开状态。

 

 

验证 vPod 路由器的 ECMP 功能

 

注意:要从窗口中释放光标,请按 Ctrl + Alt组合键

现在,我们将探讨 vPod 路由器的 ECMP,这个路由器会模拟您网络中的物理路由器。

  1. 单击任务栏上的 PuTTY 图标

 

 

打开连接到 vPod 路由器的 SSH 会话

 

  1. 将滚动条向下滚动,选择vPod Router(vPod 路由器)
  2. 单击Load(加载)
  3. 单击Open(打开)

 

 

登录 vPod 路由器

 

应以 root 用户身份自动登录 Putty 会话

 

 

访问 BGP 模块

 

我们必须远程访问该模块,该模块可控制 vPod 路由器中的 BGP。

1. 输入telnet localhost 2605,然后按 Enter 键。(请记得使用SEND TEXT[发送文本] 选项。)

telnet localhost 2605

2. 输入密码VMware1!

 

 

显示 BGP 邻居

 

我们必须远程访问该模块,该模块可控制 vPod 路由器中的 OSPF。

  1. 输入show ip bgp neighbors,然后按 Enter 键
show ip bgp neighbors
  1. 我们将看到 Perimeter-Gateway-01 (192.168.100.3) 显示为 BGP 邻居,且 BGP 状态为Established, up

 

 

验证 Perimeter-Gateway-02 关系

 

  1. 验证在BGP Neighbors(BGP 邻居)列表的下部分,Perimeter-Gateway-02 (192.168.100.4) 是否显示为 BGP 邻居,且 BGP 状态为Established, up

 

 

显示路由

 

1. 输入show ip bgp,然后按 Enter 键

show ip bgp

2. 在此部分,您会注意到所有网络均列出了两个下一跃点路由器,这是因为 Perimeter-Gateway-01 (192.168.100.3)Perimeter-Gateway-02 (192.168.100.4)都是为这些网络建立的邻居。

这时,连接到分布式路由器的任何流量都能够通过任一启用了 ECMP 的外围网关传出。

在以下步骤中,将此窗口保持为打开状态。

 

 

关闭外围网关 01

 

我们将关闭Perimeter-Gateway-01模拟某个节点离线

  1. 展开RegionA01文件夹
  2. 右键单击Perimeter-Gateway-01-0
  3. 单击Power(电源)
  4. 单击Shut Down Guest OS(关闭客户操作系统)

 

 

确认关机

 

  1. 单击Yes(是)

 

 

使用 ECMP 测试高可用性

 

借助环境中的 ECMP、BGP 和 OSPF,我们能够在特定路径出现故障时动态更改路由。我们现在将模拟一条路径出现故障以及发生路由重新分配。

  1. 单击任务栏上的Command Prompt(命令提示符)图标

 

 

对 db-01a 数据库服务器执行 ping 操作

 

  1. 输入ping -t db-01a,然后按 Enter键
ping -t db-01a

您将看到从控制中心到数据库服务器 (db-01a) 的 ping 操作开始执行。转到下一步骤时,请保持此窗口为打开状态,继续运行。

 

 

访问分布式路由器远程控制台

 

 

 

查看当前路由

 

  1. 输入show ip route,然后按 Enter 键
show ip route

注意:现在只有 Perimeter-Gateway-02 可以访问 vPod 路由器网段。

在以下步骤中,保持此窗口的打开状态。

 

 

启动外围网关 01

 

  1. 展开RegionA01文件夹
  2. 右键单击Perimeter-Gateway-01-0
  3. 单击Power(电源)
  4. 单击Power On(启动)

 

 

验证 Perimeter-Gateway-01 处于在线状态

 

虚拟机启动将需要一到两分钟时间。当虚拟机的Summary(摘要)显示 VMTools 处于在线状态之后,您可以继续执行下一个步骤。

  1. 单击刷新图标即可查看 VMTools 状态的最新信息。

 

 

返回 ping 测试

 

 

 

BGP 邻居对等关系

 

尽管这没有明确描述从 Perimeter-Gateway-02 到 Perimeter-Gateway-01 的故障转移,但如果活动路径发生故障,ping 流量将从 Perimeter-Gateway-02 迁移到 Perimeter-Gateway-01,且对流量产生的影响非常小。

 

 

访问分布式路由器远程控制台

 

 

 

显示路由

 

让我们来查看自重新启动 Perimeter-Gateway-01 后,分布式路由器 01 上的路由状态。

  1. 输入show ip route,然后按 Enter 键
show ip route

注意:我们现在应看到所有 vPod 路由器网络都已经恢复到双连接。

 

 

有关 ECMP 的最后说明

本部分是有关本练习中 ECMP 和 HA 的最后说明。虽然我们关闭了Perimeter-Gateway-01,但对Perimeter-Gateway-02执行此操作所得的结果是相同的。

不过您需要注意一点:如果Perimeter-Gateway-01处于离线状态,客户数据库应用会停止运行,因为 Web 服务器虚拟机与该网关直接连接。我们可以通过将 Web 层移动到 Distributed-Router-01 来解决此问题,就像您曾经在本练习的动态路由和分布式路由部分对数据库和应用网络所做的一样。完成此步骤后,客户数据库应用会正常运行,而不论是外围网关 1 还是外围网关 2 处于离线状态。需要特别注意的是,执行此迁移会影响本练习中的其他单元!这就是此步骤未纳入动手练习的原因。如果不打算尝试其他单元,则可以毫无障碍地执行此迁移。

 

在继续学习第 3 单元之前 - 请完成以下清理步骤


如果您打算在完成第 2 单元之后继续学习本练习中的任何其他单元,您必须完成以下步骤,否则练习无法正常开展。


 

删除第二个外围边缘设备

 

  1. 返回至 vSphere Web Client
  2. 单击Home(主页)图标,然后单击Networking and Security(网络连接和安全性)

 

 

删除 Edge-7

 

我们需要删除刚刚创建的 Edge

  1. 选择NSX Edges(NSX Edge)
  2. 选择Edge-7
  3. 单击红色的X进行删除

 

 

确认删除

 

  1. 单击Yes(是)确认删除

 

 

在 DLR 和 Perimeter Gateway-01 上禁用 ECMP

 

  1. 双击Edge-6

 

 

在分布式路由器上禁用 ECMP

 

  1. 单击Manage(管理)选项卡
  2. 单击Routing(路由)选项卡
  3. 在左侧窗格中,单击Global Configuration(全局配置)
  4. 单击ECMP旁边的Disable(禁用)按钮

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)推送配置更改。

 

 

返回至 Edge 设备

 

  1. 单击Networking  Security(网络连接和安全性)后退按钮,返回到前一页面。

 

 

访问外围网关 1

 

  1. 双击Edge-3

 

 

在外围网关 1 上禁用 ECMP

 

  1. 单击Manage(管理)选项卡
  2. 单击Routing(路由)选项卡
  3. 在左侧窗格中,单击Global Configuration(全局配置)
  4. 单击ECMP旁边的Disable(禁用)按钮

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)推送配置更改。

 

第 3 单元总结


在本单元中,我们展示了适用于 hypervisor 内核服务和分布式逻辑路由器的 NSX 路由功能,以及 NSX Edge 服务网关的高级服务功能。

我们介绍了如何将逻辑交换机从 Edge 服务网关迁移到分布式逻辑路由器 (DLR),以及如何配置 Edge 和 DLR 之间动态路由协议。此外,我们还了解了 Edge 服务网关的集中式路由功能,以及动态路由对等信息。最后,我们成功地在 ECMP(等价多路径)路由配置中演示了 Edge 服务网关的可扩展性和可用性。我们部署了一个新的 Edge 服务网关,并利用 ECMP 建立了与 DLR 和 vPod 路由器的路由对等关系,以提高吞吐量和可用性。我们还清理了 ECMP 配置,以准备在此练习环境中继续学习其他单元。


 

您已完成第 3 单元的学习

祝贺您!您已经完成了第 3 单元的学习。

如果您想了解有关 NSX 路由功能和配置的其他信息,请通过以下 URL 查看 NSX 6.2 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

第 4 单元 - Edge 服务网关(60 分钟)

NSX Edge 服务网关简介


NSX Edge 可提供网络边缘安全保护和网关服务,以便隔离虚拟化的网络。您可以将 NSX Edge 作为逻辑(分布式)路由器或服务网关进行安装。

NSX Edge 逻辑(分布式)路由器可通过租户 IP 地址空间和数据路径隔离提供东西向分布式路由。驻留在同一主机但不同子网上的虚拟机或工作负载可以互相通信,而无需流经传统路由接口。

NSX Edge 网关通过提供 DHCP、VPN、NAT、动态路由和负载均衡等通用网关服务,将隔离的存根网络连接到共享(上行链路)网络。NSX Edge 的常见部署情形包括 DMZ、VPN、外联网和多租户云计算环境;在多租户云计算环境中,NSX Edge 可为各个租户创建虚拟边界。

本单元包含以下课程:


为负载均衡器部署 Edge 服务网关


NSX Edge 服务网关可提供负载均衡功能。采用负载均衡器可带来多种优势,因为这可实现更高效的资源利用。示例包括高效使用网络吞吐量、缩短应用响应时间,支持进行扩展,以及可作为策略的一部分以确保服务冗余和可用性。

对于 TCP、UDP、HTTP 或 HTTPS 请求,可以利用 NSX Edge 服务网关实现负载均衡。Edge 服务网关最高可提供开放式系统互连 (OSI) 模型第 7 层的负载均衡。 

在这一部分,我们将部署新的 NSX Edge 设备并将其配置为单路并联负载均衡器。


 

验证练习已准备就绪

 

验证检查可确保练习的所有组件都已正确部署,完成验证后,状态将更新为绿色/准备就绪。由于环境资源的限制,练习的部署可能会失败。

 

 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

请单击 Google Chrome 的任务栏图标。主页应当是 vSphere Web Client。

  1. 选中Use Windows session authentication(使用 Windows 会话身份验证)复选框
  2. 单击Login(登录)按钮

 

 

通过折叠右侧任务窗格获得更多屏幕空间

 

单击图钉图标可折叠任务窗格,从而为主窗格腾出更多显示空间。您也可以通过折叠左侧窗格来获得最大的空间。

 

 

打开 Networking  Security (网络连接和安全性)

 

  1. 单击Networking  Security(网络连接和安全性)

 

 

创建新的 Edge 服务网关

 

我们将在新的 Edge 服务网关上配置单路并联式负载均衡服务。要开始创建新 Edge 服务网关的流程,请确保您处于 vSphere Web Client 的Networking  Security(网络连接和安全性)部分:

  1. 单击NSX Edges(NSX Edge)
  2. 单击绿色加号 (+)图标

 

 

定义名称和类型

 

对于新的 NSX Edge 服务网关,请设置以下配置选项

  1. 输入名称:OneArm-LoadBalancer
  2. 单击Next(下一步)按钮

 

 

配置 Admin 帐户

 

  1. 将密码设置为:VMware1!VMware1!
  2. 单击Next(下一步)按钮

 

 

定义 Edge 大小和虚拟机安置

 

用户可以为其 Edge 服务网关选择四种不同的虚拟设备大小,其规格(CPU 数量、内存)如下:

我们将为这一新的 Edge 服务网关选择紧凑型的 Edge,但务必要记住,这些 Edge 服务网关在部署后可以升级为更大的规格。要继续创建新的 Edge 服务网关,请执行以下操作:

  1. 单击绿色加号 (+)图标以打开Add NSX Edge Appliances(添加 NSX Edge 设备)弹出窗口。

 

 

集群/数据存储安置

 

  1. 对于集群/资源池安置,选择RegionA01-MGMT01
  2. 对于数据存储安置,选择RegionA01-ISCSI01-MGMT01
  3. 选择主机esx-05-a.corp.local
  4. 单击OK(确定)

 

 

配置部署

 

  1. 单击Next(下一步)按钮

 

 

在 NSX Edge 上放置一个新的网络接口

 

由于这是一个单路并联式负载均衡器,因此仅需要一个网络接口。在新建 NSX Edge 流程的这一部分中,我们将为此 Edge 提供一个新的网络适配器并对其进行配置。

  1. 单击绿色加号 (+) 图标。

 

 

为此 NSX Edge 配置新的网络接口

 

在此,我们将为此新 NSX Edge 配置第一个网络接口。

  1. 将新接口命名为WebNetwork
  2. 选中Internal(内部)作为类型
  3. 单击Select(选择)链接

 

 

为新的 Edge 接口选择网络

 

此单路并联式负载均衡器的接口需要与此 Edge 为其提供负载均衡服务的两个 Web 服务器处于同一网络中。

  1. 选择Logical Switch(逻辑交换机)选项卡
  2. 选择Web_Tier_Logical_Switch (5000)单选按钮
  3. 单击OK(确定)按钮

 

 

配置子网

 

  1. 接下来,我们将为此接口配置 IP 地址。单击绿色小加号 (+)图标。

 

 

配置子网弹出窗口

 

要为此接口添加新的 IP 地址,请执行以下操作:

  1. 输入 IP 地址172.16.10.10
  2. 输入子网前缀长度24
  3. 单击OK(确定)

 

 

确认接口列表

 

检查设置/选择

  1. 单击Next(下一步)按钮继续

 

 

配置默认网关

 

在调配新 Edge 的下一部分中,我们将为此 Edge 服务网关配置默认网关。要配置网关,请执行以下操作:

  1. 输入网关 IP172.16.10.1
  2. 单击Next(下一步)按钮

 

 

配置防火墙和高可用性选项

 

为了在以后节省时间,我们可以配置一些默认防火墙选项,以及启用一个 Edge 服务网关以便在高可用性 (HA) 模式下运行。这两项功能都与此单元的这一特定部分无关,因此,要继续操作,请配置以下选项:

  1. 选中Configure Firewall default policy(配置防火墙默认策略)复选框
  2. 选择Accept(接受)作为默认流量策略
  3. 单击Next(下一步)

 

 

检查整体配置并完成

 

确认配置与此屏幕截图相似。

  1. 单击Finish(完成)

 

 

监控部署情况

 

要监控 Edge 服务网关的部署情况,请执行以下操作:

  1. 在部署 Edge 过程中,单击Installing(正在安装)按钮以查看安装步骤的进度。

然后我们就可以看到 Edge 部署的进度。

 

为负载均衡器配置 Edge 服务网关


现在我们已经部署了 Edge 服务网关,接下来将配置负载均衡服务。


 

配置负载均衡器服务

 

以上内容介绍了我们将为刚部署的 NSX Edge 服务网关所提供的负载均衡器服务使用的最终拓扑。要开始操作,请从 vSphere Web Client 的Networking  Security(网络连接和安全性)插件的NSX Edges区域内,双击我们刚创建的 Edge 以进入其管理页面。

 

 

在单路并联式负载均衡器上配置负载均衡器功能

 

  1. 双击edge-7(单路并联式负载均衡器)

 

 

导航到新 Edge 的管理页面

 

  1. 单击Manage(管理)选项卡(如果尚未选定)
  2. 单击Load Balancer(负载均衡器)子选项卡
  3. 单击Global Configuration(全局配置)(如果尚未选中)
  4. 单击Edit(编辑)按钮以转至Edit Load Balancer global configuration(编辑负载均衡器全局配置)弹出窗口。

 

 

编辑负载均衡器全局配置

 

要启用负载均衡器服务,请执行以下操作:

  1. 选中Enable Load Balancer(启用负载均衡器)复选框
  2. 单击OK(确定)按钮

 

 

创建新的应用程序配置文件

 

应用程序配置文件用于定义典型类型的网络流量的行为。这些配置文件会应用至虚拟服务器 (VIP),该虚拟服务器根据应用程序配置文件中指定的值来处理流量。 

利用配置文件可使流量管理任务不易出错,并且更加高效。 

  1. 单击Application Profiles(应用程序配置文件)
  2. 单击绿色加号 (+)以启动New Profile(新建配置文件)弹出窗口

 

 

配置新的应用程序配置文件 HTTPS

 

为新的应用程序配置文件配置以下选项:

  1. Name(名称):OneArmWeb-01
  2. Type(类型):HTTPS
  3. 选中Enable SSL Passthrough(启用 SSL 直通)复选框。这会允许 HTTPS 在池服务器上终止。
  4. 完成后,单击OK(确定)按钮

 

 

修改默认 HTTPS 监控功能

 

监控功能可确保服务于虚拟服务器的池成员已启动并运行。默认 HTTPS 监控功能在/处直接执行GET。我们将修改默认监控功能以在特定于应用的 URL 处执行运行状况检查。这将帮助确定池成员服务器和该应用均已启动并运行。

  1. 单击Service Monitoring(服务监控)
  2. 单击并突出显示default_https_monitor
  3. 单击铅笔图标
  4. 针对 URL 输入/cgi-bin/hol.cgi
  5. 单击OK(确定)

 

 

新建池

 

池的服务器组是代表流量要经过负载均衡以到达的节点的实体。我们将向一个新池中添加两个 Web 服务器,即 web-01a 和 web-02a。要创建一个新池,请先执行以下操作:

  1. 单击Pools(池)
  2. 单击绿色加号 (+)以启动Edit Pool(编辑池)弹出窗口

 

 

配置新池

 

为此新池配置以下设置:

  1. Name(名称):Web-Tier-Pool-01
  2. Monitors(监控器):default_https_monitor
  3. 单击绿色加号 (+)

 

 

向池中添加成员

 

  1. 在Name(名称)中输入web-01a
  2. 在IP Address(IP 地址)中输入172.16.10.11
  3. 在Port(端口)中输入443
  4. 在Monitor Port(监控端口)中输入443
  5. 单击OK(确定)

使用以下信息并重复上述流程以再增加一个池成员

 

 

保存池设置

 

  1. 单击OK(确定)

 

 

创建新的虚拟服务器

 

虚拟服务器是接受来自负载均衡服务配置前端的流量的实体。用户流量会定向至虚拟服务器所表示的 IP 地址,然后重新分发至负载均衡器后端上的节点。要在 Edge 服务网关上配置一个新虚拟服务器,请先执行以下操作

  1. 单击Virtual Servers(虚拟服务器)
  2. 单击绿色小加号 (+)以启动New Virtual Server(新建虚拟服务器)弹出窗口

 

 

配置新的虚拟服务器

 

请为此新的虚拟服务器配置以下选项:

  1. 将此虚拟服务器命名为Web-Tier-VIP-01。
  2. 在IP address(IP 地址)中输入172.16.10.10。
  3. 选择HTTPS作为协议
  4. 选择Web-Tier-Pool-01
  5. 单击OK(确定)按钮完成这一新虚拟服务器的创建

 

Edge 服务网关负载均衡器 - 验证配置


现在我们已经配置了负载均衡服务,接下来我们将验证该配置。


 

测试对虚拟服务器的访问

 

  1. 单击一个空白的浏览器标签页
  2. 单击所收藏的One-Arm LB Customer DB书签
  3. 单击Advanced(高级)

 

 

忽略 SSL 错误

 

  1. 单击Proceed to 172.16.10.10 (unsafe)(前进到 172.16.10.10 [不安全])

 

 

测试对虚拟服务器的访问

 

此时,我们将能够成功访问刚刚配置的单路并联式负载均衡器! 

  1. 单击页面刷新按钮,您将能够看到两个池成员的循环。

 

 

显示池统计信息

 

要查看单个池成员的状态,请执行以下操作:

  1. 单击Pools(池)
  2. 单击Show Pool Statistics(显示池统计信息)。
  3. 单击pool-1

我们将看到每个成员的当前状态。

  1. 单击X关闭窗口。

 

 

监控(运行状况检查)响应增强功能

 

为了帮助进行故障排除,NSX 6.2 负载均衡器的show ...pool命令将生成池成员故障的信息描述。我们将在负载均衡器 Edge Gateway 上使用显示命令来创建两个不同的故障并检查响应。

  1. vSphere Web Client 右上角的搜索框中,输入LoadBalancer。
  2. 单击OneArm-LoadBalancer-0。

 

 

打开 Console Load Balancer 控制台

 

  1. 单击Summary(摘要)选项卡
  2. 单击Launch Remote Console(启动远程控制台)

注意:控制台将在新的浏览器选项卡中打开

 

 

登录到 OneArm-LoadBalancer-0

 

  1. 使用用户名admin和密码VMware1!VMware1!登录

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求我们输入命令行界面 (CLI) 命令。向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示动手练习中的 CLI 命令,然后使用 Ctrl + C组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项SEND TEXT(发送文本)。
  3. Ctrl + V组合键将该命令从剪贴板粘贴到窗口。
  4. 单击SEND(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),为您提供该环境的所有用户帐户和密码。

 

 

在出现故障之前检查池的状态

 

使用用户名admin和密码VMware1!VMware1!登录

show service loadbalancer pool

注意:池成员web-sv-01a的状态显示为UP

 

 

启动 PuTTY

 

  1. 在 Window 快速启动栏上,单击PuTTY快捷方式。

 

 

通过 SSH 连接到 web-01a.corp.local

 

  1. 向下滚动以找到Web-01a.corp.local
  2. 选择Web-01a.corp.local
  3. 单击Load(加载)
  4. 单击Open(打开)

 

 

关闭 HTTPD

 

我们将关闭 HTTPS 以模拟首次故障情况。

  1. 输入service httpd stop以关闭 HTTPD。
service httpd stop

 

 

Loadbalancer 控制台

 

show service loadbalancer pool

由于该服务已关闭,因此故障详细信息会显示客户端无法建立 SSL 会话。

 

 

重启 HTTPD 服务

 

切换回 web-01a的 Putty SSH 会话

1. 输入service httpd start

service httpd start

 

 

关闭 web-01a

 

导航回到 Chrome 浏览器和 vSphere Web Client。

  1. 在 vSphere Web Client 右上角的搜索框中,输入web-01a
  2. 单击web-01a

 

 

关闭 web-01a

 

  1. 单击Actions(操作)
  2. 单击Power(电源)
  3. 单击Power off(关闭)

 

 

检查池状态

 

show service loadbalancer pool

由于该虚拟机现在已关闭,因此故障详细信息会显示客户端无法建立 L4 连接,这与前一步骤中的 L7 (SSL) 连接相反。

 

 

启动 web-01a

 

  1. 单击Actions(操作)
  2. 单击Power(电源)
  3. 单击Power On(启动)

 

 

总结

在本练习中,我们部署并配置了新的 Edge 服务网关,并针对 1-Arm LB Customer DB应用启用了负载均衡服务。

Edge 服务网关负载均衡器课程到此结束。接下来,我们将学习有关 Edge 服务网关防火墙的更多信息。

 

Edge 服务网关防火墙


NSX Edge 防火墙负责监控南北向流量,以提供边界安全功能,包括防火墙、网络地址转换 (NAT) 以及站点间 IPSec 和 SSL VPN 功能。防火墙设置适用于不与任何用户定义的防火墙规则相匹配的流量。默认的 Edge 防火墙策略会阻止所有传入流量。


 

使用 NSX Edge 防火墙规则

我们可以导航到 NSX Edge 以查看对其应用的防火墙规则。应用于逻辑路由器的防火墙规则仅保护进出逻辑路由器控制虚拟机的控制平面流量。它们不会强制实施任何数据平面保护。要保护数据平面流量,需创建提供东西向保护的逻辑防火墙规则,或者在 NSX Edge 服务网关级别创建提供南北向保护的规则。

在防火墙用户界面上创建的适用于此 NSX Edge 的规则以只读模式显示。规则按以下顺序显示并强制实施:

  1. 防火墙用户界面上用户定义的规则(只读)。
  2. 自动查明的规则(支持控制流量流向 Edge 服务的规则)。
  3. NSX Edge 防火墙用户界面上用户定义的规则。
  4. 默认规则。

 

 

打开 Network  Security (网络与安全性)

 

  1. 单击Networking  Security(网络连接和安全性)

 

 

打开一个 NSX Edge

 

  1. 选择NSX Edges(NSX Edge)
  2. 双击Perimeter Gateway-01(外围网关-01)

 

 

打开 Manage (管理)选项卡

 

  1. 选择Manage(管理)选项卡
  2. 选择Firewall(防火墙)
  3. 选择Default Rule(默认规则),即防火墙表中最后一条规则。

 

 

编辑防火墙规则操作

 

  1. 将鼠标指向规则的Action(操作)单元格,并单击该单元格
  2. 单击Action(操作)下拉菜单,然后选择Deny(拒绝)

 

 

发布变更

 

我们将不会对 Edge 服务网关防火墙设置进行永久性更改。

  1. 选择Revert(恢复)可回滚更改。

 

 

添加 Edge 服务网关防火墙规则

 

现在我们已经熟悉了如何编辑现有 Edge 服务网关防火墙规则,接下来将添加一个新的 Edge 防火墙规则,用来阻止控制中心对客户数据库应用的访问。

  1. 选择绿色 (+)符号以添加新防火墙规则。
  2. 将鼠标悬停在Name(名称)列的右上角,然后选择 (+)符号
  3. 输入规则名称:Main Console FW Rule(主控制台防火墙规则)
  4. 单击OK(确定)

 

 

指定源

 

将鼠标悬停在Source(源)字段的右上角,然后选择 (+) 符号

  1. 单击Object Type(对象类型)下拉菜单,然后选择IP Sets(IP 组)
  2. 单击New IP Set...(新建 IP 组...)超链接
  3. 在 IP 组Name(名称)文本框中输入Main Console(主控制台)
  4. 输入控制中心的 IP 地址:192.168.110.10
  5. 单击OK(确定)

 

 

确认源

 

  1. 确认Main Console(主控制台)位于Selected Objects(所选对象)中
  2. 单击OK(确定)

 

 

指定目标

 

将鼠标悬停在Destination(目标)列的右上角,然后选择 (+) 符号

  1. 单击Object Type(对象类型)下拉菜单,然后选择Logical Switch(逻辑交换机)
  2. 单击Web_Tier_Logical_Switch
  3. 单击向右箭头以将 Web_Tier_Logical_Switch 移动到Selected Objects(所选对象)
  4. 单击OK(确定)

 

 

配置操作

 

  1. 在Action(操作)列的右上角,单击 (+)图标
  2. 单击Action(操作)下拉菜单,然后选择Deny(拒绝)
  3. 单击OK(确定)

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)

 

 

测试新防火墙规则

 

现在我们已经配置了可阻止控制中心访问 Web 层逻辑交换机的新防火墙规则,接下来我们进行一个快速测试:

  1. 打开一个新的 Chrome浏览器选项卡
  2. 单击Customer DB App(客户数据库应用)书签
  3. 验证主控制台是否无法访问客户数据库应用

几分钟后,我们应该会看到浏览器页面显示无法访问该网站。现在,我们来修改一下防火墙规则以允许主控制台访问客户数据库应用。

 

 

将主控制台防火墙规则更改为 Accept (接受)

 

返回至vSphere Web Client选项卡。

  1. 在主控制台防火墙规则的Action(操作)列的右上角,单击 (+)符号
  2. 单击Action(操作)下拉菜单,然后选择Accept(接受)选项
  3. 单击OK(确定)

 

 

 

发布变更

 

1. 单击Publish Changes(发布变更)

 

 

确认可以访问客户数据库应用

 

我们已将主控制台防火墙规则更改为Accept(接受),现在主控制台可以访问客户数据库应用

 

 

删除主控制台防火墙规则

 

  1. 选择主控制台防火墙规则
  2. 单击红色 (x)图标以删除该防火墙规则
  3. 单击OK(确定)确认删除

 

 

发布变更

 

1. 单击Publish Changes(发布变更)

 

 

总结

在本练习中,我们学习了如何修改现有 Edge 服务网关防火墙规则,以及如何配置可阻止从外部访问客户数据库应用的新 Edge 服务网关防火墙规则。

Edge 服务网关防火墙课程到此结束。接下来,我们将继续学习有关 Edge 服务网关如何管理 DHCP 服务的更多信息。

 

DHCP 中继


在仅有一个网段的网络中,DHCP 客户端可与其 DHCP 服务器直接通信。DHCP 服务器还可为多个网络提供 IP 地址,即使某些网络与这些服务器本身不在同一网段也是如此。但在为服务器本身以外的 IP 范围提供 IP 地址时,它将无法与这些客户端直接通信。这是因为这些客户端没有可路由的 IP 地址或可以识别的网关。

在这些情况下,为了中继从 DHCP 客户端收到的广播(通过在单播模式下将其发送到 DHCP 服务器),需要 DHCP 中继代理。DHCP 服务器将基于单播源自的范围来选择 DHCP 范围,将它返回给代理地址,随后将该代理地址广播回原有网络,再到客户端。

本练习中将要介绍的领域:

在本练习中,已经预先设置了以下项目


 

练习拓扑

 

此图展示了将在本练习单元中创建和使用的最终拓扑。

 

 

通过 Web Client 访问 NSX

 

访问 Web Client 的Networking  Security(网络连接和安全性)部分

  1. 单击左侧窗格中的Networking  Security(网络连接和安全性)。

 

 

创建新的逻辑交换机

 

首先,我们必须创建一个新的逻辑交换机,它将运行我们新的 172.16.50.0/24 网络。

  1. 选择Logical Switches(逻辑交换机)
  2. 单击绿色加号 (+) 以创建新的逻辑交换机

 

 

输入新交换机参数

 

为了配置逻辑交换机,我们必须设置名称和传输区域。

  1. 在Transport Zone(传输区域)中,单击Change(更改)

 

 

选择传输区域

 

  1. 选择RegionA0_TZ
  2. 单击OK(确定)

 

 

输入新交换机参数

 

该名称并不特别重要,但它可以用于帮助识别交换机。

  1. Name(名称)= DHCP-Relay
  2. 单击OK(确定)

 

 

将逻辑路由器连接到外围网关

 

现在,我们要将逻辑交换机连接到外围网关上的某个接口。此接口将是 172.16.50.0/24 网络的默认网关,地址为 172.16.50.1。

  1. 单击左侧窗格中的NSX Edges(NSX Edge)。
  2. 双击edge-3,在本练习中,它是外围网关

 

 

添加接口

 

本部分会将逻辑交换机连接到外围网关上的某个接口。

  1. 单击Manage(管理)
  2. 单击Settings(设置)
  3. 单击Interfaces(接口)
  4. 选择vnic9
  5. 单击铅笔图标以编辑接口

 

 

选择将接口连接到什么逻辑交换机

 

我们要选择将接口连接到什么逻辑交换机。

  1. 单击Select(选择)

 

 

选择新创建的逻辑交换机

 

选择我们在先前的步骤中刚刚创建的新逻辑交换机。

  1. 选择DHCP-Relay逻辑交换机
  2. 单击OK(确定)

 

 

添加接口 IP 地址

 

我们将添加一个新的 IP 地址。

1. 单击绿色加号 (+)

 

 

配置接口 IP 地址

 

我们将为新的接口分配一个 IP 地址。

  1. Primary IP Address(主要 IP 地址)= 172.16.50.1
  2. Subnet Prefix Length(子网前缀长度)= 24

 

 

完成接口配置

 

验证所有信息并完成配置

  1. 将名称从vnic9改为DHCP Relay,以使其在以后更便于识别。
  2. 单击OK(确定)

 

 

配置 DHCP 中继

 

在Perimeter Gateway(外围网关)内部,我们必须为 DHCP 中继进行全局配置。

  1. 现在单击Manage(管理)选项卡
  2. 单击DHCP按钮
  3. 单击左侧窗格中的Relay(中继)部分
  4. 单击Edit(编辑)

 

 

DHCP 全局配置

 

在 DHCP 的全局配置中,我们将选择 DHCP 服务器,用于响应来自客户虚拟机的 DHCP 请求。

设置 DHCP 服务器 IP 共有三种方法:

IP 组

IP 组将在 NSX Manager 全局配置中进行配置,并允许我们通过创建命名分组来指定 DHCP 服务器子集。

IP 地址

我们可通过这种方法手动指定 DHCP 服务器的 IP 地址。

域名

这种方法允许我们指定 DNS 名称,它可以是单个 DHCP 服务器地址,也可以是多个 DHCP 服务器地址。

 

出于本练习的目的,我们将使用单个 IP 地址。

  1. IP Addresses(IP 地址)= 192.168.110.10,它是 DHCP 服务器的 IP。
  2. 单击OK(确定)

 

 

配置 DHCP 中继代理

 

DHCP 中继代理会将来自逻辑交换机上的网关地址的任何 DHCP 请求中继到已配置好的 DHCP 服务器。我们必须向我们在 172.16.50.0/24 上创建的逻辑交换机/网段添加一个代理。

  1. 在DHCP Relay Agents(DHCP 中继代理)部分下,单击绿色加号

 

 

选择外围网关接口

 

选择外围网关上的哪个接口将包含中继代理。

  1. 单击vNIC(虚拟网卡)下拉菜单,选择我们先前创建的接口 DHCP Relay Internal
  2. 单击OK(确定)

 

 

将设置发布到 DHCP 中继设置

 

现在,我们需要将所有这些变更发布到分布式路由器。

  1. 单击Publish Changes(发布变更)

 

 

为 PXE 引导创建空白虚拟机

 

现在,我们将创建一个空白虚拟机,它将从我们作为中继目标的 DHCP 服务器进行 PXE 引导。

  1. 单击Home(主页)图标
  2. 单击Hosts and Clusters(主机和集群)

 

 

创建新的虚拟机

 

  1. 展开RegionA01-COMP01
  2. 选择esx-02a.corp.local
  3. 选择Actions(操作)下拉菜单
  4. 然后依次单击New Virtual Machine(新建虚拟机)和New Virtual Machine(新建虚拟机)

 

 

配置新虚拟机

 

  1. 选择Create a New Virtual Machine(创建新的虚拟机)
  2. 单击Next(下一步)

 

 

命名虚拟机

 

  1. Name(名称)= PXE VM
  2. 单击Next(下一步)

 

 

选择主机

 

  1. 单击Next(下一步)

 

 

Select Storage (选择存储)

 

将此选项保留为默认值

  1. 单击Next(下一步)

 

 

选择兼容性

 

将此选项保留为默认值

  1. 单击Next(下一步)

 

 

选择客户操作系统

 

将此选项保留为默认值

  1. 在Guest OS Family(客户操作系统系列)下选择Linux
  2. 在Guest OS Version(客户操作系统版本)下选择Other Linux (64-bit)(其他 Linux [64 位])
  3. 单击Next(下一步)

 

 

指定硬件 - 移除硬盘

 

我们需要删除默认硬盘。由于是从网络启动,无需硬盘。这是因为 PXE 映像完全在 RAM 中启动和运行。

  1. 将鼠标指针移动到New Hard Disk(新建硬盘)上,右侧将显示X。单击此X移除硬盘。

 

 

指定硬件 - 选择网络

 

现在,我们将选择先前创建的基于 VXLAN 的逻辑交换机 DHCP-Relay。我们可以在此处选择它,也可以将虚拟机分配给该逻辑交换机。此操作可以通过NSX Logical Switch(NSX 逻辑交换机)菜单完成,方法是选择逻辑交换机,然后单击Add(添加)。

  1. 选择名称中包含词汇 DHCP Relay的网络。逻辑交换机的完整 UUID 可能会与上面的屏幕截图不同,但仅有一个逻辑交换机的名称中包含 DHCP-Relay。如果您无法首先看到所列网络,请单击Show More Networks(显示更多网络)。
  2. 单击Next(下一步)

 

 

完成虚拟机创建

 

  1. 单击Finish(完成)。

 

 

访问新创建的虚拟机

 

接下来,我们将打开此虚拟机的控制台,启动此虚拟机,并观察它从 PXE 映像启动。它将通过我们先前配置的远程 DHCP 服务器接收此信息。

  1. 从左侧窗格中选择PXE VM(PXE 虚拟机)
  2. 选择Summary(摘要)选项卡
  3. 单击Launch Remote Console(启动远程控制台)

 

 

启动虚拟机

 

启动新虚拟机。

  1. 单击Play(播放)按钮

 

 

从远程服务器获取 DHCP

 

请注意,虚拟机现在正在尝试启动并获取 DHCP 地址。

 

 

映像引导

 

此屏幕将在虚拟机获得 DHCP 地址后显示,此时正在从启动服务器下载 PXE 映像。此屏幕需要大约 1-2 分钟,请转到下一步。

 

 

验证 DHCP 租约

 

在等待虚拟机引导时,我们可以验证 DHCP 租约中使用的地址。

  1. 转到主控制台的桌面,然后双击图标 DHCP。

 

 

查看租约

 

我们可以查看虚拟机从 DHCP 服务器获取了什么地址。

  1. 通过单击箭头展开各个部分
  2. 选择Address Leases(地址租约)
  3. 您将看到地址 172.16.50.10,它处于我们先前创建的范围内

 

 

查看选项

 

我们还可以查看用于引导 PXE 映像的范围选项

  1. 选择Scope Options(范围选项)
  2. 您将注意到,使用的选项是 66 和 67

现在,您可以关闭 DHCP

 

 

访问已引导的虚拟机

 

  1. 从任务栏中选择 PXE 虚拟机控制台以返回到该控制台。

 

 

验证地址和连接性

 

位于虚拟机右上角的小工具将显示该虚拟机的统计数据和 IP。此 IP 应与先前的 DHCP 中显示的 IP 相匹配。

 

 

验证连接性

 

由于已经通过虚拟网络部署了动态路由,因此我们可在虚拟机创建后连接到该虚拟机。我们可以从主控制台对其执行 ping 操作来验证这一点。

  1. 单击任务栏中的命令提示符图标

2. 输入ping 172.16.50.10,然后按 Enter 键。(请记得使用SEND TEXT[发送文本] 选项。)

ping 172.16.50.10

随后您将看到来自该虚拟机的 ping 响应。现在,您可以关闭此命令窗口。

 

 

总结

在本练习中,我们完成了创建新网段,然后将来自该网络的 DHCP 请求中继到外部 DHCP 服务器。在进行这些操作时,我们可以访问此外部 DHCP 服务器的其他引导选项,以及 Linux 操作系统内部的 PXE。

本练习到此结束。接下来,我们将探讨 Edge 服务网关 L2VPN 服务。

 

配置 L2VPN


在本单元中,我们将利用 NSX Edge Gateway 的 L2VPN 功能,在两个独立的 vSphere 集群之间延展 L2 边界。为演示基于该功能的使用情形,我们将分别在 RegionA01-MGMT01 集群和 RegionA01-COMP01 集群上部署 NSX Edge L2VPN 服务器和 NSX Edge L2VPN 客户端,最后测试安全加密链路状态以验证是否配置成功。

 


 

打开 Google Chrome 并导航到 vSphere Web Client

 

  1. 从桌面上打开 Google Chrome Web 浏览器(如果尚未打开)。

 

 

导航到 vSphere Web Client 的 Networking  Security (网络连接和安全性)部分

 

  1. 单击Networking  Security(网络连接和安全性)。

 

 

为 L2VPN-Server 创建 NSX Edge Gateway

 

要创建 L2VPN 服务器服务,我们必须首先部署 NSX Edge Gateway,以便该服务在其中运行。 

  1. 单击NSX Edge(NSX Edge)。
  2. 单击绿色加号 (+) 以创建新 Edge。

 

 

配置新的 NSX Edge Gateway:L2VPN-Server

 

将显示New NSX Edge(新建 NSX Edge)向导,并显示第一部分Name and Description(名称和描述)。输入与下列数字对应的以下值。将其他字段留空或保留其默认值。

  1. 对于Name(名称),输入L2VPN-Server。
  2. 单击Next(下一步)。

 

 

为新的 NSX Edge Gateway 配置设置:L2VPN-Server

 

在New NSX Edge(新建 NSX Edge)向导的Settings(设置)部分,执行以下操作:

  1. 在Password(密码)和Confirm Password(确认密码)字段中输入VMware1!VMware1!,然后将所有其他选项保留其默认值。
  2. 单击Next(下一步)按钮继续。

 

 

添加新的 NSX Edge 设备:L2VPN-Server

 

在显示的Add NSX Edge Appliance(添加 NSX Edge 设备)模式弹出窗口中,输入以下值:

  1. 单击绿色加号 (+) 以创建 NSX Edge 设备。
  2. 设置Cluster/Resource Pool(集群/资源池):RegionA01-MGMT01。
  3. 设置Datastore(数据存储):RegionA01-ISCSI01-MGMT01。
  4. 设置Host(主机):esx-05a.corp.local。
  5. 设置Folder(文件夹)已发现的虚拟机。
  6. 单击OK(确定)按钮以提交该配置。

 

 

返回新 NSX Edge Gateway 的 Configure Deployment (配置部署):L2VPN-Server

 

  1. 单击Next(下一步)按钮继续。

 

 

添加接口

 

  1. 单击绿色加号 (+) 以添加接口。

 

 

将新接口添加到 NSX Edge Gateway:L2VPN-Server

 

  1. 在Name(名称)字段中输入L2VPNServer-Uplink
  2. 选择Uplink(上行链路)类型。
  3. 单击绿色加号 (+) 图标以列出新Primary IP Address(主要 IP 地址)的字段。
  4. 输入192.168.5.5作为 IP 地址。
  5. 输入29作为Subnet Prefix Length(子网前缀长度)。确保所输入的长度为29而不是24
  6. 单击Connected To(连接到)文本框旁标记为Select(选择)的链接。

 

 

将新接口连接到逻辑交换机

 

确保Logical Switch(逻辑交换机)选项卡已选中,然后执行以下操作:

  1. 单击Transit_Network_01 - 5006逻辑交换机的单选按钮。
  2. 单击OK(确定)按钮继续。

 

 

确认新的接口配置:L2VPN-Server

 

继续操作前,请检查以下设置:

  1. 单击OK(确定)以完成配置。

 

 

继续配置新 NSX Edge Gateway:L2VPN-Server

 

  1. 单击Next(下一步)按钮继续。

 

 

为新 NSX Edge 配置默认网关设置:L2VPN-Server

 

  1. 输入192.168.5.1作为Gateway IP(网关 IP)。
  2. 单击Next(下一步)。

 

 

为新 NSX Edge Gateway 配置防火墙和高可用性设置:L2VPN-Server

 

对于Firewall and HA(防火墙和高可用性)部分,请配置下列属性:

  1. 选中Configure Firewall default policy(配置防火墙默认策略)复选框。
  2. 将Default Traffic Policy(默认流量策略)设置为Accept(接受)。
  3. 单击Next(下一步)按钮继续。

 

 

检查新的 NSX Edge Gateway 部署并完成:L2VPN-Server

 

  1. 单击Finish(完成)按钮以开始部署 NSX Edge。

 

 

准备 L2VPN-Server NSX Edge 以建立 L2VPN 连接

在我们配置新部署的 NSX Edge 以建立 L2VPN 连接之前,需首先执行一些准备步骤,包括:

1.) 将中继接口添加到 L2VPN-Server Edge Gateway。

2.) 将子接口添加到 L2VPN-Server Edge Gateway。

3.) 在 L2VPN-Server Edge Gateway 上配置动态路由 (OSPF)。

 

 

配置 L2VPN-Server NSX Edge

 

  1. 双击我们之前创建的标记为L2VPN-Server的 NSX Edge Gateway,以进入其配置区域。

 

 

添加中继接口

 

  1. 单击Manage(管理)选项卡。
  2. 单击Settings(设置)选项卡。
  3. 单击Interfaces(接口)
  4. 选择编号为1且名称为vnic1的vNIC(虚拟网卡),如屏幕截图所示。
  5. 单击铅笔图标以显示Edit NSX Edge Interface(编辑 NSX Edge 接口)向导。

 

 

配置中继接口

 

在出现的Edit NSX Edge Interface(编辑 NSX Edge 接口)窗口中,输入以下值:

  1. 输入L2VPN-Server-Trunk作为名称。
  2. 设置Type(类型):Trunk(中继)
  3. 单击Connected To(连接到)文本框旁边的Select(选择)链接。

 

 

选择中继端口组

 

在Connect NSX Edge to a Network(将 NSX Edge 连接到网络)弹出窗口中,执行以下操作:

  1. 单击Distributed Portgroup(分布式端口组)。
  2. 单击Trunk-Network-regionA0-vDS-MGMT单选按钮。
  3. 单击OK(确定)按钮。

 

 

将子接口添加到中继接口

 

  1. 单击标签Sub Interfaces(子接口)下的绿色加号 (+) 图标

 

 

配置子接口

 

在Add Sub Interface(添加子接口)弹出窗口中,输入以下值。

  1. Name(名称):L2VPN-Server-SubInterface
  2. Tunnel Id(安全加密链路 ID):1
  3. Backing Type(支持类型):Network(网络)
  4. 单击绿色加号 (+) 图标。
  5. 在Primary IP Address(主 IP 地址)字段中,输入172.16.10.1
  6. 输入24作为Subnet Prefix Length(子网前缀长度)。
  7. 单击Connected To(连接到)旁边的Select(选择)链接。

 

 

将子接口连接到逻辑交换机

 

  1. 确保已选择Logical Switch(逻辑交换机)选项卡。
  2. 单击Web_Tier_Logical_Switch (5000)单选按钮。
  3. 单击OK(确定)按钮。

 

 

配置新的 NSX Edge 接口配置

 

  1. 将Edit NSX Edge Interface(编辑 NSX Edge 接口)弹出窗口的其余属性保留默认值,然后单击OK(确定)按钮。

 

 

为此 NSX Edge 设置路由器 ID

 

接下来,我们将在此 Edge Gateway 上配置动态路由。

  1. 单击此 Edge Gateway 的Routing(路由)子选项卡。
  2. 单击左侧导航栏中的Global Configuration(全局配置)。
  3. 单击Dynamic Routing Configuration(动态路由配置)部分中的Edit(编辑)按钮。此时将显示一个弹出窗口,可在其中配置路由器 ID。

 

 

添加 L2VPNServer-Uplink

 

  1. 单击OK(确定)。

 

 

发布变更以设置路由器 ID

 

  1. 单击Publish Changes(发布变更)按钮以提交此 Edge Gateway 的配置更改。

 

 

在 L2VPN-Server NSX Edge 上配置 OSPF

 

继续停留在Routing(路由)子选项卡中,然后

  1. 单击左侧导航栏中的OSPF项。
  2. 单击Area to Interface Mapping(区域到接口的映射)部分下的绿色加号 (+)图标。

 

 

配置区域到接口的映射

 

在New Area to Interface Mapping(新建区域到接口的映射)弹出窗口中,配置以下值:

  1. vNIC(虚拟网卡):L2VPNServer-Uplink(如果尚未选中)
  2. Area(区域):0
  3. 单击OK(确定)按钮。

 

 

在 L2VPN-Server NSX Edge 上启用 OSPF

 

  1. 要在此 Edge Gateway 上启用 OSPF 配置,请单击OSPF Configuration(OSPF 配置)部分中的Edit(编辑)按钮。
  2. 选中Enable OSPF(启用 OSPF)复选框。
  3. 单击OK(确定)按钮。

 

 

发布 L2VPN-Server NSX Edge 变更

 

  1. 单击Publish Changes(发布变更)按钮以提交此 Edge Gateway 的配置更改。

 

 

启用 OSPF 路由重新分发

 

  1. 单击Route Redistribution(路由重新分发)。
  2. 单击与Route Redistribution Status(路由重新分发状态)对应的Edit(编辑)按钮。
  3. 选中OSPF复选框以启用 OSPF。
  4. 单击OK(确定)按钮。

 

 

添加路由重新分发表条目

 

  1. 接下来,单击Route Redistribution table(路由重新分发表)部分下的绿色加号 (+) 图标。

 

 

配置路由重新分发表条目

 

在New Redistribution criteria(新建重新分发标准)弹出窗口中,配置以下值:

  1. 单击与Connected(已连接)对应的复选框,并将所有其他复选框保持未选中状态。
  2. 单击OK(确定)按钮。

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)按钮。

完成后,便已执行所有先决条件以继续在此 Edge Gateway 上配置 L2VPN 服务。

 

 

在 L2VPN-Server NSX Edge 上配置 L2VPN 服务

现在 172.16.10.1 地址属于 L2VPN-Server Edge Gateway,并且通过 OSPF 动态分发路由,接下来我们将在此 Edge Gateway 上配置 L2VPN 服务,以使 Edge 在 L2VPN 中充当服务器。

 

 

在 L2VPN-Server NSX Edge 上导航到 VPN 服务区域

 

  1. 单击VPN选项卡。
  2. 单击左侧导航栏中的L2 VPN选项。
  3. 单击Change(更改)按钮,如屏幕截图所示。

 

 

配置 L2VPN 服务器设置

 

在 L2 VPN 服务器设置中,配置以下值:

  1. 将Encryption Algorithm(加密算法)设置为ECDHE-RSA-AES256-GCM-SHA384
  2. 单击OK(确定)按钮继续。

 

 

添加新站点配置

 

  1. 单击绿色加号 (+)图标。

 

 

配置新的 L2VPN 站点

 

  1. 选中Enable Peer Site(启用对等站点)复选框。
  2. 在Name(名称)字段中输入HOLSite1。
  3. User ID(用户 ID):siteadmin
  4. Password(密码):VMware1!
  5. 单击Select Sub Interfaces(选择子接口)链接

 

 

选择子接口

 

在Select Object(选择对象)弹出窗口中,执行以下操作:

  1. 选择L2VPN-Server-SubInterface对象。
  2. 单击向右箭头以将其移动到Selected Objects(所选对象)列表中。
  3. 单击OK(确定)按钮。

 

 

确认新站点配置

 

  1. 单击OK(确定)按钮继续。

 

 

发布 L2VPN 配置变更

 

  1. 在单击Publish Changes(发布变更)按钮之前,确保已将L2VPN Mode(L2VPN 模式)设置为Server(服务器)。
  2. 单击Publish Changes(发布变更)按钮以提交 L2 VPN 服务器配置。

 

 

启用 L2VPN 服务器服务

 

  1. 最后,要启用 L2 VPN 服务器服务,请单击Enable(启用)按钮,如屏幕截图所示。
  2. 单击Publish Changes(发布变更)。

 

L2 VPN 服务器的配置到此结束。接下来,我们将部署另一个新 NSX Edge Gateway 以将其用作 L2 VPN 客户端。

 

 

部署 L2VPN-Client NSX Edge Gateway

现在我们已配置了 L2VPN 的服务器端,接下来将继续部署另一个 NSX Edge Gateway 以充当 L2 VPN 客户端。在部署 NSX Edge Gateway L2VPN 客户端之前,我们需要在分布式虚拟交换机上配置上行链路和中继分布式端口组。

 

 

配置上行链路和中继端口组

 

  1. 返回 vSphere Web ClientHome(主页)屏幕,然后选择Networking(网络连接)

 

 

配置上行链路分布式端口组

 

  1. 选择RegionA01-vDS-COMP
  2. 单击Create a new port group(创建新端口组)

 

 

为新的分布式端口组命名

 

  1. 输入Uplink-RegionA01-vDS-COMP
  2. 单击Next(下一步)

 

 

配置设置

 

  1. 保留默认设置,然后单击Next(下一步)

 

 

Ready to Complete (即将完成)

 

  1. 单击Finish(完成)

重复执行前述步骤以配置Trunk-Network-RegionA01-vDS-COMP

 

 

已完成 vDS 配置

 

  1. 完成后,我们应该会看到新创建的分布式端口组。
  2. 单击Home(主页)

 

 

返回 Networking  Security (网络连接和安全性)

 

  1. 单击Networking  Security(网络连接和安全性)

 

 

NSX Edge

 

  1. 选择NSX Edges(NSX Edge)

 

 

创建新的 NSX Edge Gateway 作为 L2VPN-Client

 

  1. 单击绿色加号 (+) 图标以打开New NSX Edge(新建 NSX Edge)向导。

 

 

L2VPN-Client NSX Edge 名称与描述

 

对于此处的选项,请选择以下值:

  1. Install Type(安装类型):Edge Services Gateway(Edge 服务网关)
  2. Name(名称):L2VPN-Client
  3. 确保Deploy NSX Edge(部署 NSX Edge)处于选中状态,然后单击Next(下一步)按钮继续。

 

 

配置 NSX Edge 设置

 

对于Settings(设置)部分,请配置以下值:

  1. User name(用户名):admin
  2. Password(密码)和Confirm Password(确认密码):VMware1!VMware1!
  3. 单击Next(下一步)按钮继续。

 

 

配置 NSX Edge 的安置

 

在Add NSX Edge Appliance(添加 NSX Edge 设备)弹出窗口中,配置以下值:

  1. 单击绿色加号 (+) 以创建 NSX Edge 设备。
  2. Cluster/Resource Pool(集群/资源池):RegionA01-COMP02。
  3. Datastore(数据存储):RegionA01-ISCSI01-COMP01。
  4. Host(主机):esx-03a.corp.local。
  5. Folder(文件夹):已发现的虚拟机。
  6. 单击OK(确定)按钮以提交此 Edge 虚拟机的安置配置。

 

 

确认 NSX Edge 部署

 

  1. 确认配置与此处显示的屏幕截图相似,然后单击Next(下一步)按钮继续。

 

 

为 L2VPN-Client NSX Edge 配置接口

 

  1. 在向导的Configure interfaces(配置接口)部分,单击绿色加号 (+) 图标。

 

 

添加新接口

 

对于此接口上的参数,请输入以下值:

  1. Name(名称):L2VPN-Client-Uplink
  2. Type(类型):Uplink(上行链路)
  3. 单击绿色加号 (+) 图标以添加新的 IP 地址。
  4. 在Primary IP Address(主 IP 地址)中,输入192.168.200.5。
  5. 输入24作为Subnet Prefix Length(子网前缀长度)。
  6. 单击Connected To(连接到)文本框旁边的Select(选择)链接,以显示可在其中选择将此接口连接位置的网络列表。

 

 

将接口连接到分布式端口组

 

在Connect NSX Edge to a Network(将 NSX Edge 连接到网络)弹出窗口中,执行以下操作:

  1. 单击Distributed Portgroup(分布式端口组)选项卡。
  2. 单击Uplink-RegionA01-vDS-COMP单选按钮。
  3. 单击OK(确定)按钮继续。

 

 

确认接口配置

 

  1. 单击OK(确定)以确认新接口。

 

 

单击 Next (下一步)

 

  1. 单击Next(下一步)

 

 

配置默认网关

 

在Default Gateway Settings(默认网关设置)部分中,配置以下值:

  1. Gateway IP(网关 IP):192.168.200.1
  2. 单击Next(下一步)按钮继续。

 

 

防火墙与高可用性设置

 

在Firewall and HA(防火墙与高可用性)部分中,执行以下操作:

  1. 选中Configure Firewall default policy(配置防火墙默认策略)复选框。
  2. 针对Default Traffic Policy(默认流量策略),单击Accept(接受)单选按钮。
  3. 单击Next(下一步)按钮继续。

 

 

确认新 NSX Edge 配置

 

  1. 单击Finish(完成)按钮以提交新 Edge Gateway 配置并启动部署流程。

 

 

配置 L2VPN-Client NSX Edge Gateway

 

  1. 双击与新创建的 Edge 对应的条目以进入其管理区域。

 

 

添加中继接口

 

与针对 L2VPN-Server Edge Gateway 的操作类似,也需要为此 Edge 添加中继接口。要显示新接口的配置窗口,请执行以下操作:

  1. 单击Manage(管理)选项卡。
  2. 单击Settings(设置)子选项卡。
  3. 单击左侧导航栏上的Interfaces(接口)选项。
  4. 选择Name(名称)列下标记为vnic1的接口。
  5. 单击铅笔图标以显示此接口的配置区域。

 

 

配置中继接口

 

在Edit NSX Edge Interface(编辑 NSX Edge 接口)弹出窗口中,输入以下值:

  1. Name(名称):L2PVN-Client-Trunk
  2. Type(类型):Trunk(中继)
  3. 单击Connected To(连接到)旁边的Select(选择)链接,以显示可将此接口连接到的可用 vSphere 网络列表。

 

 

连接到中继网络分布式端口组

 

  1. 单击Distributed Portgroup(分布式端口组)选项卡。
  2. 选择Trunk-Network-RegionA01-vDS-COMP单选按钮。
  3. 单击OK(确定)按钮。

 

 

配置子接口

 

为子接口配置以下值:

  1. 单击绿色加号 (+) 以添加子接口。
  2. Name(名称):L2VPN-Client-SubInterface。
  3. Tunnel ID(安全加密链路 ID):1
  4. Backing Type(支持类型):Network(网络)
  5. 单击绿色加号 (+) 图标。
  6. 在Primary IP Address(主 IP 地址)中,输入172.16.10.1。
  7. 输入24作为Subnet Prefix Length(子网前缀长度)。
  8. 单击Network(网络)文本框旁边的Select(选择),以显示可将此子接口连接到的网络的列表。

 

 

将子接口连接到虚拟机网络

 

  1. 选择Distributed Portgroup(分布式端口组)选项卡。
  2. 选中VM-RegionA01-vDS-COMP单选按钮。
  3. 单击OK(确定)按钮。

 

 

确认子接口配置

 

  1. 确认子接口配置与此处的屏幕截图相似,然后单击OK(确定)按钮继续。

 

 

确认添加中继与子接口

 

  1. 确认中继接口配置与上面的屏幕截图相似,然后单击OK(确定)按钮以继续配置 L2 VPN 客户端服务。

 

 

配置 L2VPN 客户端服务

 

要开始配置 L2VPN 客户端,请执行以下操作:

  1. 单击VPN子选项卡。
  2. 单击左侧导航栏中的L2 VPN选项。
  3. 单击L2VPN Mode(L2VPN 模式)区域中的Client(客户端)单选按钮。
  4. 单击Global Configuration Details(全局配置详细信息)区域中的Change(更改)按钮。

 

 

L2VPN 客户端设置

 

对于Client Settings(客户端设置),请输入以下值:

  1. Server Address(服务器地址):192.168.5.5
  2. Encryption algorithm(加密算法):ECDHE-RSA-AES256-GCM-SHA384
  3. 对于User Details(用户详细信息),在User Id(用户 ID)中输入siteadmin。
  4. Password(密码)和Confirm Password(确认密码)字段中,输入VMware1!。
  5. 单击Select Sub Interfaces(选择子接口)链接以显示可连接到服务的可用子接口的列表。

 

 

添加子接口

 

要将新的子接口添加到 L2 VPN 服务,请执行以下操作:

  1. 从左侧可用对象列表中选择L2VPN-Client-SubInterface对象。
  2. 单击向右箭头以将该对象移动到Selected Objects(所选对象)列表中。
  3. 单击OK(确定)按钮。

 

 

确认 L2VPN 客户端设置

 

  1. 确认配置与此处显示的屏幕截图相似,然后单击OK(确定)按钮继续。

 

 

启用 L2VPN 客户端服务

 

  1. 要启用 L2VPN 客户端服务,请单击此处的Enable(启用)按钮,如屏幕截图所示。

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)。

 

 

获取 L2VPN 状态

 

  1. 启用后,单击标记为Fetch Status(获取状态)的按钮。我们可能需要在启用该服务后单击该按钮数次。
  2. 展开Tunnel Status(安全加密链路状态)。
  3. 验证Status(状态)为Up,如上方的屏幕截图所示。

祝贺您!至此,我们已成功配置了 NSX L2VPN 服务。

配置 NSX Edge 服务网关 L2VPN 服务的课程到此结束。

 

第 4 单元总结


第 4 单元NSX Edge 服务网关到此结束。我们希望这是一次愉快的练习过程!完成后,请勿忘记填写调查问卷。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.2 文档中心:

如果您有多余时间,还可以学习本练习的其他单元,每个单元都提供有完成学习预计所需的时间。

单击Table of Contents(目录)按钮可快速跳转至动手练习中的某个单元。

练习单元列表:

练习负责人:


第 5 单元 - 物理到虚拟桥接(60 分钟)

本机桥接


NSX 提供各种内核中软件 L2 桥接功能,这使各组织可以使用 VXLAN 将传统工作负载和旧式 VLAN 无缝连接到虚拟化网络。L2 桥接广泛用于升级或扩容环境中,可简化逻辑网络的引入以及涉及物理系统(需要与虚拟机建立 L2 连接)的其他场景。

逻辑路由器可以提供从 NSX 内逻辑网络连接空间到支持 VLAN 的物理网络之间的 L2 桥接。这使您可以在逻辑交换机和 VLAN 之间创建 L2 桥接,使用该桥接,可以将虚拟工作负载迁移至物理设备,且不会对 IP 地址产生任何影响。通过将逻辑交换机的广播域桥接到 VLAN 广播域,逻辑网络能够利用物理 L3 网关,并访问现有物理网络和安全资源。在 NSX-V 6.2 中,通过允许桥接逻辑交换机连接至分布式逻辑路由器,进一步增强了这一功能。在之前的 NSX 版本中,禁止执行上述操作。

本单元将引导我们配置传统 VLAN 和访问 NSX 逻辑交换机之间的 L2 桥接实例。


 

简介

 

上图显示了 NSX 6.2 中提供的 L2 桥接增强功能:

现在,您可以使用 NSX 6.2 新支持的配置来配置 NSX L2 桥接。

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示动手练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项SEND TEXT(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击SEND(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、PuTTY、控制台等)中。某些特定字符通常并不存在于世界各地使用的所有键盘上。如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。

 

 

访问 vSphere Web Client

 

 

 

登录 vSphere Web Client

 

使用 Windows 会话身份验证登录 vSphere Web Client。

  1. 勾选Use Windows session authentication(使用 Windows 会话身份验证)- 这样便会自动填充凭证 administrator@corp.local/VMware1!
  2. 单击Login(登录)

 

 

验证初始配置

 

现在,您可以验证初始配置。环境的管理和边缘集群上有一个端口组,名为Bridged-Net-RegionA0-vDS-MGMT。此时,名为web-01a和web-02a的 Web 服务器虚拟机已挂接到 Web-Tier-01 逻辑交换机,并且与桥接网络相互隔离。此图显示了拓扑。

 

 

访问 vSphere 网络连接配置

 

  1. 单击Home(主页)图标
  2. 单击Networking(网络连接),以访问 vSphere 网络连接配置界面。

 

 

打开端口组

 

  1. 依次展开对象树(vcsa-01a.corp.local、RegionA01、RegionA01-vDS-MGMT)
  2. 单击列表中的Bridged-Net-RegionA0-vDS-MGMT端口组

 

 

编辑桥接网络设置

 

  1. 单击Actions(操作)。
  2. 单击Edit Settings(编辑设置)。

注意:我们将设置 VLAN,以允许展示到分布式路由器的桥接网络,从而实现 L2 桥接。

 

 

编辑 VLAN 设置

 

  1. 在Edit Settings(编辑设置)列表中,单击VLAN。
  2. 单击VLAN type(VLAN 类型)下拉列表
  3. 选择VLAN。

 

 

将 VLAN 101 添加到桥接网络

 

  1. 将101添加到VLAN ID字段中。
  2. 单击OK(确定)。

 

 

验证 VLAN ID

 

  1. 单击Summary(摘要)选项卡
  2. 确认已在物理 VLANID101上配置端口组。

 

 

将 Web-01a 迁移到 RegionA01-MGMT01 集群

 

  1. 单击Home(主页)图标
  2. 选择VMs and Templates(虚拟机和模板)

 

 

迁移 Web-01a

 

  1. 展开vcsa-01a.corp.localvCenter 下拉列表。
  2. 展开RegionA01数据中心下拉菜单。
  3. 右键单击web-01a.corp.local。
  4. 单击Migrate(迁移)。

 

 

选择迁移类型

 

  1. 选择Change both compute resources and storage(更改计算资源和存储)。
  2. 选择Select compute resource first(首先选择计算资源)选项。
  3. 单击Next(下一步)。

 

 

选择计算资源

 

  1. 展开vcsa-01a.corp.localvCenter 下拉列表。
  2. 展开RegionA01数据中心下拉菜单。
  3. 展开RegionA01-MGMT01集群。
  4. 选择esx-04a.corp.local。
  5. 单击Next(下一步)。

 

 

Select Storage (选择存储)

 

  1. 选择RegionA01-ISCSI01-MGMT01存储。
  2. 单击Next(下一步)。

 

 

选择目标网络

 

  1. 单击Destination Network(目标网络)的下拉菜单
  2. 选择Browse(浏览)。

 

 

选择 Bridged-Net-RegionA0-vDS-MGMT

 

  1. 选择Bridged-Net-RegionA0-vDS-MGMT网络。
  2. 单击OK(确定)。

 

 

单击 Next (下一步)选择目标网络

 

  1. 单击Next(下一步)。

 

 

单击 Next (下一步)选择 vMotion 优先级

 

  1. 单击Next(下一步)。

 

 

单击 Finish (完成)

 

  1. 单击Finish(完成)。

 

 

查看已连接的虚拟机

 

  1. 单击Back(后退)按钮转至Networking(网络连接)。

 

 

查看桥接网络的相关对象

 

  1. 选择Bridged-Net-RegionA0-vDS-MGMT端口组。
  2. 选择Related Objects(相关对象)选项卡。
  3. 选择Virtual Machines(虚拟机)视图。

注意:web-01a.corp.local 现在应该已列出

4. 单击web-01a.corp.local。

 

 

打开虚拟机控制台

 

  1. 单击Summary(摘要)选项卡,并确认虚拟机的 IP 地址为 172.16.10.11。
  2. 单击Launch Remote Console(启动远程控制台)。

 

 

确认虚拟机已隔离

 

打开控制台窗口之后,单击屏幕中间部分,然后按任意键让屏幕空白部分消失。

  1. root用户身份和密码VMware1!登录(用户名或密码中没有尖括号)
  2. 输入ping -c 3 172.16.10.1(请记得使用SEND TEXT[发送文本] 工具)
ping -c 3 172.16.10.1

等待 ping 超时:您已确认虚拟机处于隔离状态,因为 VLAN 101 上没有其他设备,并且 L2 桥接还未配置。

 

 

将 Web_Tier_Logical_Switch 迁移到分布式逻辑路由器

 

  1. 单击Home(主页)图标。
  2. 选择Networking  Security(网络连接和安全性)。

 

 

从外围网关移除 Web 层

 

  1. 单击NSX Edges(NSX Edge)。
  2. 双击edge-3 Perimeter-Gateway-01。

 

 

移除 Web 层接口

 

  1. 单击Manage(管理)。
  2. 单击Settings(设置)。
  3. 选择Interfaces(接口)。
  4. 突出显示Web_Tier。
  5. 单击删除图标将逻辑交换机从外围网关删除。

 

 

单击 OK (确定)

 

 

 

返回到 NSX Edges (NSX Edge)

 

  1. 单击Networking  Security(网络连接和安全性)后退按钮返回到NSX Edges(NSX Edge)。

 

 

选择分布式路由器

 

  1. 双击Distributed-Router-01。

 

 

添加 Web 层逻辑交换机

 

  1. 单击Manage(管理)。
  2. 单击Settings(设置)。
  3. 在左侧菜单中,选择Interfaces(接口)
  4. 单击绿色加号图标添加 Web 层逻辑交换机。

 

 

添加 Web 层

 

  1. 在Name(名称)字段中,输入Web-Tier
  2. 单击Connected To(连接到)字段旁边的Select(选择)。

 

 

选择 Web 层逻辑交换机

 

  1. 选择Web_Tier_Logical_Switch。
  2. 单击OK(确定)。

 

 

添加主 IP 地址

 

  1. 单击绿色加号图标配置子网主 IP 地址。
  2. 在Primary IP Address(主 IP 地址)中,输入172.16.10.1
  3. 在Subnet Prefix Length(子网前缀长度)中,输入24
  4. 单击OK(确定)。

 

 

确认已将逻辑交换机添加到分布式逻辑路由器

 

确认已成功部署 Web 层逻辑交换机。

 

 

配置 NSX L2 桥接

 

现在,您将在 VLAN 101 和 Web-Tier-01 逻辑交换机之间实现 NSX L2 桥接,以便虚拟机web-01a能够与网络中的其他区域进行通信。借助 NSX-V 6.2,现在可以将 L2 桥接和分布式逻辑路由器连接至同一逻辑交换机。这是一项重要的增强功能,因为它简化了升级或扩容环境中的 NSX 集成,以及从旧版迁移到虚拟网络连接的流程。

 

 

创建新的 L2 桥接

 

  1. 单击Bridging(桥接)选项卡。
  2. 确认列表中没有已配置的桥接实例,然后单击绿色加号图标添加一个实例。

 

 

输入桥接名称

 

  1. 在Name(名称)输入字段中,输入Bridge-01
  2. 然后,单击图标选择一个连接桥接的逻辑交换机

 

 

选择逻辑交换机

 

  1. 选择Web_Tier_Logical_Switch。
  2. 单击OK(确定)。

 

 

打开 Distributed Port Group (分布式端口组)选择对话框

 

 

 

选择分布式端口组

 

  1. 选择Bridged-Net-RegionA0-vDA-MGMT分布式端口组
  2. 单击OK(确定)

 

 

确认桥接配置

 

 

 

发布变更

 

 

 

确认路由已启用

 

验证已发布的配置。您将看到Routing Enabled(路由已启用)消息:这意味着此 L2 桥接还连接至分布式逻辑路由器,这是 NSX-V 6.2 中的增强功能。

 

 

验证 L2 桥接

NSX L2 桥接已配置完毕。现在,您将验证 VLAN 101 上挂接的web-01a虚拟机与连接虚拟机的Web-Tier-01逻辑交换机之间的 L2 连接

 

 

验证默认网关连接

 

  1. 从任务栏中打开web-01a控制台选项卡,然后尝试再次对默认网关执行 ping 操作
  2. 输入 ping -c 3 172.16.10.1
ping -c 3 172.16.10.1

Ping 操作现已执行成功:您已经通过 NSX 提供的 L2 桥接验证了 VLAN 101 上挂接的虚拟机与分布式逻辑路由器(这是网络的默认网关)之间的连接。

注意:您在此测试期间可能会遇到重复的ping 操作(响应显示为 DUPs):这是由于动手练习环境的性质造成的,但不会发生在真实场景中。

 

 

L2 桥接单元清理

如果您想继续学习本动手练习中的其他单元,请确保按照以下步骤禁用 L2 桥接,因为在此特定环境中实现的示例配置可能会与其他场景(比如 L2VPN)冲突。

 

 

返回至 vSphere Web Client

 

  1. 单击浏览器上的vSphere Web Client选项卡。

 

 

访问 NSX 配置页面

 

  1. 单击Home(主页)图标。
  2. 从菜单中选择Networking  Security(网络连接和安全性)。

 

 

打开逻辑路由器配置页面

 

  1. 从左侧的Navigator(导航器)菜单上,单击NSX Edges(NSX Edge),然后等待系统加载 NSX Edge 列表。
  2. 双击名为Local-Distributed-Router的edge-2,以访问其配置页面。

 

 

删除桥接实例

 

  1. 单击Manage(管理)选项卡(如果尚未选中)。
  2. 然后单击Bridging(桥接)选项卡(如果尚未选中)。

注意:我们应该仅看到您之前创建的Bridge-01实例,并且它默认为突出显示。

3. 单击删除图标将其销毁。

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)按钮提交配置。

 

 

验证桥接清理

 

确认桥接实例已删除。

 

 

将 Web-01a 迁移到 RegionA01-COMP01 集群

 

  1. 单击Home(主页)图标。
  2. 选择VMs and Templates(虚拟机和模板)。

 

 

迁移 Web-01a

 

  1. 展开vcsa-01a.corp.localvCenter 下拉列表。
  2. 展开RegionA01数据中心下拉菜单。
  3. 右键单击web-01a.corp.local。
  4. 单击Migrate(迁移)。

 

 

选择迁移类型

 

  1. 选择Change both compute resources and storage(更改计算资源和存储)。
  2. 选择Select compute resource first(首先选择计算资源)选项。
  3. 单击Next(下一步)。

 

 

选择计算资源

 

  1. 展开vcsa-01a.corp.localvCenter 下拉列表。
  2. 展开RegionA01数据中心下拉菜单。
  3. 展开RegionA01-COMP01集群。
  4. 选择esx-01a.corp.local。
  5. 单击Next(下一步)。

 

 

Select Storage (选择存储)

 

  1. 选择RegionA01-ISCSI01-COMP01存储。
  2. 单击Next(下一步)。

 

 

选择目标网络

 

  1. 单击Destination Network(目标网络)的下拉菜单
  2. 选择vxm-dvs-43-virtualwire-1-sid-5000-Web_Tier_Logical_Switch。

 

 

单击 Next (下一步)选择 vMotion 优先级

 

 

 

单击 Finish (完成)

 

 

 

总结

祝贺您!您已经成功完成NSX L2 桥接单元的学习!在本单元中,我们配置并测试了从传统 VLAN 支持的端口组到 NSX VXLAN 逻辑交换机的桥接。

 

硬件 VTEP 与 Arista 简介


以下与硬件 VTEP 相关的单元部分旨在提供参考信息。如果您想直接跳到练习部分,请前往第 6 单元 - 分布式防火墙

在许多数据中心,一些工作负载尚未实现虚拟化,或无法实现虚拟化。为了将它们集成到 SDDC 体系结构,NSX 提供了通过第 2 层或第 3 层网关将虚拟网络连接延伸到物理网络的功能。本节将重点介绍第 2 层网关的功能特性,以及如何在运行 NSX 的主机上以原生态实现这些功能特性,此外还会介绍如何通过第三方硬件设备(如仍然可以由 NSX 控制的 Arista 网络交换机)实现这些功能特性。NSX 平台可为合作伙伴提供基于现有功能集成解决方案及内部版本的能力。此外,NSX 还可为公有云和私有云环境提供敏捷的叠加基础架构。

NSX 平台使用跨所有主机分布的网络 hypervisor层实现高效运行。但在某些情况下,网络中的某些主机尚未实现虚拟化,并且无法实施原生的 NSX 组件。NSX 可提供向外部非虚拟化网络进行桥接或路由的能力。我们将再次重点介绍桥接解决方案,并展示第 2 层网关如何将第 2 层逻辑网络延伸到第 2 层物理网络,以及第 2 层网关的一些使用情形。


 

Arista 设计指南版权信息和离线演示学时

 

练习单元的此部分摘自 2015 年 8 月第 1.0 版的Arista Design Guide for NSXfor vSphere with Arista CloudVision,并经过了修改

此外,我们想特别感谢美国 VMware 网络连接和安全业务部高级技术产品经理 Francois Tallet,感谢他引导我们了解他的练习,并为本单元下一部分提供了离线演示。

 

 

使用情形分析

 

NSX 使用跨所有主机分布的网络 hypervisor层实现高效运行。但在某些情况下,网络中的某些主机尚未实现虚拟化,并且无法在本机实施 NSX 组件。因此,NSX 可提供向外部非虚拟化网络进行桥接或路由的能力。本单元将更加具体地介绍桥接解决方案,其中包括第 2 层网关如何将第 2 层逻辑网络延伸到第 2 层物理网络。

第 2 层网关可实现如下主要功能:

将 NSX 逻辑交换机映射到 VLAN。第 2 层网关的配置和管理都嵌入在 NSX 中。

解封通过安全加密链路在 NSX 逻辑交换机上接收的流量,并转发到物理网络上相应的端口/VLAN。同样,还可以封装另一方向上的 VLAN 流量,并相应转发到 NSX 逻辑交换机上。

NSX 本机包含第 2 层网关软件版本的功能,并拥有在 Hypervisor 内核中全面实施的数据层,可实现最佳性能。在此功能的基础上,NSX 平台可集成第三方组件,以通过硬件方式实现第 2 层网关功能。

 

 

组件概述

 

将硬件网关连接到 NSX 时,需要用到一些组件。它们如上图中所示。

NSX Controller负责处理与硬件网关的交互。为此,将在 NSX Controller 与一个专用软件(名为硬件交换机控制器 [HSC])之间建立连接。HSC 可以嵌入在硬件网关中,也可以作为单独的设备独立运行。HSC 可控制一个或多个硬件网关。例如,Arista 可将 CloudVision 平台用作 HSC,它可充当所有 Arista 硬件网关到 NSX 的单一集成点。HSC 运行 OVSDB (Open vSwitch Database) 服务器,并且 NSX Controller 可作为 OVSDB 客户端进行连接。OVSDB 是 Open vSwitch Database Management 协议,在 RFC 7047 中有详细介绍。它是一个开源项目,可提供远程管理数据库的功能。

NSX Controller 将通过 HSC,将管理员在逻辑交换机和物理交换机/端口/VLAN 之间配置的关联推送到硬件网关。此外,NSX Controller 还将公布一个复制服务节点 (RSN) 列表,硬件网关将利用这些节点来转发广播、未知单播或多播 (BUM) 流量。NSX Controller 将向 HSC 公布与在硬件网关上配置的逻辑交换机相关的 Hypervisor VTEP 的列表。此外,NSX Controller 还将向 HSC 公布虚拟网络中虚拟机的 MAC 地址与 VTEP(用于连接这些虚拟机)之间的关联。

注意:一个 NSX 部署中可能有多个 NSX Controller,以提供冗余和横向扩展。事实上,上述由 NSX Controller 执行的任务都会跨网络中的所有 NSX Controller 进行共享。HSC 将连接到所有控制器。

 

 

NSX 与 Arista CloudVision 和硬件网关集成

 

Arista CloudVision 平台可提供对整个网络的可见性以及到 NSX 的单一集成点。

CloudVision 的基础是基础架构服务,可共享和聚合运行 Arista EOS 软件的物理交换机的工作状态,从而提供网络可见性和集中协调。每个参与的物理 EOS 节点的状态都将使用 EOS 系统数据库 (SysDB) 的同一发布/订阅体系结构注册到 CloudVision。例如,CloudVision VXLAN Control Service (VCS) 会聚合整个网络的 VXLAN 状态,以与 VMware NSX 进行集成和编排。此外,CloudVision 还可以借助具有 VXLAN 功能的 MLAG 为 NSX 提供冗余硬件第 2 层网关。借助交换机发生故障时的无中断故障转移功能,Arista 上具有 VXLAN 功能的 MLAG 可提供非阻断的活动-活动转发和冗余。此外,Arista CloudVision 和架顶式交换机在内部运行 VCS,每个硬件 VTEP 都可使用它相互共享状态,从而建立 VXLAN 安全加密链路,而无需多播控制层。

 

 

运行集成点

 

在运行过程中,Arista CloudVision 将注册 NSX Controller,并使用 OVSDB 协议与 NSX 同步拓扑信息、MAC 到 VXLAN 端点和 VXLAN ID 绑定。CloudVision 会将 Arista 交换机或 MLAG(多机箱链路聚合)交换机对相应预先确定为 NSX 硬件网关。借助这种硬件网关集成,在进行任何网络更改或工作负载修改活动期间,物理和虚拟 VXLAN 安全加密链路端点之间的状态几乎可以实现即时同步。

VMware 的 NSX Manager 是整个 NSX 网络虚拟化平台的前端。此外,用户还可以将 NSX 作为单一窗口,从中跨虚拟和非虚拟化系统管理和运行工作负载。

Arista 的 CloudVision 平台可提供一套服务,以简化虚拟化数据中心中的监控、管理以及 NSX 与 Arista 交换机的集成。用户可通过 NSX Manager UI 将 Arista VTEP 当作网关节点进行调配。这可以程序化和自动化的方式跨多个数据中心加快服务交付速度,并帮助企业更好地满足自身的需求。

Arista CloudVision 平台的部署需要两步:

  1. 在 Arista ToR 交换机和 CloudVision 上启用 VXLAN Control Service (VCS)。
  2. 在 CloudVision 上启用硬件交换机控制器 (HSC) 服务。

 

 

动手练习交互式模拟:硬件 VTEP 与 Arista


本部分的练习以动手练习 - 交互式模拟的形式呈现。借助这种模拟,您能够在软件界面中进行导航,就像与实际环境进行交互一样。

  1. 单击此处打开交互式模拟。它将在新的浏览器窗口或选项卡中打开。
  2. 完成后,单击 Web 浏览器窗口右上角的Return to the lab(返回练习)链接,或关闭窗口回到此选项卡。

桥接设计注意事项


硬件和软件网关之间存在显著不同:

这会对冗余以及网络中第 2 层的范围造成影响。本单元的这个部分包含实施硬件网关体系结构时的设计注意事项以及之前提到的注意事项。可以参考最佳实践,但建议计划使用 NSX 实施硬件网关的用户咨询 VMware 专业人员,以了解特定于其环境的注意事项。


 

Arista 设计指南版权信息

 

练习单元的此部分摘自 2015 年 8 月第 1.0 版的Arista Design Guide for NSXfor vSphere with Arista CloudVision,并经过了修改

 

 

高可用性和 MLAG

 

Arista 支持对各种交换机上的计算和 VXLAN 同时实施 MLAG,以向 NSX 提供硬件第 2 层网关冗余。借助交换机发生故障时的无中断故障转移功能,Arista 上具有 VXLAN 功能的 MLAG 可提供非阻断的活动-活动转发和冗余。Arista CloudVision 将多机架 LAG (MLAG) 的详细信息抽象化,并将一对 MLAG 交换机显示为一个 VTEP。

事实上,几个硬件网关可同时保持活动状态,这也会影响网络设计。通常,逻辑交换机会延伸到 VLAN,以向一些无法实现虚拟化的服务提供连接。这种服务通常都会有冗余,意味着其物理实施跨数据中心内的多个不同机架。

 

 

对网络中第 2 层范围的影响

 

如上图的左侧所示,一些虚拟机已挂接到逻辑交换机,并通过软件网关(Edge 服务网关)访问物理服务器。从逻辑交换机到 VLAN 10(存放物理服务器的位置)的所有流量都必须通过单一桥接实例。这意味着 VLAN 10 必须在机架之间进行延伸,才能够访问所有必需的物理服务器。

在过去几年中,数据中心网络连接的趋势已经发展成尝试尽可能地减少第 2 层连接的跨度,以最大限度地降低相关的风险和限制。上图右侧的图片显示了如何通过利用单独的活动硬件网关来实现这一点。在这个备用设计中,每个托管物理服务器的机架都配置了硬件网关。得益于这种模式,用户无需延伸机架之间的第 2 层连接,因为逻辑交换机可在访问物理服务器时直接延伸到相关的硬件网关。

注意:机架中定义的 VLAN 在本地有效(示例展示了逻辑交换机延伸到了一个机架中的 VLAN 10 和另一个机架中的 VLAN 20)。

 

 

NSX 组件和集群连接

 

NSX 功能和组件操作已在VMware NSX for vSphere 网络虚拟化设计指南(第 3.0 版)中定义(可从 https://communities.vmware.com/docs/DOC-27683获取)。我们强烈建议读者阅读该文档,以遵循与物理网络连接相关的依据。NSX 组件的组织和功能将映射到相应集群。VMware NSX for vSphere 网络虚拟化设计指南需要组织虚拟化环境的 NSX 组件、计算和管理。

VMware NSX for vSphere 网络虚拟化设计指南建议构建三种不同类型的 vSphere 集群。上图展示了一个将集群设计的逻辑组件放置到物理机架的示例。

注意:在单一机架中,即使更小的配置也可用于为边缘和管理集群提供连接。关键概念是,边缘集群配置已局部化为 ToR 对,以减少第 2 层所需的跨度;这也有助于将传出路由配置局部化为一对 ToR 交换机。此外,借助边缘组件的局部化,可以基于以网络为中心的各种功能(比如防火墙、NetFlow、NAT 和 ECMP 路由)灵活选择相应的硬件(CPU、内存和网卡)以及功能。

 

 

Arista 交换机和 NSX 路由

NSX Edge Gateway 提供基于 ECMP(等价多路径)的路由,最多支持八台虚拟机展示从 NSX 逻辑域到企业数据中心核心或 Internet 的 8 路双向流量。这表示在两个方向上,最多可从 NSX 虚拟域向外部网络提供 80 Gbps(8 个 10 GE 接口)的流量。它可以按租户进行扩展,因此带宽量富有弹性,可随着按需工作负载和/或多租户的扩展或收缩进行调整。要支持南北向路由的 NSX ECMP Edge Gateway,需要满足以下配置要求:

 

 

边缘集群中的 VDS 上行链路设计与 ESXi 主机

 

边缘机架有多个流量连接要求。第一,它通过 VTEP 提供到 VXLAN 域的东西向流量连接;第二,它通过 VLAN 支持的专用端口组为 NSX 域中的外部用户/流量访问工作负载提供集中化功能。稍后,此连接将通过使用下一跃点第 3 层设备建立路由邻接关系来实现。上图描绘了包含 Edge ECMP 虚拟机的主机的两种上行链路连接。

 

 

Edge ECMP 对等关系和 VLAN 设计

 

上行链路绑定模式确定之后,下一步是提供有关 VLAN 配置、到上行链路的映射以及与 Arista 交换机建立对等关系的设计指导。第一个决策是每个 NSX Edge 上应部署多少逻辑上行链路。建议的设计选择是,逻辑上行链路的数量要始终与托管 NSX Edge 虚拟机的 ESXi 服务器上可用且在 NSX Edge 虚拟机上定义的 VDS dvUplink 数量一一对应。这意味着 VLAN(端口组)数量要始终与 VDS dvUplink 数量一一对应,并且与连接到 Arista 交换机的 ESXi 主机上的物理链接数量一一对应,并且 Edge 虚拟机将因此与 Arista 交换机建立路由对等关系。

在如上所示的示例中,NSX Edge ECMP 虚拟机 (E1-E8) 部署在 ESXi 主机上,且有两条物理上行链路连接到 Arista ToR 交换机。因此,建议在每个 NSX Edge 上部署两个逻辑上行链路。由于 NSX Edge 逻辑上行链路与支持 VLAN 的端口组相连,需要使用两个外部 VLAN 网段来连接物理路由器,并建立路由协议邻接关系。如上图所示,每个 ECMP 节点通过各自的外部 VLAN,正好与一个 Arista 路由器对等。每个外部 VLAN 均定义为仅在一个 ESXi 上行链路上(在上图中,指向 R1 的上行链路上启用了外部 VLAN10,指向 R2 的上行链路上启用了外部 VLAN20)。这样做的目的是,在正常情况下,两个 ESXi 上行链路可以同时用于发送和接收南北向流量,甚至不需要在 ESXi 主机和 ToR 设备之间创建端口通道。

此外,在此模式下,ESXi 网卡出现物理故障相当于在该主机内部运行的 NSX Edge 出现逻辑上行链路故障,并且 Edge 将利用第二个逻辑上行链路(即第二个物理 ESXi 网卡接口)继续发送和接收流量。

 

 

NSX Edge 路由协议计时器建议

 

NSX Edge 逻辑路由器既可实现动态路由,又可实现静态路由。建议使用动态路由协议与 Arista 交换机建立对等关系,以减少每次定义逻辑网络时定义静态路由所需的开销。NSX Edge 逻辑路由器支持 OSPF 和 BGP 路由协议。NSX Edge ECMP 模式配置支持减少hello 和保持路由协议计时器,以改善节点或链接发生故障时的故障恢复性能。上表中显示了为 OSPF 和 BGP 建议的计时器最小值。

 

 

NSX 体系结构和 Arista 基础架构的优势

借助 NSX,用户可以针对网络连接和安全性构建逻辑服务,且无需对物理基础架构进行配置更改。在这种情况下,在将 Arista 交换机配置为提供 IP 连接,并调配路由配置之后,我们可以继续使用 NSX 部署新服务。

 

 

逻辑层连接

 

借助物理基础架构中服务器的逻辑层连接选项,虚拟机可以位于不同子网中,不过,借助叠加网络,虚拟机可以位于同一子网中且与第 2 层相邻,实际上,这可提供独立于拓扑的连接和移动性,可突破由物理网络连接造成的结构化拓扑限制。

 

 

路由到物理基础架构

 

为了从逻辑网络路由到物理网络,NSX 可借助物理基础架构了解和交换路由,以访问资源,比如数据库服务器或非虚拟化应用,这些资源可能位于物理网络的不同子网上。

如上图所示,通过在 NSX 分布式路由器与 NSX Edge 路由实例之间使用 ECMP,NSX 可提供横向扩展的路由体系结构。NSX Edge 可使用动态路由协议(OSPF 或 BGP)与物理路由器建立对等关系,并提供可扩展的带宽。对于 Arista 交换机基础架构,与其建立路由对等关系的可以是任何 Arista ToR 交换机。

 

 

简化的运维和可扩展性

 

Arista CloudVision 解决方案可简化物理与虚拟环境的集成。CloudVision 利用整个网络的数据库与物理网络进行集成;此数据库可收集整个物理网络的状态,并向 VMware NSX 呈现单一的开放式接口。通过将 CloudVision 用作集成点,可将物理网络的详细信息从云编排工具和叠加控制器中抽象出来。此外,CloudVision 还可简化 NSX 的集成工作量,因为 NSX 仅需要与 CloudVision 进行集成。这有助于客户避免使用多种软硬件版本组合来认证 NSX 的复杂性。然后,CloudVision 可提供物理网络的聚合状态,从而最高效地实现物理到虚拟的同步。这为控制器到物理网络的集成提供了更简单、可扩展性更高的方法。

注意:CloudVision 基于 OVSDB 和 JSON 等开放 API 构建,可为此集成提供基于标准的方法。

 

 

借助 Arista VM Tracer 实现的逻辑和物理网络可见性

适用于 NSX 的 Arista VM Tracer 功能已原生集成到 Arista EOS 中。它可自动发现直接连接的虚拟基础架构,精简网络上相关 VLAN 和端口配置文件的动态调配。Arista 交换机利用 VMware vCenter 和 NSX Manager API 收集调配信息。然后,VM Tracer 将这些信息与来自交换机数据库的数据相结合,以提供简洁明了的虚拟与物理网络对应关系。客户可以通过网络中任意 Arista 交换机上的单一 CLI 实时跟踪逻辑交换机和虚拟机。

 

 

安全性与分布式防火墙

 

默认情况下,NSX 可在每个虚拟机上启用虚拟网卡级别的分布式防火墙。防火墙始终位于流量进出虚拟机的路径中。其主要优势是可以从根本上降低东西向流量的安全风险,且不位于集中位置。分布式防火墙的其他优势包括:

 

 

使用虚拟化负载均衡器实现灵活的应用扩展

 

实现弹性应用工作负载扩展是如今的数据中心需要满足的关键要求之一。鉴于自助式 IT 和 DevOps 式工作负载的动态特性,使用物理负载均衡器实现应用扩展可能还不够。NSX Edge 服务网关原生支持的负载均衡功能可满足部署中的大多数实际要求。它可根据相应的应用扩展和功能要求以编程方式进行部署。扩展能力和应用支持级别可确定是能够为负载均衡器配置第 4 层还是第 7 层服务。通过拓扑可以了解负载均衡器以串联模式还是单路并联模式部署。模式根据特定的应用要求选择,但单路并联设计可提供极高的灵活性,因为它可以靠近应用分段并在应用部署时自动部署。

上图显示了基于软件的负载均衡器的强大功能,其中负载均衡器的多个实例均可为应用或网段提供服务。负载均衡器的每个实例都是边缘设备,可通过 API 按需动态定义并在高可用性模式下部署。此外,负载均衡器还可以在串联模式下部署,这可以为整个逻辑域提供服务。串联负载均衡器可通过按应用启用多层边缘进行扩展,这样,每个应用都是专用域,其中第一层边缘是应用的网关,第二层边缘可以是 ECMP 网关,用于提供可扩展的南北向带宽。

 

 

总结

VMware 网络虚拟化解决方案可通过物理网络和计算基础架构应对当前挑战,并为基于 VXLAN 的逻辑网络提供灵活性、敏捷性和扩展能力。除了能够使用 VXLAN 创建按需逻辑网络外,NSX Edge Gateway 还可帮助用户部署各种逻辑网络服务,例如防火墙、DHCP 或 NAT。这源于它能够将虚拟网络与物理网络分离开,然后在虚拟环境中重现相应的属性和服务。

总之,Arista 和 VMware 可提供业内第一款适合在软件定义的数据中心实施网络虚拟化且可扩展的一流解决方案。云服务提供商、大型企业和 Web 客户将能够大大加快业务服务的交付速度、减少运营复杂性并降低成本。现在,所有这些都可以通过完全自动化和程序化且桥接虚拟和物理基础架构的 SDDC 解决方案实现。

 

第 5 单元总结


在本单元中,我们展示了 NSX 将 VLAN 网络桥接到 VXLAN 逻辑网络中的能力。我们在 NSX 分布式逻辑路由器内执行了桥接配置,从而将 VLAN 与 VXLAN 一一对应。此外,我们还将虚拟机从逻辑交换机迁移到支持 VLAN 的 dvPortGroup,以模拟虚拟机之间的通信。最后,我们完整查看了 NSX 与 Arista 硬件 VTEP 进行集成的离线演示,了解了第 2 层网关延伸到硬件交换机的过程。


 

您已完成第 5 单元的学习

祝贺您!您已经完成了第 5 单元的学习。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.2 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

第 6 单元 - 分布式防火墙(45 分钟)

分布式防火墙简介


NSX 分布式防火墙 (DFW)。NSX 的组件之一是分布式防火墙内核模块。每个 vSphere 主机中都安装了分布式防火墙来支持该功能。分布式防火墙接近线速,能够用于恢复 vSphere 主机平台。它还能够识别用户身份,并提供独特的活动监控工具。

在本单元中,您将了解分布式防火墙如何帮助保护 3 层应用。我们还会演示如何根据安全组(而非基于 IP 地址的规则)创建防火墙规则。基于 IP 地址的规则对移动虚拟机具有硬性限制,因此降低了使用资源池的灵活性。

本单元基于四个构成常见 3 层应用的客户虚拟机讲授。Web 层有两个 Web 服务器(web-01a 和 web-02a)。Web 层与运行应用软件、充当应用层的名为 app-01a的虚拟机通信。该应用层虚拟机又与数据库层中运行 MySQL 的名为 db-01a的虚拟机通信。NSX DFW 防火墙负责在这些层之间实施访问规则。

本单元的主要内容包括:

分布式防火墙的基本功能

从桌面启动该单元。桌面是您在虚拟环境中的控制中心跳转盒。从此桌面上,您可以访问部署在您的虚拟数据中心内的 vCenter Server Appliance

特别声明:在桌面上,您将看到一个名为 README.txt 的文件。它包含本练习中需要的所有 CLI 命令。如果您无法输入这些命令,则可以将其复制并粘贴到 PuTTY 会话中。如果您看到带有大括号的编号,例如 {1},它指示您在文本文件中为本单元查找该 CLI 命令。


确认 DFW 实施


使用 vCenter Web Client 确认 DFW 已安装且已启用。


 

启动 Google Chrome 浏览器

 

  1. 单击任务栏中或主控制台桌面上的Chrome浏览器图标。

 

 

确认 DFW 实施

 

首先,您将了解 NSX 分布式防火墙。

如果您尚未登录 vSphere Web Client,

请单击 Google Chrome 的任务栏图标。主页应当是 vSphere Web Client。

  1. 勾选Use Windows Session Authentication(使用 Windows 会话身份验证)框,然后登录。

 

 

通过折叠右侧任务窗格获得更多屏幕空间

 

 

 

了解新的 NSX 分布式防火墙

 

  1. 单击Networking  Security(网络连接和安全性)

 

 

打开 Installation (安装)

 

  1. 首先单击Installation(安装)
  2. 单击Host Preparation(主机准备)选项卡。该表将显示虚拟数据中心内的集群。

 

配置 Web 应用访问权限相关规则


现在,您将配置 3 层应用(客户数据库应用)的分布式防火墙访问权限。该应用有两个 Web 服务器,分别为应用服务器和数据库服务器。还有一个负载均衡器服务于这两个 Web 服务器。


 

使用 PuTTY 测试客户数据库应用虚拟机到虚拟机的连接

 

接下来您将测试网段与构成 3 层应用的客户虚拟机之间的通信和访问。首先打开 web-01a.corp.local 的控制台,并对其他成员执行 ping 操作。

  1. 在桌面任务栏上,单击PuTTY快捷方式

 

 

打开连接到 web-01a 的 SSH 的会话

 

  1. 从Saved Sessions(保存的会话)列表中,找到并单击web-01a.corp.local
  2. 单击Open(打开),将 SSH 会话连接到web-01a。

 

 

执行从 web-01a 到其他 3 层成员的 ping 操作

 

  1. 首先,输入以下代码以证明 web-01a可以对 web-02a执行 ping 操作。
ping -c 2 172.16.10.12
  1. 现在对 app-01a 执行 ping 操作。
  2. 对 db-01a 执行 ping 测试。
ping -c 2 172.16.20.11
ping -c 2 172.16.30.11

(注意:您可能会在Ping行末尾看到DUP!。这是由于虚拟练习环境在虚拟路由器中使用嵌套虚拟化和混杂模式所致。在生产环境中不会看到这种情况。)

不要关闭该窗口,只将它最小化供以后使用。

 

 

使用 Web 浏览器演示客户数据库应用

 

您将使用浏览器访问 3 层应用,以演示 3 个部分之间的功能。 

  1. 打开一个新的浏览器选项卡
  2. 单击Customer DB App(客户数据库应用)书签

 

 

使用 Web 浏览器演示客户数据库应用(续)

 

您应获得从 Web 层传递到 app-01a虚拟机并最终查询 db-01a虚拟机后返回的数据。

A. 请注意到 Web 层HTTPS连接。

B. 请注意端口 8443 上到应用层的 TCP 连接。

C. 请注意端口 3306上到数据库层的 TCP 连接。

请注意,响应此服务器的实际 Web 服务器可能与所示不同。

 

 

将默认防火墙策略从 Allow (允许)改为 Block (阻止)

 

在这一部分,您将把默认的Allow(允许)规则改为Block(阻止),并演示如何阻止与 3 层客户数据库应用的通信。之后,您将创建新的访问规则,以便使用安全的方法重建通信。

  1. 单击 vSphere Web Client 的浏览器选项卡。
  2. 选择左侧的Firewall(防火墙)。

您会在General(常规)部分看到Default Section Layer3(默认部分第 3 层)。

 

 

检查默认规则

 

  1. 使用小三角图标展开这一部分。

您将看到Rules(规则)带有绿色对勾。这表示启用了一条规则。规则以典型方式建立,即包含源、目标和服务字段等。服务是协议和端口的组合。

最后一条默认规则是基本的any-to-any-allow(任意-任意-允许)规则。

 

 

了解最后一条默认规则

 

滚动到右侧,将鼠标光标放在Action:Allow(操作: 允许)字段上后,您可以看到这条默认规则的Action(操作)选项。屏幕上将弹出一个铅笔符号,用于查看此字段的选项。

  1. 将鼠标光标悬停在该铅笔符号上并单击。

 

 

将最后一条默认规则的操作从 Allow (允许)改为 Block (阻止)

 

  1. 选择Block(阻止)操作选项并选中。
  2. 单击Save(保存)。

 

 

发布默认规则变更

 

您会注意到出现了一个绿色栏,告诉您现在需要选择Publish Changes(发布变更)、Revert Changes(还原变更)或Save Changes(保存变更)。将推送内容发布到 DFW。Revert(恢复)可取消编辑内容。Save Changes(保存变更)可以保存并在日后发布。

  1. 选择Publish Change(发布变更)以保存您的阻止规则。

 

 

重新打开 PuTTY 会话

 

  1. 单击任务栏上 web-01a 的 PuTTY 会话。

 

 

验证规则变更是否阻止了通信

 

使用之前的 PuTTY 和浏览器会话测试该阻止规则

PuTTY:在打开 PuTTY 后片刻,将显示它不再处于活动状态,因为默认规则现在阻止包括 SSH 在内的一切内容。再次最小化控制台。

 

 

验证已拒绝浏览器访问

 

  1. 单击 webapp.corp.local 的选项卡。
  2. 单击Refresh(刷新)按钮。

站点将在几秒后超时,表示已通过将默认规则设置为Block(阻止)阻止访问。

 

安全组创建


我们现在将创建安全组。借助安全组,我们将能够创建可重复使用的虚拟机容器,并可以向其应用策略。组中的成员关系可通过静态和/或动态方式建立。


 

创建 3 层安全组

 

  1. 单击 vSphere Web Client 上的浏览器选项卡。
  2. 然后,单击Service Composer

Service Composer 为在虚拟和云环境中使用网络和安全服务定义了一个新模型。通过简单的可视化以及使用由第三方解决方案内置或增强的服务,策略变得切实可行。可通过导出/导入功能重复这些相同的策略,这将有助于轻松解决环境中出现的问题并使其快速恢复。这些可重复使用的对象之一就是安全组。

 

 

添加安全组

 

  1. 选择Security Groups(安全组)注意:可能已有一些要在另一个练习单元中使用的安全组
  2. 要添加新的安全组,请单击New Security Group(新建安全组)图标

 

 

新建安全组 - Web

 

  1. 将这第一个组命名为 Web-tier
  2. 单击Select objects to include(选择要包含的对象)部分。

 

 

选择要包含的对象

 

  1. 向下拉Object Types(对象类型)并选择Virtual Machines(虚拟机)。
  2. 您可以通过在搜索窗口中输入 Web 来进行筛选。
  3. 选择web-01a.corp.local。
  4. 单击向右箭头将虚拟机推送到Selected Objects(所选对象)窗口。
  5. 针对 web-02a.corp.local重复以上操作。
  6. 单击Finish(完成)。

注意:快捷方法是双击左侧的虚拟机,这样只需一个步骤就可将它们移动到右侧。

 

 

确认安全组的创建

 

您已创建一个分配有 2 台虚拟机且名为 Web-tier 的安全组。

请注意 Web-tier安全组。

请注意安全组中包含的虚拟机的数量。

 

访问规则创建


为客户数据库应用创建 3 层访问规则。


 

创建 3 层访问规则

 

下一步,您将添加新的规则以允许访问 Web 虚拟机,然后在各层间设置访问权限。 

  1. 在左侧菜单中,选择Firewall(防火墙)。

 

 

为 3 层应用添加新规则部分

 

  1. 在Flow Monitoring  Trace Flow Rules-Disabled by Default (Rule1)(流监控和跟踪流规则 - 默认情况下禁用 [规则 1])行的最右端,单击与文件夹图标看起来相似的Add Section(添加部分)图标。
  2. 将此部分命名为Customer DB-app。
  3. 单击Save(保存)

 

 

为新部分添加规则

 

  1. 在新的Customer DB-app(客户数据库应用)部分对应的行上,单击Add rule(添加规则)(绿色加号)图标。

 

 

编辑新规则

 

  1. 单击小三角图标以打开该规则。
  2. 将鼠标光标悬停在Name(名称)字段的右上角,直到出现铅笔图标,然后单击该铅笔图标。
  3. 输入EXT to Web作为名称。
  4. 单击Save(保存)

 

 

设置规则的源和目标

 

Source(源):将规则源设置保留为any(任意)。

  1. 将鼠标光标悬停在Destination(目标)字段上,然后选择Destination(目标)铅笔符号。

 

 

设置安全组值

 

指定Destination(目标):

  1. 向下拉Object Type(对象类型)并向下滚动直至找到Security Group(安全组)
  2. 单击Web-tier
  3. 单击向上箭头将对象移动到右侧。
  4. 单击OK(确定)

 

 

设置服务

 

  1. 将鼠标光标悬停在Service(服务)字段上并单击铅笔图标。

 

 

设置规则服务

 

再次将鼠标光标悬停在Service(服务)字段上并单击铅笔符号

  1. 在搜索字段中,您可以搜索服务模式匹配项。输入https并按 Enter 键,以查看与 https 名称相关的所有服务。
  2. 选择简单的HTTPS服务。
  3. 单击向上箭头。
  4. 注意:重复上面的步骤 1-3,找到并添加SSH。(您稍后会在单元中看到我们需要 SSH。)
  5. 单击OK(确定)。

 

 

创建规则以允许 Web 安全组访问应用逻辑交换机

 

现在,您将添加第二条规则,以允许 Web 安全组通过应用端口访问应用安全组。 

  1. 首先打开铅笔符号。
  2. 您希望在上一条规则之后处理这条规则,因此从下拉框中选择Add Below(加在下面)。

 

 

创建第二条规则的名称和源字段

 

  1. 按照之前的操作,将鼠标光标悬停在Name(名称)字段上并单击出现的加号。输入Web to App作为名称。
  2. 选择Security Group Object Type: Web-tier(安全组对象类型: Web-tier)作为Source(源)字段。

 

 

设置目标

 

  1. 将鼠标光标悬停在Destination(目标)列上并单击铅笔图标。

 

 

创建第二条规则的目标字段:选择逻辑网络

 

在第一条规则中,您使用 Web-tier安全组作为目标。您可以采用相同方式处理其余规则。但是,正如您从下拉列表中看到的,您可以使用多个已定义的 vCenter 对象。vSphere 与 NSX 安全性集成能够大幅节省时间,其表现之一就是您可以对规则使用现有虚拟数据中心对象,而不必从头开始创建规则。这里您将使用一个 VXLAN 逻辑交换机作为目标。这将允许您创建一条规则以应用于挂接到此网络的任何虚拟机。

  1. 在Object Type(对象类型)下拉列表向下滚动,并单击Logical Switch(逻辑交换机)选项。
  2. 选择App_Tier_Logical_Switch。
  3. 单击向上箭头将对象移动到右侧。
  4. 单击OK(确定)。

 

 

设置服务

 

  1. 将鼠标光标悬停在Service(服务)列上并单击铅笔图标。

 

 

创建第二条规则服务字段:新建服务

 

该 3 层应用在 Web 层和应用层之间使用 TCP 端口 8443。您将创建一项名为 MyApp 的新服务作为经过允许的服务。

  1. 单击New Service(新建服务)
  2. 输入 MyApp作为新服务的名称。
  3. 选择TCP作为协议。
  4. 输入8443作为端口号。
  5. 单击OK(确定)。

 

 

单击 OK (确定)

 

  1. 单击OK(确定)。

 

 

创建第三条规则:允许逻辑交换机应用访问逻辑交换机数据库

 

重复以下步骤:自行创建第三条和最后一条规则,用于允许在应用层和数据库层之间进行访问。

  1. 创建最后一条规则,以允许应用逻辑交换机通过 MySQL 的预定义服务与数据库逻辑交换机通信。将预定义该服务,以便您只需搜索而无需创建它。
  2. 单击Publish Changes(发布变更)。

 

 

验证新规则是否允许客户数据库应用通信

 

  1. 打开您的浏览器并返回您先前用于Web App(Web 应用)的选项卡
  2. 刷新浏览器以指示您正在通过该客户数据库应用获取数据。

注意:如果您没有已经打开的选项卡,或者您已关闭先前的选项卡,请使用收藏夹栏中的Customer DB-App Direct Connect收藏夹。

 

 

重启与 web-01a 的 PuTTY 会话

 

  1. 单击左上角的会话图标
  2. 单击Restart Session(重启会话)。

 

 

在层之间执行 ping 测试

 

尝试对 3 层应用客户虚拟机执行 ping 操作。

注意:请记得使用SEND TEXT(发送文本)选项。

  1. 对 web-02a执行 ping 操作
ping -c 2 172.16.10.12
  1. 对 app-01a执行 ping 操作。
ping -c 2 172.16.20.11
  1. 对 db-01a执行 ping 操作。
ping -c 2 172.16.30.11

Ping 操作不被允许,并将失败,因为在您的规则中,各层之间或层成员之间不支持 ICMP。各层之间不支持 ICMP,则现在默认规则会阻止其他所有流量。

最小化与 web-01a 的 PuTTY 会话。

 

 

为该客户数据库 3 层应用添加分布式防火墙后的拓扑

 

此图显示虚拟网卡级别防火墙的相关实施点。尽管 DFW 是 vSphere ESXi 主机的内核可加载模块 (KLM),但规则是在客户虚拟机的虚拟网卡上实施的。此保护功能在 vMotion 迁移期间随虚拟机移动,以提供完整的全程保护,不允许出现虚拟机易受攻击的机会。

 

第 6 单元总结


在本单元中,我们已经在 NSX 内使用分布式防火墙 (DFW) 功能,为典型的 3 层应用提供安全策略。本单元介绍了我们如何提供可以应用于大量虚拟机的一小组规则。我们可以使用微分段保护环境中的数千台虚拟机,并且只需极少时间进行管理。


 

您已完成第 6 单元的学习

祝贺您!您已经完成了第 6 单元的学习。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.2 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-1703-SDC-1-ZH

Version: 20161206-130928