VMware Hands-on Labs - HOL-1803-01-NET


Hands-on Lab im Überblick – HOL-1803-01-NET – Erste Schritte mit VMware NSX

Anleitung für das Hands-on Lab


Hinweis: Dieses Hands-on Lab dauert mehr als 90 Minuten. Sie werden wahrscheinlich nur zwei bis drei Module während Ihrer Zeit schaffen. Da die Module unabhängig voneinander sind, können Sie mit jedem beliebigen Modul beginnen. Über das Inhaltsverzeichnis gelangen Sie bequem zum Modul Ihrer Wahl.

Das Inhaltsverzeichnis können Sie rechts oben im Hands-on Lab-Handbuch aufrufen.

VMware NSX ist die Plattform für Netzwerkvirtualisierung. Sie werden praktische Erfahrungen in den Bereichen logisches Switching, verteiltes logisches Routing, dynamisches Routing, verteilte Firewall sowie logische Netzwerkservices sammeln. In diesem Lab werden die für Netzwerk- und Sicherheitsvirtualisierung verwendeten Kernfunktionen von VMware NSX in vSphere-Umgebungen behandelt.

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozenten:

 Das Handbuch für das Hands-on Lab kann unter der folgenden Adresse heruntergeladen werden:

http://docs.hol.vmware.com

Dieses Hands-on Lab ist möglicherweise auch in anderen Sprachen verfügbar. Informationen zum Einstellen Ihrer gewünschten Sprache und zum Abrufen eines übersetzten Hands-on Lab-Handbuchs finden Sie im folgenden Dokument:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Position der Hauptkonsole

 

  1. Der ROT umrahmte Bereich ist die Hauptkonsole. Das Hands-on Lab-Handbuch finden Sie auf der Registerkarte rechts neben der Hauptkonsole.
  2. Für bestimmte Hands-on Labs sind möglicherweise auf separaten Registerkarten links oben zusätzliche Konsolen verfügbar. Falls Sie eine andere Konsole öffnen müssen, erhalten Sie entsprechende Anweisungen.
  3. Für die Bearbeitung des Hands-on Lab haben Sie 90 Minuten Zeit. Das Hands-on Lab kann nicht gespeichert werden. Sie müssen alle Aufgaben während dieser Zeit erledigen. Sie können jedoch die verfügbare Zeit verlängern, indem Sie auf die Schaltfläche EXTEND klicken. Auf einer Veranstaltung von VMware können Sie die Zeit für Hands-on Labs zweimal um bis zu 30 Minuten verlängern. Mit jedem Klick erhalten Sie weitere 15 Minuten. Außerhalb von VMware-Veranstaltungen lässt sich die Zeit für Hands-on Labs um bis zu 9 Stunden und 30 Minuten verlängern. Mit jedem Klick erhalten Sie eine weitere Stunde.

 

 

Alternativen zur Tastatureingabe

Im Verlauf des Moduls geben Sie Text in die Hauptkonsole ein. Neben der Tastatureingabe gibt es zwei weitere, äußerst hilfreiche Methoden, die die Eingabe komplexer Daten erleichtern.

 

 

Anklicken von Inhalten im Hands-on Lab-Handbuch und Ziehen in das aktive Konsolenfenster

Sie können Text und Befehle in der Befehlszeilenschnittstelle (CLI) anklicken und direkt aus dem Hands-on Lab-Handbuch in das aktive Fenster der Hauptkonsole ziehen.  

 

 

Zugriff auf die internationale Online-Tastatur

 

Darüber hinaus können Sie die internationale Online-Tastatur in der Hauptkonsole verwenden.

  1. Klicken Sie auf das Tastatursymbol in der Windows-Schnellstartleiste.

 

 

Aktivierungsaufforderung oder Wasserzeichen

 

Wenn Sie Ihr Hands-on Lab erstmals starten, sehen Sie möglicherweise ein Wasserzeichen auf dem Desktop, das angibt, dass Windows nicht aktiviert wurde.  

Ein großer Vorteil der Virtualisierung besteht darin, dass virtuelle Maschinen verschoben und auf jeder beliebigen Plattform ausgeführt werden können. Die Hands-on Labs machen sich diesen Vorteil zunutze, d.h. sie können von mehreren Rechenzentren aus ausgeführt werden. Allerdings können sich die Prozessoren dieser Rechenzentren unterscheiden. Dies veranlasst Microsoft zu einer Aktivierungsprüfung über das Internet.

Wir können Ihnen jedoch versichern, dass VMware und die Hands-on Labs die Lizenzierungsanforderungen von Microsoft uneingeschränkt erfüllen. Bei dem Hands-on Lab, mit dem Sie gerade arbeiten, handelt es sich um einen gekapselten Pod ohne Vollzugriff auf das Internet. Ein solcher Zugriff ist jedoch für die Windows-Aktivierungsprüfung erforderlich. Ohne Vollzugriff auf das Internet schlägt dieser automatisierte Prozess fehl und es wird dieses Wasserzeichen angezeigt.

Hierbei handelt es sich um ein kosmetisches Problem, das Ihr Hands-on Lab nicht beeinträchtigt.

 

 

Info rechts unten auf dem Bildschirm

 

Überprüfen Sie, ob das Hands-on Lab alle Startroutinen abgeschlossen hat und gestartet werden kann. Warten Sie einige Minuten, falls eine andere Meldung als „Ready“ angezeigt wird. Wenn der Status Ihres Hands-on Lab nach fünf Minuten immer noch nicht zu „Ready“ gewechselt hat, bitten Sie um Hilfe.

 

Modul 1 – Installation und Konfiguration von NSX Manager (15 Minuten)

Einleitung


VMware NSX ist die führende Plattform für Netzwerkvirtualisierung, die das Betriebsmodell einer virtuellen Maschine auf das Netzwerk anwendet. Ebenso wie bei der Servervirtualisierung, mit der Sie die Steuerung virtueller Maschinen in einem Pool aus Serverhardware ausweiten können, bietet die Netzwerkvirtualisierung mit NSX eine zentralisierte API, um viele isolierte logische Netzwerke, die auf einem einzigen physischen Netzwerk ausgeführt werden, bereitzustellen und zu konfigurieren.

Logische Netzwerke koppeln virtuelle Maschinen und Netzwerkservices vom physischen Netzwerk ab, wodurch Cloud-Anbieter und Unternehmen virtuelle Maschinen flexibel migrieren und überall im Rechenzentrum platzieren können. Gleichzeitig bleiben die Layer-2-/Layer-3-Konnektivität sowie die Netzwerkservices für Layer 4 – 7 erhalten.

Im Rahmen dieses Moduls wird eine interaktive Simulation verwendet, die sich auf die Bereitstellung von NSX in Ihrer Umgebung konzentriert. In der Lab-Umgebung wurde die Bereitstellung bereits für Sie abgeschlossen.

Die interaktive Simulation beinhaltet folgende Punkte:


 

NSX-Komponenten

 

 

Interaktive Hands-on Labs-Simulation: Installation und Konfiguration von NSX – Teil 1


Dieser Teil des Lab wird als interaktive Hands-on Labs-Simulation durchgeführt. Dadurch können Sie Schritte nachvollziehen, die zu zeitaufwendig und ressourcenintensiv für die Lab-Umgebung sind. In dieser Simulation können Sie die Softwareschnittstelle wie eine Live-Umgebung behandeln.

  1. Klicken Sie hier, um die interaktive Simulation zu öffnen. Diese wird in einem neuen Browserfenster oder einer neuen Registerkarte geöffnet.
  2. Wenn Sie fertig sind, klicken Sie auf den Link „Return to the lab“, um mit diesem Lab fortzufahren.

Interaktive Hands-on Labs-Simulation: Installation und Konfiguration von NSX – Teil 2


Dieser Teil wird als interaktive Hands-on Labs-Simulation durchgeführt. Dadurch können Sie Schritte nachvollziehen, die zu zeitaufwendig und ressourcenintensiv für die Lab-Umgebung sind. In dieser Simulation können Sie die Softwareschnittstelle wie eine Live-Umgebung behandeln.

  1. Klicken Sie hier, um die interaktive Simulation zu öffnen. Diese wird in einem neuen Browserfenster oder einer neuen Registerkarte geöffnet.
  2. Wenn Sie fertig sind, klicken Sie auf den Link „Return to the lab“, um mit diesem Lab fortzufahren.

Modul 1 – Fazit


In diesem Modul wurde demonstriert, wie einfach NSX zur Bereitstellung von Layer-2- bis -7-Services innerhalb der Software installiert und konfiguriert werden kann.

Zudem wurden Installation und Konfiguration der NSX Manager-Appliance (Bereitstellung, vCenter-Integration sowie Konfigurieren von Protokollierung und Backups) behandelt. Weitere Themen waren die Bereitstellung von NSX Controllern als Steuerungsebene und die Installation von VMware Infrastructure Bundles (VIBs), d.h. Kernel-Module, die auf den Hypervisor übertragen werden. Zu guter Letzt wurden noch die automatisierte Bereitstellung von VXLAN-Tunnelendpunkten (VTEPs) sowie das Erstellen von VXLAN Network Identifier-Pools (VNIs) und Transportzonen beschrieben.


 

Abschluss von Modul 1

Sie haben Modul 1 abgeschlossen.

Weitere Informationen zum Bereitstellen von NSX finden Sie im NSX 6.3 Documentation Center unter der folgenden URL:

Fahren Sie mit dem Modul fort, das Sie am meisten interessiert:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozenten:

 

 

Beenden eines Hands-on Lab

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Modul 2 – Logisches Switching (30 Minuten)

Logisches Switching –Modulübersicht


In diesem Modul lernen Sie die folgenden Komponenten von VMware NSX kennen:


Logisches Switching


In diesem Abschnitt werden Sie Folgendes tun:

  1. Konfigurationsbereitschaft der Hosts bestätigen
  2. Vorbereitung logischer Netzwerke bestätigen
  3. Neuen logischen Switch erstellen
  4. Logischen Switch zum NSX Edge-Gateway hinzufügen
  5. VMs zum logischen Switch hinzufügen
  6. Konnektivität zwischen den VMs testen

 

Starten von Google Chrome

 

Öffnen Sie den Browser mit einem Doppelklick auf das Google Chrome-Symbol auf dem Desktop.

 

 

Navigieren zum Bereich „Networking & Security“ im vSphere Web Client

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Hinzufügen von „web-03a“ und „web-04a“ zum neu erstellten Switch „Prod_Logical_Switch“

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Testen der Konnektivität zwischen „web-03a“und „web-04a“

 

Skalierbarkeit und Verfügbarkeit


In diesem Abschnitt werden Skalierbarkeit und Verfügbarkeit von NSX Controllern behandelt. Der NSX Controller-Cluster in der NSX-Plattform ist die Komponente der Steuerungsebene, die für das Management der Switching- und Routing-Module in den Hypervisoren verantwortlich ist. Er besteht aus NSX Controller-Knoten, die bestimmte logische Switches verwalten. Durch die Verwendung eines NSX Controller-Clusters für das Management von VXLAN-basierten logischen Switches wird keine Multicast-Unterstützung in der physischen Netzwerkinfrastruktur benötigt.

Für eine optimale Stabilität und Performance müssen Produktionsumgebungen einen NSX Controller-Cluster mit mehreren NSX Controller-Knoten bereitstellen. Der NSX Controller-Cluster stellt ein horizontal skalierbares verteiltes System dar, in dem jedem NSX Controller-Knoten verschiedene Rollen zugewiesen werden. Anhand der zugewiesenen Rolle werden die Arten von Aufgaben definiert, die von einem NSX Controller-Knoten implementiert werden können. NSX-Controller-Knoten werden in ungeraden Zahlen bereitgestellt. Die aktuelle Best Practice (und die einzige unterstützte Konfiguration) sieht drei NSX Controller-Knoten für einen NSX-Cluster (Aktiv-Aktiv-Aktiv-Lastverteilung und -Redundanz) vor.

Für eine verbesserte Skalierbarkeit der NSX-Architektur wird ein „Segmentierungsmechanismus“ verwendet, um sicherzustellen, dass alle NSX Controller-Knoten zu jeder Zeit aktiv sein können.

Wenn ein NSX Controller ausfällt, hat das keine Auswirkungen auf den Datenverkehr der Datenebene (VM). Der Datenverkehr wird weiterhin wie gewohnt verwaltet, da die logischen Netzwerkinformationen bereits auf die logischen Switches (Datenebene) übertragen wurden. Jedoch können Sie ohne die Steuerungsebene (NSX Controller-Cluster) keine Anpassungen (Hinzufügen/Verschieben/Ändern) vornehmen.


 

Skalierbarkeit und Verfügbarkeit von NSX Controllern

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

Modul 2 – Fazit


In diesem Modul haben Sie die folgenden Vorteile der NSX-Plattform kennengelernt:

  1. Netzwerkagilität, z.B. die schnelle Bereitstellung und Konfiguration logischer Switches zur Verbindung mit virtuellen Maschinen und externen Netzwerken
  2. Skalierbarkeit der NSX-Architektur, wie die Fähigkeit der Transportzone, sich schnell über mehrere Computing-Cluster zu erstrecken, sowie die Fähigkeit der NSX Controller-Cluster, als horizontal skalierbares verteiltes System zu fungieren

 

Abschluss von Modul 2

Sie haben Modul 2 abgeschlossen.

Weitere Informationen zu NSX finden Sie im NSX 6.3 Documentation Center unter der folgenden URL:

Fahren Sie mit einem der folgenden Module fort:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozenten:

 

 

Beenden eines Hands-on Lab

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Modul 3 – Logisches Routing (60 Minuten)

Routing – Übersicht


Hands-on Lab – Modulübersicht

Im vorangegangenen Modul haben Sie gelernt, wie Sie mit ein paar wenigen Klicks isolierte logische Switches/Netzwerke erstellen können. Um eine Kommunikation zwischen diesen isolierten logischen Layer-2-Netzwerken zu ermöglichen, ist Routing unerlässlich. In der NSX-Plattform können Sie dank des verteilten logischen Routers Datenverkehr zwischen logischen Switches weiterleiten. Darüber hinaus ist die Routing-Funktion im Hypervisor verteilt. Durch diese logische Routing-Komponente kann NSX komplexe Routing-Topologien im logischen Bereich reproduzieren. Ein Beispiel dafür wäre eine dreischichtige Anwendung, die mit drei logischen Switches verbunden wird, wobei das Routing zwischen den Schichten vom verteilten logischen Router übernommen wird.

In diesem Modul werden Sie einige der Routing-Funktionen in der NSX-Plattform kennenlernen und erfahren, wie Sie diese beim Bereitstellen einer dreischichtigen Anwendung verwenden können.

In diesem Modul werden folgende Themen behandelt:


 

Spezielle Anweisungen für CLI-Befehle

 

Bei vielen Modulen müssen Sie Command Line Interface(CLI)-Befehle eingeben. Zum Senden von CLI-Befehlen an das Lab stehen zwei Methoden zur Verfügung.

Bei der ersten Methode senden Sie einen CLI-Befehl an die Lab-Konsole:

  1. Markieren Sie den CLI-Befehl im Handbuch und kopieren Sie ihn mit STRG+C in die Zwischenablage.
  2. Klicken Sie im Konsolenmenü auf SEND TEXT.
  3. Drücken Sie STRG+V, um den Befehl aus der Zwischenablage in das Fenster einzufügen.
  4. Klicken Sie auf die Schaltfläche SEND.

Zweite Methode: Eine Textdatei (README.txt) wurde auf dem Desktop der Umgebung abgelegt. Mit dieser können Sie komplexe Befehle oder Kennwörter ganz einfach kopieren und in die jeweiligen Dienstprogramme (CMD, PuTTY, Konsole, etc.) einfügen. Bestimmte Zeichen sind nicht auf allen Tastaturen weltweit vorhanden. Diese Textdatei ist auch für Tastaturen vorgesehen, die solche Zeichen nicht enthalten.

Die Textdatei heißt „README.txt“ und befindet sich auf dem Desktop.

 

Dynamisches und verteiltes Routing


Werfen Sie zuerst einen Blick auf die Konfiguration des verteilten Routings und die Vorteile, die das Routing auf Kernel-Ebene mit sich bringt.


 

Aktuelle Topologie und aktueller Paketfluss

 

In der obigen Abbildung sehen Sie die Lab-Umgebung, in der sich die Anwendungs- und Datenbank-VMs auf demselben physischen Host befinden. Die roten Pfeile zeigen den Datenverkehrsfluss zwischen den beiden VMs an.

  1. Der Datenverkehr verlässt die Anwendungs-VM und erreicht den Host.
  2. Da sich die Anwendungs- und Datenbank-VMs nicht im selben Netzwerksubnetz befinden, muss der Host den Datenverkehr an ein Layer-3-Gerät senden. NSX Edge (Perimeter-Gateway), das sich im Management-Cluster befindet, führt die Funktionen eines Layer-3-Gerätes aus. Der Datenverkehr wird an den Host gesendet, auf dem sich das Perimeter-Gateway (NSX Edge) befindet.
  3. Der Datenverkehr erreicht das Perimeter-Gateway (NSX Edge).
  4. Das Perimeter-Gateway (NSX Edge) sendet den Datenverkehr zurück an den Host.
  5. Der Datenverkehr wird an den Host gesendet, auf dem sich die Datenbank-VM befindet.
  6. Der Datenverkehr vom Host erreicht die Datenbank-VM.

Am Ende dieses Lab, wenn das verteilte Routing konfiguriert wurde, wird das Datenverkehrsflussdiagramm nochmal genauer unter die Lupe genommen. Dadurch können Sie den positiven Einfluss des verteilten Routings auf den Netzwerkdatenverkehr besser nachvollziehen.

 

 

Zugriff auf vSphere Web Client

 

 

 

Anmelden bei vSphere Web Client

 

Die Startseite sollte der vSphere Web Client sein. Falls nicht, klicken Sie auf das vSphere Web Client-Taskleistensymbol für Google Chrome.

  1. Geben Sie administrator@vsphere.local in das Feld „User name“ ein.
  2. Geben Sie VMware1! in das Feld „Password“ ein.
  3. Klicken Sie auf Login.

 

 

Überprüfen der Funktionalität der dreischichtigen Anwendung

 

  1. Öffnen Sie eine neue Registerkarte in Ihrem Browser.
  2. Klicken Sie auf das Lesezeichen Customer DB App.

 

 

Entfernen der Anwendungs- und Datenbankschnittstellen aus dem Perimeter-Edge

 

Wie Sie bereits in der vorigen Topologie gesehen haben, werden die drei logischen Switches oder drei Anwendungsschichten auf dem Perimeter-Gateway (NSX Edge) terminiert. Das Perimeter-Gateway (NSX Edge) stellt die Routing-Funktionen zwischen den drei Schichten bereit. Diese Topologie wird nun verändert, indem die Anwendungs- und Datenbankschnittstellen aus dem Perimeter-Gateway (NSX Edge) entfernt werden. Nach dem Entfernen der Schnittstellen werden diese auf den verteilten Router (NSX Edge) verschoben. Um Zeit zu sparen, wurde bereits ein verteilter Router (NSX Edge) für Sie bereitgestellt.

  1. Klicken Sie auf die Browser-Registerkarte vSphere Web Client.
  2. Klicken Sie auf das Haussymbol.
  3. Klicken Sie auf Networking & Security.

 

 

Hinzufügen der Anwendungs- und Datenbankschnittstellen zum verteilten Router

 

Beginnen Sie mit der Konfiguration des verteilten Routings, indem Sie die Anwendungs- und Datenbankschnittstellen zum verteilten Router (NSX Edge) hinzufügen.

  1. Doppelklicken Sie auf Distributed-Router-01.

 

 

Konfigurieren des dynamisches Routings auf dem verteilten Router

 

Kehren Sie zur Browser-Registerkarte vSphere Web Client zurück.

  1. Klicken Sie auf Routing.
  2. Klicken Sie auf Global Configuration.
  3. Klicken Sie auf Edit, um den Abschnitt Dynamic Routing Configuration zu bearbeiten.

 

 

Bearbeiten des Abschnitts „Dynamic Routing Configuration“

 

  1. Wählen Sie die IP-Adresse der Uplink-Schnittstelle als standardmäßige Router-ID aus. In diesem Fall ist die Uplink-Schnittstelle Transit_Network_01 und die IP-Adresse lautet 192.168.5.2.
  2. Klicken Sie auf OK.

Hinweis: Die Router-ID ist eine 32-Bit-Kennung und wird als IP-Adresse angegeben. Sie ist wichtig für den OSPF-Betrieb, da sie die Identität des Routers in einem autonomen System anzeigt. In diesem Lab-Szenario wird eine Router-ID verwendet, die mit der IP-Adresse der Uplink-Schnittstelle in NSX Edge identisch ist. Dies ist möglich, jedoch nicht unbedingt notwendig. Sie werden zurück zum Abschnitt Global Configuration mit der Option Publish Changes geleitet.

 

 

Konfigurieren OSPF-spezifischer Parameter

 

OSPF wird in diesem Fall als dynamisches Routing-Protokoll verwendet.

  1. Klicken Sie auf OSPF.
  2. Klicken Sie auf Edit, um die OSPF-Konfiguration zu ändern. Dadurch wird das Dialogfeld OSPF Configuration geöffnet.

 

 

Konfigurieren von OSPF-Routing auf dem Perimeter-Edge

 

Als Nächstes wird das dynamische Routing auf Perimeter-Gateway-01 (NSX Edge) konfiguriert, um die Konnektivität mit der dreischichtigen Anwendung wiederherzustellen.

  1. Klicken Sie solange auf Back, bis Sie zum Abschnitt NSX Edges gelangen.

 

 

Übersicht der neuen Topologie

 

In der neuen Topologie erfolgt ein Routen-Peering zwischen verteiltem Router und Perimeter-Gateway (NSX Edge). Routen zu einem mit dem verteilten Router verbundenen Netzwerk werden auf das Perimeter-Gateway (NSX Edge) verteilt. Darüber hinaus wird auch das Routing von dem Perimeter-Gateway zum physischen Netzwerk kontrolliert.

Dies wird im folgenden Abschnitt näher erläutert.

 

 

Prüfen der Kommunikation mit der dreischichtigen Anwendung

 

Die Routing-Informationen werden zwischen verteiltem Router und Perimeter-Gateway ausgetauscht. Sobald das Routing zwischen beiden NSX Edges hergestellt wurde, wird die Konnektivität mit der dreistufigen Webanwendung wiederhergestellt. Überprüfen Sie, ob das Routing funktioniert, indem Sie auf die dreischichtige Webanwendung zugreifen.

  1. Klicken Sie auf die Browser-Registerkarte HOL - Customer Database (diese wurde in den vorherigen Schritten geöffnet). Stattdessen wird jedoch möglicherweise 504 Gateway Time-out angezeigt.
  2. Klicken Sie auf Refresh.

Hinweis: Aufgrund der geschachtelten Umgebung des Hands-on Lab kann es etwa eine Minute dauern, bis die Routen weitergegeben werden.

 

 

Abschließen des dynamischen und verteilten Routings

In diesem Abschnitt wurde das dynamische und verteilte Routing erfolgreich konfiguriert. Im nächsten Abschnitt wird das zentrale Routing mit dem Perimeter-Gateway (NSX Edge) erläutert.

 

Zentrales Routing


In diesem Abschnitt werden verschiedene Elemente betrachtet, um das Northbound-Routing vom Edge zu erläutern. Dazu zählen Steuerung, Aktualisierung und Weitergabe des dynamischen OSPF-Routings innerhalb des Systems. Das Routing der Perimeter-Edge-Appliance wird mithilfe der virtuellen Routing-Appliance geprüft, die das gesamte Lab ausführt und routet.

Besonderer Hinweis: Auf dem Desktop finden Sie eine Datei namens „README.txt“. Sie enthält die für diese Lab-Übung erforderlichen CLI-Befehle. Wenn Sie diese nicht eingeben können, können Sie sie kopieren und in die Putty-Sitzungen einfügen. Eine Zahl in geschweiften Klammern „{1}“ weist auf den entsprechenden für das Modul benötigten CLI-Befehl in der Textdatei hin.


 

Aktuelle Lab-Topologie

 

In der neuen Topologie erfolgt ein Routen-Peering zwischen verteiltem Router und Perimeter-Gateway (OSPF Edge). Außerdem sehen Sie den Northbound-Link vom Perimeter-Gateway zum vPod-Router.

 

 

Anzeigen des OSPF-Routings im Perimeter-Gateway

Als Erstes muss überprüft werden, ob die Webanwendung funktioniert. Anschließend melden Sie sich beim NSX-Perimeter-Gateway an, um die OSPF-Nachbarn und die bestehende Routenverteilung anzuzeigen.  Sie sehen dabei, wie das Perimeter-Gateway Routen vom verteilten Router und vom vPod-Router, der dieses Lab ausführt, lernt.

 

 

Überprüfen der Funktionalität der dreischichtigen Anwendung

 

  1. Öffnen Sie eine neue Registerkarte in Ihrem Browser.
  2. Klicken Sie auf das Lesezeichen Customer DB App.

 

 

Spezielle Anweisungen für CLI-Befehle

 

Bei vielen Modulen müssen Sie Command Line Interface(CLI)-Befehle eingeben. Zum Senden von CLI-Befehlen an das Hands-on Lab stehen zwei Methoden zur Verfügung.

Bei der ersten Methode senden Sie einen CLI-Befehl an die Lab-Konsole:

  1. Markieren Sie den CLI-Befehl im Handbuch und kopieren Sie ihn mit STRG+C in die Zwischenablage.
  2. Klicken Sie im Konsolenmenü auf SEND TEXT.
  3. Drücken Sie STRG+V, um den Befehl aus der Zwischenablage in das Fenster einzufügen.
  4. Klicken Sie auf die Schaltfläche SEND.

Zweite Methode: Eine Textdatei (README.txt) wurde auf dem Desktop der Umgebung abgelegt. Mit dieser können Sie komplexe Befehle oder Kennwörter ganz einfach kopieren und in die jeweiligen Dienstprogramme (CMD, PuTTY, Konsole, etc.) einfügen. Bestimmte Zeichen sind nicht auf allen Tastaturen weltweit vorhanden.  Diese Textdatei ist auch für Tastaturen vorgesehen, die solche Zeichen nicht enthalten.

Die Textdatei heißt „README.txt“ und befindet sich auf dem Desktop.  

 

 

Steuern der BGP-Routenumverteilung

Es kann eine Situation geben, in der BGP-Routen nur in der virtuellen Umgebung, aber nicht in der physischen Umgebung verteilt werden sollen. Diese Routenverteilung lässt sich einfach über die NSX Edge-Konfiguration steuern.

 

ECMP und Hochverfügbarkeit


In diesem Abschnitt fügen Sie dem Netzwerk ein weiteres Perimeter-Gateway hinzu und verwenden anschließend ECMP (Equal Cost Multipath Routing), um die Edge-Kapazität horizontal zu skalieren und dessen Verfügbarkeit zu steigern.  Bei NSX ist es möglich, ein Edge-Gerät in-place hinzuzufügen und ECMP zu aktivieren.

ECMP ist eine Routing-Strategie, die die Weiterleitung von Next-Hop-Paketen zu einem bestimmten Ziel über mehrere geeignete Pfade erlaubt. Diese geeigneten Pfade können statisch oder als Ergebnis von Kennzahlberechnungen bei Verwendung von dynamischen Routing-Protokollen wie OSPF oder BGP hinzugefügt werden. Das Edge Services-Gateway nutzt eine auf Linux basierende Implementierung des Netzwerk-Stacks, einen Round-Robin-Algorithmus mit einer Willkürkomponente. Nachdem für eine bestimmte Quelle ein nächster Hop und ein Ziel-IP-Adresspaar ausgewählt wurden, speichert der Routen-Cache den ausgewählten nächsten Hop. Alle Pakete für diesen Fluss werden an den ausgewählten nächsten Hop geleitet. Der verteilte logische Router nutzt einen XOR-Algorithmus, um den nächsten Hop aus einer Liste möglicher nächster ECMP-Hops auszuwählen. Dieser Algorithmus nutzt die Quell- und Ziel-IP-Adresse auf dem ausgehenden Paket als Entropiequelle.

Als Nächstes konfigurieren Sie ein neues Perimeter-Gateway und erstellen einen ECMP-Cluster zwischen den Perimeter-Gateways für den verteilten logischen Router, um Kapazität und Verfügbarkeit zu steigern.  Zum Testen der Verfügbarkeit wird eines der Perimeter-Gateways ausgeschaltet. Daraufhin erfolgt eine Änderung des Datenverkehrspfads.


 

Navigieren zu NSX in vSphere Web Client

 

  1. Klicken Sie auf die Browser-Registerkarte vSphere Web Client.
  2. Klicken Sie auf das Haussymbol.
  3. Klicken Sie auf Networking & Security.

 

 

Hinzufügen eines zusätzlichen Perimeter Gateway Edge

 

Sie fügen jetzt einen zusätzlichen Perimeter Gateway NSX Edge hinzu

  1. Klicken Sie auf NSX Edges.
  2. Klicken Sie auf das grüne Pluszeichen.

 

 

Konfigurieren des Routings auf dem neuen Edge

 

Bevor ECMP aktiviert werden kann, müssen Sie OSPF auf „Perimeter-Gateway-02“ (NSX Edge) konfigurieren.

  1. Doppelklicken Sie auf Perimeter-Gateway-02.

 

 

Aktivieren von ECMP

 

Als Nächstes müssen Sie ECMP auf dem verteilten Router und den Perimeter-Gateways aktivieren.

  1. Klicken Sie solange auf Back, bis Sie zum Abschnitt NSX Edges gelangen.

 

 

Topologieübersicht

 

Die Abbildung zeigt die Topologie des Lab zum jetzigen Zeitpunkt. Dies umfasst den neu hinzugefügten Perimeter-Gateway, die Routing-Konfiguration und das Aktivieren von ECMP.

 

 

Überprüfen der ECMP-Funktionalität des verteilten Routers

 

Als Nächstes greifen Sie auf den verteilten Router zu, um sicherzustellen, dass OSPF kommuniziert und ECMP funktionsfähig ist.

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf VMs and Templates.

 

 

Überprüfen der ECMP-Funktionalität  vom vPod-Router aus

 

Hinweis: Um den Mauszeiger aus dem Fenster freizugeben, drücken Sie die Tasten Strg + Alt.

Als Nächstes prüfen Sie ECMP vom vPod-Router aus, welcher einen physischen Router in Ihrem Netzwerk simuliert.

  1. Klicken Sie auf das PuTTY-Symbol in der Taskleiste.

 

 

Ausschalten von „Perimeter-Gateway-01“

 

Im nächsten Schritt simulieren Sie den Ausfall eines Knotens, indem Sie Perimeter-Gateway-01 ausschalten.

Kehren Sie zur Browser-Registerkarte mit vSphere Web Client zurück.

  1. Erweitern Sie RegionA01.
  2. Klicken Sie mit der rechten Maustaste auf Perimeter-Gateway-01-0.
  3. Klicken Sie auf Power.
  4. Klicken Sie auf Shut Down Guest OS.

 

 

Testen der Hochverfügbarkeit mit ECMP

 

Mit aktiviertem ECMP, BGP und OSPF in der Umgebung können Sie Routen beim Ausfall eines bestimmten Pfads dynamisch ändern.  Sie simulieren jetzt einen Ausfall eines Pfads mit anschließender Routenumverteilung.

  1. Klicken Sie auf das Eingabeaufforderung-Symbol in der Taskleiste.

 

 

Zugriff auf die VM-Konsole des verteilten Routers

 

  1. Klicken Sie auf die Browser-Registerkarte Distributed-01-0.

Wenn die VM-Konsole in der Browser-Registerkarte gestartet wird, wird ein schwarzer Bildschirm angezeigt. Klicken Sie in den schwarzen Bildschirm und drücken Sie mehrmals die Eingabetaste, damit der Bildschirmschoner ausgeblendet und die VM-Konsole angezeigt wird.

 

 

Einschalten von „Perimeter-Gateway-01“

 

Kehren Sie zur Browser-Registerkarte mit vSphere Web Client zurück.

  1. Erweitern Sie RegionA01.
  2. Klicken Sie mit der rechten Maustaste auf Perimeter-Gateway-01-0.
  3. Klicken Sie auf Power.
  4. Klicken Sie auf Power On.

 

 

Zurückkehren zum Ping-Test

 

 

 

Zugriff auf die VM-Konsole des verteilten Routers

 

  1. Klicken Sie auf die Browser-Registerkarte Distributed-01-0.

Wenn die VM-Konsole in der Browser-Registerkarte gestartet wird, wird ein schwarzer Bildschirm angezeigt. Klicken Sie in den schwarzen Bildschirm und drücken Sie mehrmals die Eingabetaste, damit der Bildschirmschoner ausgeblendet und die VM-Konsole angezeigt wird.

 

Vor der Durchführung von Modul 3 – Führen Sie die folgenden Bereinigungsschritte durch


Falls Sie nach dem Abschluss von Modul 2 mit einem weiteren Modul dieses Lab fortfahren möchten, müssen Sie die folgenden Schritte ausführen, damit das Lab ordnungsgemäß funktioniert.


 

Löschen des zweiten Perimeter-Edge-Geräts

 

Kehren Sie zur Browser-Registerkarte mit vSphere Web Client zurück.

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Deaktivieren von ECMP auf DLR und „Perimeter-Gateway-01“

 

  1. Doppelklicken Sie auf Distributed-Router-01.

 

Modul 3 – Fazit


In diesem Modul wurden die Routing-Funktionen von NSX Distributed Logical Router und des Edge Services-Gateways erläutert:

  1. Migration der logischen Switches des Edge Services-Gateways (ESG) auf den Distributed Logical Router (DLR)
  2. Konfiguration des dynamischen Routing-Protokolls zwischen ESG und DLR
  3. Überblick über die zentralen Routing-Funktionen von ESG und Informationen zu dynamischem Routen-Peering
  4. Demonstration der Skalierbarkeit und Verfügbarkeit von ESG durch Bereitstellung eines zweiten ESG und Herstellung von Routen-Peering zwischen den beiden ESGs mittels Equal Cost Multipath(ECMP)-Routenkonfiguration
  5. Entfernen von ESG2 und ECMP aus der Routenkonfiguration

 

Abschluss von Modul 3

Sie haben Modul 3 abgeschlossen.

Weitere Informationen zu NSX finden Sie im NSX 6.3 Documentation Center unter der folgenden URL:

Fahren Sie mit einem der folgenden Module fort:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozenten:

 

 

Beenden eines Hands-on Lab

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Modul 4 – Edge Services-Gateway (60 Minuten)

Einführung in das NSX Edge Services-Gateway


NSX Edge bietet Sicherheits- und Gateway-Services für den Netzwerk-Edge, um ein virtualisiertes Netzwerk zu isolieren. Sie können NSX Edge entweder als logischen (verteilten) Router oder als Services-Gateway installieren.

Der logische (verteilte) NSX Edge-Router bietet verteiltes Ost-West-Routing mit IP-Adressbereich- und Datenpfadisolation für Mandanten. Virtuelle Maschinen oder Workloads, die sich auf demselben Host in unterschiedlichen Subnetzen befinden, können miteinander kommunizieren, ohne eine herkömmliche Routing-Schnittstelle zu passieren.

Das NSX Edge-Gateway verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken, indem es gemeinsame Gateway-Services wie DHCP, VPN, NAT, dynamisches Routing und Lastausgleich zur Verfügung stellt. Häufige Einsatzbereiche von NSX Edges umfassen DMZ, VPN, Extranets und mandantenfähige Cloud-Umgebungen, in denen NSX Edge virtuelle Grenzen für die einzelnen Mandanten herstellt.

In diesem Modul werden folgende Themen behandelt:


Bereitstellen des Edge Services-Gateways für Lastausgleich


Das NSX Edge Services-Gateway kann Funktionen für Lastausgleich bereitstellen.  Der Einsatz eines Lastausgleichs ist vorteilhaft, da er eine effizientere Ressourcenauslastung ermöglicht. Dazu zählen die effiziente Nutzung des Netzwerkdurchsatzes, kürzere Reaktionszeiten von Anwendungen, Skalierungsmöglichkeiten und Nutzung im Rahmen einer Strategie für Serviceredundanz und -verfügbarkeit.

Mithilfe des NSX Edge Services-Gateways kann ein Lastausgleich für TCP-, UDP-, HTTP- oder HTTPS-Anfragen erfolgen. Das Edge Services-Gateway kann einen Lastausgleich bis hin zu Layer 7 des Open Systems Interconnection(OSI)-Schichtenmodells herstellen.  

In diesem Abschnitt stellen Sie eine neue NSX Edge Appliance als „einarmigen“ Lastausgleich bereit und konfigurieren diese.


 

Prüfen, ob Lab bereit ist

 

Die Validierungsprüfung stellt sicher, dass alle Komponenten des Lab ordnungsgemäß bereitgestellt wurden. Nach Abschluss der Validierung wird der Status auf grün/bereit aktualisiert. Es kann passieren, dass eine Lab-Bereitstellung aufgrund von Einschränkungen der Umgebungsressourcen fehlschlägt.

 

 

Mehr Platz auf dem Bildschirm durch Ausblenden des rechten Aufgabenfensters

 

Mit einem Klick auf die Stecknadelsymbole werden die Aufgabenfenster ausgeblendet. Dadurch steht mehr Platz auf dem Hauptbildschirm zur Verfügung.  Um den Platz auf dem Bildschirm zu maximieren, können Sie das linke Fenster ausblenden.

 

 

Navigieren zum Bereich „Networking & Security“ im vSphere Web Client

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Erstellen eines neuen Edge Services-Gateways

 

Jetzt konfigurieren Sie den einarmigen Lastausgleichsservice auf einem neuen Edge Services-Gateway. Um mit der Erstellung des neuen Edge Services-Gateways zu beginnen, müssen Sie sicherstellen, dass Sie sich im Abschnitt Networking & Security des vSphere Web Client befinden:

  1. Klicken Sie auf NSX Edges.
  2. Klicken Sie auf das grüne Pluszeichen.

 

 

Definieren von Name und Typ

 

Wählen Sie folgende Konfigurationsoptionen für das neue NSX Edge Services-Gateway aus:

  1. Geben Sie bei „Name“ OneArm-LoadBalancer ein.
  2. Klicken Sie auf Next.

 

 

Konfigurieren des Administratorkontos

 

  1. Geben Sie VMware1!VMware1! in das Feld „Password“ ein.
  2. Geben Sie VMware1!VMware1! in das Feld „Confirm password“ ein.
  3. Aktivieren Sie das Kontrollkästchen Enable SSH access.
  4. Klicken Sie auf Next.

Hinweis: Alle Kennwörter für NSX Edges sind komplexe Kennwörter mit 12 Zeichen.

 

 

Definieren von Edge-Größe und VM-Platzierung

 

Es gibt vier verschiedene Appliance-Größen für Edge Service Gateway. Die Spezifikationen (Anzahl CPUs, Arbeitsspeicher) lauten:

Wählen Sie für das neue Edge Services-Gateway die Größe „Compact“ aus. Denken Sie daran, dass nach der Bereitstellung ein Upgrade auf ein Edge Services-Gateway mit einer größeren Kapazität möglich ist.  Fahren Sie mit der Erstellung des neuen Edge Service Gateway fort:

  1. Klicken Sie auf das grüne Pluszeichen. Daraufhin wird das Pop-up-Fenster Add NSX Edge Appliances geöffnet.

 

 

Cluster-/Datastore-Platzierung

 

  1. Wählen Sie unter „Cluster/Resource Pool“ RegionA01-MGMT01 aus.
  2. Wählen Sie unter „Datastore“ RegionA01-ISCSI01-MGMT01 aus.
  3. Wählen Sie unter „Host“ esx-05a.corp.local aus.
  4. Wählen Sie unter „Folder“ Discovered virtual machine aus.
  5. Klicken Sie auf OK.

 

 

Konfigurieren der Bereitstellung

 

  1. Klicken Sie auf Next.

 

 

Platzierung einer neuen Netzwerkschnittstelle auf NSX Edge

 

Da es sich um einen einarmigen Lastausgleich handelt, benötigt dieser nur eine einzelne Netzwerkschnittstelle.

  1. Klicken Sie auf das grüne Pluszeichen.

 

 

Konfigurieren der neuen Netzwerkschnittstelle für NSX Edge

 

Als Nächstes konfigurieren Sie die erste Netzwerkschnittstelle für diesen neuen NSX Edge.  

  1. Geben Sie bei „Name“ WebNetwork ein.
  2. Wählen Sie unter „Type“ Internal aus.
  3. Klicken Sie auf Select.

 

 

Auswahl des Netzwerks für die neue Edge-Schnittstelle

 

Die Schnittstelle dieses einarmigen Lastausgleichs muss sich auf demselben Netzwerk befinden wie die beiden Webserver, für die dieser Edge Lastausgleichsservices bereitstellt.

  1. Klicken Sie auf Logical Switch.
  2. Wählen Sie Web_Tier_Logical_Switch (5000) aus.
  3. Klicken Sie auf OK.

 

 

Konfigurieren von Subnetzen

 

  1. Klicken Sie auf das grüne Pluszeichen. Damit wird die IP-Adresse dieser Schnittstelle konfiguriert.

 

 

Pop-up-Fenster zum Konfigurieren von Subnetzen

 

Fügen Sie dieser Schnittstelle eine neue IP-Adresse hinzu:

  1. Geben Sie unter „Primary IP Address“ 172.16.10.10 ein.
  2. Geben Sie 24 in das Feld „Subnet Prefix Length“ ein.
  3. Klicken Sie auf OK.

 

 

Prüfen der Schnittstellenliste

 

Stellen Sie sicher, dass IP-Adresse und Länge des Subnetzpräfixes der obigen Abbildung entsprechen.

  1. Klicken Sie auf Next.

 

 

Konfigurieren des Standard-Gateway

 

  1. Geben Sie unter „Gateway IP“ 172.16.10.1 ein.
  2. Klicken Sie auf Next.

 

 

Konfigurieren der Firewall- und HA-Optionen

 

  1. Aktivieren Sie das Kontrollkästchen Configure Firewall default policy.
  2. Wählen Sie Accept für „Default Traffic Policy“ aus.
  3. Klicken Sie auf Next.

 

 

Überprüfen der allgemeinen Konfiguration und Abschluss

 

  1. Klicken Sie auf Finish. Hiermit beginnt die Bereitstellung.

 

 

Überwachung der Bereitstellung

 

Die Bereitstellung von NSX Edge dauert einige Minuten.

  1. Während der Bereitstellung von „OneArm-LoadBalancer“ wird im Abschnitt „NSX Edges“ 1 Installing angezeigt.
  2. Für den Status von „OneArm-LoadBalancer“ wird Busy angezeigt. Dies bedeutet, dass die Bereitstellung durchgeführt wird.
  3. Klicken Sie auf die Aktualisierungsschaltfläche im vSphere Web Client, um den Bereitstellungsstatus von „OneArm-LoadBalancer“ anzuzeigen.

Sobald „OneArm-LoadBalancer“ den Status „Deployed“ anzeigt, können Sie mit dem nächsten Schritt fortfahren.

 

Konfigurieren des Edge Services-Gateways für Lastausgleich


Nachdem das Edge Services-Gateway bereitgestellt wurde, können Sie mit der Konfiguration der Lastausgleichsservices fortfahren.


 

Konfigurieren des Lastausgleichsservices

 

Die obige Abbildung zeigt die Topologie des Lastausgleichsservices, die sich aus der gerade erfolgten Bereitstellung des NSX Edge Services-Gateways ergibt.  Um zu beginnen, doppelklicken Sie im Bereich „NSX Edges“ des Plug-ins „Networking & Security“ von vSphere Web Client auf den gerade erstellten Edge, um dessen Managementseite aufzurufen.

 

 

Konfigurieren der Lastausgleichsfunktion auf „OneArm-Load Balancer“

 

  1. Doppelklicken Sie auf OneArm-LoadBalancer.

 

 

Navigieren zur neuen NSX Edge-Bereitstellung

 

  1. Klicken Sie auf Manage.
  2. Klicken Sie auf Load Balancer.
  3. Klicken Sie auf Global Configuration.
  4. Klicken Sie auf Edit, um die globale Konfiguration des Lastausgleichs zu ändern.

 

 

Bearbeiten der Konfiguration des globalen Lastausgleichs

 

Zum Aktivieren des Lastausgleichsservices:

  1. Aktivieren Sie das Kontrollkästchen Enable Load Balancer.
  2. Klicken Sie auf OK.

 

 

Erstellen eines neuen Anwendungsprofils

 

Mit einem Anwendungsprofil wird das Verhalten einer typischen Art von Netzwerkverkehr definiert. Diese Profile werden auf einen virtuellen Server (VIP) angewendet, welcher den Datenverkehr anhand der im Anwendungsprofil festgelegten Werte behandelt.  

Durch die Nutzung von Profilen können Aufgaben für das Datenverkehrsmanagement weniger fehleranfällig und effizienter gestaltet werden.  

  1. Klicken Sie auf Application Profiles.
  2. Klicken Sie auf das grüne Pluszeichen. Daraufhin wird das Pop-up-Fenster „New Profile“ geöffnet.

 

 

Konfigurieren eines neuen Anwendungsprofils für HTTPS

 

Konfigurieren Sie das Anwendungsprofil wie folgt:

  1. Geben Sie OneArmWeb-01 für „Name“ ein.
  2. Wählen Sie neben „Type“ HTTPS aus.
  3. Aktivieren Sie das Kontrollkästchen Enable SSL Passthrough. Damit wird HTTPS auf dem Poolserver beendet.
  4. Klicken Sie auf OK.

 

 

Bearbeiten des standardmäßigen HTTPS-Monitors

 

Monitore stellen sicher, dass die Mitglieder eines Pools, der virtuelle Server bedient, ordnungsgemäß in Betrieb sind. Der standardmäßige HTTPS-Monitor führt lediglich eine „GET“-Abfrage bei „/“ durch. Nachfolgend wird der Standardmonitor so bearbeitet, dass dieser eine Systemdiagnose bei einer anwendungsspezifischen URL durchführt. Damit kann festgestellt werden, dass sowohl die Mitglieder des Pools als auch die Anwendung ordnungsgemäß funktionieren.

  1. Klicken Sie auf Service Monitoring.
  2. Klicken Sie auf monitor-3 (default_https_monitor).
  3. Klicken Sie auf das Stiftsymbol.
  4. Geben Sie "/cgi-bin/app.py" unter „URL“ ein.
  5. Klicken Sie auf OK.

 

 

Erstellen eines neuen Pools

 

Ein „Pool“ besteht aus einer Gruppe von Servern, die die Entität der Knoten darstellt, mit denen die Datenverkehrslast ausgeglichen wird. Als Nächstes fügen Sie die beiden Webserver „web-01a“ und „web-02a“ zu einem neuen Pool hinzu. Zum Erstellen des Pools:

  1. Klicken Sie auf Pools.
  2. Klicken Sie auf das grüne Pluszeichen. Daraufhin wird das Pop-up-Fenster „New Pool“ geöffnet.

 

 

Konfigurieren des neuen Pools

 

Konfigurieren Sie die Einstellungen des neuen Pools wie folgt:

  1. Geben Sie bei „Name“ Web-Tier-Pool-01 ein.
  2. Wählen Sie default_https_monitor unter „Monitors“ aus.
  3. Klicken Sie auf das grüne Pluszeichen.

 

 

Hinzufügen von Mitgliedern zum Pool

 

  1. Geben Sie bei „Name“ web-01a ein.
  2. Geben Sie unter „IP Address/VC Container“ 172.16.10.11 ein.
  3. Geben Sie unter „Port“ 443 ein.
  4. Geben Sie unter „Monitor Port“ 443 ein.
  5. Klicken Sie auf OK.

Wiederholen Sie den obigen Prozess, um ein weiteres Poolmitglied mit den folgenden Informationen hinzuzufügen:

 

 

Speichern der Pooleinstellungen

 

  1. Klicken Sie auf OK.

 

 

Erstellen eines neuen virtuellen Servers

 

Ein virtueller Server ist die Entität, die Datenverkehr aus dem „Front-End“ eines für Lastausgleich konfigurierten Services empfängt.  Anwenderdatenverkehr wird an die IP-Adresse des virtuellen Servers geleitet und von dort an die Knoten auf dem „Back-End“ des Lastausgleichs umverteilt. So konfigurieren Sie einen neuen virtuellen Server auf diesem Edge Services-Gateway:

  1. Klicken Sie auf Virtual Servers.
  2. Klicken Sie auf das grüne Pluszeichen. Daraufhin wird das Pop-up-Fenster „New Virtual Server“ geöffnet.

 

 

Konfigurieren des neuen virtuellen Servers

 

Konfigurieren Sie den neuen virtuellen Server wie folgt:

  1. Geben Sie bei „Name“ Web-Tier-VIP-01 ein.
  2. Geben Sie 172.16.10.10 in das Feld „IP Address“ ein.
  3. Wählen Sie für „Protocol“ HTTPS aus.
  4. Wählen Sie Web-Tier-Pool-01 aus.
  5. Klicken Sie auf OK.

 

Edge Services-Gateway-Lastausgleich – Prüfen der Konfiguration


Nachdem die Konfiguration des Lastausgleichsservices abgeschlossen ist, müssen Sie jetzt die Konfiguration überprüfen.


 

Testen des Zugriffs auf den virtuellen Server

 

  1. Öffnen Sie eine neue Registerkarte in Ihrem Browser.
  2. Klicken Sie auf das Lesezeichen 1-Arm LB Customer DB.
  3. Klicken Sie auf Advanced.

 

 

Ignorieren des SSL-Fehlers

 

  1. Klicken Sie auf Proceed to 172.16.10.10 (unsafe).

 

 

Testen des Zugriffs auf den virtuellen Server

 

Falls der einarmige Lastausgleich ordnungsgemäß konfiguriert wurde, ist ein Zugriff auf diesen möglich.

  1. Klicken Sie auf das Aktualisierungssymbol. Damit sehen Sie den Round-Robin der beiden Poolmitglieder.

Hinweis: Möglicherweise müssen Sie einige Male klicken, damit der Browser die Seite nicht mehr aus dem Browser-Cache aufruft, sondern neu lädt.  

 

 

Anzeigen der Poolstatistiken

 

Kehren Sie zur Browser-Registerkarte mit vSphere Web Client zurück.

Anzeigen des Status der einzelnen Poolmitglieder:

  1. Klicken Sie auf Pools.
  2. Klicken Sie auf Show Pool Statistics.
  3. Klicken Sie auf pool-1. Hier wird der aktuelle Status der einzelnen Mitglieder angezeigt.
  4. Schließen Sie das Fenster, indem Sie auf das X klicken.

 

 

Verbesserung der Monitorantwort (Systemdiagnose)

 

Zur Erleichterung der Fehlerbehebung kann mit dem NSX-Lastausgleichsbefehl „show ...pool“ eine informative Beschreibung von Fehlerursachen bezüglich ausgefallener Poolmitglieder angezeigt werden. Im nächsten Schritt verursachen Sie zwei verschiedene Ausfälle und prüfen die Antwort mithilfe der show-Befehle auf dem Lastausgleich-Edge Gateway.

  1. Geben Sie LoadBalancer in das Suchfeld ein. Das Suchfeld befindet sich in der oberen rechten Ecke des vSphere Web Client.
  2. Klicken Sie auf OneArm-LoadBalancer-0.

 

 

Öffnen der Konsole des Lastausgleichs

 

  1. Klicken Sie auf Summary.
  2. Klicken Sie auf VM console.

 

 

Anmelden bei „OneArm-LoadBalancer-0“

 

  1. Melden Sie sich als admin an.
  2. Geben Sie unter „Password“ VMware1!VMware1!ein.

 

 

Spezielle Anweisungen für CLI-Befehle

 

Bei vielen Modulen müssen Sie Command Line Interface(CLI)-Befehle eingeben.  Zum Senden von CLI-Befehlen an das Lab stehen zwei Methoden zur Verfügung.

Bei der ersten Methode senden Sie einen CLI-Befehl an die Lab-Konsole:

  1. Markieren Sie den CLI-Befehl im Handbuch und kopieren Sie ihn mit STRG+C in die Zwischenablage.
  2. Klicken Sie im Konsolenmenü auf SEND TEXT.
  3. Drücken Sie STRG+V, um den Befehl aus der Zwischenablage in das Fenster einzufügen.
  4. Klicken Sie auf die Schaltfläche SEND.

Zweite Methode: Eine Textdatei (README.txt) wurde auf dem Desktop der Umgebung abgelegt. In dieser finden Sie alle Anwenderkonten und Kennwörter für die Umgebung.

 

 

Ermitteln des Poolstatus vor dem Ausfall

 

  1. Geben Sie show service loadbalancer pool ein.
show service loadbalancer pool

Hinweis: Der Status der Poolmitglieder „web-01a“ und „web-02a“ wird als „UP“ angezeigt.

 

 

Starten von PuTTY

 

  1. Klicken Sie auf in der Taskleiste auf PuTTY.

 

 

SSH zu „web-01a.corp.local“

 

  1. Scrollen Sie nach unten zu web-01a.corp.local.
  2. Wählen Sie web-01a.corp.local aus.
  3. Klicken Sie auf Load.
  4. Klicken Sie auf Open.

 

 

Beenden von Service „Nginx“

 

Als Nächstes beenden Sie HTTPS, um die erste Ausfallbedingung zu simulieren.

  1. Geben Sie systemctl stop nginx ein.
systemctl stop nginx

 

 

Lastausgleichskonsole

 

  1. Geben Sie show service loadbalancer pool ein.
show service loadbalancer pool

Da der Service ausgefallen ist, wird unter „Failure Detail“ angegeben, dass der Client keine SSL-Sitzung herstellen konnte.

 

 

Starten von Service „Nginx“

 

Wechseln Sie zurück zur Putty-SSH-Sitzung für web-01a.

1. Geben Sie systemctl start nginx ein.

systemctl start nginx

 

 

Ausschalten von „web-01a“

 

Kehren Sie zur Browser-Registerkarte mit vSphere Web Client zurück.

  1. Geben Sie web-01a in das Suchfeld ein. Das Suchfeld befindet sich in der oberen rechten Ecke des vSphere Web Client.
  2. Klicken Sie auf web-01a.

 

 

Ausschalten von „web-01a“

 

  1. Klicken Sie auf Actions.
  2. Klicken Sie auf Power.
  3. Klicken Sie auf Power Off.
  4. Klicken Sie auf Yes.

 

 

Prüfen des Poolstatus

 

  1. Geben Sie show service loadbalancer pool ein.
show service loadbalancer pool

Da die VM aktuell ausgefallen ist, wird unter „Failure Detail“ angegeben, dass der Client diesmal keine L4-Verbindung herstellen konnte im Gegensatz zu L7 (SSL) im vorherigen Schritt.

 

 

Einschalten von „web-01a“

 

Kehren Sie zur Browser-Registerkarte mit vSphere Web Client zurück.

  1. Klicken Sie auf Actions.
  2. Klicken Sie auf Power.
  3. Klicken Sie auf Power On.

 

 

Fazit

Dieses Lab umfasste die Bereitstellung und Konfiguration eines neuen Edge Services-Gateways sowie die Aktivierung von Lastausgleichsservices für die Anwendung 1-Arm LB Customer DB.

Damit ist die Lektion zum Lastausgleich des Edge Services-Gateways abgeschlossen. Als Nächstes wird die Firewall des Edge Services-Gateways näher erläutert.

 

Firewall des Edge Services-Gateways


Die NSX Edge-Firewall überwacht den Nord-Süd-Datenverkehr und stellt Funktionen für die Perimetersicherheit bereit wie Firewall, Netzwerkadressübersetzung (NAT) sowie IPsec- und SSL-VPN-Funktionen zwischen Standorten. Die Firewall-Einstellungen werden auf Datenverkehr angewendet, der nicht den benutzerdefinierten Firewall-Regeln entspricht. Die Standardrichtlinie der Edge-Firewall blockiert den gesamten Eingangsdatenverkehr.


 

Arbeiten mit Regeln für die NSX Edge-Firewall

Wenn Sie zu einer NSX Edge-Bereitstellung navigieren, können Sie die Firewall-Regeln aufrufen, die auf diese angewendet werden. Firewall-Regeln, die auf einen logischen Router angewendet werden, schützen nur den Datenverkehr der Steuerungsebene zu der und von der virtuellen Maschine, die den logischen Router steuert. Sie schützen nicht die Datenebene. Zum Schutz des Datenverkehrs der Datenebene, müssen Sie logische Firewall-Regeln für Ost-West-Schutz oder Regeln auf Ebene des NSX Edge Services-Gateways für Nord-Süd-Schutz erstellen.

Regeln, die auf der für diese NSX Edge-Bereitstellung bestimmten Firewall-Benutzeroberfläche erstellt werden, werden schreibgeschützt angezeigt. Regeln werden in der folgenden Reihenfolge angezeigt und durchgesetzt:

  1. Benutzerdefinierte Regeln von der Firewall-Benutzeroberfläche (schreibgeschützt)
  2. Automatisch vorhandene Regeln (Regeln, die den Fluss von Steuerungsdatenverkehr für Edge-Services erlauben)
  3. Benutzerdefinierte Regeln auf der Firewall-Benutzeroberfläche
  4. Standardregel

 

 

Öffnen von „Network & Security“

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Öffnen einer NSX Edge-Bereitstellung

 

  1. Klicken Sie auf NSX Edges.
  2. Doppelklicken Sie auf Perimeter Gateway-01.

 

 

Öffnen der Registerkarte „Manage“

 

  1. Klicken Sie auf Manage.
  2. Klicken Sie auf Firewall.
  3. Klicken Sie auf Default Rule.
  4. Klicken Sie auf das Pluszeichen in der Spalte „Action“.
  5. Klicken Sie im Menü „Action“ auf Deny.

 

 

Veröffentlichen der Änderungen

 

Sie nehmen keine dauerhaften Änderungen an den Firewall-Einstellungen des Edge Services-Gateways vor.

  1. Klicken Sie auf Revert, um die Änderungen zurückzusetzen.

 

 

Hinzufügen einer Regel zur Firewall des Edge Services-Gateways

 

Jetzt da Sie mit dem Bearbeiten einer bestehenden Firewall-Regel für das Edge Services-Gateway vertraut sind, fügen Sie als Nächstes eine neue Firewall-Regel für den Edge hinzu, die den Zugriff des Control Center auf die Kunden-Datenbankanwendung blockiert.

  1. Klicken Sie auf das grüne Pluszeichen, um eine neue Firewall-Regel hinzuzufügen.
  2. Bewegen Sie den Mauszeiger in die obere rechte Ecke der Spalte „Name“ und klicken Sie auf das Pluszeichen.
  3. Geben Sie Main Console FW Rule unter „Rule Name“ ein.
  4. Klicken Sie auf OK.

 

 

Angeben der Quelle

 

Bewegen Sie den Mauszeiger in die obere rechte Ecke der Spalte Source und klicken Sie auf das Stiftsymbol.

  1. Klicken Sie auf das Dropdown-Menü Object Type und wählen Sie IP Sets aus.
  2. Klicken Sie auf den Hyperlink New IP Set...
  3. Geben Sie Main Console unter „Name“ ein.
  4. Geben Sie 192.168.110.10 unter „IP-Adresse“ ein.
  5. Klicken Sie auf OK.

 

 

Prüfen der Quelle

 

  1. Prüfen Sie, ob Main Console unter „Selected Objects“ aufgeführt wird.
  2. Klicken Sie auf OK.

 

 

Angeben des Ziels

 

Bewegen Sie den Mauszeiger in die obere rechte Ecke der Spalte Destination und klicken Sie auf das Stiftsymbol.

  1. Klicken Sie auf das Dropdown-Menü Object Type und wählen Sie Logical Switch aus.
  2. Klicken Sie auf Web_Tier_Logical_Switch.
  3. Klicken Sie auf den Pfeil nach rechts. Dadurch wird „Web_Tier_Logical_Switch“ in den Bereich Selected Objects verschoben.
  4. Klicken Sie auf OK.

 

 

Konfigurieren der Aktion

 

  1. Klicken Sie auf das Pluszeichen in der Spalte „Action“.
  2. Klicken Sie im Menü „Action“ auf Deny.
  3. Klicken Sie auf OK.

 

 

Veröffentlichen der Änderungen

 

  1. Klicken Sie auf Publish Changes, um die Konfiguration auf „Perimeter-Gateway-01“ (NSX Edge) zu aktualisieren.

 

 

Testen der neuen FW-Regel

 

Als Nächstes testen Sie die von Ihnen konfigurierte FW-Regel, die den Zugriff des Control Center auf den logischen Switch der Webschicht verhindert:

  1. Öffnen Sie eine neue Registerkarte in Ihrem Browser.
  2. Klicken Sie auf das Lesezeichen Customer DB App.

Vergewissern Sie sich, dass Main Console nicht auf Customer DB App zugreifen kann. Im Browser sollte eine Seite angezeigt werden, die angibt, dass die Website nicht erreichbar ist. Als Nächstes bearbeiten Sie die FW-Regel, um den Zugriff der Hauptkonsole auf die Kunden-DB-Anwendung zu erlauben.

 

 

Ändern von „ Main Console FW Rule“ in „Accept“

 

Kehren Sie zur Browser-Registerkarte mit vSphere Web Client zurück.

  1. Klicken Sie auf das Pluszeichen in der oberen rechten Ecke der Spalte „Action“ in „Main Console FW Rule“.
  2. Klicken Sie unter „Action“ auf Accept.
  3. Klicken Sie auf OK.

 

 

 

Veröffentlichen der Änderungen

 

  1. Klicken Sie auf Publish Changes, um die Konfiguration auf „Perimeter-Gateway-01“ (NSX Edge) zu aktualisieren.

 

 

Prüfen des Zugriffs auf Kunden-DB-Anwendung

 

Kehren Sie zur Registerkarte mit der Kunden-DB-Anwendung zurück.

  1. Klicken Sie auf das Aktualisierungssymbol.

Da Main Console FW Rule in „Accept“ geändert wurde, kann die Hauptkonsole jetzt auf Customer DB App zugreifen.

 

 

Löschen der FW-Regel der Hauptkonsole

 

  1. Klicken Sie auf Main Console FW Rule.
  2. Klicken Sie auf das rote X, um die Firewall-Regel zu löschen.
  3. Klicken Sie auf OK.

 

 

Veröffentlichen der Änderungen

 

  1. Klicken Sie auf Publish Changes, um die Konfiguration auf „Perimeter-Gateway-01“ (NSX Edge) zu aktualisieren.

 

 

Fazit

In diesem Lab haben Sie gelernt, wie Sie eine bestehende Firewall-Regel für das Edge Services-Gateway bearbeiten und wie Sie eine neue Firewall-Regel für das Edge Services-Gateway konfigurieren, die den externen Zugriff auf Customer DB App blockiert.

Damit ist die Lektion zur Firewall des Edge Services-Gateways abgeschlossen. Als Nächstes wird das Management von DHCP-Services durch das Edge Services-Gateway näher erläutert.

 

DHCP-Relay


In einem Netzwerk, in dem es nur einzelne Netzwerksegmente gibt, können DHCP-Clients direkt mit ihrem DHCP-Server kommunizieren. DHCP-Server können außerdem IP-Adressen für mehrere Netzwerke bereitstellen, selbst für Netzwerke, die sich nicht auf denselben Segmenten befinden wie sie selbst. Allerdings ist bei der Zuteilung von IP-Adressen, die außerhalb des eigenen IP-Adressbereichs liegen, keine direkte Kommunikation mit diesen Clients möglich. Dies liegt daran, dass die Clients keine ihnen bekannten routfähigen IP-Adressen oder ein Gateway besitzen.

In diesen Fällen wird ein DHCP-Relay-Agent benötigt, um die von DHCP-Clients empfangene Übertragung mittels Unicast an den DHCP-Server weiterzuleiten. Der DHCP-Server wählt einen DHCP-Umfang basierend auf dem Bereich, aus dem der Unicast empfangen wird, aus und gibt diesen an die Agent-Adresse zurück, welche dann wiederum an den Client im Ursprungsnetzwerk übertragen wird.

In diesem Lab wird Folgendes behandelt:

Die folgenden Elemente wurden in diesem Lab bereits im Vorfeld eingerichtet:


 

Lab-Topologie

 

In diesem Diagramm wird die endgültige Topologie abgebildet, die im Rahmen dieses Lab-Moduls erstellt und verwendet wird.

 

 

Zugriff auf NSX über vSphere Web Client

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Erstellen eines neuen logischen Switch

 

Sie müssen zunächst einen neuen logischen Switch erstellen, der das neue 172.16.50.0/24-Netzwerk ausführt.

  1. Klicken Sie auf Logical Switches.
  2. Klicken Sie auf das grüne Pluszeichen, um einen neuen logischen Switch zu erstellen.

 

 

Verbinden des logischen Switch mit Perimeter-Gateway

 

Als Nächstes verbinden Sie den logischen Switch mit einer Schnittstelle auf dem Perimeter-Gateway.  Diese Schnittstelle fungiert als Standard-Gateway für das 172.16.50.0/24-Netzwerk und besitzt die Adresse 172.16.50.1.

  1. Klicken Sie auf NSX Edges.
  2. Doppelklicken Sie auf Perimeter-Gateway-01.

 

 

Konfigurieren des DHCP-Relays

 

Bleiben Sie im Fenster „Perimeter Gateway“ und nehmen Sie als Nächstes die globale Konfiguration des DHCP-Relays vor.

  1. Klicken Sie auf Manage.
  2. Klicken Sie auf DHCP.
  3. Klicken Sie auf Relay.
  4. Klicken Sie auf Edit.

 

 

Erstellen einer leeren VM für PXE-Start

 

Als Nächstes erstellen Sie eine leere VM, die mittels PXE von dem als Relay angegebenen DHCP-Server gestartet wird.

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Hosts and Clusters.

 

 

Zugriff auf die neu erstellte VM

 

Als Nächstes öffnen Sie eine Konsole zu dieser VM und beobachten den Startvorgang aus dem PXE-Image. Die VM erhält diese Informationen über den von Ihnen zuvor konfigurierten Remote-DHCP-Server.

  1. Klicken Sie auf PXE VM.
  2. Klicken Sie auf Summary.
  3. Klicken Sie auf die VM-Konsole.

 

 

Prüfen des DHCP-Lease

 

Während Sie warten, bis die VM startet, können Sie die verwendete Adresse in den DHCP-Leases prüfen.

  1. Gehen Sie auf den Desktop der Hauptkonsole und doppelklicken Sie das DHCP-Symbol.

 

 

Zugriff auf gestartete VM

 

  1. Klicken Sie auf die Browser-Registerkarte PXE VM.

 

 

Prüfen von Adresse und Konnektivität

 

Das Widget in der oberen rechten Ecke der VM zeigt neben Statistiken unter anderem die IP-Adresse der VM an. Diese sollte mit der vorher in DHCP angezeigten IP-Adresse übereinstimmen.

 

 

Fazit

In diesem Abschnitt haben Sie ein neues Netzwerksegment erstellt und anschließend die DHCP-Anfragen aus diesem Netzwerk an einen externen DHCP-Server weitergeleitet. Auf diese Weise wurden der Zugriff auf zusätzliche Startoptionen für diesen externen DHCP-Server sowie das Starten eines Linux-OS mittels PXE ermöglicht.

Als Nächstes wird das Management von L2VPN-Services durch das Edge Services-Gateway näher erläutert.

 

Konfigurieren von L2VPN


In diesem Abschnitt verwenden Sie die L2VPN-Funktionen des NSX Edge-Gateways, um eine L2-Grenze zwischen zwei getrennten vSphere-Clustern zu erweitern. Zur Demonstration dieser Funktion werden ein NSX Edge-L2VPN-Server auf dem „RegionA01-MGMT01“-Cluster und ein NSX Edge-L2VPN-Client auf dem „RegionA01-COMP01“-Cluster bereitgestellt. Anschließend wird der Tunnelstatus getestet, um die erfolgreiche Konfiguration zu prüfen.


 

Öffnen von Google Chrome und Navigation zu vSphere Web Client

 

  1. Öffnen Sie den Google Chrome-Webbrowser auf dem Desktop, falls dieser noch nicht geöffnet ist.

 

 

Navigieren zum Bereich „Networking & Security“ des vSphere Web Client

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Erstellen des NSX Edge-Gateways für den L2VPN-Server

 

Um den L2VPN-Server-Service zu erstellen, müssen Sie zunächst ein NSX Edge-Gateway bereitstellen, auf dem der Service ausgeführt werden kann.  

  1. Klicken Sie auf NSX Edges.
  2. Klicken Sie auf das grüne Pluszeichen.

 

 

Konfigurieren eines neuen NSX Edge-Gateways: L2VPN-Server

 

Der Assistent für eine neue NSX Edge-Bereitstellung wird geöffnet und der erste Abschnitt „Name and Description“ angezeigt.  Geben Sie die folgenden Werte in die den Nummern entsprechenden Felder ein.  Lassen Sie die anderen Felder leer oder auf ihren Standardwerten.

  1. Geben Sie L2VPN-Server unter Name ein.
  2. Klicken Sie auf Next.

 

 

Konfigurieren der Einstellungen für das neue NSX Edge-Gateway: L2VPN-Server

 

  1. Geben Sie unter „Password“ VMware1!VMware1!ein.
  2. Geben Sie unter „Confirm Password“ VMware1!VMware1!ein.
  3. Aktivieren Sie das Kontrollkästchen Enable SSH access.
  4. Klicken Sie auf Next.

 

 

Vorbereiten des NSX Edge-L2VPN-Servers für L2VPN-Verbindungen

Vor dem Konfigurieren der neuen NSX Edge-Bereitstellung für L2VPN-Verbindungen müssen Sie die folgenden vorbereitenden Schritte ausführen:

  1. Hinzufügen einer Trunk-Schnittstelle zum Edge Gateway des L2VPN-Servers
  2. Hinzufügen einer Subschnittstelle zum Edge Gateway des L2VPN-Servers
  3. Konfigurieren des dynamischen Routings (OSPF) auf dem Edge Gateway des L2VPN-Servers

 

 

Festlegen der Router-ID für diese NSX Edge-Bereitstellung

 

Als Nächstes konfigurieren Sie das dynamische Routing auf diesem Edge Gateway.

  1. Klicken Sie auf Routing.
  2. Klicken Sie auf Global Configuration.
  3. Klicken Sie auf Edit, um den Abschnitt „Dynamic Routing Configuration“ zu bearbeiten.

 

 

Konfigurieren von OSPF für den L2VPN-Server in NSX Edge

 

  1. Klicken Sie auf OSPF.
  2. Klicken Sie unter „Area to Interface Mapping“ auf das grüne Pluszeichen.

 

 

Aktivieren der OSPF-Routenumverteilung

 

  1. Klicken Sie auf Route Redistribution.
  2. Klicken Sie auf Edit, um den Abschnitt „Route Redistribution Status“ zu bearbeiten.
  3. Aktivieren Sie das Kontrollkästchen OSPF.
  4. Klicken Sie auf OK.

 

 

Konfigurieren des L2VPN-Services für den L2VPN-Server in NSX Edge

Die Adresse 172.16.10.1 gehört zum Edge Gateway des L2VPN-Servers und Routen werden dynamisch über OSPF verteilt. Als Nächstes konfigurieren Sie den L2VPN-Service auf diesem Edge Gateway so, dass NSX Edge als „Server“ im L2VPN fungiert.

 

 

Bereitstellen des NSX Edge-Gateways als L2VPN-Client

Die serverseitige Konfiguration des L2VPN wurde abgeschlossen und Sie können nun mit der Bereitstellung eines neuen NSX Edge-Gateways als L2VPN-Client fortfahren. Vor der Bereitstellung des NSX Edge-Gateways als L2VPN-Client müssen Sie die verteilten Uplink- und Trunk-Portgruppen auf dem verteilten virtuellen Switch konfigurieren.

 

 

Konfigurieren des NSX Edge-Gateways als L2VPN-Client

 

  1. Doppelklicken Sie auf L2VPN-Client.

 

Natives Bridging


NSX bietet L2 Bridging-Funktionen in der Kernel-Software, mit denen Unternehmen herkömmliche Workloads und Legacy-VLANs nahtlos über VXLAN mit virtualisierten Netzwerken verbinden können. L2 Bridging ist in Brownfield-Umgebungen weit verbreitet. Es vereinfacht die Einführung logischer Netzwerke und anderer Szenarien mit physischen Systemen, für die eine L2-Konnektivität mit virtuellen Maschinen erforderlich ist.

Die logischen Router können L2 Bridging vom logischen Netzwerkbereich in NSX zum physischen VLAN-gestützten Netzwerk bereitstellen. Dies ermöglicht das Erstellen einer L2-Bridge zwischen einem logischen Switch und einem VLAN, wodurch virtuelle Workloads ohne Beeinträchtigung der IP-Adressen auf physische Geräte migriert werden können. Ein logisches Netzwerk kann ein physisches L3-Gateway nutzen und auf bestehende physische Netzwerk- und Sicherheitsressourcen zugreifen, indem eine Bridge zwischen der Broadcast-Domäne des logischen Switch und der VLAN-Broadcast-Domäne erstellt wird. Diese Funktion wurde seit NSX-V 6.2 erweitert und nun können überbrückte logische Switches mit verteilten logischen Routern verbunden werden. Dieser Vorgang war in früheren Versionen von NSX nicht zulässig.

In diesem Modul wird die Konfiguration einer L2 Bridging-Instanz zwischen einem herkömmlichen VLAN und einem logischen NSX-Netzwerk-Switch behandelt.


 

Einleitung

 

Die obige Abbildung zeigt die ab NSX 6.2 bereitgestellten Verbesserungen für L2 Bridging:

Im Folgenden konfigurieren Sie das neu unterstützte NSX L2 Bridging.

 

 

Spezielle Anweisungen für CLI-Befehle

 

Bei vielen Modulen müssen Sie Command Line Interface(CLI)-Befehle eingeben. Zum Senden von CLI-Befehlen an das Lab stehen zwei Methoden zur Verfügung.

Bei der ersten Methode senden Sie einen CLI-Befehl an die Lab-Konsole:

  1. Markieren Sie den CLI-Befehl im Handbuch und kopieren Sie ihn mit STRG+C in die Zwischenablage.
  2. Klicken Sie im Konsolenmenü auf „SEND TEXT“.
  3. Drücken Sie STRG+V, um den Befehl aus der Zwischenablage in das Fenster einzufügen.
  4. Klicken Sie auf die Schaltfläche „SEND“.

Zweite Methode: Eine Textdatei (README.txt) wurde auf dem Desktop der Umgebung abgelegt. Mit dieser können Sie komplexe Befehle oder Kennwörter ganz einfach kopieren und in die jeweiligen Dienstprogramme (CMD, PuTTY, Konsole, etc.) einfügen. Bestimmte Zeichen sind nicht auf allen Tastaturen weltweit vorhanden. Diese Textdatei ist auch für Tastaturen vorgesehen, die solche Zeichen nicht enthalten.

Die Textdatei heißt „README.txt“ und befindet sich auf dem Desktop.  

 

 

Zugriff auf vSphere Web Client

 

 

 

Überprüfen der Erstkonfiguration

 

Überprüfen Sie, ob die Erstkonfiguration der obigen Abbildung entspricht. Die Umgebung umfasst auf dem Cluster „Management & Edge“ die Portgruppe „Bridged-Net-RegionA0-vDS-MGMT“. Die Webserver-VMs „web-01a“ und „web-02a“ sind mit dem logischen Switch „Web-Tier-01“ verknüpft. Der logische Switch „Web-Tier-01“ ist von „Bridged-Net“ isoliert.

 

 

Migrieren von „web-01a“ auf den Cluster „RegionA01-MGMT01“

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf VMs and Templates.

 

 

Anzeigen der verbundenen VMs

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking.

 

 

Migrieren von „Web_Tier_Logical_Switch“ auf den verteilten logischen Router

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Konfigurieren von NSX L2 Bridging

 

NSX L2 Bridging zwischen VLAN 101 und dem logischen Switch „Web-Tier-01“ soll aktiviert werden, damit „web-01a.corp.local“ mit dem restlichen Netzwerk kommunizieren kann. Ab NSX-V 6.2 ist es möglich, eine L2-Bridge und einen verteilten logischen Router mit demselben logischen Switch zu verbinden. Dies ist eine wichtige Verbesserung, weil dadurch die Integration von NSX in Brownfield-Umgebungen und die Migration von Legacy- in virtuelle Netzwerke vereinfacht wird.

 

 

Überprüfen des L2 Bridging

NSX L2 Bridging wurde konfiguriert. Jetzt überprüfen Sie die L2-Konnektivität zwischen der VM „web-01a“ im VLAN 101 und den Maschinen, die mit dem logischen Switch „Web-Tier-01“ verbunden sind.

 

 

Bereinigen des L2 Bridging-Moduls

Wenn Sie mit anderen Modulen dieses Hands-on Lab fortfahren möchten, müssen Sie die folgenden Schritte ausführen, um L2 Bridging zu deaktivieren. Die in dieser speziellen Umgebung realisierte Beispielkonfiguration könnte zu Konflikten mit anderen Abschnitten, z.B. L2VPN, führen.

 

 

Zurückmigrieren von „web-01a“ auf den Cluster „RegionA01-COMP01“

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf VMs and Templates.

 

Modul 4 – Fazit


In diesem Modul wurden die erweiterten Funktionen des NSX Edge Services-Gateways behandelt:

  1. Bereitstellen eines neuen Edge Services-Gateways (ESG) und Konfigurieren als One-Arm-Lastausgleich
  2. Ändern und Erstellen von Firewall-Regeln auf dem vorhandenen ESG
  3. Konfigurieren des DCHP-Relais über das ESG
  4. Konfigurieren von L2VPN über das ESG

 

Abschluss von Modul 4

Sie haben Modul 4 abgeschlossen.

Weitere Informationen zu NSX finden Sie im NSX 6.3 Documentation Center unter der folgenden URL:

Fahren Sie mit einem der folgenden Module fort:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozenten:

 

 

Beenden eines Hands-on Lab

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1803-01-NET.zip

Version: 20171201-201841