VMware Hands-on Labs - HOL-1803-01-NET


练习概述 - HOL-1803-01-NET - 开始体验 VMware NSX

练习指导


注意:完成本练习需要 90 多分钟。每次最好只完成 2 到 3 个单元。这些单元彼此相互独立,因此您可以选择任一单元从头学起。您可以使用目录访问所选择的任何单元。

目录可以从练习手册的右上角访问。

VMware NSX 是网络虚拟化平台。您将获得有关逻辑交换、分布式逻辑路由、动态路由、分布式防火墙和逻辑网络服务的实际操作经验。本练习将介绍 vSphere 环境中用于实现网络和安全虚拟化的 VMware NSX 的核心功能。

练习单元列表:

练习负责人:

本练习手册可以从动手练习文档站点下载,网址为:

http://docs.hol.vmware.com

本练习可能会提供其他语言版本。要设置语言首选项并在练习中部署本地化手册,可以在本文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红框区域包含主控制台。练习手册位于主控制台右侧的选项卡上。
  2. 个别练习可能会用到其他控制台,分别位于左上角的不同选项卡上。如有需要,系统将引导您打开另一特定控制台。
  3. 练习时间为 90 分钟,由计时器计时。练习结果无法保存。所有工作必须在练习课程中完成。但是您可以单击“EXTEND”(延长)延长时间。在 VMware 活动期间,您可以将练习时间延长两次,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将练习时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘式数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击练习手册内容并拖放到控制台的活动窗口

您也可以单击练习手册中的文本和命令行界面 (CLI) 命令并将其直接拖放到主控制台中的活动窗口。 

 

 

使用在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

激活提示或水印

 

首次开始练习时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手练习利用了这一优势,我们可以运行多个数据中心内的练习。但是,这些数据中心的处理器可能不同,因此会通过 Internet 触发 Microsoft 激活检查。

请放心,VMware 和这些动手练习完全符合 Microsoft 的许可要求。您使用的练习是一个独立的单元,没有对 Internet 的完全访问权限,而 Windows 需要该权限才能验证激活。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一表面问题不会影响到您的练习。 

 

 

查看屏幕右下部分

 

请检查练习的所有启动例程是否都已结束,并已准备就绪。如果您看到“Ready”(准备就绪)以外的内容,请等待几分钟。如果 5 分钟后,您的练习仍未变为“Ready”(准备就绪),请寻求帮助。

 

第 1 单元 - NSX Manager 安装和配置(15 分钟)

简介


VMware NSX 是提供虚拟机网络操作模式的领先网络虚拟化平台。就像服务器虚拟化能使您更全面地控制在服务器硬件池中运行的许多虚拟机一样,利用 NSX 实现网络虚拟化可提供一个集中的 API,使您能够调配和配置在单个物理网络上运行的众多隔离的逻辑网络。

逻辑网络可以将虚拟机连接和网络服务与物理网络分离,从而使云计算供应商和企业能够灵活地在数据中心内的任何位置安置或迁移虚拟机,同时仍然支持第 2 层/第 3 层连接以及第 4-7 层的网络服务。

在本单元中,我们将使用交互式模拟重点介绍如何在您的环境中实际执行 NSX 部署。在练习环境中,我们已经为您完成了实际部署。

在交互式模拟中,您将了解如何:


 

NSX 组件

 

 

动手练习交互式模拟:NSX 安装和配置 - 第 1 部分


本部分的练习以动手练习交互式模拟的形式呈现。这样,您便可以在练习环境中实际体验需要消耗大量时间或资源的步骤。在此模拟中,您可以像与实际环境进行交互一样使用软件界面。

  1. 单击此处打开交互式模拟。它将在新的浏览器窗口或选项卡中打开。
  2. 完成后,单击“Return to the lab”(返回练习)链接以继续本练习。

动手练习交互式模拟:NSX 安装和配置 - 第 2 部分


本部分的练习以动手练习交互式模拟的形式呈现。这样,您便可以在练习环境中实际体验需要消耗大量时间或资源的步骤。在此模拟中,您可以像与实际环境进行交互一样使用软件界面。

  1. 单击此处打开交互式模拟。它将在新的浏览器窗口或选项卡中打开。
  2. 完成后,单击“Return to the lab”(返回练习)链接以继续本练习。

第 1 单元总结


在本单元中,我们介绍了安装和配置 NSX 的简便流程,完成此流程后,便可通过软件中的七种服务提供第二层应用。

我们讲解了 NSX Manager 设备的安装和配置,包括部署、与 vCenter 集成和配置日志记录和备份。然后,我们介绍了 NSX Controller 作为控制平面的部署和 VMware Infrastructure 捆绑包 (vib) 的安装,这些捆绑包是推送到 hypervisor 的内核模块。最后,我们介绍了 VXLAN 安全加密链路端点 (VTEP) 的自动部署、VXLAN 网络标识符池 (VNI) 的创建和传输域的创建。


 

您已完成第 1 单元的学习

祝贺您!您已经完成了第 1 单元的学习。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.3 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

第 2 单元 - 逻辑交换(30 分钟)

逻辑交换 - 单元概述


在此单元中,我们将了解 VMware NSX 的以下组件:


逻辑交换


在本部分中,我们将执行以下操作:

  1. 确认主机的配置就绪状态。
  2. 确认逻辑网络的准备情况。
  3. 创建新的逻辑交换机。
  4. 将逻辑交换机挂接到 NSX Edge Gateway。
  5. 将虚拟机添加到逻辑交换机。
  6. 测试虚拟机间的连接。

 

启动 Google Chrome

 

在桌面上双击 Google Chrome 图标打开浏览器。

 

 

在 vSphere Web Client 中导航至“Networking & Security”(网络连接和安全性)

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

将 web-03a 和 web-04a 挂接到新创建的 Prod_Logical_Switch

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

测试 Web-03a 和 Web-04a 间的连接

 

可扩展性和可用性


在这部分中,我们将了解 NSX Controller 的可扩展性和可用性。NSX 平台中的 NSX Controller 集群是控制平面组件,负责管理 Hypervisor 中的交换和路由模块。NSX Controller 集群包含用于管理特定逻辑交换机的 NSX Controller 节点。使用 NSX Controller 集群来管理基于 VXLAN 的逻辑交换机,这样就不再要求物理网络基础架构支持多播。

为了实现高恢复能力和高性能,生产部署必须在多个 NSX Controller 节点部署 NSX Controller 集群。NSX Controller 集群表示横向扩展分布式系统,其中每个 NSX Controller 节点分配有一组角色。所分配的角色定义了 NSX Controller 节点可以实施的任务类型。NSX Controller 节点部署为奇数个数。当前的 NSX 集群最佳实践(也是唯一受支持的配置)是将三个 NSX Controller 节点设置为“主动-主动-主动”模式的负载共享和冗余。

为提高 NSX 体系结构的可扩展性,系统会利用“切片”机制以确保所有 NSX Controller 节点在任何给定时间都能保持活动状态。

如果 NSX Controller 出现故障,数据平面(虚拟机)流量不会受到影响。由于逻辑网络信息已向下推送到逻辑交换机(数据平面),流量会继续。但是,在没有控制平面(NSX Controller 集群)的情况下,您将无法进行编辑(添加/移动/更改)。


 

NSX Controller 的可扩展性和可用性

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

第 2 单元总结


在本单元中,我们介绍了 NSX 平台的以下优点:

  1. 网络敏捷性,例如可快速调配和配置逻辑交换机以便与虚拟机和外部网络交互。
  2. NSX 体系结构的可扩展性,例如传输域快速跨越多个计算集群的能力以及 NSX Controller 集群作为横向扩展的分布式系统的功能。

 

您已完成第 2 单元

祝贺您!您已经完成了第 2 单元的学习!

如果您希望了解有关 NSX 的更多信息,请通过以下 URL 访问 NSX 6.3 文档中心:

继续学习以下任意单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

第 3 单元 - 逻辑路由(60 分钟)

路由概述


练习单元概述

在上一单元中,我们体验到了只需单击几下即可创建隔离的逻辑交换机/网络的简便性。为了在这些隔离的第 2 层逻辑网络之间提供通信,路由支持必不可少。在 NSX 平台中,您可以借助分布式逻辑路由器在逻辑交换机之间路由流量,路由能力分布在 Hypervisor 中。通过采用这种逻辑路由组件,NSX 可以在逻辑空间中重现复杂的路由拓扑。例如,一个三层应用将连接到三个逻辑交换机,各层之间的路由由此分布式逻辑路由器处理。

本单元将帮助我们了解 NSX 平台支持的一些路由功能,以及在部署三层应用时如何利用这些功能。

在本单元中,我们将执行以下操作:


 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示手册中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)
  3. Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、PuTTY、控制台等)中。某些特定字符通常并不存在于世界各地使用的所有键盘上。如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

动态路由和分布式路由


您将首先了解分布式路由的配置,以及在内核级别执行路由的优势。


 

当前拓扑和数据包流概览

 

上图显示了本练习的环境,其中,应用虚拟机和数据库虚拟机位于同一物理主机上。红色箭头显示两台虚拟机之间的流量。

  1. 流量离开应用虚拟机,到达主机。
  2. 由于应用虚拟机和数据库虚拟机不在同一个网络子网中,主机需要将该流量发送给第 3 层设备。驻留在管理集群中的 NSX Edge(外围网关)将执行第 3 层设备的功能。流量被发送给外围网关 (NSX Edge) 所在的主机。
  3. 流量从主机到达外围网关 (NSX Edge)。
  4. 外围网关 (NSX Edge) 将流量发送回主机。
  5. 流量被发送给数据库虚拟机所在的主机。
  6. 流量从主机到达数据库虚拟机。

在本练习的末尾,我们将查看分布式路由配置完成后的通信流示意图。这将帮助我们了解分布式路由对网络流量的正面影响。

 

 

访问 vSphere Web Client

 

 

 

登录 vSphere Web Client

 

主页应当是 vSphere Web Client。如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。

  1. 在“User name”(用户名)中输入 administrator@vsphere.local
  2. 在“Password”(密码)中输入 VMware1!
  3. 单击“Login”(登录)

 

 

确认 3 层应用的功能

 

  1. 打开一个新的浏览器选项卡。
  2. 单击“Customer DB App”(客户数据库应用)书签。

 

 

从外围边缘移除应用和数据库接口

 

正如您在前面的拓扑中看到的,三个逻辑交换机或三个应用层的终点是外围网关 (NSX Edge)。外围网关 (NSX Edge) 提供这三层之间的路由。我们准备改变该拓扑:从外围网关 (NSX Edge) 移除应用和数据库接口。删除这些接口后,我们将这些接口移至分布式路由器 (NSX Edge) 上。为节省时间,我们已为您部署了分布式路由器 (NSX Edge)。

  1. 单击“vSphere Web Client”浏览器选项卡。
  2. 单击“Home”(主页)图标。
  3. 单击“Networking & Security”(网络连接和安全性)

 

 

将应用和数据库接口添加到分布式路由器中

 

我们将通过向分布式路由器 (NSX Edge) 中添加应用和数据库接口,来开始配置分布式路由。

  1. 双击“Distributed-Router-01”

 

 

在分布式路由器上配置动态路由

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 单击“Routing”(路由)
  2. 单击“Global Configuration”(全局配置)
  3. 单击“Edit”(编辑)以更改“Dynamic Routing Configuration”(动态路由配置)

 

 

编辑动态路由配置

 

  1. 选择上行链路接口的 IP 地址作为默认“Router ID”(路由器 ID)。在我们的示例中,上行链路接口为 Transit_Network_01,IP 地址为 192.168.5.2
  2. 单击“OK”(确定)

注意:路由器 ID 是一个表示为 IP 地址的 32 位标识符,在 OSPF 操作中非常重要,因为它在自控系统中用于指示路由器标识。在我们的练习情景中,我们使用的路由器 ID 和 NSX Edge 的上行链路接口 IP 地址相同,这是可以接受的,但并非必需。屏幕将返回到“Global Configuration”(全局配置)部分,其中包含“Publish Changes”(发布变更)选项

 

 

配置 OSPF 特定参数

 

我们使用 OSPF 作为动态路由协议。

  1. 单击“OSPF”
  2. 单击“Edit”(编辑)以更改“OSPF Configuration”(OSPF 配置)。此时会打开“OSPF Configuration”(OSPF 配置)对话框。

 

 

在外围边缘上配置 OSPF 路由

 

接下来,我们将在 Perimeter-Gateway-01 (NSX Edge) 上配置动态路由以恢复与 3 层应用的连接。

  1. 单击“Back”(返回),直至返回到“NSX Edges”部分。

 

 

检查新拓扑

 

新拓扑显示了分布式路由器和外围网关 (NSX Edge) 之间的路由对等关系。指向与分布式路由器连接的任意网络的路由都会被分发到外围网关 (NSX Edge)。此外,我们还控制着从外围网关到物理网络的路由。

下一部分将更详细地介绍此内容。

 

 

验证与 3 层应用的通信

 

路由信息在分布式路由器和外围网关之间进行交换。两个 NSX Edge 之间的路由建立后,与 3 层 Web 应用的连接便可恢复。我们将通过访问 3 层 Web 应用来验证路由功能是否正常。

  1. 单击“HOL - Customer Database”(HOL - 客户数据库)浏览器选项卡(该选项卡已在先前的步骤中打开)。但是,可能会显示“504 Gateway Time-out”(504 网关超时)
  2. 单击“Refresh”(刷新)

注意:这可能需要花一分钟时间进行路由传播,这是因为练习环境为嵌套式环境。

 

 

动态和分布式路由已完成

在本部分中,我们已成功配置动态和分布式路由。在下一部分中,我们将介绍如何使用外围网关 (NSX Edge) 实现集中式路由。

 

集中式路由


在此部分中,我们来看看各个元素,了解如何从边缘进行北向路由。这包括如何在整个系统中控制、更新和传播 OSPF 动态路由。通过可运行和路由整个练习的虚拟路由设备,我们将验证外围边缘设备上的路由。

特别声明:在桌面上,您将看到一个名为 README.txt 的文件。它包含本练习中需要的所有 CLI 命令。如果您无法输入这些命令,则可以将其复制并粘贴到 PuTTY 会话中。如果您看到带有大括号的编号,例如 {1},它指示您在文本文件中为本单元查找该 CLI 命令。


 

当前练习拓扑

 

上图显示了当前拓扑,其中,OSPF 将重新分发外围网关和分布式路由器之间的路由。另外,我们还将看到从外围网关到 vPod 路由器的北向链接。

 

 

查看外围网关中的 OSPF 路由

首先,我们要确认 Web 应用运行正常,然后我们将登录 NSX 外围网关,查看 OSPF 邻居并查看现有的路由分发。这样将演示外围网关如何获知来自分布式路由器以及正在运行整个练习的 vPod 路由器的路由信息。

 

 

确认 3 层应用的功能

 

  1. 打开一个新的浏览器选项卡。
  2. 单击“Customer DB App”(客户数据库应用)书签。

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示手册中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)
  3. Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、PuTTY、控制台等)中。某些特定字符通常并不存在于世界各地使用的所有键盘上。如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

 

控制 BGP 路由分发

在某种情况下,您可能只想在虚拟环境内分发 BGP 路由,而不想将其分发到物理环境中。利用 NSX Edge 配置,我们能够轻松控制路由的分发。

 

ECMP 和高可用性


在这个部分,我们会将另一个外围网关添加到网络中,然后使用 ECMP(等价多路径路由)扩展 Edge 的容量并提高其可用性。借助 NSX,我们能够就地添加 Edge 设备并启用 ECMP。

ECMP 是一项路由策略,允许通过多条最佳路径将下一跃点数据包转发到单个目标。对于这些最佳路径,可以通过静态方式来添加,也可以利用 OSPF 或 BGP 等动态路由协议进行的衡量指标计算来添加。Edge 服务网关利用 Linux 网络协议栈实施,这是一种带有随机组件的循环算法。针对特定的源和目标 IP 地址对选择下一跃点后,路由缓存将存储选定的下一个跃点。该流的所有数据包都将流向选定的下一跃点。分布式逻辑路由器使用 XOR 算法从可能的 ECMP 下一跃点列表中确定下一跃点。此算法使用出站数据包上的源和目标 IP 地址作为熵源。

现在,我们将配置新的外围网关,并在外围网关之间建立 ECMP 集群,以便利用分布式逻辑路由器来提高容量和可用性。我们将关闭其中一个外围网关,并观察流量路径的变化情况,以测试可用性。


 

在 vSphere Web Client 中导航到 NSX

 

  1. 单击“vSphere Web Client”浏览器选项卡。
  2. 单击“Home”(主页)图标。
  3. 单击“Networking & Security”(网络连接和安全性)

 

 

添加另一个外围网关 Edge

 

我们来添加另一个外围网关 NSX Edge。

  1. 单击“NSX Edges”
  2. 单击绿色加号图标。

 

 

在新 Edge 上配置路由

 

我们需要先在 Perimeter-Gateway-02 (NSX Edge) 上配置 OSPF,才能启用 ECMP。

  1. 双击“Perimeter-Gateway-02”

 

 

启用 ECMP

 

现在,我们将在分布式路由器和外围网关上启用 ECMP

  1. 单击“Back”(返回),直至返回到“NSX Edges”部分。

 

 

拓扑概述

 

在这一阶段,本练习将探讨拓扑的相关知识。内容包括新添加的外围网关、已配置的路由以及已启用的 ECMP。

 

 

验证分布式路由器的 ECMP 功能

 

现在,请访问分布式路由器,确保 OSPF 正在进行通信并且 ECMP 运行正常。

  1. 单击“Home”(主页)图标。
  2. 单击“VMs and Templates”(虚拟机和模板)

 

 

验证 vPod 路由器的 ECMP 功能

 

注意:要从窗口中释放光标,请按 Ctrl+Alt 组合键。

现在,我们将探讨 vPod 路由器的 ECMP,这个路由器会模拟您网络中的物理路由器。

  1. 单击任务栏上的 PuTTY 图标。

 

 

关闭外围网关 01

 

我们将关闭 Perimeter-Gateway-01 模拟某个节点离线。

返回至“vSphere Web Client”浏览器选项卡。

  1. 展开“RegionA01”
  2. 右键单击“Perimeter-Gateway-01-0”
  3. 单击“Power”(电源)
  4. 单击“Shut Down Guest OS”(关闭客户操作系统)

 

 

使用 ECMP 测试高可用性

 

借助环境中的 ECMP、BGP 和 OSPF,我们能够在特定路径出现故障时动态更改路由。我们现在将模拟一条路径出现故障以及发生路由重新分配。

  1. 单击任务栏上的命令提示符图标。

 

 

访问分布式路由器虚拟机控制台

 

  1. 单击“Distributed-01-0”浏览器选项卡。

在浏览器选项卡中启动虚拟机控制台时,它将显示为黑屏。在黑屏内单击,然后按几次 Enter 键,就能使虚拟机控制台从屏幕保护程序中显示出来。

 

 

启动外围网关 01

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 展开“RegionA01”
  2. 右键单击“Perimeter-Gateway-01-0”
  3. 单击“Power”(电源)
  4. 单击“Power On”(启动)

 

 

返回 ping 测试

 

 

 

访问分布式路由器虚拟机控制台

 

  1. 单击“Distributed-01-0”浏览器选项卡。

在浏览器选项卡中启动虚拟机控制台时,它将显示为黑屏。在黑屏内单击,然后按几次 Enter 键,就能使虚拟机控制台从屏幕保护程序中显示出来。

 

在继续学习第 3 单元之前 - 请完成以下清理步骤


如果您打算在完成第 2 单元之后继续学习本练习中的任何其他单元,您必须完成以下步骤,否则练习无法正常开展。


 

删除第二个外围边缘设备

 

返回“vSphere Web Client”浏览器选项卡。

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

在 DLR 和 Perimeter Gateway-01 上禁用 ECMP

 

  1. 双击“Distributed-Router-01”

 

第 3 单元总结


本单元介绍了 NSX 分布式逻辑路由器和 Edge 服务网关的路由功能:

  1. 将逻辑交换机从 Edge 服务网关 (ESG) 迁移至分布式逻辑路由器 (DLR)。
  2. 在 ESG 和 DLR 之间配置动态路由协议。
  3. 了解 ESG 的集中式路由功能以及动态路由对等信息。
  4. 通过部署第二个 ESG 并通过等价多路径 (ECMP) 路由配置在两个 ESG 之间建立路由对等关系,展示了 ESG 的可扩展性和可用性。
  5. 移除了 ESG2 和 ECMP 路由配置。

 

您已完成第 3 单元的学习

祝贺您!您已经完成了第 3 单元的学习!

如果您希望了解有关 NSX 的更多信息,请通过以下 URL 访问 NSX 6.3 文档中心:

继续学习以下任意单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

第 4 单元 - Edge 服务网关(60 分钟)

NSX Edge 服务网关简介


NSX Edge 可提供网络边缘安全保护和网关服务,以便隔离虚拟化的网络。您可以将 NSX Edge 作为逻辑(分布式)路由器或服务网关进行安装。

NSX Edge 逻辑(分布式)路由器可通过租户 IP 地址空间和数据路径隔离提供东西向分布式路由。驻留在同一主机但不同子网上的虚拟机或工作负载可以互相通信,而无需流经传统路由接口。

NSX Edge 网关通过提供 DHCP、VPN、NAT、动态路由和负载均衡等通用网关服务,将隔离的存根网络连接到共享(上行链路)网络。NSX Edge 的常见部署情形包括 DMZ、VPN、外联网和多租户云计算环境;在多租户云计算环境中,NSX Edge 可为各个租户创建虚拟边界。

在本单元中,我们将执行以下操作:


为负载均衡器部署 Edge 服务网关


NSX Edge 服务网关可提供负载均衡功能。采用负载均衡器可带来多种优势,因为这可实现更高效的资源利用。示例包括高效使用网络吞吐量、缩短应用响应时间、支持进行扩展,以及可作为策略的一部分以确保服务冗余和可用性。

对于 TCP、UDP、HTTP 或 HTTPS 请求,可以利用 NSX Edge 服务网关实现负载均衡。Edge 服务网关最高可提供开放式系统互连 (OSI) 模型第 7 层的负载均衡。 

在这一部分,我们将部署新的 NSX Edge 设备并将其配置为“单路并联”负载均衡器。


 

验证练习已准备就绪

 

验证检查可确保练习的所有组件都已正确部署,完成验证后,状态将更新为绿色/准备就绪。由于环境资源的限制,练习的部署可能会失败。

 

 

通过折叠右侧任务窗格获得更多屏幕空间

 

单击图钉图标可折叠任务窗格,从而为主窗格腾出更多显示空间。您也可以通过折叠左侧窗格来获得最大的空间。

 

 

在 vSphere Web Client 中导航至“Networking & Security”(网络连接和安全性)

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

创建新的 Edge 服务网关

 

我们将在新的 Edge 服务网关上配置单路并联式负载均衡服务。要开始创建新 Edge 服务网关的流程,请确保您处于 vSphere Web Client 的“Networking & Security”(网络连接和安全性)部分:

  1. 单击“NSX Edges”
  2. 单击绿色加号图标。

 

 

定义名称和类型

 

对于新的 NSX Edge 服务网关,请设置以下配置选项

  1. 输入 OneArm-LoadBalancer 作为“Name”(名称)。
  2. 单击“Next”(下一步)

 

 

配置 Admin 帐户

 

  1. 输入 VMware1!VMware1! 作为“Password”(密码)。
  2. 对于“Confirm password”(确认密码),请输入 VMware1!VMware1!
  3. 选中“Enable SSH access”(启用 SSH 访问)
  4. 单击“Next”(下一步)

注意:所有 NSX Edge 的密码都是由 12 个字符组成的复杂密码。

 

 

定义 Edge 大小和虚拟机安置

 

Edge 服务网关有四种不同的虚拟设备大小。规格(CPU 数量、内存)如下:

我们将为这一新的 Edge 服务网关选择紧凑型的 Edge,但务必要记住,这些 Edge 服务网关在部署后可以升级为更大的规格。要继续创建新的 Edge 服务网关,请执行以下操作:

  1. 单击绿色加号图标。此时将打开“Add NSX Edge Appliances”(添加 NSX Edge 设备)弹出窗口。

 

 

集群/数据存储安置

 

  1. 选择“RegionA01-MGMT01”作为“Cluster/Resource Pool”(集群/资源池)。
  2. 选择“RegionA01-ISCSI01-MGMT01”作为“Datastore”(数据存储)。
  3. 选择“esx-05a.corp.local”作为“Host”(主机)。
  4. 选择“Discovered virtual machine”(已发现的虚拟机)作为“Folder”(文件夹)。
  5. 单击“OK”(确定)

 

 

配置部署

 

  1. 单击“Next”(下一步)

 

 

在 NSX Edge 上放置一个新的网络接口

 

由于这是一个单路并联式负载平衡器,因此仅需要一个网络接口。

  1. 单击绿色加号图标。

 

 

为此 NSX Edge 配置新的网络接口

 

我们将为此新 NSX Edge 配置第一个网络接口。 

  1. 输入 WebNetwork 作为“Name”(名称)。
  2. 选择“Internal”(内部)作为“Type”(类型)。
  3. 单击“Select”(选择)

 

 

为新的 Edge 接口选择网络

 

此单路并联式负载均衡器的接口需要与此 Edge 为其提供负载均衡服务的两个 Web 服务器处于同一网络中。

  1. 单击“Logical Switch”(逻辑交换机)
  2. 选择“Web_Tier_Logical_Switch (5000)”
  3. 单击“OK”(确定)

 

 

配置子网

 

  1. 单击绿色加号图标。这将配置此接口的 IP 地址。

 

 

配置子网弹出窗口

 

要为此接口添加新的 IP 地址,请执行以下操作:

  1. 输入 172.16.10.10 作为“Primary IP Address”(主 IP 地址)。
  2. 输入 24 作为“Subnet Prefix Length”(子网前缀长度)。
  3. 单击“OK”(确定)

 

 

确认接口列表

 

确保 IP 地址和子网前缀长度信息与上图一致。

  1. 单击“Next”(下一步)

 

 

配置默认网关

 

  1. 输入 172.16.10.1 作为“Gateway IP”(网关 IP)。
  2. 单击“Next”(下一步)

 

 

配置防火墙和高可用性选项

 

  1. 选中“Configure Firewall default policy”(配置防火墙默认策略)
  2. 选择“Accept”(接受)作为“Default Traffic Policy”(默认流量策略)。
  3. 单击“Next”(下一步)

 

 

检查整体配置并完成

 

  1. 单击“Finish”(完成)。这样将会开始部署。

 

 

监控部署情况

 

部署 NSX Edge 需要几分钟时间。

  1. 部署 OneArm-LoadBalancer 时,“NSX Edges”部分将显示“1 Installing”(正在安装一个)
  2. OneArm-LoadBalancer 的状态将显示为“Busy”(忙碌)。这表示部署正在进行。
  3. 单击 vSphere Web Client 上的“Refresh”(刷新)图标以查看 OneArm-LoadBalancer 的部署状态。

在 OneArm-LoadBalancer 的状态显示为“Deployed”(已部署)后,可以转到下一步骤。

 

为负载均衡器配置 Edge 服务网关


现在我们已经部署了 Edge 服务网关,接下来将配置负载均衡服务。


 

配置负载均衡器服务

 

以上内容介绍了我们将为刚部署的 NSX Edge 服务网关所提供的负载均衡器服务使用的最终拓扑。要开始操作,请从 vSphere Web Client 的“Networking & Security”(网络连接和安全性)插件的“NSX Edges”区域内,双击我们刚创建的 Edge 以进入其管理页面。

 

 

在单路并联式负载均衡器上配置负载均衡器功能

 

  1. 双击“OneArm-LoadBalancer”

 

 

导航到新 NSX Edge

 

  1. 单击“Manage”(管理)
  2. 单击“Load Balancer”(负载均衡器)
  3. 单击“Global Configuration”(全局配置)
  4. 单击“Edit”(编辑)以更改负载均衡器全局配置。

 

 

编辑负载均衡器全局配置

 

要启用负载均衡器服务,请执行以下操作:

  1. 选中“Enable Load Balancer”(启用负载均衡器)
  2. 单击“OK”(确定)

 

 

创建新的应用程序配置文件

 

应用程序配置文件用于定义典型类型的网络流量的行为。这些配置文件会应用至虚拟服务器 (VIP),该虚拟服务器根据应用程序配置文件中指定的值来处理流量。 

利用配置文件可使流量管理任务不易出错,并且更加高效。 

  1. 单击“Application Profiles”(应用程序配置文件)
  2. 单击绿色加号图标。此时将打开“New Profile”(新建配置文件)弹出窗口。

 

 

配置新的应用程序配置文件 HTTPS

 

为新的应用程序配置文件配置以下选项:

  1. 输入 OneArmWeb-01 作为“Name”(名称)。
  2. 选择“HTTPS”作为“Type”(类型)。
  3. 选中“Enable SSL Passthrough”(启用 SSL 直通)。这会允许 HTTPS 在池服务器上终止。
  4. 单击“OK”(确定)

 

 

修改默认 HTTPS 监控功能

 

监控功能可确保服务于虚拟服务器的池成员已启动并运行。默认 HTTPS 监控功能在“/”处直接执行“GET”。我们将修改默认监控功能以在特定于应用的 URL 处执行运行状况检查。这将帮助确定池成员服务器和该应用均已启动并运行。

  1. 单击“Service Monitoring”(服务监控)
  2. 单击“monitor-3 (default_https_monitor)”
  3. 单击铅笔图标。
  4. 对于 URL,键入“/cgi-bin/app.py”
  5. 单击“OK”(确定)

 

 

新建池

 

池的服务器组是代表流量要经过负载均衡以到达的节点的实体。我们将向一个新池中添加两个 Web 服务器,即 web-01a 和 web-02a。要创建一个新池,请执行以下操作:

  1. 单击“Pools”(池)
  2. 单击绿色加号图标。此时将打开“New Pool”(新建池)弹出窗口。

 

 

配置新池

 

为此新池配置以下设置:

  1. 输入 Web-Tier-Pool-01 作为“Name”(名称)。
  2. 选择“default_https_monitor”作为“Monitors”(监控器)。
  3. 单击绿色加号图标。

 

 

向池中添加成员

 

  1. 输入 web-01a 作为“Name”(名称)。
  2. 输入 172.16.10.11 作为“IP Address / VC Container”(IP 地址 / VC 容器)。
  3. 在“Port”(端口)中输入 443
  4. 在“Monitor Port”(监控端口)中输入 443
  5. 单击“OK”(确定)

使用以下信息重复上述流程,再增加一个池成员:

 

 

保存池设置

 

  1. 单击“OK”(确定)

 

 

创建新的虚拟服务器

 

虚拟服务器是接受来自负载均衡服务配置“前端”的流量的实体。用户流量会定向至虚拟服务器所表示的 IP 地址,然后重新分发至负载均衡器“后端”上的节点。要在 Edge 服务网关上配置一个新虚拟服务器,请先执行以下操作

  1. 单击“Virtual Servers”(虚拟服务器)
  2. 单击绿色加号图标。此时将打开“New Virtual Server”(新建虚拟服务器)弹出窗口。

 

 

配置新的虚拟服务器

 

请为此新的虚拟服务器配置以下选项:

  1. 输入 Web-Tier-VIP-01 作为“Name”(名称)。
  2. 输入 172.16.10.10 作为“IP Address”(IP 地址)。
  3. 选择“HTTPS”作为“Protocol”(协议)。
  4. 选择“Web-Tier-Pool-01”
  5. 单击“OK”(确定)

 

Edge 服务网关负载均衡器 - 验证配置


现在我们已经配置了负载均衡服务,接下来我们将验证该配置。


 

测试对虚拟服务器的访问

 

  1. 打开新的浏览器选项卡。
  2. 单击“1-Arm LB Customer DB”书签。
  3. 单击“Advanced”(高级)

 

 

忽略 SSL 错误

 

  1. 单击“Proceed to 172.16.10.10 (unsafe)”(前进到 172.16.10.10 [不安全])

 

 

测试对虚拟服务器的访问

 

如果单路并联式负载均衡器配置正确,我们应当能够成功访问。

  1. 单击“Refresh”(刷新)图标。您将能够看到两个池成员的循环。

注意:浏览器缓存超出时,您可能需要单击几次来刷新浏览器。 

 

 

显示池统计信息

 

返回至“vSphere Web Client”浏览器选项卡。

要查看单个池成员的状态,请执行以下操作:

  1. 单击“Pools”(池)
  2. 单击“Show Pool Statistics”(显示池统计信息)
  3. 单击“pool-1”。我们将看到每个成员的当前状态。
  4. 单击 X 关闭窗口。

 

 

监控(运行状况检查)响应增强功能

 

为了帮助进行故障排除,NSX 负载均衡器的“show ...pool”命令将生成池成员故障的信息描述。我们将在负载均衡器 Edge Gateway 上使用显示命令来创建两个不同的故障并检查响应。

  1. 在搜索框中输入 LoadBalancer。搜索框位于 vSphere Web Client 的右上角。
  2. 单击“OneArm-LoadBalancer-0”

 

 

打开 Console Load Balancer 控制台

 

  1. 单击“Summary”(摘要)
  2. 单击“VM console”(虚拟机控制台)

 

 

登录到 OneArm-LoadBalancer-0

 

  1. admin 身份登录。
  2. 输入 VMware1!VMware1! 作为“Password”(密码)。

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求我们输入命令行界面 (CLI) 命令。向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示手册中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)
  3. Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),为您提供该环境的所有用户帐户和密码。

 

 

在出现故障之前检查池的状态

 

  1. 输入 show service loadbalancer pool
show service loadbalancer pool

注意:池成员 web-01a 和 web-02a 的状态显示为“UP”。

 

 

启动 PuTTY

 

  1. 单击任务栏上的 PuTTY

 

 

通过 SSH 连接到 web-01a.corp.local

 

  1. 向下滚动以找到“web-01a.corp.local”
  2. 选择“web-01a.corp.local”
  3. 单击“Load”(加载)
  4. 单击“Open”(打开)

 

 

停止 Nginx 服务

 

我们将关闭 HTTPS 以模拟首次故障情况

  1. 输入 systemctl stop nginx
systemctl stop nginx

 

 

Loadbalancer 控制台

 

  1. 输入 show service loadbalancer pool
show service loadbalancer pool

由于该服务已关闭,因此故障详细信息会显示客户端无法建立 SSL 会话。

 

 

启动 Nginx 服务

 

切换回 web-01a 的 Putty SSH 会话。

1. 输入 systemctl start nginx

systemctl start nginx

 

 

关闭 web-01a

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 在搜索框中输入 web-01a。搜索框位于 vSphere Web Client 的右上角。
  2. 单击“web-01a”

 

 

关闭 web-01a

 

  1. 单击“Actions”(操作)
  2. 单击“Power”(电源)
  3. 单击“Power Off”(关闭)
  4. 单击“Yes”(是)

 

 

检查池状态

 

  1. 输入 show service loadbalancer pool
show service loadbalancer pool

由于该虚拟机当前已关闭,因此故障详细信息会显示客户端无法建立 L4 连接,这与前一步骤中的 L7 (SSL) 连接相反。

 

 

启动 web-01a

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 单击“Actions”(操作)
  2. 单击“Power”(电源)
  3. 单击“Power On”(启动)

 

 

总结

在本练习中,我们部署并配置了新的 Edge 服务网关,并针对 1-Arm LB Customer DB 应用启用了负载均衡服务。

“Edge 服务网关负载均衡器”课程到此结束。接下来,我们将学习有关 Edge 服务网关防火墙的更多信息。

 

Edge 服务网关防火墙


NSX Edge 防火墙负责监控南北向流量,以提供边界安全功能,包括防火墙、网络地址转换 (NAT) 以及站点间 IPSec 和 SSL VPN 功能。防火墙设置适用于不与任何用户定义的防火墙规则相匹配的流量。默认的 Edge 防火墙策略会阻止所有传入流量。


 

使用 NSX Edge 防火墙规则

我们可以导航到 NSX Edge 以查看对其应用的防火墙规则。应用于逻辑路由器的防火墙规则仅保护进出逻辑路由器控制虚拟机的控制平面流量。它们不会强制实施任何数据平面保护。要保护数据平面流量,需创建提供东西向保护的逻辑防火墙规则,或者在 NSX Edge 服务网关级别创建提供南北向保护的规则。

在防火墙用户界面上创建的适用于此 NSX Edge 的规则以只读模式显示。规则按以下顺序显示并强制实施:

  1. 防火墙用户界面上用户定义的规则(只读)。
  2. 自动查明的规则(支持控制流量流向 Edge 服务的规则)。
  3. NSX Edge 防火墙用户界面上用户定义的规则。
  4. 默认规则。

 

 

打开“Network & Security”(网络与安全性)

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

打开一个 NSX Edge

 

  1. 单击“NSX Edges”
  2. 双击“Perimeter Gateway-01”

 

 

打开“Manage”(管理)选项卡

 

  1. 单击“Manage”(管理)
  2. 单击“Firewall”(防火墙)
  3. 单击“Default Rule”(默认规则)
  4. 单击“Action”(操作)列下方的加号图标。
  5. 在“Action”(操作)中单击“Deny”(拒绝)

 

 

发布变更

 

我们将不会对 Edge 服务网关防火墙设置进行永久性更改。

  1. 单击“Revert”(恢复)可回滚更改。

 

 

添加 Edge 服务网关防火墙规则

 

现在我们已经熟悉了如何编辑现有 Edge 服务网关防火墙规则,接下来将添加一个新的 Edge 防火墙规则,用来阻止控制中心对客户数据库应用的访问。

  1. 单击绿色加号图标以添加一个新的防火墙规则。
  2. 将鼠标悬停在“Name”(名称)列的右上角,然后单击加号图标。
  3. 输入 Main Console FW Rule 作为“Rule Name”(规则名称)。
  4. 单击“OK”(确定)

 

 

指定源

 

将鼠标悬停在“Source”(源)列的右上角,然后单击铅笔图标。

  1. 单击“Object Type”(对象类型)下拉菜单,然后选择“IP Sets”(IP 组)
  2. 单击“New IP Set...”(新建 IP 组...)超链接。
  3. 输入 Main Console 作为“Name”(名称)。
  4. 输入 192.168.110.10 作为“IP Address”(IP 地址)。
  5. 单击“OK”(确定)

 

 

确认源

 

  1. 确认“Main Console”(主控制台)位于“Selected Objects”(所选对象)中。
  2. 单击“OK”(确定)

 

 

指定目标

 

将鼠标悬停在“Destination”(目标)列的右上角,然后单击铅笔图标。

  1. 单击“Object Type”(对象类型)下拉菜单,然后选择“Logical Switch”(逻辑交换机)
  2. 单击“Web_Tier_Logical_Switch”
  3. 单击向右箭头。系统会将 Web_Tier_Logical_Switch 移到“Selected Objects”(所选对象)中
  4. 单击“OK”(确定)

 

 

配置操作

 

  1. 单击“Action”(操作)列下方的加号图标。
  2. 在“Action”(操作)中单击“Deny”(拒绝)
  3. 单击“OK”(确定)

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)以更新 Perimeter-Gateway-01 (NSX Edge) 上的配置。

 

 

测试新防火墙规则

 

现在我们已经配置了可阻止控制中心访问 Web 层逻辑交换机的新防火墙规则,接下来我们进行一个快速测试:

  1. 打开一个新的浏览器选项卡。
  2. 单击“Customer DB App”(客户数据库应用)书签。

验证主控制台是否无法访问客户数据库应用。我们应该会看到浏览器页面显示无法访问该网站。现在,我们来修改一下防火墙规则以允许主控制台访问客户数据库应用。

 

 

将主控制台防火墙规则更改为“Accept”(接受)

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 在主控制台防火墙规则的“Action”(操作)列的右上角,单击加号图标。
  2. 单击“Action”(操作)下方的“Accept”(接受)
  3. 单击“OK”(确定)

 

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)以更新 Perimeter-Gateway-01 (NSX Edge) 上的配置。

 

 

确认可以访问客户数据库应用

 

返回至“Customer DB App”(客户数据库应用)浏览器选项卡。

  1. 单击“Refresh”(刷新)图标。

我们已将主控制台防火墙规则更改为“Accept”(接受),现在主控制台可以访问客户数据库应用

 

 

删除主控制台防火墙规则

 

  1. 单击“Main Console FW Rule”(主控制台防火墙规则)
  2. 单击红色的 X 以删除该防火墙规则。
  3. 单击“OK”(确定)

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)以更新 Perimeter-Gateway-01 (NSX Edge) 上的配置。

 

 

总结

在本练习中,我们学习了如何修改现有 Edge 服务网关防火墙规则,以及如何配置可阻止从外部访问客户数据库应用的新 Edge 服务网关防火墙规则。

“Edge 服务网关防火墙”课程到此结束。接下来,我们将学习有关 Edge 服务网关管理 DHCP 服务的更多信息。

 

DHCP 中继


在仅有一个网段的网络中,DHCP 客户端可与其 DHCP 服务器直接通信。DHCP 服务器还可为多个网络提供 IP 地址,即使某些网络与这些服务器本身不在同一网段也是如此。但在为服务器本身以外的 IP 范围提供 IP 地址时,它将无法与这些客户端直接通信。这是因为这些客户端没有可路由的 IP 地址或可以识别的网关。

在这些情况下,为了中继从 DHCP 客户端收到的广播(通过在单播模式下将其发送到 DHCP 服务器),需要 DHCP 中继代理。DHCP 服务器将基于单播源自的范围来选择 DHCP 范围,将它返回给代理地址,随后将该代理地址广播回原有网络,再到客户端。

本练习中将要介绍的领域:

在本练习中,已经预先设置了以下项目


 

练习拓扑

 

此图展示了将在本练习单元中创建和使用的最终拓扑。

 

 

通过 vSphere Web Client 访问 NSX

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

创建新的逻辑交换机

 

首先,我们必须创建一个新的逻辑交换机,它将运行我们新的 172.16.50.0/24 网络。

  1. 单击“Logical Switches”(逻辑交换机)
  2. 单击绿色加号图标以创建新的逻辑交换机。

 

 

将逻辑交换机连接到外围网关

 

现在,我们要将逻辑交换机连接到外围网关上的某个接口。此接口将是 172.16.50.0/24 网络的默认网关,地址为 172.16.50.1。

  1. 单击“NSX Edges”
  2. 双击“Perimeter-Gateway-01”

 

 

配置 DHCP 中继

 

在“Perimeter Gateway”(外围网关)内部,我们必须为 DHCP 中继进行全局配置。

  1. 单击“Manage”(管理)
  2. 单击“DHCP”
  3. 单击“Relay”(中继)
  4. 单击“Edit”(编辑)

 

 

为 PXE 引导创建空白虚拟机

 

现在,我们将创建一个空白虚拟机,它将从我们作为中继目标的 DHCP 服务器进行 PXE 引导。

  1. 单击“Home”(主页)图标。
  2. 单击“Hosts and Clusters”(主机和集群)

 

 

访问新创建的虚拟机

 

接下来,我们将打开此虚拟机的控制台,并观察它从 PXE 映像引导。它将通过我们先前配置的远程 DHCP 服务器接收此信息。

  1. 单击“PXE VM”(PXE 虚拟机)
  2. 单击“Summary”(摘要)
  3. 单击虚拟机控制台

 

 

验证 DHCP 租约

 

在等待虚拟机引导时,我们可以验证 DHCP 租约中使用的地址。

  1. 转到主控制台的桌面,然后双击“DHCP”图标。

 

 

访问已引导的虚拟机

 

  1. 单击“PXE VM”(PXE 虚拟机)浏览器选项卡。

 

 

验证地址和连接性

 

位于虚拟机右上角的小工具将显示该虚拟机的统计数据和 IP。此 IP 应与先前的 DHCP 中显示的 IP 相匹配。

 

 

总结

在这一部分,我们完成了新网段的创建,然后将来自该网络的 DHCP 请求中继到外部 DHCP 服务器。在进行这些操作时,我们可以访问此外部 DHCP 服务器的其他引导选项,以及 Linux 操作系统内部的 PXE。

接下来,我们将探讨 Edge 服务网关 L2VPN 服务。

 

配置 L2VPN


在这一部分,我们将利用 NSX Edge Gateway 的 L2VPN 功能,在两个独立的 vSphere 集群之间延展 L2 边界。为演示此功能,我们将分别在 RegionA01-MGMT01 集群和 RegionA01-COMP01 集群上部署 NSX Edge L2VPN 服务器和 NSX Edge L2VPN 客户端,最后测试安全加密链路状态以验证是否配置成功。


 

打开 Google Chrome 并导航到 vSphere Web Client

 

  1. 从桌面上打开 Google Chrome Web 浏览器(如果尚未打开)。

 

 

导航到 vSphere Web Client 的“Networking & Security”(网络连接和安全性)部分

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

为 L2VPN 服务器创建 NSX Edge Gateway

 

要创建 L2VPN 服务器服务,我们必须首先部署 NSX Edge Gateway,以便该服务在其中运行。 

  1. 单击“NSX Edges”
  2. 单击绿色加号图标。

 

 

配置新的 NSX Edge Gateway:L2VPN-Server

 

此时将出现“New NSX Edge”(新建 NSX Edge)向导,并显示第一部分“Name and Description”(名称和描述)。输入与下列数字对应的以下值。将其他字段留空或保留其默认值。

  1. 对于“Name”(名称),输入 L2VPN-Server
  2. 单击“Next”(下一步)。

 

 

为新的 NSX Edge Gateway 配置设置:L2VPN-Server

 

  1. 输入 VMware1!VMware1! 作为“Password”(密码)。
  2. 对于“Confirm password”(确认密码),请输入 VMware1!VMware1!
  3. 选中“Enable SSH access”(启用 SSH 访问)
  4. 单击“Next”(下一步)

 

 

准备 L2VPN-Server NSX Edge 以建立 L2VPN 连接

在配置新部署的 NSX Edge 以建立 L2VPN 连接之前,我们需要完成以下准备步骤:

  1. 将中继接口添加到 L2VPN-Server Edge Gateway。
  2. 将子接口添加到 L2VPN-Server Edge Gateway。
  3. 在 L2VPN-Server Edge Gateway 上配置动态路由 (OSPF)。

 

 

为此 NSX Edge 设置路由器 ID

 

接下来,我们将在此 Edge Gateway 上配置动态路由。

  1. 单击“Routing”(路由)
  2. 单击“Global Configuration”(全局配置)
  3. 单击“Edit”(编辑)以更改“Dynamic Routing Configuration”(动态路由配置)。

 

 

在 L2VPN-Server NSX Edge 上配置 OSPF

 

  1. 单击“OSPF”
  2. 单击“Area to Interface Mapping”(区域到接口的映射)下的绿色加号图标。

 

 

启用 OSPF 路由重新分发

 

  1. 单击“Route Redistribution”(路由重新分发)
  2. 单击“Edit”(编辑)以更改“Route Redistribution Status”(路由重新分发状态)。
  3. 选中“OSPF”
  4. 单击“OK”(确定)

 

 

在 L2VPN-Server NSX Edge 上配置 L2VPN 服务

172.16.10.1 地址属于 L2VPN-Server Edge Gateway,并且通过 OSPF 动态分发路由。接下来,我们将在此 Edge Gateway 上配置 L2VPN 服务,以使 Edge 在 L2VPN 中充当“服务器”。

 

 

部署 L2VPN-Client NSX Edge Gateway

现在我们已配置了 L2VPN 的服务器端,接下来将继续部署一个 NSX Edge Gateway 以充当 L2 VPN 客户端。在部署 NSX Edge Gateway L2VPN 客户端之前,我们需要在分布式虚拟交换机上配置上行链路和中继分布式端口组。

 

 

配置 L2VPN-Client NSX Edge Gateway

 

  1. 双击“L2VPN-Client”

 

本机桥接


NSX 提供各种内核中软件 L2 桥接功能,这使各组织可以使用 VXLAN 将传统工作负载和旧式 VLAN 无缝连接到虚拟化网络。L2 桥接广泛用于升级或扩容环境中,可简化逻辑网络的引入以及涉及物理系统(需要与虚拟机建立 L2 连接)的其他场景。

逻辑路由器可以提供从 NSX 内逻辑网络连接空间到支持 VLAN 的物理网络之间的 L2 桥接。这使您可以在逻辑交换机和 VLAN 之间创建 L2 桥接,使用该桥接,可以将虚拟工作负载迁移至物理设备,且不会对 IP 地址产生任何影响。通过将逻辑交换机的广播域桥接到 VLAN 广播域,逻辑网络能够利用物理 L3 网关,并访问现有物理网络和安全资源。在 NSX 6.2 及更高版本中,由于桥接逻辑交换机可连接至分布式逻辑路由器,这一功能得到了增强。在之前的 NSX 版本中,禁止执行上述操作。

本单元将引导我们配置传统 VLAN 和访问 NSX 逻辑交换机之间的 L2 桥接实例。


 

简介

 

上图显示了 NSX 6.2 及更高版本中提供的 L2 桥接增强功能:

我们将配置新支持的 NSX L2 桥接。

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示手册中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、PuTTY、控制台等)中。某些特定字符通常并不存在于世界各地使用的所有键盘上。如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

 

访问 vSphere Web Client

 

 

 

验证初始配置

 

我们将验证初始配置是否如上图所示。环境的管理和边缘集群上有一个端口组,名为“Bridged-Net-RegionA0-vDS-MGMT”。此时,名为“web-01a”和“web-02a”的 Web 服务器虚拟机已挂接到 Web-Tier-01 逻辑交换机。Web-Tier-01 逻辑交换机与桥接网络相互隔离。

 

 

将 Web-01a 迁移到 RegionA01-MGMT01 集群

 

  1. 单击“Home”(主页)图标。
  2. 单击“VMs and Templates”(虚拟机和模板)

 

 

查看已连接的虚拟机

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking”(网络连接)

 

 

将 Web_Tier_Logical_Switch 迁移到分布式逻辑路由器

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

配置 NSX L2 桥接

 

我们将在 VLAN 101 和 Web-Tier-01 逻辑交换机之间实现 NSX L2 桥接,以便 web-01a.corp.local 能够与网络中的其他区域进行通信。在 NSX-V 6.2 及更高版本中,可以将 L2 桥接和分布式逻辑路由器连接至同一逻辑交换机。这是一项重要的增强功能,因为它简化了升级或扩容环境中的 NSX 集成,以及从旧版迁移到虚拟网络连接的流程。

 

 

验证 L2 桥接

NSX L2 桥接已配置完毕。现在,您将验证 VLAN 101 上挂接的“web-01a”虚拟机与连接虚拟机的“Web-Tier-01”逻辑交换机之间的 L2 连接

 

 

L2 桥接单元清理

如果您想继续学习本动手练习中的其他单元,请确保按照以下步骤禁用 L2 桥接,因为在此特定环境中实现的示例配置可能会与其他场景(比如 L2VPN)冲突。

 

 

将 Web-01a 迁移回 RegionA01-COMP01 集群

 

  1. 单击“Home”(主页)图标。
  2. 单击“VMs and Templates”(虚拟机和模板)

 

第 4 单元总结


在本单元中,我们介绍了 NSX Edge 服务网关的高级功能特性:

  1. 部署了新的 Edge 服务网关 (ESG) 并将其配置为单路并联式负载均衡器。
  2. 基于现有 ESG 修改并创建了防火墙规则。
  3. 通过 ESG 配置了 DHCP 中继。
  4. 通过 ESG 配置了 L2VPN。

 

您已完成第 4 单元的学习

祝贺您!您已经完成了第 4 单元的学习!

如果您希望了解有关 NSX 的更多信息,请通过以下 URL 访问 NSX 6.3 文档中心:

继续学习以下任意单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: hol-1803-01-net

Version: 20171024-132036