VMware Hands-on Labs - HOL-1825-02-NET-LT


练习概述 - HOL-1825-02-NET -“活动-备用”设置中的 VMware NSX 多站点和 Site Recovery Manager

练习简介


出现灾难或意外故障时,IT 组织需要一种方法来将工作负载从主站点复制和恢复到恢复站点。为促进实施工作负载恢复流程并使其实现自动化,VMware 推出 Site Recovery Manager (SRM) 和 vSphere Replication 等产品,可在故障期间自动执行和编排从主站点到恢复站点的恢复流程。现今,Site Recovery Manager 可将复制的虚拟机从主数据中心恢复到辅助数据中心。Site Recovery Manager 可以在主位置和辅助位置之间执行网络映射(和重新映射),这样,恢复的虚拟机就可以重新连接到相应的网络。这些网络可以是基于 VLAN 的分布式虚拟端口组 (dvPG),也可以是 NSX 逻辑交换机。

通过保留 L2 以及在恢复站点上恢复整个逻辑网络拓扑,NSX 和网络虚拟化可强化灾难恢复解决方案。NSX 还在网络连接层添加了基于 API 的自动化功能,以进一步改善恢复点目标 (RPO) 和恢复时间目标 (RTO)。通过将 NSX 与基于 Site Recovery Manager 的灾难恢复设计相结合,极大地简化了在辅助位置恢复重要网络连接服务的流程,包括逻辑交换机、分布式逻辑路由器和分布式防火墙 (DFW) 规则。本练习将介绍由 NSX 虚拟网络提供支持的工作负载恢复流程。

通过使用 NSX 6.2 中推出的跨 VC NSX 功能,NSX 支持网络和安全性策略无缝跨越多个站点。在不利用跨 VC NSX 的情况下,还可以使用外部复制/同步机制(如 vRO)来构建灾难恢复解决方案,从而跨两个站点重新创建单独 NSX 实例间的逻辑网络和安全性。

但是,跨 vCenter NSX 极大地简化了这一流程。部署要素包括通用逻辑交换机、通用分布式逻辑路由器和通用分布式防火墙。这些通用对象可促进跨受保护的站点和恢复站点创建单个统一的逻辑网络 (L2、L3、DFW)。应用可以无缝进行故障转移和恢复,而无需在恢复站点上手动重新创建网络或手动映射/重新映射 IP 地址。

在本练习中,我们将介绍一种最常见的场景,即在持续停机或灾难性故障情况下,对 3 层应用进行完全故障转移。


练习指导


注意:完成本练习需要 90 多分钟。如果您已完成 HOL-1825-01-NET,则可以跳过本练习的以下部分以节省时间,但是我们仍建议您检查处于运行状态的各个 NSX 组件。

目录可以从练习手册的右上角访问。

本练习假定学员了解 NSX 的基础知识,并且具备有关多站点场景中 Site Recovery Manager 的基础知识。本练习并非旨在帮助学员掌握有关 Site Recovery Manager 的基础知识。如果这是您首次参与 NSX 练习,我们建议您在尝试进行本练习之前完成以下练习,以便掌握有关 NSX 的基础知识:

  1. HOL-1803-01-NET NSX 功能特性导览
  2. HOL-1825-01-NET NSX 高级使用

在本练习中,学员将针对多个站点查看和配置 NSX。在本例中,我们将各个站点称为“受保护的站点”和“恢复站点”。学员将配置 Site Recovery Manager 组件,包括针对基于 Web 的 3 层应用的保护计划和恢复计划。然后,这些组件将促进 3 层应用的完全故障转移。为节省时间,我们已配置 NSX 和 Site Recovery Manager 的构造块。本练习的两个单元彼此独立。如果您将完成整个练习,则可以依次学习各个单元。如果您只希望学习 Site Recovery Manager 部分且已熟悉多站点配置下的 NSX,则可以跳过第 1 单元,转至第 2 单元。跳转到第 2 单元之前,请运行 Site Recovery Manager FastFailover.ps1 PowerShell 脚本。以下部分将介绍脚本运行流程:

运行 Site Recovery Manager FastForward 脚本

练习单元列表:

 练习负责人:

本练习手册可以从动手练习文档站点下载,网址为:

http://docs.hol.vmware.com

本练习可能会提供其他语言版本。要设置语言首选项并在练习中部署本地化手册,可以在以下文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红框区域包含主控制台。练习手册位于主控制台右侧的选项卡上。
  2. 个别练习可能会用到其他控制台,分别位于左上角的不同选项卡上。如有需要,系统将引导您打开另一特定控制台。
  3. 练习时间为 90 分钟,由计时器计时。练习结果无法保存。所有工作必须在练习课程中完成。但是您可以单击“EXTEND”(延长)延长时间。在 VMware 活动期间,您可以将练习时间延长两次,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将练习时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘式数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击练习手册内容并拖放到控制台的活动窗口

您也可以单击练习手册中的文本和命令行界面 (CLI) 命令并将其直接拖放到主控制台中的活动窗口。 

 

 

访问在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

将 Chrome 窗口最小化并查看屏幕右下部分

 

在本练习中,Chrome 浏览器将自动启动。请勿关闭此窗口,但是您可以将浏览器窗口最小化到任务栏。

请检查是否完成练习的所有启动例程,以及是否准备好开始练习。如果您看到“Ready”(准备就绪)以外的内容,请等待几分钟。如果 5 分钟后,您的练习仍未变为“Ready”(准备就绪),请寻求帮助。

 

 

激活提示或水印

 

在本练习中,Chrome 浏览器将自动启动。请勿关闭此窗口,但是您可以将浏览器窗口最小化到任务栏。

首次开始练习时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手练习利用了这一优势,我们可以运行多个数据中心内的练习。但是,这些数据中心的处理器可能不同,因此会通过 Internet 触发 Microsoft 激活检查。

请放心,VMware 和这些动手练习完全符合 Microsoft 的许可要求。您使用的练习是一个独立的单元,没有对 Internet 的完全访问权限,而 Windows 需要该权限才能验证激活。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一表面问题不会影响到您的练习。 

 

第 1 单元 - 查看预配置的多站点 NSX 并配置站点本地路由(45 分钟)

单元指导


在本单元中,学员将查看各个组件(如 NSX Manager)的现有多站点配置、vCenter 配置、控制器集群、主机准备、逻辑网络准备,以及两个站点上的 Edge Gateway 配置。学员还将修改站点 RegionB01 的区域设置 ID,以影响所有应用流量的传出流量。我们还将为您讲解示范如何使用 BGP 在两个站点上的通用分布式逻辑路由器和 Edge Gateway 之间配置路由。


拓扑概述


本部分将帮助您熟悉练习的整体设置,其中将介绍具体环境情况,包括预配置的逻辑拓扑,以及完成第 1 单元和第 2 单元后的最终逻辑拓扑。


 

虚拟环境拓扑

 

此图显示了 vSphere 主机,以及如何跨不同集群、分布式虚拟交换机 (DVS) 安置虚拟机。此外还显示了与主机关联的 VTEP IP 地址。

集群 RegionA01-MGMT01 和 RegionA01-COMP01 均由 vCenter Server A (vcsa-01a.corp.local) 进行管理。

RegionB01-COMP01 由 vCenter Server B (vcsa-01b.corp.local) 进行管理。

两个 vCenter 都连接到驻留在区域 A01 的管理网络上的通用 Platform Services Controller (psc-01a.corp.local)。

本练习中的 NSX 传输域 (TZ) 配置包括以下部分:

 

 

预配置的逻辑网络拓扑

 

首次访问本练习时,已实施图片所示的拓扑。已配置五个 NSX 通用逻辑交换机:

已配置简单的 3 层应用,且 Web 服务器已通过连接到 Web_Tier_ULS 的单路负载均衡器实现负载均衡。RegionA0 和 RegionB0 上的单路负载均衡器的配置完全相同,区别在于 RegionB0 上的单路负载均衡器的 LIF 处于分离状态。逻辑交换机连接到通用分布式逻辑路由器 (UDLR),后者又连接到每个区域中的 NSX Edge 服务网关 (ESG)。BGP 路由可确保 ESG 与外部路由器之间的路线交换。此外,还配置了 vSphere Replication,用以复制 3 层应用虚拟机。Site Recovery Manager 也已预先安装,并配置了初始配对。

所有这些配置均已提前完成,以便集中精力讲解我们要强调的实际使用情形。在练习过程中,您将配置上方红框内显示的要素,包括在恢复站点上配置区域设置 ID、在两个站点上的 UDLR 和 ESG 之间配置 iBGP。学员还将配置一个 BGP 前缀列表,用于筛选路线。

 

 

执行完全应用故障转移之后的逻辑拓扑

 

上面显示的拓扑代表执行完全应用故障转移后的环境。南北向和东西向流量(包括负载均衡器)将仅存在于恢复站点中。

 

查看 vCenter 配置


在本练习中,已在增强型链接模式下配置两个 vCenter Server。这使得两个 vCenter Server 可通过同一 vSphere Web Client 会话进行管理。在增强型链接模式下,两个 NSX 环境也可以在同一 vSphere Web Client 会话中进行配置。 


 

登录 vSphere Web Client 并选择“Hosts and Clusters”(主机和集群)

 

您应该已经使用适当的凭证登录 Chrome 浏览器。确认您可以看到两个 vCenter 清单。

  1. 单击“Home”(主页)按钮
  2. 单击“Hosts and Clusters”(主机和集群)

 

查看 NSX Manager 配置


您将查看分配到 NSX Manager 的角色。在区域 A0 中注册的 NSX Manager 将担任主要角色。在区域 B0 中注册的 NSX Manager 将担任辅助角色。


 

导航到“Networking & Security”(网络连接和安全性)选项卡

 

  1. 单击“Home”(主页)按钮
  2. 选择“Networking & Security”(网络连接和安全性)

 

 

导航到“Installation”(安装)选项卡

 

  1. 单击“Installation”(安装)

 

 

验证 NSX Manager 角色

 

  1. 单击“Management”(管理)选项卡

现在,您将进入 NSX Manager 的“Installation”(安装)页面。在本练习中,两个 NSX Manager 已配置主要和辅助角色。验证两个 NSX Manager 是否都分配了角色。

 

查看通用控制器集群


现在,您将查看 NSX 通用控制器集群。NSX 通用控制器集群跨两个 vCenter Server 及其各自的 NSX Manager 执行所需的控制平面功能。这样一来,便能够配置通用逻辑交换机、通用逻辑路由器和通用分布式防火墙规则。


 

验证主要 NSX Manager 上的控制器

 

在“NSX Controller nodes”(NSX Controller 节点)窗口中的“NSX Manager”下,验证 controller-1、controller-2 和 controller-3 是否已连接到主要 NSX Manager,且“Peers”(对等体)显示为绿色

 

 

验证辅助 NSX Manager 上的控制器

 

如果您继续向下滚动 NSX Controller 窗口,则可以验证 controller-1、controller-2 和 controller-3 是否也已连接到辅助 NSX Manager。

 

查看通用逻辑网络准备


现在,您将在“Logical Network Preparation”(逻辑网络准备)选项卡中查看预配置的要素。


 

查看主要 NSX Manager 上的通用网段 ID 池

 

在配置通用逻辑交换机之前,必须创建通用网段 ID 池。通用网段 ID 池必须是一个独特的范围,不同于在跨 vCenter 环境中配置的两个 NSX Manager 上使用的所有其他网段 ID 池。

  1. 选择“Logical Network Preparation”(逻辑网络准备)
  2. 选择主要 NSX Manager
  3. 选择“Segment ID”(网段 ID)
  4. 验证“Segment ID pool”(网段 ID 池)
  5. 注意针对“Universal Segment ID pool”(通用网段 ID 池)使用的不同范围

 

 

切换到辅助 NSX Manager

 

要将视图切换到辅助 NSX Manager,请执行以下操作:

  1. 单击“NSX Manager”下拉菜单
  2. 选择“192.168.210.42(Role:Secondary)”(192.168.210.42 [角色:辅助])

 

 

查看辅助 NSX Manager 上的通用网段 ID 池

 

辅助 NSX Manager 也必须配置有网段 ID 池。所有 NSX Manager 上配置的网段 ID 池不能重叠。通用网段 ID 池从主要 NSX Manager 进行同步。

  1. 验证辅助 NSX Manager 上的网段 ID 池未与主要 NSX Manager 上的网段 ID 池重叠。
  2. 验证通用网段 ID 池已同步

 

 

查看通用传输域

 

传输域可定义哪些集群能够参与特定逻辑网络。全局传输域局限于单个 vCenter Server。通用传输域可跨多个 vCenter Server。验证集群是否连接到通用传输域。

  1. 选择“Transport Zones”(传输域)
  2. 选择“Universal_TZ”
  3. 单击“Connect Clusters”(连接集群)图标
  4. 验证集群“RegionB01-COMP01”是否已连接且处于“Normal”(正常)状态

通过更改上一步中的下拉菜单选择切换到主要 NSX Manager,并查看 Universal_TZ 的配置。使用与上述相同的视图和步骤。验证集群“RegionA01-COMP01”和“RegionA01-MGMT01”是否已连接且处于“Normal”(正常)状态。

 

 

查看环境中的逻辑交换机


接下来,您将查看预配置的通用逻辑交换机,并创建一个新的 ULS。


 

查看主要 NSX Manager 上的通用逻辑交换机

 

通用逻辑交换机在与全局逻辑交换机相同的选项卡中进行配置。验证存在 5 个预配置的通用逻辑交换机。

  1. 在左侧菜单上,选择“Logical Switches”(逻辑交换机)选项卡
  2. 选择“192.168.110.42(Role:Primary)”(192.168.110.42 [角色:主要])
  3. 验证已在通用传输域中配置并定义 5 个逻辑交换机。

您可以看到每个通用逻辑交换机的网段 ID 都在通用网段 ID 池的范围内。

 

 

验证辅助 NSX Manager 上的通用逻辑交换机

 

配置的通用逻辑交换机同步到所有辅助 NSX Manager 后,验证所有交换机在辅助 NSX Manager 上是否也可用,且其网段 ID 是否与在上一步中看到的 ID 相匹配。

  1. 从下拉菜单中选择“192.168.210.42(Role:Secondary)”(192.168.210.42 [角色:辅助])
  2. 验证通用逻辑交换机是否与主要 NSX Manager 上的配置相匹配

逻辑交换机、传输域和网段 ID 在此环境中的所有 NSX Manager 上保持同步。

 

查看 NSX Edge 配置


在本练习中,NSX Edge 设备针对南北向通信和东西向通信提供了连接。有两个针对南北向通信预配置的 NSX Edge 设备。这些边界网关配置了利用 BGP 的动态路由。边界网关使用等价多路径 (ECMP) 以支持流量传入和传出两个站点。第三个 NSX Edge 已预配置为通用分布式逻辑路由器 (UDLR),用于提供应用逻辑交换机间的东西向路由,并建立与每个站点中传输 ULS 的连接以实现与边界网关 ESG 的南北向通信。此 UDLR 已针对 ECMP 和本地传出进行配置。在 RegionA0 和 RegionB0 上还有一个配置相同的 NSX Edge,它作为单路负载均衡器实施以用于 Web 服务器负载均衡。


 

本地传出

 

本地传出实现了按站点传出优化。流量在其起源站点上通过 ESG 进行路由。东西向流量利用 UDLR 实现虚拟机间的优化。该配置要求在物理网络和 ESG 间以及 ESG 和 UDLR 间建立动态路由。UDLR 将已配置的网络公布给两个 ESG。ESG 将 UDLR 网络公布给两个站点的物理网络。该配置允许物理网络将流量传输到两个站点上的相同网络,或从中接收流量。

  1. 源自 RegionA0 虚拟机的流量通过 RegionA0 ESG 传出逻辑网络
  2. 源自 RegionB0 虚拟机的流量通过 RegionB0 ESG 传出逻辑网络
  3. 虚拟机之间的流量利用 UDLR 实现东西向优化

 

 

查看边界网关配置

 

要查看 RegionA0_Perimeter_GW ESG 的配置,请执行以下操作:

  1. 导航到左侧菜单上的“NSX Edges”选项卡
  2. 选择“192.168.110.42(Role:Primary)”(192.168.110.42 [角色:主要])
  3. 双击“RegionA0_Perimeter_GW”ESG

 

 

查看接口配置

 

要查看接口配置,请执行以下操作:

  1. 选择“Manage”(管理)选项卡
  2. 选择“Settings”(设置)选项卡
  3. 选择“Interfaces”(接口)部分

查看配置好的接口

vNIC0 配置了一个 RegionA0 上行链路网络的子网中的地址。该接口连接到基于 VLAN 的端口组 ESXi-RegionA01-vDS-COMP。接口类型为上行链路接口,通常为数据中心的物理路由基础架构提供更新。

vNIC1 配置了一个 RegionA0_Transit 网络的子网中的地址。该接口连接到通用逻辑交换机 RegionA0_Transit。接口类型为内部接口,(在本例中)向下游连接到通过 UDLR 共享的逻辑交换机。

 

 

查看路由配置

 

ECMP 和 BGP 已在每个 ESG 上进行了预先配置。要查看配置,请执行以下操作:

  1. 选择“Routing”(路由)选项卡
  2. 查看全局配置。请注意,ECMP 和 BGP 已启用。
  3. 选择“BGP”部分
  4. 查看配置的邻居。

ESG 的一个邻居配置为 192.168.100.1,这是上游路由器。另外还有一个邻居配置为 192.168.5.3,这是 ULDR。 

 

 

切换到辅助 NSX Manager

 

切换到辅助 NSX Manager,并使用上一页上的操作步骤查看 RegionB0_Perimeter_GW 的配置。

  1. 单击左侧菜单上的后退导航按钮。您将进入“NSX Edges”主菜单
  2. 选择“192.168.210.42(Role:Secondary)”(192.168.210.42 [角色:辅助])

查看完 RegionB0_Perimeter_GW 的配置后,请在左侧主菜单上重复以上步骤以返回“NSX Edges”屏幕,然后切换回主要 NSX Manager。

 

 

查看通用分布式逻辑路由器配置

 

  1. 确保选中“192.168.110.42(Role: Primary)”(192.168.110.42 [角色:主要])
  2. 双击“Universal_DLR_01”

 

 

查看 UDLR 常规配置

 

要查看 UDLR 设置,请执行以下步骤:

  1. 选择“Manage”(管理)选项卡
  2. 单击“Settings”(设置)选项卡
  3. 单击“Configuration”(配置)

请注意,本地传出已启用。这只能在创建 ULDR 期间启用

 

 

查看 UDLR 接口配置

 

  1. 选择“Interfaces”(接口)部分
  2. 查看已配置的虚拟网卡

配置了 2 个上行链路接口。RegionA0_Uplink 接口配置在主要 NSX Manager UDLR 上。RegionB0_Uplink 接口配置在辅助 NSX Manager UDLR 上。内部接口配置在主要 NSX Manager 上。UDLR 的配置与辅助 NSX Manager 同步。要查看辅助 NSX Manager 上的 UDLR 虚拟设备配置,请返回“NSX Edges”视图并切换到辅助 NSX Manager。

 

 

查看单路负载均衡器配置

 

  1. 双击“edge-2”

 

 

导航到“Load Balancer”(负载均衡器)部分

  1. 单击“Load Balancer”(负载均衡器)
  2. 单击“Pools”(池)

 

 

检查池状态

 

  1. 单击“Show Pool Statistics”(显示池统计信息)

确保池状态为“UP”(运行)。

 

在 RegionB0 上设置区域设置 ID


现在,您将把 RegionB0 的区域设置 ID 设置为 RegionA0 的区域设置 ID。在两个站点上设置相同的区域设置 ID 将确保南北向流量始终能进出受保护的站点。


 

预配置的拓扑

 

区域设置 ID 按集群进行配置。区域设置 ID 让 ULDR 能够基于站点制定路由决策。

 

 

导航到“Networking & Security”(网络连接和安全性)选项卡

 

  1. 单击“Home”(主页)按钮
  2. 选择“Networking & Security”(网络连接和安全性)

 

 

导航到“Installation”(安装)选项卡

 

现在,您会看到一个选项列表,其中包括创建逻辑交换机、NSX Edge、防火墙规则等。 

  1. 单击“Installation”(安装)选项卡

 

 

更改 RegionB0 的区域设置 ID

 

  1. 单击“Host Preparation”(主机准备)选项卡(若尚未到达此处)
  2. 单击“NSX Manager”下拉菜单
  3. 选择“192.168.210.42(Role:Secondary)”(192.168.210.42 [角色:辅助])选项

 

 

导航到“Change Locale ID”(更改区域设置 ID)

 

  1. 单击“Installation Status”(安装状态)列中的齿轮图标以展开菜单
  2. 单击“Change Locale ID”(更改区域设置 ID)

然后,将浏览器会话最小化以返回主控制台桌面。

 

 

复制区域设置 ID

 

在主控制台桌面上,有一个名为“HOL-1825-02-NET - VMware NSX Multi-Site and Site Recovery Manager in an Active-Standby Setup - README.txt”的文本文件。由于屏幕分辨率,此文件名可能不会完全显示。

  1. 双击该文件,以用记事本打开。

 

 

找出站点 A 的区域设置 ID

 

  1. 突出显示站点 A 的区域设置 ID

 

 

复制区域设置 ID

 

打开任务栏右下侧的屏幕键盘。

  1. 单击“Ctrl”按钮
  2. 单击“C”,即“Copy”(复制)按钮

 

 

粘贴新的区域设置 ID

 

返回浏览器会话。将光标置于“Locale ID”(区域设置 ID)字段。

使用屏幕键盘,单击“CTRL”和“V”,即“Paste”(粘贴)按钮。验证字段中的区域设置 ID 是否与文本文件中的一致。

  1. 单击“OK”(确定)

在下节课中,我们将在 RegionA0 和 RegionB0 上配置 UDLR 和 Edge Gateway 间的路由

 

在 RegionB0_Perimeter_GW 上配置 BGP 筛选器


在这一部分,您将在恢复站点 (RegionB0) 的边界网关上配置一个 BGP 路线筛选器,以便拒绝为恢复站点 RegionB0 向外进行 Web、应用和 DB 网络的路由通告。


 

导航到“NSX Edges”

 

  1. 单击左侧菜单中的“NSX Edges”

 

 

访问 RegionB0_Perimeter_GW

 

  1. 双击“RegionB0_Perimeter_GW”

 

 

导航到“Routing”(路由)选项

 

  1. 单击“Manage”(管理)
  2. 选择“Routing”(路由)选项卡以进入路由配置

 

 

编辑 BGP 邻居设置

 

  1. 单击“BGP”
  2. 选择邻居“192.168.200.1”
  3. 单击“Edit”(编辑)(铅笔图标)

 

 

为邻居添加 BGP 筛选器

 

  1. 在“BGP Filters”(BGP 筛选器)部分,单击绿色的加号,即“add”(添加)按钮

 

 

创建筛选器

 

  1. 单击“Direction”(方向)并选择“Out”(向外)
  2. 单击“Action”(操作)并选择“Deny”(拒绝)
  3. 单击“Network”(网络)并输入 172.16.10.0/24
  4. 单击“OK”(确定)  

再次单击加号,然后针对 172.16.20.0/24 和 172.16.30.0/24 网络重复步骤 1-4

 

 

允许规则

 

再次单击“+”号,添加另一个筛选器

  1. 单击“Action”(操作)并选择“Permit”(允许)
  2. 单击“Network”(网络)并输入 192.168.200.0/24
  3. 单击“OK”(确定)

 

 

完成筛选器的创建

 

  1. 验证您的筛选器是否符合以上要求
  2. 单击“OK”(确定)以完成筛选器的创建

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)

在 Edge Gateway 上创建的 BGP 筛选器将阻止向外部路由器发布 172.16.10.0/24、172.16.20.0/24 和 172.16.30.0/24 子网的变更。

 

在 RegionA0 的通用逻辑路由器上启用 BGP


现在,您将在通用逻辑分布式路由器上配置 BGP。 


 

导航到“NSX Edges”

 

  1. 单击左侧菜单中的“NSX Edges”

 

 

选择主要 NSX Manager

 

  1. 单击“NSX Manager”下拉菜单
  2. 选择“192.168.110.42(Role:Primary)”(192.168.110.42 [角色:主要])

 

 

导航到 UDLR

 

  1. 双击“Universal_DLR_01”

 

 

编辑 UDLR 的路由配置

 

  1. 单击“Manage”(管理)
  2. 单击“Routing”(路由)

 

 

导航到“Global Configuration”(全局配置)

 

  1. 单击“Global Configuration”(全局配置)

 

 

编辑动态路由配置

 

路由器 ID 是动态路由中必需的设置。路由器 ID 是路由表中可确定路由器的唯一值。这通常是路由器上配置的 IP 地址。

  1. 单击右上角的“Edit”(编辑)按钮
  2. 选择“RegionA0_Uplink”作为路由器 ID
  3. 单击“OK”(确定)

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)

 

 

配置 BGP 的 ULDR

 

  1. 选择“BGP”部分
  2. 在“BGP Configuration”(BGP 配置)下,单击“Edit”(编辑)

 

 

启用 BGP

 

必须启用 BGP,并配置本地自控系统 (AS)。对于 ESG、DLR 和 ULDR,AS 的配置是全局性的。

  1. 选中“Enable BGP”(启用 BGP)复选框
  2. 输入 65001 作为“Local AS”(本地 AS)
  3. 单击“OK”(确定)

 

 

添加一个邻居

 

将 RegionA0_Perimeter_GW 添加为邻居。其 IP 地址是内部接口或 RegionA0_Perimeter_GW 的 IP。转发地址是 Universal_DLR RegionA0 上行链路接口的 IP 地址。协议地址是转发地址所在网络中一个未使用的 IP 地址。RegionA0_Perimeter_GW ESG 配置了该地址作为 BGP 邻居。转发地址被用作数据平面,而协议地址则用于控制平面。

  1. 在“Neighbors”(邻居)部分,单击绿色加号
  2. 在“IP Address”(IP 地址)字段中,输入 192.168.5.1
  3. 在“Forwarding Address”(转发地址)字段中,输入 192.168.5.2
  4. 在“Protocol Address”(协议地址)字段中,输入 192.168.5.3
  5. 在“Remote AS”(远程 AS)字段中,输入 65001

将其他所有字段保留默认值。

  1. 单击“OK”(确定)

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)

 

 

启用路线重新分发

 

必须在 ULDR 上启用路线重新分发,才能通过 BGP 公布已连接的网络。

  1. 选择“Route Redistribution”(路线重新分发)部分
  2. 单击“Edit”(编辑)

 

 

启用 BGP 的路线重新分发

 

  1. 禁用“OSPF”的重新分发
  2. 启用“BGP”的重新分发
  3. 单击“OK”(确定)

本练习不会配置 OSPF,应禁用其重新分发

 

 

配置 BGP 的路线重新分发

 

必须为 BGP 添加新的重新分发标准以学习已连接的接口

  1. 在“Route Redistribution table”(路线重新分发表)下,选择绿色加号,即“Add”(添加)图标
  2. 选择“BGP”作为“Learner Protocol”(学习方协议)
  3. 在“Allow learning from”(允许从以下位置学习)下选择“Connected”(已连接)
  4. 单击“OK”(确定)

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)

在这一部分,我们配置了 RegionA0 中 UDLR 到 RegionA0 中 Edge Gateway 间的 iBGP

 

 

验证 BGP 邻居关系

  1. 单击“PuTTY”
  2. 单击“nsxmgr-01a.corp.local”
  3. 单击“Load”(加载)
  4. 单击“Open”(打开)

使用用户名 admin 和密码 VMware1! 登录

运行命令 show edge all

突出显示 UDLR 边缘(如图所示)

运行命令 show edge edge-9f9881d3-b602-4eaa-a85c-bf45d451d698 ip bgp neighbor

确保 BGP 状态为“Established up”

 

在 RegionB0 的通用逻辑路由器上启用 BGP



 

配置动态路由的 UDLR。

 

如果您还没有位于“NSX Edges”菜单下,请导航回到该菜单。要查看 RegionB0 UDLR 的配置,请执行以下操作:

  1. 导航到“NSX Edges”
  2. 单击“NSX Manager”下拉菜单
  3. 选择“192.168.210.42(Role:Secondary)”(192.168.210.42 [角色:辅助])

 

 

验证 BGP 邻居关系状态

使用用户名 admin 和密码 VMware1! 登录

运行命令 show edge all

突出显示 UDLR 边缘(如图所示)

运行命令 show edge edge-9f9881d3-b602-4eaa-a85c-bf45d451d698 ip bgp neighbor

确保 BGP 状态为“Established up”

 

验证应用连接


现在,您将验证 RegionA0 中的 3 层应用是否在正常运行。


 

打开一个新的标签页

 

  1. 在 Chrome Web 浏览器中打开一个新的标签页,请勿关闭现有标签页

 

 

打开 3 层应用

 

  1. 单击“New Tab”(新建标签页),请勿关闭现有标签页
  2. 单击“webapp.corp.local”

 

 

验证三层应用

 

验证是否已加载“Hands on Labs Multi Tier Application”(动手练习多层应用)页面以及是否已检索数据。 

 

 

对应用虚拟机执行 ping 操作

 

在主控制台上打开命令行窗口

 

 

对每个虚拟机执行 ping 操作

 

对每个虚拟机执行 ping 操作

  1. ping 172.16.10.11
  2. ping 172.16.20.11
  3. ping 172.16.30.11

所有 ping 操作均将成功完成

 

创建通用分布式防火墙规则利用通用安全标记


现在,您将为 Customer_DB_App 应用创建通用分布式防火墙规则。通用分布式防火墙规则现在支持在主动-被动设置中使用动态标准和通用标记。通用分布式防火墙规则可以跨同一数据中心的不同 vCenter,或者跨多个数据中心。在本部分,创建的通用规则要能够跨受保护的站点和恢复站点。我们将使用通用安全标记作为静态成员标准。您也可以使用虚拟机名称作为标准。


 

导航到“vSphere Web Client”

 

如果您尚未进入“vSphere Web Client”,请返回该会话

  1. 单击“vSphere Web Client”部分的选项卡

 

 

导航到“Networking & Security”(网络连接和安全性)选项卡

 

如果您尚未进入“Networking & Security”(网络连接和安全性)部分,请导航回该部分

  1. 单击“Home”(主页)按钮
  2. 选择“Networking & Security”(网络连接和安全性)

 

 

更改 NSX Manager 的唯一选择标准

在 NSX 的先前版本中,安全标记位于 NSX Manager 本地,并使用虚拟机的代管对象 ID 映射到虚拟机。在“活动-备用”环境中,指定虚拟机的代管对象 ID 在活动和备用数据中心可能不同。在 NSX 6.3.x 中,您可以在主要 NSX Manager 上配置唯一 ID 选择标准,以用于在连接到通用安全标记时识别虚拟机。该标准可以是:虚拟机实例 UUID、虚拟机 BIOS UUID、虚拟机名称或这些选项的组合。

 

  1. 单击“Installation”(安装)
  2. 突出显示主要 NSX Manager
  3. 单击“Actions”(操作)
  4. 单击“Unique ID Selection Criteria”(唯一 ID 选择标准)

 

 

选择“Unique ID Selection Criteria”(唯一 ID 选择标准)

 

  1. 选中“Use Virtual Machine Instance UUID”(使用虚拟机实例 UUID)框
  2. 单击“OK”(确定)

 

 

导航到 NSX Managers

 

  1. 单击“NSX Managers”

 

  1. 单击主要 NSX Manager“192.168.110.42”
  2. 单击“Manage”(管理)

 

 

创建通用安全标记

 

  1. 单击“Security Tags”(安全标记)
  2. 单击绿色加号以创建新标记
  3. 创建名为 ST-WEB 的标记
  4. 选中“Mark this object for Universal Synchronization”(标记此对象以进行通用同步)复选框
  5. 单击“OK”(确定)
  6. 重复步骤 3-5 以创建安全标记 ST-APPST-DBST-3-Tier

 

 

验证主要和辅助 NSX Manager 上安全标记的创建

 

  1. 单击辅助 NSX Manager“192.168.210.42”,并验证标记已从主要 NSX Manager 同步

 

 

将安全标记添加到虚拟机

 

  1. 单击主要 NSX Manager“192.168.110.42”
  2. 单击“ST-WEB”标记
  3. 单击“Assign Security Tag”(分配安全标记)
  4. 在“Assign Security tag to Virtual Machines”(将安全标记添加到虚拟机)窗口中,双击“web-01a.corp.local”和“web-02a.corp.local”
  5. “Selected Objects”(所选对象)窗格中进行验证
  6. 单击“OK”(确定)

对其他标记重复步骤 2-6,并将其分配到各自的虚拟机(将 ST-APP 分配到 app-01a.corp.local,将 ST-DB 分配到 db-01a.corp.local

 

 

将安全标记 ST-3-Tier 分配到所有虚拟机

 

  1. 单击“ST-3-Tier”
  2. 单击“Assign Tag”(分配标记)
  3. 双击“app-01a.corp.local”
  4. 双击“db-01a.corp.local”
  5. 双击“web-01a.corp.local”和“web-02.corp.local”
  6. 单击“OK”(确定)

 

 

为应用层创建通用安全组

 

  1. 单击“Grouping Objects”(将对象分组)
  2. 单击“Security Group”(安全组)
  3. 单击绿色加号

 

 

创建新通用安全组并包含安全标记

 

  1. 输入名称 SG-WEB
  2. 单击“Mark this object for Universal Synchronization”(标记此对象以进行通用同步)复选框
  3. 单击“Use for active standby deployments”(用于活动备用部署)复选框
  4. 单击“Select objects to include”(选择要包含的对象)
  5. 单击下拉菜单,然后选择“Security Tag”(安全标记)
  6. 双击“ST-WEB”
  7. 单击“Finish”(完成)

重复步骤 1-7 以创建安全组 SG-APPSG-DB。将标记 ST-APP 用于 SG-APP、将 ST-DB 用于 SG-DB 作为标准。

 

 

创建安全组 SG-3-Tier 以保护所有应用层

 

  1. 将安全组命名为 SG-3-Tier
  2. 选择选项“Mark this object for Universal Synchronization”(标记此对象以进行通用同步)
  3. 选中选项“Use for active standby depolyments”(用于活动备用部署)
  4. 单击“Select objects to include”(选择要包含的对象)
  5. 选择“Security Tag”(安全标记)
  6. 双击“ST-3-Tier”
  7. 单击“Finish”(完成)

 

 

 

验证主要和辅助 NSX Manager 上安全组的创建

 

您在主要 NSX Manager 上创建安全组后,通用同步服务就会将安全组推送到辅助 NSX Manager。请务必要验证两个 NSX Manager 是否同步。

  1. 单击“192.168.210.42”
  2. 验证安全组的创建

 

 

导航到“Firewall”(防火墙)选项卡

 

导航到“Distributed Firewall Configuration”(分布式防火墙配置)页面:

  1. 单击左侧菜单顶部的“NSX Managers”,返回“Networking & Security”(网络连接和安全性)主菜单
  2. 单击左侧菜单中的“Firewall”(防火墙)

 

 

向防火墙规则组添加一个段

 

确保您访问的是“NSX Manager”下拉菜单中的主要 NSX Manager。

  1. 单击“Default Section Layer3 (Rule 1-3)”(默认段第 3 层 [规则 1-3])中的“Add Section”(添加段)图标(提示:它是一个带有绿色加号的文件夹)

 

 

创建部分

 

  1. 将该部分命名为 Three Tier App
  2. 选择“Mark this section for Universal Synchronization”(标记此段以进行通用同步)
  3. 选择“Save”(保存)

 

 

添加通用规则

 

在新创建的部分中,为通用规则添加一个占位条目

  1. 单击“Add Rule”(添加规则)图标(提示:它是一个绿色加号)

 

 

展开“Three Tier App”部分

 

  1. 通过单击“Three Tier App (Rule 1)”(Three Tier App [规则 1])旁的三角形(或小三角)将此部分展开

此时将显示新通用规则的占位条目。在接下来的步骤中,我们将填充此规则。

 

 

配置一条针对 Web 服务器访问的规则

 

在此步骤中,您将配置一条规则,允许从任何 http 地址访问 Web 层

  1. 单击“Edit”(编辑),即铅笔图标以为规则命名

 

 

为规则命名

 

  1. 将规则命名为 Inbound Web Server
  2. 单击“Save”(保存)

 

 

配置目标

 

对于此规则,您将把“Source”(源)列保留为“any”(任何),因为我们并不想筛选某个特定源。但是,我们将修改特定 IP 地址组的目标。

  1. 找到“Destination”(目标)列,单击右上角的“Edit”(编辑),即铅笔图标。

 

 

配置目标安全组

 

在生成的窗口中,找到“Object Type”(对象类型)窗口,然后选择下拉菜单以将设置更改为“Security Group”(安全组)。

  1. 单击“Object Type”(对象类型)下拉菜单
  2. 双击“ST-WEB”
  3. 单击“OK”(确定)

 

 

在防火墙规则中确认目标

 

确认“Destination”(目标)列现在显示您刚刚创建的“SG-WEB”。

 

 

为规则配置服务

 

  1. 在“Services”(服务)列中,单击右上角的“Edit”(编辑),即铅笔图标

 

 

为规则定义服务

 

  1. 在搜索字段中输入 http
  2. 双击“HTTPS”服务列表。验证服务已移至“Selected Objects”(所选对象)菜单中。
  3. 单击“OK”(确定)

 

 

将规则应用至 SG-WEB

 

  1. 单击铅笔图标以打开“Applied To”(应用于)配置框

 

 

将规则应用至 SG-3-Tier

 

  1. 单击“Logical Switch”(逻辑交换机)下拉菜单
  2. 单击“Security Group”(安全组)
  3. 双击“Available Objects”(可用对象)窗格中的“SG-3-Tier”
  4. 单击“OK”(确定)

 

 

在之前的规则下方配置用于从 Web 访问应用服务器的规则

 

  1. 右键单击刚刚创建的“Inbound Web”规则
  2. 在菜单中,单击“Add Below”(加在下面)

 

 

添加规则

 

  1. 在“Name”(名称)列,单击“Edit”(编辑),即单元格右上角的铅笔图标,为规则命名

 

 

为规则命名

 

  1. 将规则命名为“Web to App”
  2. 单击“Save”(保存)

 

 

配置规则的来源

 

在“Source”(源)列中,相应地进行编辑以指定特定源

  1. 单击“Edit”(编辑),即铅笔图标

 

 

选择“SG-WEB”作为源

 

此规则的源将是之前创建的 Web-USG,目标则是新的安全组 App-USG

  1. 单击“Object Type”(对象类型)下拉菜单,然后选择“Security Group”(安全组)
  2. 双击“SG-WEB”并验证它是否显示在“Selected Objects”(所选对象)菜单上
  3. 单击“OK”(确定)

 

 

配置目标安全组

 

  1. 在“Destination”(目标)列中单击“Edit”(编辑),即铅笔图标

 

 

将“Destination”(目标)指定为应用层安全组

 

之前创建的与应用层相对应的 IP 组将用于为此规则创建目标安全组。 

  1. 单击“Object Type”(对象类型)下拉菜单,然后选择“Security Group”(安全组)
  2. 双击“SG-APP”
  3. 单击“OK”(确定)

 

 

为规则配置服务

 

  1. 在规则的“Service”(服务)列单元格中单击“Edit”(编辑),即铅笔图标

 

 

新建服务 Tomcat

 

  1. 单击“New Service”(新建服务)
  2. 在“Add Service”(添加服务)框中,输入名称 Tomcat
  3. 选择协议“TCP”
  4. 输入目标端口 8443
  5. 单击“OK”(确定)

 

 

将规则应用至 SG-APP

 

  1. 单击铅笔图标以打开“Applied To”(应用于)配置框

 

 

将规则应用至 SG-3-Tier

 

  1. 单击“Logical Switch”(逻辑交换机)下拉菜单
  2. 单击“Security Group”(安全组)
  3. 双击“Available Objects”(可用对象)窗格中的“SG-3-Tier”
  4. 单击“OK”(确定)

 

 

配置用于从应用访问数据库服务器的规则

 

您将创建规则来允许应用层访问数据库层。右键单击规则 2 的旁边位置,如上图所示

  1. 右键单击刚刚创建的“Web to App”规则
  2. 在菜单中,单击“Add Below”(加在下面)

 

 

编辑新建规则的名称

 

  1. 在“Name”(名称)列,单击“Edit”(编辑),即单元格右上角的铅笔图标,为规则命名

 

 

为规则命名

 

  1. 将规则命名为“App to DB”
  2. 单击“Save”(保存)

 

 

配置源

 

  1. 单击“Edit”(编辑),即铅笔图标

 

 

选择之前创建的安全组 SG-APP

 

  1. 单击“Object Type”(对象类型)下拉菜单,然后选择“Security Group”(安全组)
  2. 双击以选择“SG-APP”并验证“SG-APP”是否显示在“Selected Objects”(所选对象)菜单中
  3. 单击“OK”(确定)

 

 

配置目标

 

  1. 单击“Edit”(编辑),即铅笔图标,以添加目标

 

 

选择安全组

 

  1. 单击“Object Type”(对象类型)下拉菜单
  2. 选择“Security Group”(安全组)

 

 

配置服务

 

  1. 在规则的“Service”(服务)列单元格中单击“Edit”(编辑),即铅笔图标

 

 

选择“HTTP”

 

  1. 在搜索栏中输入 HTTP(这是练习应用,它在端口 80 上侦听数据库,但在实际应用中,此端口将为 3306 或 1433)
  2. 双击“HTTP”
  3. 单击“OK”(确定)

 

 

将规则应用至 SG-3-Tier

 

  1. 单击“Logical Switch”(逻辑交换机)下拉菜单
  2. 单击“Security Group”(安全组)
  3. 双击“Available Objects”(可用对象)窗格中的“SG-3-Tier”
  4. 单击“OK”(确定)

 

 

配置用于拒绝所有其他流量的默认规则

 

您将创建默认拒绝规则。右键单击规则 3 的旁边位置,如上图所示

  1. 右键单击刚刚创建的“App to DB”规则
  2. 在菜单中,单击“Add Below”(加在下面)

 

 

为规则命名

 

  1. 在“Rule Name”(规则名称)中输入 Block any to 3-Tier App
  2. 单击“Save”(保存)

 

 

将规则目标更改为“SG-3-Tier”

 

此规则将阻止之前未明确定义的所有其他流量。

  1. 选择“Security Group”(安全组)
  2. 双击“SG-3-Tier”
  3. 单击“OK”(确定)

 

 

编辑操作

 

  1. 将“Action”(操作)更改为“Reject”(拒绝)
  2. 单击“Save”(保存)

 

 

将规则应用至 SG-3-Tier

 

  1. 单击“Logical Switch”(逻辑交换机)下拉菜单
  2. 单击“Security Group”(安全组)
  3. 双击“Available Objects”(可用对象)窗格中的“SG-3-Tier”
  4. 单击“OK”(确定)

 

 

验证规则

 

 

 

发布变更

 

验证新部分是否与上图所示相似。

  1. 单击“Publish Changes”(发布变更)以发布通用防火墙规则。发布变更之前不强制实施任何规则

 

 

验证辅助 NSX Manager 上的创建

 

 

 

验证应用连接

 

  1. 单击“New Tab”(新建标签页)按钮
  2. 单击“webapp.corp.local”书签

 

 

验证三层应用

 

验证是否已加载“Hands on Labs Multi Tier Application”(动手练习多层应用)页面以及是否已检索数据。 

 

 

对应用虚拟机执行 ping 操作

 

要验证默认拒绝规则,请在主控制台上打开命令行窗口

 

 

对每个虚拟机执行 ping 操作

 

对每个虚拟机执行 ping 操作,以验证默认拒绝规则。

  1. ping 172.16.10.11
  2. ping 172.16.20.11
  3. ping 172.16.30.11

任何 ping 操作都无法成功完成

本部分到此结束。在本部分,我们配置了通用分布式防火墙规则,并使用通用安全组来保护跨多个站点的不同应用层之间的数据流。通用规则自动从一个站点同步到另一个站点。

 

 

禁用 3 层应用阻止规则

我们将禁用默认的 3 层阻止规则,因为我们将在下一单元中使用 Traceroute 来跟踪从主控制台到 Web 服务器虚拟机的路径

 

  1. 单击“Home”(主页)图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

  1. 单击“Firewall”(防火墙)
  2. 展开“Three Tier App”(三层应用)规则
  3. 单击绿色选中标记(此标记将变为灰色)
  4. 单击“Publish Changes”(发布变更)

 

第 1 单元总结


本单元向您讲解示范了多个站点配置中 NSX 的各种预配置组件。您还了解了如何配置区域设置 ID、UDLR 上的动态路由,以及如何配置通用分布式防火墙规则和路线筛选功能,以使一个站点优先于另一个站点。本单元中使用的技巧并不是可以影响传入/传出流量的唯一方法。还有其他方法可以影响传入/传出流量,我们只是向您展示了最常用的一种方法。


 

您已完成第 1 单元的学习

恭喜!您已经完成了第 1 单元的学习。您可以继续学习第 2 单元,了解如何配置 Site Recovery Manager 并为应用执行部分或完全故障转移。或者,您也可以结束练习。“如何结束练习”部分中介绍了练习结束流程。

有关 NSX 通用配置和跨 vC 场景的其他信息,请访问下面的 URL,然后选择“Cross-vCenter Installation Guide”(跨 vCenter 安装指南):

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

第 2 单元 - Site Recovery Manager 配置(45 分钟)

单元指导


在本单元中,学员将了解如何配置重要的 Site Recovery Manager 组件,例如保护组、文件夹映射、资源映射和恢复计划等。除了配置这些各不相同的组件之外,学员还将对 3 层应用执行完全故障转移而不更改 IP 地址。

重要说明:如果您没有首先完成第 1 单元便开始学习第 2 单元,那么您必须执行下文详细介绍的脚本。

如果您已完成第 1 单元,那么您可以跳过下一步骤,继续执行“为应用创建 Site Recovery Manager 保护组”操作。

 

 


 

运行 Site Recovery Manager FastForward 脚本

 

如果您打算直接跳到第 2 单元,仅执行以下步骤即可。如果您打算学习第 1 单元,则继续

  1. 右键单击放置在主控制台桌面上的 Site Recovery Manager FastForward.ps1 脚本
  2. 单击“Run with PowerShell”(使用 PowerShell 运行)

此脚本将在 NSX 环境中执行以下配置:

  1. 为 RegionB0 配置区域设置 ID
  2. 配置 BGP 筛选器
  3. 主要通用分布式逻辑路由器的路由
  4. 辅助通用分布式逻辑路由器的路由
  5. 配置通用安全标记
  6. 配置通用安全组
  7. 配置通用分布式防火墙规则

 

 

 

 

脚本执行

 

脚本运行完毕之后,窗口会消失。此脚本将配置所需的所有步骤,以继续下一步。

注意:此脚本还将为 3 层应用创建“Reject”(拒绝)规则。请直接禁用此规则(如后续步骤所示)。需要禁用此规则,以通过 PING 和 Traceroute 测试能否到达应用的各个层。

 

 

禁用 3 层应用阻止规则

我们将禁用默认的 3 层阻止规则,因为我们将在下一单元中使用 Traceroute 来跟踪从主控制台到 Web 服务器虚拟机的路径

 

  1. 单击“Home”(主页)图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

  1. 单击“Firewall”(防火墙)
  2. 展开“Three Tier App”(三层应用)规则
  3. 单击绿色选中标记(此标记将变为灰色)
  4. 单击“Publish Changes”(发布变更)

 

为应用创建 Site Recovery Manager 保护组


现在,您要为 Web 应用设置 Site Recovery Manager 保护组和保护计划,以便能够对该应用执行故障转移。为了节省时间,我们已设置 vSphere Replication 并将虚拟机复制到了站点 B。


 

导航到“Site Recovery”(站点恢复)

 

  1. 单击“Home”(主页)图标
  2. 选择“Site Recovery”(站点恢复)

 

配置网络映射


作为 Site Recovery Manager 配置的一部分,需要配置网络映射。这能够启用恢复计划,以在故障转移计划实施期间将虚拟机连接到适当的网络。


 

配置网络映射

 

我们需要为刚刚创建的 NSX 网络配置站点 A 和站点 B 之间的映射。

  1. 选择“Sites”(站点)

 

 

导航到“Site A Network Mappings”(站点 A 网络映射)

 

  1. 选择“vcsa-01a-corp.local”(RegionA0 vCenter)
  2. 单击“Manage”(管理)
  3. 单击“Network Mappings”(网络映射)
  4. 单击“Add New Mapping”(添加新映射)图标

 

 

手动映射

 

此时将显示“Create Network Mapping”(创建网络映射)向导。

  1. 选择“Prepare Mappings Manually”(手动准备映射)
  2. 单击“Next”(下一步)

 

 

展开站点

 

在向导的映射准备部分中,将需要展开清单,以便可以看到全部可用于映射的网络。

  1. 通过单击三角形或“小三角”将清单完全展开,以便看到两个站点及其各自的计算 vDS。RegionA0 具有一个名为 RegionA01-vDS-COMP 的 vDS,RegionB0 具有一个名为 RegionB01-vDS-COMP 的 vDS。

 

 

创建映射

 

请特别注意此部分中的各步操作。由于 VXLAN 端口组的名称长度超过了窗口大小,因此,我们需要根据 VXLAN 分段的唯一 ID 对它们进行匹配。

  1. 选择配备了逻辑交换机或其站点 A 树中含 ID 为 4 的“通用线路”的网络
  2. 选择配备了逻辑交换机或其站点 B 树形结构中含 ID 为 4 的“通用线路”的网络
  3. 请记下每个名称的 ID
  4. 单击“Add Mappings”(添加映射)

再次完成步骤 1-4,然后使用逻辑交换机或分别使用“通用线路”ID 5 或 6 匹配网络。

重要提示!继续下一步之前,请勿单击“NEXT”(下一步)。

如果您将鼠标悬停在名称上,则可以看到完整的端口组名称,该名称末尾还附有逻辑交换机的名称。这里的目的是首先同时在每个站点中匹配 Web_Tier_ULS,然后分别匹配 App_Tier_ULS 和 DB_Tier_ULS。假设您将交换机的顺序设置为与手册中相同(例如,首先是 Web,接着是应用,然后是数据库),则之后的 ID 应如下所示:

• 通用线路 ID 4 是 Web_Tier_ULS

• 通用线路 ID 5 是 App_Tier_ULS

• 通用线路 ID 6 是 DB_Tier_ULS

 

 

验证映射并继续

 

  1. 确认到各个层的所有映射均正确无误
  2. 单击“Next”(下一步)

 

 

测试网络

 

您不需要对向导的“Select Test networks”(选择测试网络)部分进行任何更改。

  1. 单击“Next”(下一步)

 

 

反向映射

 

您不需要对向导的“Prepare Reverse Mappings”(准备反向映射)部分进行任何更改。

  1. 单击“Finish”(完成)

 

文件夹映射


现在,您要配置适用于 Site Recovery Manager 配置的文件夹映射


 

新建文件夹映射

 

  1. 单击“Folder Mappings”(文件夹映射)
  2. 单击“New Folder Mappings”(新建文件夹映射)

 

 

创建文件夹映射

 

  1. 在“Create Folder Mapping”(创建文件夹映射)向导中,选择“Prepare Mappings Manually”(手动准备映射)选项
  2. 单击“Next”(下一步)

 

 

准备映射

 

在向导的“Prepare Mappings”(准备映射)部分执行下列步骤:

  1. 选中“Region-A01”
  2. 选中“Region-B01”
  3. 单击“Add Mappings”(添加映射)
  4. 单击“Next”(下一步)

 

 

完成文件夹映射创建

 

您不需要创建进行故障恢复所需的反向映射。故障恢复场景不是本练习的重点。

  1. 单击“Finish”(完成)

 

资源映射


在此部分中,您将为应用创建资源映射


 

创建新的资源映射

 

  1. 单击“Resource Mappings”(资源映射)
  2. 选择“New Resource Mapping”(新建资源映射)(提示:此选项是带加号的资源池图标)

 

 

准备映射

 

  1. 在左侧菜单中,展开“Region_A0”清单树
  2. 在右侧菜单中,展开“Region_B0”清单树
  3. 选择“RegionA01-COMP01”

RegionB0 中仅有一个可用资源。应已选择资源“RegionB0-COMP01”集群。

  1. 单击“Add Mappings”(添加映射)
  2. 验证映射是否存在于 RegionA01-COMP-01RegionB01-COMP01 之间
  3. 单击“Next”(下一步)

 

 

反向映射

 

无需创建反向映射。在本练习中,我们不对故障恢复场景进行测试。

  1. 单击“Finish”(完成)

 

占位数据存储


现在,您要为 Site Recovery Manager 添加数据存储配置。


 

配置占位数据存储

 

 

  1. 单击“Placeholder Datastores”(占位数据存储)
  2. 单击“new datastore”(新建数据存储),即“+”号(如图所示)

 

 

选择数据存储

 

  1. 选择数据存储“RegionA01-ISCSI01-COMP01”
  2. 单击“OK”(确定)

 

 

在 RegionB01 上创建占位存储

 

  1. 现在,在左侧“Sites”(站点)菜单中选择“vcsa-01b.corp.local”
  2. 如果该菜单中未包含该选项,请单击“Placeholder Datastores”(占位数据存储)
  3. 将鼠标悬停在加号上并单击

 

 

选择占位数据存储

 

  1. 选择占位数据存储“RegionB01-ISCSI01-COMP01”
  2. 单击“OK”(确定)

 

创建保护组


现在,您必须为 4 个虚拟机创建 3 层应用基础保护组

 


 

导航到“Site Recovery”(站点恢复)主页

 

  1. 在“Navigator”(导航器)菜单中单击“Site Recovery”(站点恢复)

 

 

保护组

 

  1. 选择“Protection Groups”(保护组)
  2. 单击“Protection Groups”(保护组)选项
  3. 单击“Create Protection Group”(创建保护组)按钮

 

  1. 输入名称 3-Tier-App
  2. 选择“vcsa-01a.corp.local-vcsa-01b.corp.local”
  3. 单击“Next”(下一步)

 

 

保护组类型

 

  1. 选择“vcsa-01a-corp.local -> vcsa-01b.corp.local”以指示恢复方向
  2. 选择“Individual VM's (vSphere Replication)”(单个虚拟机 [vSphere Replication])
  3. 单击“Next”(下一步)

 

 

选择虚拟机

 

  1. 选中“Virtual Machines”(虚拟机)复选框
  2. 单击“Next”(下一步)

 

 

完成 3 层应用保护组创建

 

  1. 单击“Finish”(完成)

 

 

验证保护组

 

请注意,由于需要进行配置,因此这一步将需要几分钟时间才能完成。尽管完成此过程最多需要花费 2-3 分钟,但是您可以使用 vSphere 的“Refresh”(刷新)图标更新窗口。

  1. 请注意,“App and DB”保护组的“Protection Status”(保护状态)字段为“OK”(正常),“Recovery Status”(恢复状态)字段为“READY”(准备就绪)

 

 

创建恢复计划


在本部分中,我们将创建恢复计划以将 3 层应用从受保护站点故障转移到恢复站点


 

导航到“Site Recovery”(站点恢复)主页

 

  1. 单击“Recovery Plans”(恢复计划)
  2. 单击“Create Recovery Plan”(创建恢复计划)

 

 

为恢复计划命名

 

  1. 输入名称 3-Tier-App
  2. 选择“vcsa-01a.corp.local-vcsa-01b.corp.local”
  3. 单击“Next”(下一步)

 

 

选择恢复站点

 

  1. 单击恢复站点“vcsa-01b.corp.local”的单选按钮
  2. 单击“Next”(下一步)

 

 

选择保护组

 

  1. 选择之前创建的保护组“3-Tier-App”
  2. 单击“Next”(下一步)

 

 

测试网络

 

在“Test Networks”(测试网络)部分中,将测试网络保留为默认设置。

  1. 单击“Next”(下一步)

 

 

完成恢复计划的创建

 

  1. 单击“Finish”(完成)

 

 

确认创建恢复计划

 

现在,3 层应用虚拟机受 Site Recovery Manager 保护,将能使用同一 NSX 网络故障转移到辅助站点。在下一部分中,我们将对其进行故障转移并验证其功能。

 

关闭 Edge Gateway 引发故障


在本部分中,您将关闭 RegionA0_Perimeter_GW 以模拟站点故障。在实时环境中,组织中可能会有多个组件出现故障。这些组件可能是以下所列各项中的任意一个:

  1. 控制器集群故障
  2. Edge Gateway 故障
  3. 物理路由器故障
  4. WAN 链路故障
  5. NSX Manager 故障
  6. DCI 故障

在本练习的范围内,我们不会将所有故障均作为目标。您可以参阅一本非常不错的白皮书,书中介绍了环境中的一些故障。如需参阅该白皮书,请访问以下 URL:

https://communities.vmware.com/docs/DOC-31692

 


 

导航到“Hosts and Clusters”(主机和集群)

 

  1. 单击“Home”(主页)图标
  2. 单击“Hosts and Clusters”(主机和集群)

 

 

关闭 Edge Gateway

 

  1. 右键单击“RegionA0_Perimeter_GW”
  2. 将鼠标悬停在“Power”(电源)选项
  3. 单击“Shut Down Guest OS”(关闭客户操作系统)

 

运行恢复计划以对站点执行故障转移


现在,我们将为 3 层应用运行恢复流程,以便对整个应用执行故障转移。


 

对区域 B 启动 vSphere Web Client

 

  1. 单击“New Tab”(新建标签页)
  2. 单击“RegionB vCenter”(区域 B vCenter)

注意:登录“RegionB vCenter”(区域 B vCenter)可能需要 2-3 分钟。等待登录完成。这是 POD 特定行为,不会出现在实际应用中。

 

 

导航到“Site Recovery”(站点恢复)

 

  1. 转至“Home”(主页)图标
  2. 单击“Site Recovery”(站点恢复)

 

 

选择“Recovery Plans”(恢复计划)

 

  1. 选择“Recovery Plans”(恢复计划)

 

 

选择“3-Tier-App”

 

  1. 选择“3-Tier-App”
  2. 单击“Monitor”(监控)
  3. 单击红色播放按钮

 

 

确认恢复选项

 

  1. 选中“I understand that this process will permanently alter the virtual machines and infrastructure...”(我了解此过程将永久改变虚拟机和基础架构...)
  2. 单击“Disaster Recovery”(灾难恢复)单选按钮
  3. 单击“Next”(下一步)

 

 

执行计划

 

  1. 单击“Finish”(完成),执行计划

 

 

监控各操作步骤

 

监控恢复计划的进度。完成此过程可能需要 3-5 分钟。

 

 

Trigger-Failover 脚本

 

  1. 将浏览器屏幕最小化请勿关闭

 

 

了解 Trigger-Failover 脚本

 

  1. 右键单击“Trigger-Failover.ps1”脚本
  2. 单击“Edit with Notepad++”(使用 Notepad++ 编辑)

 

 

脚本的功能

 

请勿编辑此脚本

请随意了解此脚本。此脚本分为几个不同的部分,每个任务都有一个标题。脚本可执行以下配置:

这些功能将执行完整站点故障转移所需的一些任务实现了自动化。我们希望更加详细地向您介绍所需步骤。请注意,脚本执行操作应完全集成到恢复计划中,这样,整个过程都将是无缝的。

 

 

执行主控制台桌面上的 Trigger-Failover.ps1 文件

 

  1. 右键单击“Trigger-Failover.ps1”脚本
  2. 单击“Run with PowerShell”(使用 PowerShell 运行)

 

 

监控执行情况

 

 

 

 

打开命令行窗口

 

  1. 最小化您的当前窗口,然后在主控制台上打开命令行窗口

 

 

从主控制台运行 traceroute

 

  1. 输入 tracert 172.16.10.11,然后按 Enter

如黄色亮显的文本所示,通向 Web 虚拟机的路径通过恢复站点 Edge Gateway 和恢复站点 UDLR。traceroute 证明:用于访问应用的路径已经更改并且现在流经恢复站点。

 

连接到 3 层应用


让我们检查一下完整故障转移执行完毕后的应用连接情况


 

打开一个新的标签页

 

  1. 单击“New Tab”(新建标签页)按钮

 

 

访问应用

 

  1. 单击“webapp.corp.local”

 

 

验证三层应用

 

验证是否已加载“Hands on Labs Multi Tier Application”(动手练习多层应用)页面以及是否已检索数据。 

 

 

对应用虚拟机执行 ping 操作

 

  1. 在主控制台上打开命令行窗口

 

 

对每个虚拟机执行 ping 操作

 

对每个虚拟机执行 ping 操作,以验证与应用的连接情况

  1. ping 172.16.10.11
  2. ping 172.16.20.11
  3. ping 172.16.30.11

所有 ping 操作均将成功完成

 

 

导航到“Hosts and Clusters”(主机和集群)

 

请注意,Web、应用和数据库层虚拟机位于恢复站点 Region-B01 中。

如您所见,整个应用故障转移到站点 RegionB01 之后,便可以访问应用了。对于此故障转移,您不必更改虚拟机的 IP 地址或任何防火墙规则。

 

 

导航到“Network and Security”(网络和安全性)

 

  1. 单击“Home”(主页)图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

验证虚拟机自动加入辅助站点上的“SG-WEB”安全组

 

  1. 单击“Firewall”(防火墙)
  2. 单击防火墙规则的“Source”(源)字段中的“SG-WEB”,并验证“web01a”和“web02a”已加入安全组
  3. 单击“X”图标关闭此框

 

验证 web01a 虚拟机上的安全标记实施以及安全组成员(黄色亮显)。标记从主要 NSX Manager 自动同步到辅助 NSX Manager。

 

第 2 单元总结


本单元向您讲解示范了 Site Recovery Manager 配置,其中包括保护组和恢复计划的创建,恢复计划作为恢复流程手册使用,可指导您将应用从受保护的站点故障转移至恢复站点。

我们还没有介绍反向映射,它们也是非常重要的主题。受保护的站点处于稳定状态之后,要从恢复站点故障恢复到受保护的站点,则需进行反向映射。

NSX 是全新构建的平台,用于支持自动化。在本练习中,我们利用脚本启动某些工作流,以使我们能够将流量(包括服务器负载均衡)从受保护的站点故障转移到恢复站点,且无需手动更改路由配置。

 


 

您已完成第 2 单元的学习

恭喜,您已完成第 2 单元,本练习到此结束。

 练习负责人:

 

 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1825-02-NET-LT.zip

Version: 20171018-133718