Laboratórios práticos da VMware - HOL-1903-01-NET


Visão geral do laboratório - HOL-1903-01-NET - Como começar com o VMware NSX Data Center

Orientação do laboratório


Observação: este laboratório pode levar mais de 90 minutos para ser concluído. Talvez você consiga terminar de dois a três módulos durante o seu tempo disponível. Os módulos são independentes, portanto você pode iniciar qualquer um deles e prosseguir de onde parou. Use o Índice para acessar qualquer módulo de sua escolha.

O Índice fica no canto superior direito do Manual do laboratório.

O NSX Data Center for vSphere é a plataforma de virtualização de redes da VMware para o data center definido por software (SDDC), que oferece sistema de rede e segurança totalmente em software, separados da infraestrutura física subjacente.

Neste laboratório, você conhecerá os principais recursos do VMware NSX Data Center no ambiente do vSphere. Você obterá experiência prática com switching lógico, roteamento lógico distribuído, roteamento dinâmico e serviços de rede lógica.

Lista de módulos do laboratório:

Responsáveis pelo laboratório:

  • Módulos 1 a 4: Joe Collon, engenheiro de sistemas da equipe do NSX, Estados Unidos

Este manual do laboratório pode ser obtido por download no site de documentos de laboratório prático em:

http://docs.hol.vmware.com

Este laboratório pode estar disponível em outros idiomas. Esse documento orientará você pelo processo de definição da sua preferência de idioma e obtenção de um manual localizado implantado com seu laboratório:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Localização do console principal

 

  1. A área na caixa VERMELHA contém o console principal. O Manual do laboratório está na guia à direita do console principal.
  2. Um laboratório específico pode ter outros consoles em guias separadas na parte superior esquerda. Se necessário, você será direcionado para abrir outro console específico.
  3. Seu laboratório começa com 90 minutos no cronômetro. Não é possível salvá-lo. Todo o seu trabalho deve ser feito durante a sessão do laboratório.  No entanto, é possível clicar em EXTEND para prorrogar o tempo. Se você estiver em um evento da VMware, poderá prorrogar o tempo do laboratório duas vezes, por no máximo 30 minutos. Cada clique acrescenta 15 minutos. Exceto pelos eventos da VMware, você pode prorrogar o tempo do seu laboratório em até nove horas e 30 minutos. Cada clique acrescenta uma hora.

 

 

Métodos alternativos de entrada de dados pelo teclado

Durante este módulo, digite o texto no console principal. Além da digitação direta, há dois métodos muito práticos que facilitam a entrada de dados complexos.

 

 

Clicar e arrastar o conteúdo do manual do laboratório para a janela ativa do console

 
 

Você também pode clicar e arrastar textos e comandos da interface de linha de comando diretamente do Manual do laboratório para a janela ativa no console principal.  

 

 

Acesso ao teclado internacional on-line

 

Você também pode usar o teclado internacional on-line no console principal.

  1. Clique no ícone de teclado que fica na barra de tarefas de Início Rápido do Windows.

 

 

Clicar uma vez na janela ativa do console

 

Neste exemplo, você utilizará o teclado on-line para inserir o símbolo "@" usado em endereços de e-mail. Nos layouts de teclado dos Estados Unidos, pressione Shift+2 para inserir o sinal "@".

  1. Clique uma vez na janela ativa do console.
  2. Clique na tecla Shift.

 

 

Clicar na tecla @

 

  1. Clique na tecla "@".

Observe o sinal @ inserido na janela ativa do console.

 

 

Prompt ou marca d'água de ativação

 

Quando você iniciar o laboratório pela primeira vez, poderá ver uma marca d'água no desktop indicando que o Windows não está ativado.  

Um dos principais benefícios da virtualização é que as máquinas virtuais podem ser movidas e executadas em qualquer plataforma. Os laboratórios práticos utilizam esse benefício e podem ser executados em vários data centers. No entanto, esses data centers podem não ter processadores idênticos, o que aciona uma verificação de ativação da Microsoft pela Internet.

A VMware e os laboratórios práticos estão em total conformidade com os requisitos de licenciamento da Microsoft. O laboratório que você está usando é um pod autocontido sem acesso completo à Internet, que é necessário para o Windows verificar a ativação. Sem esse acesso, o processo automatizado falha, e a marca d'água é exibida.

Esse problema superficial não afeta seu laboratório.  

 

 

Observar a parte inferior direita da tela

 

Verifique se foram concluídas todas as rotinas de inicialização do seu laboratório e se ele está pronto para você começar. Se aparecer algo diferente de "Ready", aguarde alguns minutos.  Se o laboratório não aparecer como "Ready" após cinco minutos, peça ajuda.

 

 

Permita o vmware-cip-launcher.exe

 

Às vezes, o laboratório pode ser aprovisionado com as configurações do Chrome redefinidas ao valor padrão. Se isso acontecer, a caixa de diálogo acima poderá ser exibida. Siga as etapas abaixo para permitir que o iniciador execute o vSphere Web Client (Flash):

  1. Clique para selecionar Abrir sempre esse tipo de link no app associado.
  2. Clique para selecionar Open vmware-cip-launcher.exe.

Depois disso, prossiga com o restante do laboratório normalmente.

 

 

Minimizar os painéis Recent Tasks e Recent Objects no vSphere Web Client

 

Em virtude da resolução de tela do desktop dos laboratórios práticos, alguns componentes da interface de usuário do NSX podem aparecer truncados ou estar ausentes durante este laboratório. Para maximizar o espaço útil da tela, é recomendável minimizar os painéis Recent Objects e Recent Tasks no vSphere Web Client (Flash). Para fazer isso, siga estes procedimentos:

  1. Clique no ícone de pino na parte superior direita do painel Recent Objects.
  2. Clique no ícone de pino na parte superior direita do painel Recent Tasks.

 

Módulo 1: Instalação e configuração do NSX Manager (15 minutos)

Introdução


O VMware NSX Data Center é a plataforma líder de virtualização de redes que leva o modelo operacional das máquinas virtuais para a rede. Assim como a virtualização de servidores oferece controle extensível de máquinas virtuais executadas em um pool de hardware de servidor, a virtualização de redes com o NSX Data Center dispõe de uma API centralizada para aprovisionar e configurar serviços de rede virtual executados em uma única rede física.

As redes lógicas separam a conectividade da máquina virtual e os serviços de rede da rede física, o que proporciona aos clientes a flexibilidade de armazenar ou migrar máquinas virtuais em qualquer lugar no data center e ainda oferece suporte à conectividade de camada 2/camada 3 e aos serviços de rede de camada 4 a 7.

Neste módulo, usaremos uma simulação interativa centrada em como executar a implantação real do NSX Data Center no seu ambiente. No ambiente de laboratório, a implantação real já foi concluída para você.

Na simulação interativa, você verá como:


 

Componentes do NSX

 

Uma plataforma de gerenciamento de nuvem (CMP) não é um componente do NSX, mas o NSX oferece integração com praticamente qualquer CMP por meio da API REST e integração pronta para uso com CMPs da VMware.

Os principais componentes do NSX estão divididos em três categorias:

Plano de gerenciamento: O plano de gerenciamento do NSX é desenvolvido pelo NSX Manager, o componente de gerenciamento centralizado de rede do NSX. Ele oferece o ponto único de configuração e os pontos de entrada da API REST.

Camada de controle: A camada de controle do NSX é executada no cluster do NSX Controller. O NSX Controller é um sistema de gerenciamento de estado distribuído avançado que inclui funções de camada de controle para switching lógico e roteamento do NSX. Ele é o ponto de controle central para todos os switches lógicos em uma rede e mantém as informações sobre todos os hosts, switches lógicos (VXLANs) e roteadores lógicos distribuídos.

Caminho de dados: O caminho de dados do NSX consiste no NSX vSwitch, que é baseado no vSphere Distributed Switch (VDS) com outros componentes para ativar serviços. Os módulos de kernel, os agentes de espaço de usuário, os arquivos de configuração e os scripts de instalação do NSX são empacotados em VIBs e executados no kernel do hypervisor para oferecer serviços, como roteamento distribuído e firewall lógico, para ativar recursos de ponte de VXLAN.

 

Simulação interativa dos laboratórios práticos: instalação e configuração do NSX – parte 1


Esta parte do laboratório é apresentada como uma Simulação interativa dos laboratórios práticos. Com isso, você poderá praticar as etapas, que consistem em um processo longo ou que exigem muitos recursos para serem feitas em tempo real no ambiente do laboratório. Nesta simulação, você poderá usar a interface do software como se estivesse interagindo em um ambiente real.

*** OBSERVAÇÃO ESPECIAL *** A simulação que você está prestes a realizar consiste em duas partes. A primeira parte será encerrada no fim da configuração do NSX Manager. Para prosseguir para a segunda parte da simulação, será necessário clicar em "Return to the Lab" na parte superior direita da tela. O manual também descreve as etapas na conclusão da configuração do NSX Manager.

  1. Clique aqui para abrir a simulação interativa. Ela será aberta em uma nova janela ou guia do navegador.
  2. Ao concluir, clique no link "Return to the Lab" para continuar este laboratório.

 


Simulação interativa dos laboratórios práticos: instalação e configuração do NSX – parte 2


Esta parte do laboratório é apresentada como uma Simulação interativa dos laboratórios práticos. Com isso, você poderá praticar as etapas, que consistem em um processo longo ou que exigem muitos recursos para serem feitas em tempo real no ambiente do laboratório. Nesta simulação, você poderá usar a interface do software como se estivesse interagindo em um ambiente real.

  1. Clique aqui para abrir a simulação interativa. Ela será aberta em uma nova janela ou guia do navegador.
  2. Ao concluir, clique no link "Return to the Lab" para continuar este laboratório.

 


Conclusão do Módulo 1


Neste módulo, mostramos a simplicidade da instalação e da configuração do NSX para incluir a camada 2 por meio de sete serviços no software.

Falamos sobre a instalação e a configuração do appliance do NSX Manager, que incluem a implantação, a integração com o vCenter e a configuração de registro em log e de backups. Na sequência, abordamos a implantação de NSX Controllers e a instalação dos pacotes do VMware Infrastructure (VIBs), que são módulos de kernel enviados por push para o hypervisor a fim de oferecer serviços do NSX. Por fim, mostramos a implantação automatizada de endpoints de túnel de VXLAN (VTEPs), a criação de um pool de identificadores de rede VXLAN (VNIs) e a criação de uma zona de transporte.


 

Você concluiu o Módulo 1

Parabéns por concluir o Módulo 1.

Se deseja obter informações adicionais sobre a implantação do NSX, acesse o Centro de documentação do NSX 6.4 no URL abaixo:

Prossiga para qualquer um dos seguintes módulos:

Lista de módulos do laboratório:

Responsáveis pelo laboratório:

  • Módulos 1 a 4: Joe Collon, engenheiro de sistemas da equipe do NSX, Estados Unidos

 

 

Como encerrar o laboratório

 

Para encerrar o laboratório, clique no botão END.  

 

Módulo 2: Switching lógico (30 minutos)

Switching lógico: visão geral do módulo


Neste módulo, vamos analisar os seguintes componentes do VMware NSX:

  • Analise o cluster do NSX Controller. Graças ao cluster NSX Controller, a compatibilidade com o protocolo multicast na malha física não é necessária. Esse componente oferece também funções como resolução de VTEP, IP e MAC.
  • Crie um switch lógico e, em seguida, vincule duas VMs ao switch lógico.
  • Analise o dimensionamento e a alta disponibilidade da plataforma NSX.

Switching lógico


Nesta seção, faremos o seguinte:

  1. Confirmar que a configuração dos hosts está pronta.
  2. Confirmar a preparação da rede lógica.
  3. Criar um novo switch lógico.
  4. Vincular o switch lógico ao gateway de serviços do NSX Edge.
  5. Adicionar VMs ao switch lógico.
  6. Testar a conectividade entre as VMs.

 

Acessar o vSphere Web Client (Flash)

 

  1. Abra o vSphere Web Client (Flash) pelo ícone no desktop denominado Google Chrome.

 

 

Fazer login no vSphere Web Client (Flash)

 

Se você ainda não tiver feito login no vSphere Web Client:

A página inicial deve ser o vSphere Web Client.  Caso contrário, clique no ícone do vSphere Web (Flash) no Google Chrome.

  1. Digite administrator@vsphere.local em User name
  2. Digite VMware1! em Password
  3. Clique em Login

 

 

Navegar até Networking & Security no vSphere Web Client

 

  1. Clique no ícone Home.
  2. Clique em Networking & Security.

 

 

Visualizar os componentes implantados

 

  1. Clique em Installation and Upgrade.
  2. Clique em Host Preparation.
  3. Clique para selecionar um cluster na lista (RegionA01-COMP01, neste exemplo) para visualizar as informações sobre o estado dos hosts do NSX nesse cluster.

Você verá que os componentes de virtualização de redes, também chamados componentes de caminho de dados, estão instalados nos hosts dos nossos clusters. Esses componentes incluem: módulos de kernel no nível do hypervisor para segurança de porta, VXLAN, firewall e roteamento distribuídos.

As funções Firewall e VXLAN são configuradas e ativadas em cada cluster após a instalação dos componentes de virtualização de redes. O módulo de segurança de porta inclui a função VXLAN, enquanto o módulo de roteamento distribuído é ativado assim que a VM de controle do roteador lógico do NSX Edge é configurada.

 

 

A topologia após a preparação do host com os componentes do caminho de dados

 

 

 

Visualizar a configuração do VTEP

 

  1. Na lista de hosts, mova a barra de rolagem para a direita para visualizar o link VIEW DETAILS.
  2. Clique em VIEW DETAILS para visualizar as informações de porta e endereço IP do kernel do VTEP desse host.

A configuração da VXLAN pode ser dividida em três etapas importantes:

  • Configuração do endpoint de túnel de VXLAN (VTEP) em cada host.
  • Configuração do intervalo de IDs do segmento para criar um pool de redes lógicas. Como usamos o modo Unicast neste laboratório, não é necessário especificar um intervalo multicast. Caso contrário, esta etapa poderá exigir a configuração do endereço do grupo Multicast.
  • Configuração da zona de transporte para definir a extensão da rede lógica.

Conforme mostrado no diagrama, os hosts foram configurados com interfaces de endpoint de túnel de VXLAN (VTEP). O ambiente usa a sub-rede 192.168.130.0/24 para o pool VTEP.

 

 

Configuração do ID do segmento e do endereço do grupo multicast

Antes, um dos principais desafios da implantação do VXLAN era que os dispositivos de rede física precisavam dar suporte ao protocolo multicast. Esse desafio foi superado na plataforma NSX ao oferecer uma implementação do VXLAN baseada em controlador, o que elimina a necessidade de configurar o multicast na rede física. O NSX inclui três opções para tráfego de broadcast, desconhecido e multicast (BUM): Multicast, Unicast e Hybrid.  Essa opção é definida globalmente como parte da zona de transporte, mas também pode ser claramente definida por switch lógico.

Os três modos de replicação disponíveis no NSX são:

  • Multicast: o NSX utiliza o recurso multicast nativo L2/L3 da rede física para garantir que o tráfego BUM encapsulado do VXLAN seja enviado a todos os VTEPs. Nesse modo, um endereço IP multicast deve ser associado a cada segmento L2 definido do VXLAN (isto é, o switch lógico). Nessa configuração, o recurso multicast L2 é usado para replicar o tráfego para todos os VTEPs no segmento local (isto é, endereços IP do VTEP que fazem parte da mesma sub-rede IP). O rastreamento de IGMP também deve ser configurado nos switches físicos para otimizar a entrega de tráfego multicast L2.
  • Unicast: a camada de controle é processada pelo NSX Controller, aproveitando a replicação do início ao fim. Não há necessidade de endereços IP multicast nem de configuração especial ao usar esse método de replicação.
  • Hybrid: um modo Unicast otimizado.  Transfere a replicação de tráfego local para a rede física por meio do multicast L2. Para isso, é preciso dispor de rastreamento de IGMP no switch local, mas não é necessário contar com um protocolo de roteamento multicast, como PIM.  O modo híbrido é recomendado para implantações do NSX em grande escala.

 

 

Visualizar a configuração de ID do segmento

 

  1. Clique em Logical Network Settings.
  2. Observe o Segment ID Pool atribuído ao ambiente. Como os switches lógicos são criados no NSX, o próximo ID do segmento não utilizado será alocado e atribuído a cada switch lógico novo.
  3. Observe que o campo Multicast addresses está em branco. Como já foi mencionando, isso acontece porque o modo padrão do ambiente de laboratório é Unicast e, portanto, não há requisitos de multicast.

 

 

Visualizar zonas de transporte

 

  1. Clique em Transport Zones.
  2. Clique no botão de opção para selecionar a zona de transporte RegionA0_Global_TZ.

Depois de visualizar os vários componentes do NSX e a configuração do VXLAN, criaremos um switch lógico do NSX. Esse switch define um domínio de broadcast lógico, ou um segmento de rede, ao qual um aplicativo ou uma máquina virtual pode ser conectado de maneira lógica. O switch lógico do NSX dispõe de um domínio de broadcast de camada 2, similar a uma VLAN, mas sem a configuração de rede física que costuma estar associada a uma VLAN.

 

 

Visualizar switches lógicos

 

  1. Clique em Logical Switches no lado esquerdo.

Observe que há um número de switches lógicos já definidos neste laboratório. Eles já foram preenchidos e ajudarão na conclusão dos vários módulos incluídos no laboratório. Em uma nova implantação do NSX, a lista de switches lógicos está vazia.

O próximo passo será criar um novo switch lógico. Após a criação desse switch, migraremos as VMs existentes para a rede recém-criada e proporcionaremos a elas conectividade com o ambiente do NSX.

 

 

Criar um novo switch lógico

 

  1. Clique no ícone de mais verde para criar um novo switch lógico.
  2. Dê ao switch lógico o nome: Prod_Logical_Switch.
  3. Confirme se RegionA0_Global_TZ foi selecionado como a zona de transporte.
  4. Confirme se Unicast foi selecionado como modo de replicação.
  5. Confirme se a caixa Enable IP Discovery foi marcada. A detecção de IP ativa a supressão ARP e está explicada a seguir.
  6. Clique em OK.

A seleção de "Enable IP Discovery" ativa a supressão ARP (Address Resolution Protocol). O ARP é usado para determinar o endereço MAC (Media Access Control) de destino de um endereço IP por meio do envio de um broadcast em um segmento de camada 2. Se um host ESXi com esse NSX Virtual Switch receber tráfego ARP de uma máquina virtual (VM) ou de uma solicitação Ethernet, o host enviará a solicitação para o NSX Controller que tiver uma tabela ARP. Se o NSX Controller tiver as informações na tabela ARP, ele será retornado ao host que, por sua vez, responderá à VM.

 

 

Vincular o novo switch lógico ao gateway de serviços do NSX Edge para acesso externo

 

  1. Clique para selecionar o Prod_Logical_Switch recém-criado.
  2. Clique no menu Actions.
  3. Clique em Connect Edge.

 

 

Conectar o switch lógico ao NSX Edge

 

É possível instalar o NSX Edge como roteador lógico (distribuído) ou como gateway de serviços do Edge.

  • O gateway de serviços do Edge "Perimeter-Gateway-01" oferece serviços de rede, como DHCP, NAT, balanceamento de carga, firewall e VPN e inclui recursos de roteamento dinâmico.
  • O roteador lógico distribuído "Distributed-Router-01" dá suporte ao roteamento dinâmico e distribuído.

Analisaremos mais detalhes sobre o NSX Edge e o roteamento nos módulos seguintes.

Por enquanto, conectaremos nosso switch lógico ao gateway de serviços do NSX Edge, Perimeter-Gateway-01. Isso proporcionará conectividade entre as VMs conectadas ao switch lógico e o restante do ambiente.

  1. Clique no botão de opção à esquerda do Perimeter-Gateway-01 para selecioná-lo.
  2. Clique em Next.

 

 

Vincular o switch lógico ao NSX Edge

 

  1. Clique no botão de opção à esquerda do vnic7 para selecioná-lo.
  2. Clique em Next.

 

 

Dar um nome à interface

 

  1. Digite Prod_Interface em Name.
  2. Selecione Connected.
  3. Clique no ícone de mais verde para configurar as informações de endereço IP e sub-rede para esta interface.

 

 

Atribuir um endereço IP à interface

 

  1. Digite 172.16.40.1 como endereço IP principal (deixe o endereço IP secundário em branco).
  2. Digite 24 em Subnet Prefix Length.
  3. Verifique se as configurações estão corretas e clique em Next.

 

 

Concluir o processo de edição da interface

 

  1. Clique em Finish.

 

 

Vincular web-03a e web-04a ao Prod_Logical_Switch recém-criado

 

  1. Clique para selecionar o Prod_Logical_Switch recém-criado.
  2. Clique no menu Actions.
  3. Clique em Add VM.

 

 

Adicionar máquinas virtuais ao switch lógico

 

  1. Procure as VMs que tenham "web" nos nomes.
  2. Selecione web-03a.corp.local e web-04a.corp.local.
  3. Clique na seta para a direita para adicionar as VMs selecionadas a esse switch lógico.
  4. Clique em Next.

 

 

Selecionar a vNIC das máquinas virtuais para adicionar ao switch lógico

 

  1. Selecione as vNICs das duas VMs da web.
  2. Clique em Next.

 

 

Concluir a adição de VMs ao switch lógico

 

  1. Clique em Finish.

 

 

A topologia depois que o Prod_Logical_Switch é conectado ao gateway de serviços do NSX Edge

 

Agora, você configurou um novo switch lógico e proporcionou a ele conectividade com a rede externa por meio do Edge Gateway Perimeter-Gateway-01. Você também adicionou duas máquinas virtuais ao novo switch lógico.

 

 

Testar a conectividade entre web-03a e web-04a

Agora, vamos testar a conectividade entre web-03a e web-04a.

 

 

Acessar Hosts and Clusters

 

  1. Clique no ícone Home.
  2. Clique em Hosts and Clusters.

 

 

Expandir os clusters

 

Expanda os clusters RegionA01-COMP01 e RegionA01-COMP02. Você deve ver que as duas VMs, web-03a.corp.local e web-04a.corp.local, estão em dois clusters diferentes de processamento. Essas duas VMs foram adicionadas ao switch lógico nas etapas anteriores.

 

 

Abrir o PuTTY

 

  1. Clique no botão Iniciar do Windows.
  2. Clique no ícone do aplicativo PuTTY pelo menu Iniciar.

Você está se conectando do console principal, que está na sub-rede 192.168.110.0/24. O tráfego passará pelo NSX Edge Perimeter-Gateway-01 e, em seguida, para o servidor Web.

 

 

Abrir uma sessão SSH para web-03a

 

  1. Percorra a lista de sessões salvas até aparecer web-03a.corp.local.
  2. Clique em web-03a.corp.local para selecioná-la.
  3. Clique em Load para recuperar as informações da sessão.
  4. Clique em Open para iniciar uma sessão do PuTTY com a VM.

 

 

Fazer login na VM

 

  • Se aparecer um alerta de segurança do PuTTY, clique em Yes para aceitar a chave de host do servidor.
  • Se o seu login não for feito automaticamente, faça login como usuário root com a senha VMware1!

Observação: se você tiver dificuldade de se conectar a web-03a.corp.local, revise as etapas anteriores e verifique se elas foram concluídas corretamente.

 

 

Executar ping do servidor Web web-04a.corp.local

 

Digite ping -c 2 web-04a para enviar dois pings, em vez de um ping contínuo.

ping -c 2 web-04a

Observação: web-04a.corp.local tem o endereço IP 172.16.40.12. Se necessário, execute o ping pelo endereço IP.

Se aparecerem pacotes DUP!, isso se deve à natureza do ambiente de laboratório aninhado da VMware. Isso não acontecerá em um ambiente de produção.

Não feche a sessão do PuTTY. Minimize a janela para uso posterior.

 

Dimensionamento e disponibilidade


Nesta seção, analisaremos o dimensionamento e a disponibilidade dos NSX Controllers. O cluster do NSX Controller é o componente de camada de controle responsável por gerenciar os módulos de switch e de roteamento nos hypervisors. Ele é composto de três nós do NSX Controller, cada um gerenciando objetos lógicos específicos. O uso de um cluster do NSX Controller para gerenciar switches lógicos com base no VXLAN acaba com a necessidade do suporte a multicast da infraestrutura de rede física.

Para resiliência de desempenho, as implantação de produção precisam implantar um cluster do NSX Controller composto de três nós do NSX Controller. O cluster do NSX Controller representa um sistema distribuído de dimensionamento horizontal, em que cada nó do NSX Controller é atribuído a um conjunto de funções. A função atribuída define os tipos de tarefas que podem ser implementadas pelo nó do NSX Controller. A configuração com suporte atual permite o compartilhamento de carga totalmente ativa e também redundância.

Para melhorar o dimensionamento da arquitetura do NSX, uma mecanismo de "fatiamento" é utilizado para garantir que todos os nós do NSX Controller possam estar ativos em um momento específico.

Se houver falha em um NSX Controller, o tráfego do caminho de dados (VM) não será afetado. Ele continuará fluindo porque as informações da rede lógica já foram transferidas para os switches lógicos (o caminho de dados). No entanto, você não poderá editar (adicionar/mover/alterar) sem a camada de controle (cluster do NSX Controller).

Agora, o NSX também inclui recursos de operação desconectada do controlador (CDO). O modo CDO cria um switch lógico especial em que todos os hosts ingressam. Isso proporciona uma camada adicional de redundância à conectividade do caminho de dados quando os controladores podem não estar acessíveis aos hosts no ambiente do NSX.  Há mais informações sobre o modo CDO em um link na conclusão deste módulo.


 

Dimensionamento e disponibilidade do NSX Controller

 

  1. Clique no ícone Home.
  2. Clique em Networking & Security.

 

Conclusão do Módulo 2


Neste módulo, demonstramos os seguintes benefícios da plataforma NSX:

  1. Agilidade da rede, incluindo fácil aprovisionamento e configuração de switches lógicos para estabelecer interface com máquinas virtuais e redes externas.
  2. Dimensionamento da arquitetura do NSX, como extensão da zona de transporte para vários clusters ou capacidade do cluster do NSX Controller em oferecer serviços de sistema de rede sem reconfigurar a rede física.

 

Você concluiu o Módulo 2

Parabéns por concluir o Módulo 2.

Se deseja obter informações adicionais sobre a implantação do NSX, acesse o Centro de documentação do NSX 6.4 no URL abaixo:

Há mais informações disponíveis sobre o modo NSX Controller Disconnected Operation (CDO) no seguinte link:

Prossiga para qualquer um dos seguintes módulos:

Lista de módulos do laboratório:

Responsáveis pelo laboratório:

  • Módulos 1 a 4: Joe Collon, engenheiro de sistemas da equipe do NSX, Estados Unidos

 

 

Como encerrar o laboratório

 

Para encerrar o laboratório, clique no botão END.

 

Módulo 3: Roteamento lógico (60 minutos)

Roteamento lógico: visão geral do módulo


No módulo anterior, vimos a facilidade e a praticidade da criação de switches lógicos e redes isolados com apenas alguns cliques. Para proporcionar comunicação entre essas redes de camada 2 isoladas, o suporte ao roteamento é essencial. Na plataforma NSX, o roteador lógico distribuído permite rotear o tráfego entre os switches lógicos totalmente no hypervisor. Ao incorporar esse componente de roteamento lógico, o NSX pode reproduzir topologias de roteamento complexas no espaço lógico. Por exemplo, um aplicativo de três camadas será conectado a três switches lógicos, e o roteamento entre as camadas será conduzido por esse roteador lógico distribuído.

Este módulo nos ajuda a compreender alguns dos recursos de roteamento com suporte na plataforma NSX e também a utilizá-os durante a implantação de um aplicativo de três camadas.

Neste módulo, realizaremos os seguintes procedimentos:

  • Examinar o fluxo do tráfego quando o roteamento é conduzido por um roteador físico externo ou um gateway de serviços do NSX Edge.
  • Configurar o roteador lógico distribuído e as respectivas interfaces lógicas (LIFs) para permitir o roteamento entre as camadas da Web, de aplicativo e de banco de dados do aplicativo de três camadas.
  • Configurar protocolos de roteamento dinâmico no roteador lógico distribuído e no gateway de serviços do Edge e compreender o controle dos anúncios de rota interna para o roteador de upstream externo.
  • Dimensionar e proteger o gateway de serviços do NSX Edge usando protocolos de roteamento e roteamento de ECMP (equal-cost multi-path).

 

Instruções especiais para comandos da interface de linha de comando

 

Em muitos dos módulos, você deve inserir comandos da interface de linha de comando.  Há duas maneiras de enviar comandos da interface de linha de comando para o laboratório.

A primeira é enviar um comando da interface de linha de comando para o console do laboratório:

  1. Destaque o comando da interface de linha de comando no manual e use Ctrl+C para copiar para a área de transferência.
  2. Clique no item de menu do console SEND TEXT.
  3. Pressione Ctrl+V para colar da área de transferência para a janela.
  4. Clique no botão SEND.

Na segunda, um arquivo de texto (README.txt) foi colocado no desktop do ambiente, permitindo que você copie e cole facilmente comandos ou senhas complexos nos utilitários associados (CMD, Putty, console etc). Determinados caracteres nem sempre estão presentes em teclados usados ao redor do mundo.  Este arquivo de texto também é incluído para layouts de teclado que não têm esses caracteres.

O arquivo de texto é README.txt e está no desktop.  

 

Roteamento dinâmico e distribuído


Um roteamento lógico distribuído (DLR, Distributed Logical Router) é um appliance virtual que contém a camada de controle de roteamento e distribui o caminho de dados em módulos de kernel para cada host do hypervisor. A função de camada de controle do DLR depende do cluster do NSX Controller para enviar atualizações de roteamento aos módulos de kernel. Isso possibilita um roteamento leste-oeste otimizado em cada hypervisor local, acabando com a necessidade de direcionamento do tráfego por meio de um ponto único na rede.

Primeiramente, examine a configuração do roteamento distribuído para conferir os benefícios de sua realização no nível do kernel.


 

Uma análise da topologia atual e do fluxo de pacotes

 

A imagem acima mostra o ambiente deste laboratório no qual ambas as VMs do aplicativo e do banco de dados residem no mesmo host físico. As setas vermelhas indicam o fluxo de tráfego entre as duas VMs.

  1. O tráfego sai da VM do aplicativo e chega ao host.
  2. Como as VMs do aplicativo e do banco de dados não estão na mesma sub-rede, o tráfego precisará ser enviado para um dispositivo de camada 3. O NSX Edge, gateway de perímetro, reside no cluster de gerenciamento e funciona como um gateway de camada 3. O tráfego é enviado para o host em que o gateway de perímetro reside.
  3. O tráfego chega ao gateway de perímetro.
  4. O gateway de perímetro roteia o pacote e o envia de volta ao host na rede de destino.
  5. O tráfego roteado é enviado de volta ao host onde reside a VM do banco de dados.
  6. O host entrega o tráfego para a VM do banco de dados.

No final deste laboratório, revisaremos o diagrama de fluxo do tráfego após a configuração do roteamento distribuído. Isso ajudará a entender o impacto positivo que o roteamento distribuído tem sobre o tráfego de rede.

 

 

Acessar o vSphere Web Client (Flash)

 

  1. Abra o vSphere Web Client (Flash) pelo ícone no desktop denominado Google Chrome.

 

 

Fazer login no vSphere Web Client (Flash)

 

Se você ainda não tiver feito login no vSphere Web Client:

A página inicial deve ser o vSphere Web Client.  Caso contrário, clique no ícone do vSphere Web (Flash) no Google Chrome.

  1. Digite administrator@vsphere.local em User name
  2. Digite VMware1! em Password
  3. Clique em Login

 

 

Confirmar a funcionalidade do aplicativo de camada 3

 

  1. Abra uma nova guia do navegador.
  2. Clique no marcador chamado Customer DB App.

 

Antes de começar a configurar o roteamento distribuído em seu aplicativo, vamos confirmar se o aplicativo de camada 3 está funcionando corretamente. As três camadas do aplicativo (web, aplicativo e banco de dados) estão localizadas em switches lógicos diferentes, com um gateway de serviços do NSX Edge que faz o roteamento entre eles.

  • O servidor Web retornará uma página com as informações do cliente armazenadas no banco de dados.

 

 

Remoção das interfaces do aplicativo e do banco de dados do Edge de perímetro

 

Como você viu na topologia anterior, as três camadas do aplicativo residem em switches lógicos específicos da camada roteados pelo gateway de perímetro (NSX ESG). Vamos atualizar essa topologia removendo as interfaces do aplicativo e do DB do gateway de perímetro. Depois de excluir essas interfaces, vamos movê-las para o roteador distribuído (NSX DLR). Para economizar tempo, um roteador distribuído já foi implantado para você.

  1. Clique na guia vSphere Web Client do navegador.
  2. Clique no ícone Home.
  3. Clique em Networking & Security.

 

 

Adicionar as interfaces do aplicativo e do DB ao roteador distribuído

 

Para começar a configuração do roteamento distribuído, vamos adicionar as interfaces do aplicativo e do DB ao roteador distribuído (NSX Edge).

  1. Clique duas vezes em Distributed-Router-01.

 

 

Configurar o roteamento dinâmico no roteador distribuído

 

Retorne para a guia vSphere Web Client do navegador.

  1. Clique em Routing.
  2. Clique em Global Configuration.
  3. Clique em Edit para alterar a Dynamic Routing Configuration.

 

 

Editar a configuração do roteamento dinâmico

 

  1. Selecione o endereço IP da interface Uplink como ID padrão do roteador. Neste caso, a interface Uplink é Transit_Network_01, e o endereço IP é 192.168.5.2.
  2. Clique em OK.

Observação: o ID do roteador é um identificador de 32 bits expressado na forma de endereço IP. Ele é importante na operação do OSPF porque indica a identidade do roteador em um sistema autônomo. No cenário do nosso laboratório, usamos um ID de roteador igual ao endereço IP da interface uplink no NSX Edge. A tela voltará para a seção Global Configuration com a opção Publish Changes.

Confirme se o campo Router ID contém o endereço IP associado ao switch lógico Transit_Network: 192.168.5.2. Se a alteração na configuração não foi aplicada com êxito, esse valor permanece em branco. Se isso acontecer, repita as etapas 1 e 2 acima para aplicar o ID do roteador novamente.

 

 

Configurar parâmetros específicos do OSPF

 

Usaremos o OSPF como protocolo de roteamento dinâmico entre Perimeter-Gateway-01 e Distributed-Router-01. Com isso, os dois roteadores poderão trocar informações sobre suas rotas conhecidas.

  1. Clique em OSPF.
  2. Clique em Edit para alterar a configuração do OSPF. A caixa de diálogo OSPF Configuration é aberta.

 

 

Configurar o roteamento do OSPF no Edge de perímetro

 

A seguir, vamos configurar o roteamento dinâmico em Perimeter-Gateway-01 (NSX Edge) para restaurar a conectividade com o aplicativo de três camadas.

  1. Clique em Back várias vezes até retornar à página de resumo NSX Edges com a lista de Edges.

 

 

Conferir a nova topologia

 

A nova topologia mostra o emparelhamento de rotas entre o roteador distribuído e o gateway de perímetro (NSX Edge). As rotas para qualquer rede conectada ao roteador distribuído serão passadas por meio do OSPF para o gateway de perímetro (NSX Edge). Também passamos todas as rotas do gateway de perímetro para o roteador vPod da rede física por meio do BGP.

A próxima seção abordará isso em mais detalhes.

 

 

Verificar a comunicação com o aplicativo de três camadas

 

Agora, as informações de roteamento estão sendo trocadas entre o roteador distribuído e o gateway de perímetro. Depois que o roteamento entre os dois NSX Edges for estabelecido, a conectividade com o aplicativo Web de três camadas será restaurada. Vamos verificar se o roteamento está operante acessando o aplicativo Web de três camadas.

  1. Clique na guia HOL - Customer Database do navegador (essa guia foi aberta em uma etapa anterior). A página pode exibir uma mensagem 504 Gateway Time-out da tentativa anterior.
  2. Clique em Reload.

Observação: pode levar algum tempo para concluir a propagação das rotas, já que o ambiente do laboratório é aninhado.

 

 

Roteamento distribuído e dinâmico concluído

Nesta seção, configuramos o roteamento dinâmico e distribuído. Na próxima seção, analisaremos o roteamento centralizado com o gateway de perímetro (NSX Edge).

 

Roteamento centralizado


Nesta seção, analisaremos diversos elementos para ver como o roteamento é configurado do gateway de serviços do NSX Edge (ESG) em direção ao norte. Isso inclui o modo como o roteamento dinâmico é controlado, atualizado e propagado por todo o ambiente do NSX. Verificaremos a troca das rotas entre o appliance ESG de perímetro do NSX e o appliance de roteamento virtual (roteador vPod) que executa e roteia o laboratório inteiro.

Observação especial: no desktop, você encontra um arquivo chamado README.txt. Ele contém os comandos da interface de linha de comando necessários para os exercícios do laboratório. Se você não puder digitá-los, copie-os e cole-os nas sessões PuTTY. Caso veja um número com "chaves {1}", isso significa que você precisa procurar o comando da interface de linha de comando referente a este módulo no arquivo de texto.


 

Topologia atual do laboratório

 

O diagrama acima mostra a topologia atual em que o OSPF é usado para trocar rotas entre o gateway de perímetro e o roteador distribuído. Observamos também o link em direção ao norte do gateway de perímetro até o roteador vPod. Esses roteadores trocam informações de roteamento por meio do BGP.

 

 

Analisar o roteamento do OSPF no gateway de perímetro

Vamos primeiro confirmar se o aplicativo Web está funcionando, depois faremos login no gateway de perímetro do NSX para visualizar os vizinhos OSPF e ver as informações de rotas existentes. Isso mostrará como o gateway de perímetro está aprendendo as rotas não apenas do roteador distribuído, mas também do roteador vPod que executa o laboratório inteiro.

 

 

Confirmar a funcionalidade do aplicativo de três camadas

 

  1. Abra uma nova guia do navegador.
  2. Clique no marcador Customer DB App.

 

 

Visualizar os vizinhos BGP

 

Vamos observar os vizinhos BGP de Perimeter-Gateway-01.

  1. Digite show ip bgp neighbors.
show ip bgp neighbors

 

 

Revisão das informações exibidas sobre o vizinho BGP

 

Vamos revisar as informações sobre os vizinhos BGP.

  1. BGP neighbor is 192.168.100.1: trata-se do ID do roteador vPod no ambiente do NSX.
  2. Remote AS 65002: esse é o número do sistema autônomo da rede externa do roteador vPod.
  3. BGP state = Established, up: isso significa que a adjacência do vizinho BGP está completa, e os roteadores BGP enviarão pacotes de atualização para trocar informações de roteamento.

 

 

Revisar as rotas no Edge de perímetro e a origem delas

 

Observe as rotas disponíveis em Perimeter-Gateway-01.

  1. Digite show ip route.
show ip route

 

 

Controle da distribuição de rotas BGP

Pode haver um cenário em que você apenas deseja que as rotas BGP sejam distribuídas dentro do ambiente virtual, mas não publicadas no world físico. A distribuição de rotas pode ser facilmente controlada e filtrada por meio da configuração do NSX Edge.

 

ECMP e alta disponibilidade


Nesta seção, adicionaremos um segundo gateway de perímetro à rede e usaremos o ECMP (Equal Cost Multipath Routing) para dimensionar horizontalmente a capacidade e a disponibilidade do Edge.  Com o NSX, podemos realizar uma adição in-place de um dispositivo Edge e ativar o ECMP.

O ECMP é um recurso de roteamento que permite encaminhar pacotes por vários caminhos redundantes. Esses caminhos podem ser adicionados estaticamente ou como resultado de cálculos de métrica por protocolos de roteamento dinâmico, como OSPF ou BGP. Depois que o próximo salto for selecionado para um determinado par de endereços IP de origem e de destino, o cache de rota armazenará o caminho selecionado. Todos os pacotes para esse fluxo vão para o próximo salto selecionado. O roteador lógico distribuído usa um algoritmo XOR para determinar o próximo salto em uma lista de caminhos ECMP possíveis. Esse algoritmo usa o endereço IP de origem e de destino no pacote de saída como origens de entropia.

Neste módulo, vamos configurar um novo gateway de perímetro e estabelecer um cluster ECMP entre os gateways de perímetro e o roteador lógico distribuído para aproveitar o aumento da capacidade e da disponibilidade.  Vamos testar a disponibilidade desligando um dos gateways de perímetro e observando os caminhos de roteamento resultantes.


 

Navegar até o NSX no vSphere Web Client

 

  1. Clique na guia vSphere Web Client do navegador.
  2. Clique no ícone Home.
  3. Clique em Networking & Security.

 

 

Modificar o Edge do gateway de perímetro

 

Precisamos primeiro modificar o NSX Edge do gateway de perímetro existente para remover o endereço IP secundário:

  1. Clique em NSX Edges.
  2. Clique duas vezes em Perimeter-Gateway-01.

 

 

 

  1. Clique em Manage.
  2. Clique em Settings.
  3. Clique em Interfaces.
  4. Clique para selecionar vNIC 0.
  5. Clique no lápis de edição.

 

 

Remover o endereço IP secundário

 

  1. Clique no lápis de edição.
  2. Clique no ícone X para excluir os endereços IP secundários.

Usaremos temporariamente esse endereço IP secundário nas etapas a seguir para o novo gateway de perímetro.

 

 

Confirmar a alteração

 

  1. Clique em OK.

Observação: se os botões OK e Cancel não estiverem visíveis, talvez seja necessário clicar na janela da caixa de diálogo Edit NSX Edge Interface. Isso acontece em virtude da limitação da resolução de tela disponível no laboratório.

 

 

Voltar para os NSX Edges

 

  1. Clique em Back várias vezes até retornar à página de resumo dos NSX Edges com a lista de Edges.

 

 

Adicionar outro Edge de gateway de perímetro

 

 

 

Selecionar e especificar um nome para o Edge

 

  1. Selecione Edge Services Gateway em Install Type.
  2. Digite Perimeter-Gateway-02 em Name.
  3. Clique em Next.

 

 

Definir a senha

 

  1. Digite VMware1!VMware1! em Password.
  2. Digite VMware1!VMware1! em Confirm password.
  3. Marque Enable SSH access.
  4. Clique em Next.

Observação: Todas as senhas dos NSX Edges são complexas e têm no mínimo 12 caracteres.

 

 

Adicionar um appliance Edge

 

  1. Clique no ícone do sinal de adição verde. A caixa de diálogo Add NSX Edge Appliance é exibida.
  2. Selecione RegionA01-MGMT01 em Cluster/Resource Pool.
  3. Selecione RegionA01-ISCSI01-COMP01 em Datastore.
  4. Selecione esx-04a.corp.local em Host.
  5. Clique em OK.

 

 

Continuar a implantação

 

  1. Clique em Next.

 

 

 

  1. Clique no ícone do sinal de adição verde. Isso adicionará a primeira interface.

 

 

Selecionar o switch em Connected To

 

É necessário escolher a interface do switch em direção ao norte (um grupo de portas distribuídas) para este gateway de perímetro.

  1. Clique no link Select à direita de Connected To.
  2. Clique em Distributed Virtual Port Group.
  3. Clique no botão de opção à esquerda de Uplink-RegionA01-vDS-MGMT para selecioná-lo.
  4. Clique em OK.

 

 

Especificar um nome e adicionar o IP

 

  1. Digite Uplink em Name.
  2. Selecione Uplink em Type.
  3. Clique no ícone do sinal de adição verde.
  4. Digite 192.168.100.4 em Primary IP Address.
  5. Digite 24 em Subnet Prefix Length.
  6. Clique em OK.

 

 

Adicionar a interface Transit do Edge

 

  1. Clique no ícone do sinal de adição verde. Isso adicionará a segunda interface.

 

 

Selecionar o switch em Connected To

 

É necessário escolher a interface do switch em direção ao norte (switch lógico baseado em VXLAN) para este gateway de perímetro.

  1. Clique em Select em Connected To.
  2. Clique em Logical Switch.
  3. Clique no botão de opção à esquerda de Transit_Network_01 (5005) para selecioná-lo.
  4. Clique em OK.

 

 

Especificar um nome e adicionar o IP

 

  1. Digite Transit_Network_01 em Name.
  2. Selecione Internal em Type.
  3. Clique no ícone do sinal de adição verde.
  4. Digite 192.168.5.4 em Primary IP Address.
  5. Digite 29 em Subnet Prefix Length.  Verifique se o Subnet Prefix Length (29) correto foi informado. Caso contrário, o laboratório não funcionará.
  6. Clique em OK.

 

 

Continuar a implantação

 

Verifique se as informações em IP Addresses e em Subnet Prefix Length correspondem aos valores exibidos no gráfico acima.

  1. Clique em Next.

 

 

Remover o gateway padrão

 

Estamos removendo o gateway padrão porque as informações são recebidas via OSPF.

  1. Desmarque Configure Default Gateway.
  2. Clique em Next.

 

 

Configurações padrão de firewall

 

  1. Marque Configure Firewall default policy.
  2. Selecione Accept em Default Traffic Policy.
  3. Clique em Next.

 

 

Finalizar a implantação

 

  1. Clique em Finish. Isso iniciará a implantação.

 

 

Implantação do Edge

 

A implantação do NSX Edge leva alguns minutos.

  1. A seção NSX Edges mostra 1 Installing durante a implantação do Perimeter-Gateway-02.
  2. O status do Perimeter-Gateway-02 será indicado como Busy. Isso significa que a implantação está em andamento.
  3. Clique no ícone de atualização no vSphere Web Client para atualizar o status da implantação do Perimeter-Gateway-02.

Quando o status do Perimeter-Gateway-02 estiver indicado como Deployed, poderemos prosseguir para o próximo passo.

 

 

Configurar o roteamento no novo Edge

 

Será necessário configurar o OSPF no Perimeter-Gateway-02 (NSX Edge) antes de ativar o ECMP.

  1. Clique duas vezes em Perimeter-Gateway-02.

Observação: se o nome completo do gateway não estiver visível, passe o ponteiro do mouse sobre o nome dele para ver uma dica de ferramenta.

 

 

Ativar o ECMP

 

Agora, vamos ativar o ECMP no roteador distribuído e nos gateways de perímetro

  1. Clique em Back várias vezes até retornar à página de resumo dos NSX Edges com a lista de Edges.

 

 

Visão geral da topologia

 

Neste estágio, esta é a topologia do laboratório.  Ela inclui o novo gateway de perímetro adicionado, o roteamento configurado e o ECMP ativado.

 

 

Verificar a funcionalidade ECMP do roteador distribuído

 

Agora vamos acessar o roteador distribuído para garantir que o OSPF está se comunicando e que o ECMP está funcionando.

  1. Clique no ícone Home.
  2. Clique em VMs and Templates.

 

 

Verificar a funcionalidade ECMP do roteador vPod

 

Observação: para liberar o cursor da janela, pressione as teclas Ctrl+Alt.

Agora vamos analisar o ECMP do roteador vPod, que simula um roteador físico em sua rede.

  1. Clique no ícone PuTTY na barra de tarefas.

 

 

Desligar o gateway de perímetro 01

 

Vamos simular um nó que ficará off-line desligando o Perimeter-Gateway-01.

Volte para a guia vSphere Web Client do navegador.

  1. Expanda RegionA01.
  2. Clique com o botão direito do mouse em Perimeter-Gateway-01-0.
  3. Clique em Power.
  4. Clique em Shut Down Guest OS.

 

 

Testar a alta disponibilidade com ECMP

 

Com o ECMP, o BGP e o OSPF no ambiente, poderemos alterar as rotas dinamicamente caso haja uma falha em um determinado caminho.  Agora vamos simular a queda de um dos caminhos e a redistribuição das rotas.

  1. Clique no ícone do prompt de comando na barra de tarefas.

 

 

Acessar o console da VM do roteador distribuído

 

  1. Clique na guia Distributed-01-0 do navegador.

O console da VM é exibido como uma tela preta quando é iniciado na guia do navegador. Clique na tela preta e pressione Enter algumas vezes para fazer o console da VM aparecer no protetor de tela.

 

 

Ligar o gateway de perímetro 01

 

Volte para a guia vSphere Web Client do navegador.

  1. Expanda RegionA01.
  2. Clique com o botão direito do mouse em Perimeter-Gateway-01-0.
  3. Clique em Power.
  4. Clique em Power On.

 

 

Voltar para o teste de ping

 

  • Na barra de tarefas, volte para o prompt de comando que está executando o teste de ping.

 

 

Acessar o console da VM do roteador distribuído

 

  1. Clique na guia Distributed-01-0 do navegador.

O console da VM é exibido como uma tela preta quando é iniciado na guia do navegador. Clique na tela preta e pressione Enter algumas vezes para fazer o console da VM aparecer no protetor de tela.

 

Antes de passar para o Módulo 4, conclua as etapas de limpeza a seguir


Caso planeje prosseguir para qualquer outro módulo deste laboratório depois de concluir o Módulo 2, você deverá concluir as etapas a seguir ou o laboratório não funcionará adequadamente daqui em diante.


 

Excluir o segundo dispositivo Edge de perímetro

 

Volte para a guia vSphere Web Client do navegador.

  1. Clique no ícone Home.
  2. Clique em Networking & Security.

 

 

Excluir o Perimeter-Gateway-02

 

Precisamos excluir o Perimeter-Gateway-02 que criamos.

  1. Clique em NSX Edges.
  2. Clique para selecionar o Perimeter-Gateway-02.
  3. Clique no X vermelho para excluir o Perimeter-Gateway-02.

 

 

Confirmar exclusão

 

  1. Clique em Yes.

 

 

Desativar o ECMP no DLR e no Perimeter-Gateway-01

 

  1. Clique duas vezes em Distributed-Router-01.

 

 

Desativar o ECMP no roteador distribuído

 

  1. Clique em Manage.
  2. Clique em Routing.
  3. Clique em Global Configuration.
  4. Clique em Stop.

 

 

Publicar a alteração

 

  1. Clique em Publish Changes para enviar a alteração de configuração por push.

 

 

Voltar para os dispositivos Edge

 

  1. Clique em Back várias vezes até retornar à página de resumo NSX Edges com a lista de Edges.

 

 

Acessar o gateway de perímetro 01

 

  1. Clique duas vezes em Perimeter-Gateway-01.

 

 

Desativar o ECMP no gateway de perímetro 01

 

  1. Clique em Manage.
  2. Clique em Routing.
  3. Clique em Global Configuration.
  4. Clique em Stop.

 

 

Publicar a alteração

 

  1. Clique em Publish Changes para enviar a alteração de configuração por push.

 

 

Ativar o firewall no gateway de perímetro 01

 

  1. Clique em Manage.
  2. Clique em Firewall.
  3. Clique em Start.

 

 

Publicar a alteração

 

  1. Clique em Publish Changes para atualizar a configuração em Perimeter-Gateway-01 (NSX Edge).

 

Conclusão do Módulo 3


Neste módulo, falamos sobre os recursos de roteamento do roteador lógico distribuído (DLR) e do gateway de serviços do Edge (ESG) do NSX por meio da execução das seguintes tarefas:

  1. Migração de switches lógicos do gateway de serviços do Edge (ESG) para o roteador lógico distribuído (DLR).
  2. Roteamento dinâmico configurado entre o ESG e o DLR por meio do OSPF.
  3. Revisão dos recursos de roteamento centralizado do ESG, incluindo emparelhamento de rota dinâmica.
  4. Demonstração do dimensionamento e da disponibilidade do ESG com a implantação de um segundo ESG e o estabelecimento do emparelhamento de rota entre eles por meio da configuração do roteamento de ECMP (equal-cost multi-path).
  5. Remoção das configurações de rota do ESG2 e do ECMP.

 

Você concluiu o Módulo 3

Parabéns por concluir o Módulo 3.

Se deseja obter informações adicionais sobre a implantação do NSX, acesse o Centro de documentação do NSX 6.4 no URL abaixo:

Prossiga para qualquer um dos seguintes módulos:

Lista de módulos do laboratório:

Responsáveis pelo laboratório:

  • Módulos 1 a 4: Joe Collon, engenheiro de sistemas da equipe do NSX, Estados Unidos

 

 

Como encerrar o laboratório

 

Para encerrar o laboratório, clique no botão END.  

 

Módulo 4: Gateway de serviços do Edge (60 minutos)

Gateway de serviços do Edge: visão geral do módulo


O gateway de serviços do NSX Edge (ESG, Edge Services Gateway) oferece serviços de segurança e roteamento de perímetro de rede dentro e fora do ambiente virtualizado. Conforme demonstrado nos módulos anteriores, o ESG tem diversas opções de passagem do tráfego norte-sul de modo dimensionável e resiliente.

O gateway de serviços do NSX Edge (DLR) proporciona roteamento leste-oeste otimizado com base em kernel no ambiente do NSX. O roteamento distribuído permite que as cargas de trabalho que residem no ambiente do NSX se comuniquem de maneira eficaz diretamente umas com as outras, o que elimina a necessidade de direcionamento do tráfego por meio de uma interface de roteamento tradicional.

Além dos recursos de roteamento, o gateway de serviços do NSX Edge oferece diversos serviços avançados de gateway. Alguns desses serviços incluem DHCP, VPN, NAT, balanceamento de carga e firewall tradicional de camada 3. Para aproveitar esses recursos, basta ativá-los na configuração do ESG.

Usaremos este módulo para ver alguns desses serviços oferecidos pelo ESG. Ao final deste módulo, você terá realizado os seguintes procedimentos:

  • Implantar um novo gateway de serviços do Edge
  • Configurar o balanceamento de carga no gateway de serviços do Edge
  • Verificar a configuração do balanceador de carga
  • Configurar o firewall do gateway de serviços do Edge de camada 3
  • Configurar a transmissão DHCP
  • Configurar o L2VPN

A descrição completa desses e de outros recursos do gateway de serviços do Edge está disponível por meio de um link no final deste módulo.


Implantar o gateway de serviços do Edge para o balanceamento de carga


O gateway de serviços do NSX Edge inclui a funcionalidade de balanceamento de carga. A implementação de um balanceador de carga oferece muitas vantagens, como utilização eficiente dos recursos, dimensionamento e resiliência no nível do aplicativo. Com ele, é possível reduzir o tempo de resposta dos aplicativos, dimensionar um aplicativo além dos recursos de um único servidor e ainda usá-lo para diminuir a carga no servidor de back-end por meio de descarga HTTPS.

O serviço de balanceamento de carga pode ser executado em TCP ou UDP na camada 4, e em HTTP ou HTTPS na camada 7.

Nesta seção, vamos implantar e configurar um novo appliance do NSX Edge como balanceador de carga de "braço único".


 

Validar se o laboratório está pronto

 

  • O status do laboratório é mostrado no desktop da VM do console principal do Windows.

As verificações de validação garantem que todos os componentes do laboratório sejam corretamente implantados. Quando a validação for concluída, o status será atualizado para Ready (verde). Devido a restrições de recursos do ambiente, pode ocorrer uma falha na implantação do laboratório.

 

 

Aumentar o espaço na tela ao recolher o painel de tarefas direito

 

Clique nos pinos para recolher os painéis de tarefas e aumentar o espaço de visualização no painel principal.  Você também pode recolher o painel esquerdo para aumentar o espaço ao máximo.

 

 

Navegar até Networking & Security no vSphere Web Client

 

  1. Clique no ícone Home.
  2. Clique em Networking & Security.

 

 

Criação de um novo gateway de serviços do Edge

 

Vamos configurar o serviço de balanceamento de carga em um novo gateway de serviços do Edge. Para começar a implantação de um novo gateway de serviços do Edge, faça o seguinte:

  1. Clique em NSX Edges.
  2. Clique no ícone do sinal de adição verde.

 

 

Definição do nome e do tipo

 

  1. Digite OneArm-LoadBalancer em Name.
  2. Clique em Next.

 

 

Configuração da conta de administrador

 

  1. Digite VMware1!VMware1! em Password.
  2. Digite VMware1!VMware1! em Confirm password.
  3. Marque Enable SSH access.
  4. Clique em Next.

Observação: Todas as senhas dos NSX Edges são complexas e têm no mínimo 12 caracteres.

 

 

Definição do tamanho do Edge e do posicionamento da VM

 

Há quatro tamanhos diferentes de appliance para o gateway de serviços do Edge. Veja a seguir as especificações:

  • Compact: 1 vCPU, 512 MB RAM
  • Large: 2 vCPUs, 1024 MB RAM
  • Quad Large: 4 vCPUs, 2 GB RAM
  • X-Large: 6 vCPUs, 8 GB RAM

Selecionaremos um Edge de tamanho compacto para este novo gateway de serviços do Edge, mas é possível também configurar esses gateways com qualquer outro tamanho após a implantação. Para continuar com a criação do novo gateway de serviços do Edge:

  1. Clique no ícone do sinal de adição verde. A janela pop-up Add NSX Edge Appliances é aberta.

 

 

Posicionamento do cluster/datastore

 

  1. Selecione RegionA01-MGMT01 como Cluster/Resource Pool.
  2. Selecione RegionA01-ISCSI01-COMP01 como Datastore.
  3. Selecione esx-05a.corp.local como Host.
  4. Clique em OK.

 

 

Configurar a implantação

 

  1. Clique em Next.

 

 

Posicionamento de uma nova interface de rede no NSX Edge

 

Já que ele é um balanceador de carga de braço único, só precisará de uma interface de rede.

  1. Clique no ícone do sinal de adição verde.

 

 

Configuração da nova interface de rede do NSX Edge

 

Vamos configurar a primeira interface de rede para este novo NSX Edge.  

  1. Digite WebNetwork em Name.
  2. Selecione Uplink em Type.
  3. Clique em Select.

 

 

Seleção de rede para a nova interface do Edge

 

A interface do balanceador de carga de braço único residirá na mesma rede que os dois servidores Web para os quais ela oferecerá os serviços de balanceamento de carga.

  1. Clique em Logical Switch.
  2. Clique no botão de opção à esquerda de Web_Tier_Logical_Switch (5006) para selecioná-lo.
  3. Clique em OK.

 

 

Configuração de sub-redes

 

  1. Clique no ícone do sinal de adição verde. Em seguida, você poderá configurar o endereço IP desta interface.

 

 

Configurar o endereço IP e a sub-rede

 

Para adicionar um novo endereço IP a esta interface:

  1. Digite 172.16.10.10 em Primary IP Address.
  2. Digite 24 em Subnet Prefix Length.
  3. Clique em OK.

 

 

Confirmar a lista de interfaces

 

Verifique se as informações em IP Address e Subnet Prefix Length correspondem às da imagem acima.

  1. Clique em Next.

 

 

Configuração do gateway padrão

 

  1. Digite 172.16.10.1 em Gateway IP.
  2. Clique em Next.

 

 

Configuração de opções de firewall e de HA

 

  1. Marque Configure Firewall default policy.
  2. Selecione Accept em Default Traffic Policy.
  3. Clique em Next.

 

 

Revisão da configuração geral e conclusão

 

  1. Clique em Finish para iniciar a implantação.

 

 

Monitoramento da implantação

 

A implantação do NSX Edge pode levar algum tempo.

  1. A seção NSX Edges mostra 1 Installing durante a implantação do OneArm-LoadBalancer.
  2. O status do OneArm-LoadBalancer será indicado como Busy. Isso significa que a implantação está em andamento.
  3. Clique no ícone de atualização no vSphere Web Client para atualizar o status da implantação do OneArm-LoadBalancer.

Quando o status do OneArm-LoadBalancer estiver indicado como Deployed, você poderá prosseguir para o próximo passo.

 

Configurar o gateway de serviços do Edge para o balanceador de carga


Agora que o gateway de serviços do Edge foi implantado, vamos configurar os serviços de balanceamento de carga.


 

Configurar o serviço do balanceador de carga

 

O diagrama acima representa a topologia final do balanceador de carga que o novo gateway de serviços do NSX Edge (ESG) OneArm-LoadBalancer oferece. Depois de configurado, esse ESG residirá no Web_Tier_Logical_Switch existente. A conectividade do gateway com o switch lógico é estabelecida pelo ESG Perimeter-Gateway-01 existente.

O serviço de balanceamento de carga do ESG aceitará conexões de cliente que chegam ao endereço IP 172.16.10.10 do servidor virtual. Ao receber uma nova solicitação de conexão de entrada, o balanceador de carga a associará a um servidor interno da lista de membros do pool predefinidos. Neste exemplo, haverá dois membros do pool: web-01a.corp.local (172.16.10.11) e web-02a.corp.local (172.16.10.12).

Com isso, o balanceador de carga pode oferecer um único endpoint para clientes de entrada e distribuir essas conexões entre vários servidores Web internos de forma transparente. Se ocorrer falha em um servidor Web ou ele ficar indisponível por outra razão, o balanceador de carga detectará o problema e removerá o servidor de sua lista de membros ativos do pool.  Os monitores de serviço são usados para verificar periodicamente a integridade de todos os membros do pool. Quando o servidor com falha voltar a operar, ele será reintegrado como membro ativo do pool.

 

 

Configurar o recurso do balanceador de carga no balanceador de carga de braço único

 

  1. Clique duas vezes em OneArm-LoadBalancer.

 

 

Navegar até o novo NSX Edge

 

  1. Clique em Manage.
  2. Clique em Load Balancer.
  3. Clique em Global Configuration.
  4. Clique em Edit para alterar a configuração global do balanceador de carga.

 

 

Editar a configuração global do balanceador de carga

 

Para ativar o serviço do balanceador de carga:

  1. Marque Enable Load Balancer.
  2. Clique em OK.

 

 

Criação de um novo perfil de aplicativo

 

Definimos o comportamento de um tipo de tráfego de rede comum por meio de um perfil de aplicativo. Esses perfis são aplicados a um servidor virtual (VIP) que processará o tráfego com base nos valores especificados no perfil do aplicativo.  

A utilização de perfis pode tornar as tarefas de gerenciamento de tráfego menos propensas a erro e mais eficientes.  

  1. Clique em Application Profiles
  2. Clique no ícone do sinal de adição verde. A janela New Profile é aberta.

 

 

Configuração do HTTPS de um novo perfil de aplicativo

 

Para o novo perfil de aplicativo, configure o seguinte:

  1. Digite OneArmWeb-01 em Name.
  2. Selecione HTTPS em Type.
  3. Marque Enable SSL Passthrough. Esse procedimento configura o serviço de balanceamento de carga para transmitir conexões HTTPS por meio do balanceador de carga não inspecionado, sendo encerrado no servidor do pool.
  4. Clique em OK.

 

 

Definir o monitor de serviço HTTPS personalizado

 

Os monitores garantem que os membros do pool que atendem a um servidor virtual estejam em operação. O monitor HTTPS padrão usará uma solicitação GET HTTP básica ("GET /"). Definiremos um monitor personalizado que realizará a verificação de integridade referente a um URL específico do aplicativo. Isso verificará se o servidor Web responde às conexões e também confirmará o funcionamento adequado do nosso aplicativo.

  1. Clique em Service Monitoring.
  2. Clique no sinal de adição verde para definir um novo monitor.

 

 

Definir o novo monitor

 

Insira as seguintes informações para definir o novo monitor:

  1. Digite custom_https_monitor em Name.
  2. Selecione HTTPS em Type.
  3. Digite /cgi-bin/app.py em URL.
  4. Clique em OK.

 

 

Criar um novo pool

 

Um grupo de servidores de pool é a entidade que representa os nós com os quais o balanceamento de carga do tráfego está sendo feito. Adicionaremos os dois servidores Web web-01a e web-02a a um novo pool. Para criar um novo pool:

  1. Clique em Pools.
  2. Clique no ícone do sinal de adição verde. A janela pop-up New Pool é aberta.

 

 

Configuração do novo pool

 

Para as configurações neste novo pool, defina o seguinte:

  1. Digite Web-Tier-Pool-01 em Name.
  2. Selecione default_https_monitor em Monitors.
  3. Clique no ícone do sinal de adição verde.

 

 

Adicionar membros ao pool

 

  1. Digite web-01a em Name.
  2. Digite 172.16.10.11 em IP Address/VC Container.
  3. Digite 443 em Port.
  4. Digite 443 em Monitor Port.
  5. Clique em OK.

Repita o processo acima para adicionar o segundo membro do pool usando as seguintes informações:

  • Name: web-02a
  • IP Address: 172.16.10.12
  • Port: 443
  • Monitor Port: 443

 

 

Salvar as configurações do pool

 

  1. Clique em OK.

 

 

Criar um novo servidor virtual

 

Um servidor virtual é a entidade que aceita conexões de entrada do "front-end" de uma configuração com balanceamento de carga. O tráfego do usuário é direcionado para o endereço IP do servidor virtual e, em seguida, redistribuído aos membros do pool no "back-end" do balanceador de carga. Para configurar um novo servidor virtual neste gateway de serviços do Edge e concluir a configuração de balanceamento de carga, faça o seguinte:

  1. Clique em Virtual Servers
  2. Clique no ícone do sinal de adição verde. A janela pop-up New Virtual Server é aberta.

 

 

Configurar o novo servidor virtual

 

Configure as opções a seguir para este novo servidor virtual:

  1. Digite Web-Tier-VIP-01 em Name.
  2. Digite 172.16.10.10 em IP Address.
  3. Selecione HTTPS em Protocol.
  4. Selecione Web-Tier-Pool-01.
  5. Clique em OK.

 

Como verificar a configuração do balanceador de carga do gateway de serviços do Edge


Agora que configuramos os serviços de balanceamento de carga, verificaremos a configuração.


 

Testar o acesso ao servidor virtual

 

  1. Abra uma nova guia do navegador.
  2. Clique para expandir a lista de marcadores.
  3. Clique para selecionar o marcador 1-Arm LB Customer DB.
  4. Clique em Advanced.

 

 

Ignorar o erro de SSL

 

  1. Clique em Proceed to 172.16.10.10 (unsafe).

 

 

Testar o acesso ao servidor virtual

 

O acesso ao balanceador de carga de braço único deve ser bem-sucedido.

  1. Clique no ícone de atualização. Dessa forma, você poderá ver o balanceador de carga distribuir as conexões entre os dois membros do pool.

Observação: em virtude do armazenamento em cache no Chrome, pode parecer que as atualizações seguintes não utilizam os dois servidores.

 

 

Mostrar as estatísticas do pool

 

Volte para a guia vSphere Web Client do navegador.

Para ver o status dos membros individuais do pool:

  1. Clique em Pools.
  2. Clique em Show Pool Statistics.
  3. Clique em "pool-1". Nós veremos o status atual de cada membro.
  4. Feche a janela clicando no X.

 

 

Melhoria da resposta do monitor (verificação de integridade)

 

Para ajudar na solução de problemas, os comandos "show ...pool" do balanceador de carga do NSX usam as informações detalhadas sobre falhas de membros do pool. Criaremos duas falhas diferentes e analisaremos a resposta usando os comandos show no Edge Gateway OneArm-LoadBalancer-0.

  1. Digite loadbalancer na caixa de pesquisa. A caixa de pesquisa está localizada no canto superior direito do vSphere Web Client.
  2. Clique em "OneArm-LoadBalancer-0".

 

 

Abrir o console do balanceador de carga

 

  1. Clique em Summary.
  2. Clique no console da VM.

 

 

Fazer login no OneArm-LoadBalancer-0

 

  1. Faça login como admin.
  2. Digite VMware1!VMware1! como senha.

 

 

Analisar o status do pool antes da falha

 

  1. Digite show service loadbalancer pool.
show service loadbalancer pool

Observação: o status dos membros do pool, web-01a e web-02a, aparece como "UP".

 

 

Iniciar o PuTTY

 

  1. Clique em PuTTY na barra de tarefas.

 

 

SSH para web-01a.corp.local

 

  1. Role para baixo até web-01a.corp.local.
  2. Selecione web-01a.corp.local.
  3. Clique em Load.
  4. Clique em Open.

 

 

Parar o serviço Nginx

 

Desligaremos o HTTPS para simular a primeira condição de falha

  1. Digite systemctl stop nginx.
systemctl stop nginx

 

 

Console do balanceador de carga

 

  1. Digite show service loadbalancer pool.
show service loadbalancer pool

Como o serviço está inativo, os detalhes da falha mostram que o processo do monitor de integridade do balanceador de carga não pôde estabelecer uma sessão SSL.

 

 

Iniciar o serviço NGINX

 

Volte para a sessão SSH do Putty para web-01a.

1. Digite systemctl start nginx.

systemctl start nginx

 

 

Desligar o web-01a

 

Volte para a guia vSphere Web Client do navegador.

  1. Digite web-01a na caixa de pesquisa. A caixa de pesquisa está localizada no canto superior direito do vSphere Web Client.
  2. Clique em web-01a.

 

 

Desligar o web-01a

 

  1. Clique em Actions.
  2. Clique em Power.
  3. Clique em Power Off.
  4. Clique em Yes para confirmar.

 

 

Verificar o status do pool

 

  1. Digite show service loadbalancer pool.
show service loadbalancer pool

Como a VM está inativa no momento, os detalhes da falha mostram que o cliente não pôde estabelecer a conexão L4, ao contrário da conexão L7 (SSL) da etapa anterior.

 

 

Ligar o web-01a

 

Volte para a guia vSphere Web Client do navegador.

  1. Clique em Actions.
  2. Clique em Power.
  3. Clique em Power On.

 

 

Conclusão

Neste laboratório, implantamos e configuramos um novo gateway de serviços do Edge e ativamos os serviços de balanceamento de carga no aplicativo 1-Arm LB Customer DB.

Isso conclui a lição sobre o balanceador de carga do gateway de serviços do Edge. Em seguida, aprenderemos mais sobre o firewall do gateway de serviços do Edge.

 

Firewall do gateway de serviços do Edge


O firewall do NSX Edge monitora o tráfego norte-sul para oferecer recursos de segurança de perímetro. Ele é diferente do firewall distribuído do NSX, em que a política é aplicada à NIC virtual de cada VM.

O firewall do Edge ajuda você a cumprir os principais requisitos de segurança de perímetro, como criação de zonas desmilitarizadas com base em estruturas de IP/VLAN, isolamento entre locatários em data centers virtuais multilocatário e aplicação de firewall roteado tradicional a dispositivos físicos em que o firewall distribuído não é uma opção.


 

Como trabalhar com regras do firewall do NSX Edge

Tanto o gateway de serviços do Edge quanto o roteador lógico incluem uma guia de configuração de firewall, embora existam diferenças significativas relacionadas à aplicação da política. Ao aplicar regras de firewall a um roteador lógico, as políticas são impostas à máquina virtual de controle do roteador lógico e não são um componente do caminho de dados. Para proteger o tráfego do caminho de dados, é possível usar as regras do firewall lógico (distribuído) para proteção leste-oeste na NIC virtual ou aplicar regras no nível do gateway de serviços do NSX Edge para proteção norte-sul (ou para roteamento entre port groups baseados em VLAN física).

Durante a criação de regras na interface de usuário do firewall do NSX que são aplicáveis a um NSX Edge Gateway, elas são exibidas no modo somente leitura no Edge. Quando há regras em vários locais, elas são exibidas e impostas na seguinte ordem:

  1. Regras definidas pelo usuário da interface de usuário do firewall (somente leitura).
  2. Regras autoconfiguradas (criadas automaticamente para possibilitar o controle do tráfego em serviços do Edge).
  3. Regras definidas pelo usuário na interface de usuário do firewall do NSX Edge.
  4. Regra padrão.

 

 

Abrir Network & Security

 

  1. Clique no ícone Home.
  2. Clique em Networking & Security.

 

 

Abrir um NSX Edge

 

  1. Clique em NSX Edges.
  2. Clique duas vezes em Perimeter Gateway-01.

 

 

Abrir a guia Manage

 

  1. Clique em Manage.
  2. Clique em Firewall.
  3. Clique para selecionar Default Rule.
  4. Clique no ícone de lápis na coluna Action.
  5. Selecione Deny no campo Action.

Observação: o NSX inclui três ações disponíveis para uma regra de firewall, conforme mostrado a seguir:

  • Accept: o tráfego que corresponder a uma regra com essa ação fluirá normalmente.
  • Deny: o tráfego que corresponder a uma regra com essa ação será descartado, e nenhuma notificação será enviada para a origem do tráfego.
  • Reject: o tráfego que corresponder a uma regra com essa ação será descartado, de forma similar ao que ocorre com Deny, mas uma mensagem de ICMP não acessível será enviada ao endereço IP de origem do pacote originário.

 

 

Publicar as alterações

 

Não faremos alterações permanentes na configuração do firewall do gateway de serviços do Edge.

  1. Clique em Revert para reverter as alterações.

 

 

Adição de uma regra de firewall do gateway de serviços do Edge

 

Agora que já sabemos como editar uma regra de firewall do gateway de serviços do Edge existente, adicionaremos uma nova regra de firewall do Edge para bloquear o acesso do Control Center ao aplicativo Customer DB.

  1. Clique no ícone do sinal de adição verde para adicionar uma nova regra de firewall.
  2. Passe o cursor do mouse sobre o canto superior direito da coluna Name e clique no ícone de lápis.
  3. Digite Main Console FW Rule em Rule Name.
  4. Clique em OK.

 

 

Especificar a origem

 

Passe o cursor do mouse no canto superior direito da coluna Source e clique no ícone de lápis.

  1. Clique no menu suspenso Object Type e selecione IP Sets.
  2. Clique no hiperlink New IP Set...
  3. Digite Main Console em Name.
  4. Digite 192.168.110.10 como endereço IP.
  5. Clique em OK.

 

 

Especificar a origem

 

  1. Selecione IP Sets na lista Object Type.
  2. Clique para selecionar Main Console na lista Available Objects.
  3. Clique na seta para a direita. Esse procedimento moverá o objeto para a lista Selected Objects.
  4. Confirme se Main Console está na lista Selected Objects e clique em OK.

 

 

Especificar o destino

 

Passe o cursor do mouse no canto superior direito da coluna Destination e clique no ícone de lápis.

  1. Selecione Logical Switch na lista Object Type.
  2. Clique para selecionar Web_Tier_Logical_Switch na lista Available Objects.
  3. Clique na seta para a direita. Esse procedimento moverá o objeto para a lista Selected Objects.
  4. Confirme se Web_Tier_Logical_Switch está na lista Selected Objects e clique em OK.

 

 

Configurar ação

 

  1. Clique no ícone de lápis na coluna Action.
  2. Selecione Reject no campo Action.
  3. Clique em OK.

Observação: Reject foi selecionado em vez de Deny para acelerar a falha do servidor Web nas etapas seguintes. Se Deny for selecionado, o fluxo será reduzido e acabará atingindo o tempo limite. Como escolhemos Reject acima, uma mensagem de ICMP é enviada ao console principal quando uma tentativa de conexão é realizada, informando imediatamente a falha na conexão para o sistema operacional. É recomendável usar Deny como prática recomendada de segurança geral.

 

 

Publicar as alterações

 

  1. Clique em Publish Changes para atualizar a configuração em Perimeter-Gateway-01 (NSX Edge).

 

 

Testar a nova regra de firewall

 

Agora que já configuramos uma nova regra de firewall que bloqueará o acesso do Control Center ao switch lógico da camada Web, vamos executar um teste rápido:

  1. Abra uma nova guia do navegador.
  2. Clique no marcador Customer DB App.

Verifique se Main Console não pode acessar o Customer DB App. Veremos uma página do navegador informando que o site não pode ser acessado. Agora, vamos modificar a regra de firewall para permitir que o Main Console acesse o Customer DB App.

 

 

Alterar Main Console FW Rule para Accept

 

Volte para a guia vSphere Web Client do navegador.

  1. Clique no ícone de lápis na coluna Action de Main Console FW Rule.
  2. Selecione Accept no campo Action.
  3. Clique em OK.

 

 

 

Publicar as alterações

 

  1. Clique em Publish Changes para atualizar a configuração em Perimeter-Gateway-01 (NSX Edge).

 

 

Confirmar acesso ao Customer DB App

 

Volte para a guia Customer DB App do navegador.

  1. Clique no ícone de atualização.

Como a regra de firewall do Main Console foi alterada para "Accept", agora o Main Console pode acessar o Customer DB App.

 

 

Excluir Main Console FW Rule

 

  1. Clique para selecionar Main Console FW Rule.
  2. Clique no X vermelho para excluir a regra de firewall.
  3. Clique em OK para confirmar.

 

 

Publicar as alterações

 

  1. Clique em Publish Changes para atualizar a configuração em Perimeter-Gateway-01 (NSX Edge).

 

 

Conclusão

Neste laboratório, aprendemos a modificar uma regra de firewall existente e a configurar uma nova regra de firewall do gateway de serviços do Edge que bloqueia o acesso externo ao Customer DB App.

Com isso, concluímos a lição sobre firewall do gateway de serviços do Edge. Em seguida, saberemos mais sobre como o gateway de serviços do Edge gerencia os serviços DHCP.

 

Transmissão DHCP


Em uma rede onde há apenas segmentos de rede única, os clientes DHCP podem se comunicar diretamente com o servidor DHCP. Os servidores DHCP também podem incluir vários endereços IP para diversas redes, incluindo as que estão em um segmento diferente do próprio servidor. Em virtude da qualidade de broadcast do DHCP, o servidor DHCP não pode se comunicar diretamente com os clientes que fazem a solicitação ao servir endereços IP para intervalos fora de sua rede local.

Nesse tipo de situação, um agente de transmissão DHCP é usado para transmitir a solicitação DHCP emitida pelos clientes. Para fazer isso, direcione a solicitação de broadcast ao servidor DHCP designado como pacote unicast. O servidor DHCP selecionará um escopo DHCP com base no intervalo de endereços de origem do unicast. O pacote de resposta DHCP é enviado ao endereço de transmissão, que depois é emitido novamente para o cliente na rede original.

Áreas tratadas neste laboratório:

  • Criar um novo segmento de rede no NSX
  • Ativar o agente de transmissão DHCP no novo segmento de rede
  • Utilizar um escopo DHCP pré-criado em um servidor DHCP que requer transmissão DHCP
  • Inicializar uma VM em branco pela rede (PXE) por meio das opções do escopo DHCP

Neste laboratório, os itens a seguir foram pré-configurados:

  • Servidor DHCP baseado no Windows Server com o escopo DHCP e o conjunto de opções do escopo adequados
  • Servidor TFTP para os arquivos de inicialização PXE. Esse servidor foi instalado e configurado, e os arquivos do sistema operacional foram carregados.

 

Topologia do laboratório

 

Esse diagrama ilustra a topologia que será criada e usada neste módulo do laboratório.

 

 

Acessar o NSX por meio do vSphere Web Client

 

  1. Clique no ícone Home.
  2. Clique em Networking & Security.

 

 

Criar um novo switch lógico

 

Primeiro, devemos criar um novo switch lógico que executará a nossa nova rede 172.16.50.0/24.

  1. Clique em Logical Switches.
  2. Clique no ícone do sinal de adição verde para criar um novo switch lógico.

 

 

Conectar o switch lógico ao gateway de perímetro

 

Agora, conectaremos o switch lógico a uma interface no gateway de perímetro.  Essa interface será o gateway padrão para a rede 172.16.50.0/24 com o endereço 172.16.50.1.

  1. Clique em NSX Edges.
  2. Clique duas vezes em Perimeter-Gateway-01.

 

 

Configurar a transmissão DHCP

 

Permanecendo no gateway de perímetro, você deverá fazer a configuração global da transmissão DHCP.

  1. Clique em Manage.
  2. Clique em DHCP.
  3. Clique em Relay.
  4. Clique em Edit.

 

 

Criar uma VM em branco para a inicialização PXE

 

Agora criaremos uma VM em branco que será inicializada por PXE do servidor DHCP para onde estamos transmitindo.

  1. Clique no ícone Home.
  2. Clique em Hosts and Clusters.

 

 

Acessar a VM recém-criada

 

Em seguida, abriremos um console para esta VM para observar enquanto ela é inicializada pela imagem PXE. Ela recebe essas informações por meio do servidor DHCP remoto configurado anteriormente.

  1. Clique em PXE VM.
  2. Clique em Summary.
  3. Clique em VM Console.

 

 

Verificar a concessão de DHCP

 

Enquanto aguardamos a inicialização da VM, podemos verificar o endereço usado nas concessões de DHCP.

  1. Vá para o desktop do console principal e clique duas vezes no ícone DHCP.

 

 

Acessar a VM inicializada

 

  1. Clique na guia PXE VM do navegador.

 

 

Verificar o endereço e a conectividade

 

O widget no canto superior direito da VM mostra as estatísticas com o IP da VM. Ele deve corresponder ao IP mostrado no DHCP anteriormente.

 

 

Conclusão

Nesta seção, concluímos a criação de um novo segmento de rede e transmitimos as solicitações DHCP da rede para um servidor DHCP externo. Ao fazermos isso, pudemos acessar outras opções de inicialização desse servidor DHCP externo e inicializá-lo por PXE em um SO Linux.

Em seguida, vamos analisar os serviços L2VPN do gateway de serviços do Edge.

 

Configuração do L2VPN


Nesta seção, usaremos os recursos L2VPN do NSX Edge Gateway para estender um limite L2 entre dois clusters do vSphere separados. Para demonstrar esse recurso, implantaremos um servidor L2VPN do NSX Edge no cluster RegionA01-MGMT01 e um cliente L2VPN do NSX Edge no cluster RegionA01-COMP01. Por fim, testaremos o status do túnel para garantir a configuração adequada.


 

Como abrir o Google Chrome e navegar até o vSphere Web Client

 

  1. Abra o navegador Google Chrome no desktop (se ainda não estiver aberto).

 

 

Navegar até a seção Networking & Security do vSphere Web Client

 

  1. Clique no ícone Home.
  2. Clique em Networking & Security.

 

 

Criação do NSX Edge Gateway para o L2VPN-Server

 

Para criar o serviço do servidor L2VPN, primeiro devemos implantar um NSX Edge Gateway em que esse serviço será executado.  

  1. Clique em NSX Edges.
  2. Clique no ícone do sinal de adição verde.

 

 

Configuração de um novo NSX Edge Gateway: L2VPN-Server

 

  1. Digite L2VPN-Server em Name.
  2. Clique em Next.

 

 

Definir as configurações para o novo NSX Edge Gateway: L2VPN-Server

 

  1. Digite VMware1!VMware1! em Password.
  2. Digite VMware1!VMware1! em Confirm password.
  3. Marque Enable SSH access.
  4. Clique em Next.

 

 

Preparação do NSX Edge L2VPN-Server para conexões L2VPN

Antes de configurarmos o NSX Edge recém-implantado para conexões L2VPN, precisamos concluir estas etapas:

  1. Adição de uma interface de tronco ao Edge Gateway L2VPN-Server.
  2. Adição de uma subinterface ao Edge Gateway L2VPN-Server.
  3. Configuração do roteamento dinâmico (OSPF) no Edge Gateway L2VPN-Server.

 

 

Configuração de ID do roteador para este NSX Edge

 

Em seguida, vamos configurar o roteamento dinâmico neste Edge Gateway.

  1. Clique em Routing.
  2. Clique em Global Configuration.
  3. Clique em Edit para alterar a Dynamic Routing Configuration.

 

 

Configuração do OSPF no NSX Edge L2VPN-Server

 

  1. Clique em OSPF.
  2. Clique no ícone do sinal de adição verde em Area to Interface Mapping.

 

 

Ativar a redistribuição de rota OSPF

 

  1. Clique em Route Redistribution.
  2. Clique em Edit para alterar o status da redistribuição de rota.
  3. Marque OSPF.
  4. Clique em OK.

 

 

Configuração do serviço L2VPN no NSX Edge L2VPN-Server

O endereço 172.16.10.1 pertence ao Edge Gateway L2VPN-Server, e as rotas são distribuídas dinamicamente pelo OSPF. Em seguida, vamos configurar o serviço L2VPN neste Edge Gateway para que o Edge atue como "Servidor" na conexão L2VPN.

 

 

Implantação do NSX Edge Gateway L2VPN-Client

Agora que a configuração do servidor L2VPN foi concluída, implantaremos um novo NSX Edge Gateway para atuar como cliente L2VPN. Antes de implantar o cliente L2VPN do NSX Edge Gateway, precisamos configurar os grupos de portas distribuídas de uplink e de tronco no switch virtual distribuído.

 

 

Configuração do NSX Edge Gateway L2VPN-Client

 

  1. Clique duas vezes em L2VPN-Client.

 

Ponte nativa


O NSX oferece recursos de ponte L2 de software no kernel, o que permite que as organizações conectem diretamente as cargas de trabalho tradicionais executadas em VLANs legadas a redes virtualizadas por meio do VXLAN. A ponte L2 é muito usada em ambientes existentes para simplificar a introdução de redes lógicas ou quando os sistemas físicos exigem conectividade L2 às máquinas virtuais que operam em um switch lógico NSX.

Este módulo nos guia pela configuração de uma instância de ponte L2 entre uma VLAN tradicional e um switch lógico NSX de acesso.


 

Instruções especiais para comandos da interface de linha de comando

 

Em vários módulos, você deve inserir comandos da interface de linha de comando.  Há duas maneiras de enviar comandos da interface de linha de comando para o laboratório.

A primeira é enviar um comando da interface de linha de comando para o console do laboratório:

  1. Realce o comando da interface de linha de comando no manual e use Control+C para copiar para a área de transferência.
  2. Clique no item de menu do console SEND TEXT.
  3. Pressione Control+V para colar da área de transferência para a janela.
  4. Clique no botão SEND.

Em seguida, um arquivo de texto (README.txt) foi colocado no desktop do ambiente, permitindo que você copie e cole facilmente comandos ou senhas complexos nos utilitários associados (CMD, Putty, console etc). Determinados caracteres nem sempre estão presentes em teclados usados ao redor do mundo.  Este arquivo de texto também é incluído para layouts de teclado que não oferecem esses caracteres.

O arquivo de texto é README.txt e está no desktop.  

 

 

Acessar o vSphere Web Client

 

  • Abra o vSphere Web Client por meio do ícone do Chrome no desktop.

 

 

Verificar a configuração inicial

 

Verificaremos a configuração inicial conforme mostrado na imagem acima. O ambiente do laboratório vem com um port group no cluster Management & Edge chamado "Bridged-Net-RegionA01-vDS-MGMT". As VMs do servidor Web, web-01a e web-02a, estão conectadas ao switch lógico Web-Tier-01. O switch lógico Web-Tier-01 está isolado de Bridged-Net.

 

 

Migrar Web-01a para o cluster RegionA01-MGMT01

 

  1. Clique no ícone Home.
  2. Clique em VMs and Templates.

 

 

Visualizar as VMs conectadas

 

  1. Clique no ícone Home.
  2. Clique em Networking.

 

 

Migrar Web_Tier_Logical_Switch para o roteador lógico distribuído

 

  1. Clique no ícone Home.
  2. Clique em Network & Security.

 

 

Configurar a ponte L2 do NSX

 

Ativaremos a ponte L2 do NSX entre a VLAN 101 e o switch lógico Web-Tier-01 de modo que web-01a.corp.local se comunique com o restante da rede. Essa configuração ativa uma ponte L2 e uma interface de roteador lógico distribuído no mesmo switch lógico da camada da Web.

 

 

Verificar a ponte L2

Agora, a ponte L2 do NSX foi configurada. Em seguida, você verificará a conectividade L2 entre a VM web-01a conectada à VLAN 101 e a VM web-02a conectada ao Web_Tier_Logical_Switch.

 

 

Exclusão da ponte L2 criada no módulo

Se você deseja prosseguir para os outros módulos neste laboratório prático, siga as próximas etapas para remover a ponte L2, já que a configuração de exemplo usada neste cenário específico pode entrar em conflito com outras seções, como L2VPN.

 

 

Migrar Web-01a de volta ao cluster RegionA01-COMP01

 

  1. Clique no ícone Home.
  2. Clique em VMs and Templates.

 

Conclusão do Módulo 4


Neste módulo, explicamos os recursos avançados do gateway de serviços do NSX Edge:

  1. Implantamos um novo gateway de serviços do Edge (ESG) e o configuramos como um balanceador de carga de braço único.
  2. Modificamos e criamos regras de firewall no ESG existente.
  3. Configuramos a transmissão DCHP por meio do ESG.
  4. Configuramos o L2VPN por meio do ESG.

 

Você concluiu o Módulo 4

Parabéns por concluir o Módulo 4.

Se deseja obter informações adicionais sobre a implantação do NSX, acesse o Centro de documentação do NSX 6.4 no URL abaixo:

Prossiga para qualquer um dos seguintes módulos:

Lista de módulos do laboratório:

Responsáveis pelo laboratório:

  • Módulos 1 a 4: Joe Collon, engenheiro de sistemas da equipe do NSX, Estados Unidos

 

 

Como encerrar o laboratório

 

Para encerrar o laboratório, clique no botão END.

 

Conclusão

Agradecemos por participar dos Laboratórios práticos da VMware. Visite http://hol.vmware.com/ para continuar on-line o trabalho de laboratório.

Código SKU do laboratório: HOL-1903-01-NET

Versão: 20181005-132337