VMware 动手练习 - HOL-1903-01-NET


实验室概述 - HOL-1903-01-NET - 开始体验 VMware NSX Data Center

实验室指导


注意:本实验室总时长可能会超过 90 分钟。体验期间,您可能只能完成 2 到 3 个单元。这些单元彼此相互独立,因此您可以选择任一单元从头学起。您可以使用目录访问所选择的任何单元。

目录可以从实验室手册的右上角访问。

NSX Data Center for vSphere 是 VMware Software-Defined Data Center (SDDC) 的网络虚拟化平台,它完全以软件方式交付从底层物理基础架构中抽象出来的网络连接和安全功能。

在本实验室中,您将了解 vSphere 环境中 VMware NSX Data Center 的核心功能。您将获得有关逻辑交换、分布式逻辑路由、动态路由和逻辑网络服务的实际操作体验。

实验室单元列表:

实验室负责人:

  • 第 1-4 单元 - 美国 NSX 主管系统工程师 Joe Collon

本实验室手册可以从动手实验室文档站点下载,网址为:

http://docs.hol.vmware.com

本实验室可能提供其他语言版本。要设置语言首选项并在实验室中使用已本地化的手册,您可以利用以下文档帮助指导完成该过程:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红框区域包含主控制台。实验室手册位于主控制台右侧的选项卡上。
  2. 个别实验室可能会用到左上角独立选项卡上的其他控制台。如有需要,系统将引导您打开其他的特定控制台。
  3. 实验室时间为 90 分钟,由计时器计时。实验室结果无法保存。所有操作都必须在实验室部分完成。但是您可以单击“EXTEND”(延长)延长时间。在 VMware 活动期间,您有两次延长实验室时间的机会,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将实验室时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击实验室手册内容并拖放到控制台的活动窗口

 
 

您也可以单击实验室手册中的文本和命令行界面 (CLI) 命令并将其直接拖放到主控制台中的活动窗口。 

 

 

访问在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

在活动的控制台窗口中单击一下

 

在本例中,您将使用在线键盘输入电子邮件地址中所使用的“@”符号。在美式键盘布局中,输入“@”符号需要按住 Shift 并按 2。

  1. 在活动的控制台窗口中单击一下。
  2. 单击 Shift 键。

 

 

单击 @ 键

 

  1. 单击 @ 键。

您会发现,“@”符号已在活动控制台窗口中输入。

 

 

激活提示或水印

 

首次开始实验室时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手实验室利用了这一优势,我们可以用多个数据中心来运行实验室。但是,这些数据中心的处理器可能不同,导致需要通过 Internet 进行 Microsoft 激活检查。

请放心,VMware 和这些动手实验室完全符合 Microsoft 的许可要求。您使用的实验室是一个独立的单元,不具备对 Internet 的完全访问权限,而 Windows 需要该权限才能验证激活。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一表面问题不会影响到您的实验室。 

 

 

查看屏幕右下部分

 

请检查实验室的所有启动例程是否都已完成并可使用。如果您看到的内容不是“Ready”(准备就绪),请等待几分钟。如果 5 分钟后,您的实验室仍未变为“Ready”(准备就绪),请寻求帮助。

 

 

允许 vmware-cip-launcher.exe

 

实验室有时候可能会调配 Chrome 设置,将其重置为默认值。如果发生这种情况,您可能会收到上面显示的对话框提示。请执行以下步骤以便启动程序能够与 vSphere Web Client (Flash) 一起运行:

  1. 单击选择“Always open these types of links in the associated app”(始终在关联的应用中打开这些类型的链接)
  2. 单击选择“Open vmware-cip-launcher.exe”(打开 vmware-cip-launcher.exe)

然后,您可以继续正常进行实验室的其余部分。

 

 

最小化 vSphere Web Client 中的近期任务和近期对象

 

由于动手实验室桌面的屏幕分辨率,在本实验中,NSX 用户界面的某些组件可能会显示为受到限制或丢失。为了最大化可用的屏幕空间,建议最小化 vSphere Web Client (Flash) 中的“Recent Objects”(近期对象)和“Recent Tasks”(近期任务)面板。为此,请完成以下步骤:

  1. 单击“Recent Objects”(近期对象)面板右上角的锁定图标。
  2. 单击“Recent Tasks”(近期任务)面板右上角的锁定图标。

 

第 1 单元 - NSX Manager 安装和配置(15 分钟)

简介


VMware NSX Data Center 是领先的网络虚拟化平台,为网络带来了虚拟机的运维模式。就像服务器虚拟化能使您更全面地控制在服务器硬件池中运行的许多虚拟机一样,利用 NSX Data Center 实现网络虚拟化可提供一个集中的 API,使您能够调配和配置在单个物理网络上运行的虚拟网络服务。

逻辑网络可以将虚拟机连接和网络服务与物理网络分离,从而使客户能够灵活地在数据中心内的任何位置安置或迁移虚拟机,同时仍然支持第 2 层/第 3 层连接以及第 4-7 层的网络服务。

在本单元中,我们将使用交互式模拟重点介绍如何在您的环境中实际执行 NSX Data Center 部署。在实验室环境中,我们已经为您完成了实际部署。

在交互式模拟中,您将了解如何:


 

NSX 组件

 

请注意,云计算管理平台 (CMP) 并不是 NSX 的组件,但 NSX 可以通过 REST API 在几乎任意 CMP 中提供集成功能,并与 VMware CMP 进行了即时可用的集成。

NSX 的主要组件分为三类:

管理平面 - NSX 管理平面由 NSX 的集中式网络管理组件 NSX Manager 构建而成。该平面可以提供单一配置点和 REST API 入口点。

控制平面 - NSX 控制平面在 NSX Controller 集群中运行。NSX Controller 是一个高级分布式状态管理系统,可以针对 NSX 逻辑交换和路由功能提供控制平面功能。它是网络中所有逻辑交换机的集中控制点,维护着有关所有主机、逻辑交换机 (VXLAN) 和分布式逻辑路由器的信息。

数据平面 - NSX 数据平面包含 NSX 虚拟交换机,该虚拟交换机基于 vSphere Distributed Switch (VDS) 和其他组件来提供服务。NSX 内核模块、用户空间代理、配置文件和安装脚本均打包在 VIB 中并且在 hypervisor 内核中运行,提供分布式路由和逻辑防火墙等服务并启用 VXLAN 桥接功能。

 

动手实验室交互式模拟:NSX 安装和配置 - 第 1 部分


本部分的实验室以动手实验室交互式模拟的形式呈现。这样,您便可以在实验室环境中实际体验需要消耗大量时间或资源的步骤。在此模拟中,您可以像与实际环境进行交互一样使用软件界面。

***特别声明***    您要进行的模拟由两个部分组成。第一部分是完成 NSX Manager 配置。要继续模拟的第二部分,您需要单击屏幕右上角的“Return to the Lab”(返回实验室)。此外,手册还将在 NSX Manager 配置部分的结束语中概要介绍各个步骤。

  1. 单击此处打开交互式模拟。它将在新的浏览器窗口或选项卡中打开。
  2. 完成后,单击“Return to the lab”(返回实验室)链接继续本实验室。

 


动手实验室交互式模拟:NSX 安装和配置 - 第 2 部分


本部分的实验室以动手实验室交互式模拟的形式呈现。这样,您便可以在实验室环境中实际体验需要消耗大量时间或资源的步骤。在此模拟中,您可以像与实际环境进行交互一样使用软件界面。

  1. 单击此处打开交互式模拟。它将在新的浏览器窗口或选项卡中打开。
  2. 完成后,单击“Return to the lab”(返回实验室)链接继续本实验室。

 


第 1 单元结束语


在本单元中,我们介绍了安装和配置 NSX 的简便流程,完成此流程后,便可通过软件中的七种服务提供第二层应用。

我们讲解了 NSX Manager 设备的安装和配置,包括部署、与 vCenter 集成和配置日志记录和备份。然后,我们介绍了 NSX Controller 的部署和 VMware Infrastructure 捆绑包 (VIB) 的安装,这些捆绑包是推送到 hypervisor 的内核模块,用于提供 NSX 服务。最后,我们介绍了 VXLAN 安全加密链路端点 (VTEP) 的自动部署、VXLAN 网络标识符池 (VNI) 的创建和传输域的创建。


 

您已完成第 1 单元

祝贺您!您已经完成了第 1 单元的学习。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.4 文档中心:

继续学习以下任意单元:

实验室单元列表:

实验室负责人:

  • 第 1-4 单元 - 美国 NSX 主管系统工程师 Joe Collon

 

 

如何结束实验室

 

要结束实验室,请单击“END”(结束)按钮。

 

第 2 单元 - 逻辑交换(30 分钟)

逻辑交换 - 单元概述


在此单元中,我们将了解 VMware NSX 的以下组件:

  • 查看 NSX Controller 集群。借助 NSX Controller 集群,物理结构无需再支持多播协议,同时它还提供 VTEP、IP 和 MAC 解析等功能。
  • 创建逻辑交换机,然后将两台虚拟机挂接到逻辑交换机。
  • 了解 NSX 平台的可扩展性和高可用性。

逻辑交换


在本部分中,我们将执行以下操作:

  1. 确认主机的配置就绪状态。
  2. 确认逻辑网络的准备情况。
  3. 创建新的逻辑交换机。
  4. 将逻辑交换机挂接到 NSX Edge 服务网关。
  5. 将虚拟机添加到逻辑交换机。
  6. 测试虚拟机间的连接。

 

访问 vSphere Web Client (Flash)

 

  1. 通过双击桌面上的“Google Chrome”图标启动 vSphere Web Client (Flash)。

 

 

登录 vSphere Web Client (Flash)

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 Google Chrome 中的“vSphere Web (Flash)”图标。)

  1. 在“User name”(用户名)中输入 administrator@vsphere.local
  2. 在“Password”(密码)中输入 VMware1!
  3. 单击“Login”(登录)

 

 

在 vSphere Web Client 中导航至“Networking & Security”(网络连接和安全性)

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

查看已部署的组件

 

  1. 单击“Installation and Upgrade”(安装和升级)
  2. 单击“Host Preparation”(主机准备)
  3. 在列表中单击以选择集群(在本示例中是 RegionA01-COMP01),即可查看有关该集群中主机的 NSX 状态的信息。

您会看到在我们集群中的主机上安装了网络虚拟化组件(也称为数据平面组件)。这些组件包括:用于端口安全、VXLAN、分布式防火墙和分布式路由的 Hypervisor 级内核模块。

在安装完网络虚拟化组件后,会在每个集群上配置并启用防火墙和 VXLAN 功能。配置了 NSX Edge 逻辑路由器控制虚拟机后,端口安全模块会在启用分布式路由模块的同时提供 VXLAN 功能。

 

 

主机准备好数据路径组件后的拓扑

 

 

 

查看 VTEP 配置

 

  1. 在显示的主机列表中,向右滚动,以便显示“VIEW DETAILS”(查看详细信息)链接。
  2. 单击“VIEW DETAILS”(查看详细信息)以查看有关主机的 VTEP 内核端口和 IP 地址的信息。

VXLAN 配置可以分为三个重要步骤:

  • 在每个主机上配置 VXLAN 安全加密链路端点 (VTEP)。
  • 配置网段 ID 范围以创建逻辑网络池。在此实验室中我们要使用的是单播模式,因此不需要指定多播范围。否则,该步骤可能需要多播组的地址配置。
  • 配置传输域以定义逻辑网络跨度。

如上图所示,主机均已配置了 VXLAN 安全加密链路端点 (VTEP) 接口。该环境使用 VTEP 池的 192.168.130.0/24 子网。

 

 

网段 ID 和多播组地址配置

过去的一个主要 VXLAN 部署问题是物理网络设备需要多播协议支持。通过提供基于控制器的 VXLAN 实施(这使我们不再需要在物理网络中配置多播功能),此问题已在 NSX 平台中得到解决。NSX 为广播、未知单播和多播 (BUM) 流量提供三种选择:多播、单播和混合模式。此选项全局定义为传输域的一部分,但也可以按逻辑交换机明确定义。

NSX 中提供的三种复制模式如下:

  • 多播:NSX 依靠物理网络的本地 L2/L3 多播功能来确保封装 VXLAN 的 BUM 流量能够发送至所有 VTEP。在此模式下,多播 IP 地址必须与每个定义的 VXLAN L2 网段(即逻辑交换机)相关联。在此配置中,L2 多播功能用于在本地网段(即相同 IP 子网中的 VTEP IP 地址)中将流量复制到所有 VTEP。此外,应在物理交换机上配置 IGMP 监听以优化 L2 多播流量的交付。
  • 单播:控制层由 NSX Controller 利用头端复制方法进行处理。使用此复制方法时,不需要多播 IP 地址或特殊配置。
  • 混合:经过优化的单播模式。使用 L2 多播将复制的本地流量负载分流到物理网络。这需要在本地交换机上执行 IGMP 监听,但不需要使用 PIM 等多播路由协议。建议在大规模的 NSX 部署中采用混合模式。

 

 

查看网段 ID 配置

 

  1. 单击“Logical Network Settings”(逻辑网络设置)
  2. 请注意分配给环境的“Segment ID Pool”(网段 ID 池)。在 NSX 中创建逻辑交换机时,将分配下一个未使用的网段 ID,并将其分配给每个新的逻辑交换机。
  3. 请注意“Multicast addresses”(多播地址)字段为空。如前所述,这是由于实验室环境的默认模式是单播,因此没有多播要求。

 

 

查看传输域

 

  1. 单击“Transport Zones”(传输域)。
  2. 单击单选按钮以选中“RegionA0_Global_TZ”传输域。

查看了各个 NSX 组件和 VXLAN 配置后,我们现在将创建一个 NSX 逻辑交换机。NSX 逻辑交换机将定义应用或虚拟机可通过逻辑方式连接到的逻辑广播域或网络分段。NSX 逻辑交换机提供第 2 层广播域,类似于 VLAN,但不提供通常与 VLAN 关联的物理网络配置。

 

 

查看逻辑交换机

 

  1. 单击左侧的“Logical Switches”(逻辑交换机)

请注意,本实验室中已定义了许多逻辑交换机。这些逻辑交换机已经预先填充,将有助于完成实验室提供的各个单元。在新的 NSX 部署中,逻辑交换机列表将为空。

下一步是创建一个新的逻辑交换机。创建此交换机后,我们会将现有虚拟机迁移到新创建的网络,并将它们连接到 NSX 环境。

 

 

创建新的逻辑交换机

 

  1. 单击绿色加号图标以创建新的逻辑交换机。
  2. 将此逻辑交换机命名为:Prod_Logical_Switch
  3. 确认将“RegionA0_Global_TZ”选为传输域。
  4. 确认选择“Unicast”(单播)作为复制模式。
  5. 确认选中“Enable IP Discovery”(启用 IP 发现)复选框。IP 发现会启用 ARP 抑制功能,如下所述。
  6. 单击“OK”(确定)

选择“Enable IP Discovery”(启用 IP 发现)会激活 ARP(地址解析协议)抑制。ARP 用于通过在第 2 层网段上发送广播的方式确定来自 IP 地址的目标 MAC(媒体访问控制)地址。如果带有该 NSX Virtual Switch 的 ESXi 主机接收来自 VM(虚拟机)或以太网请求的 ARP 流量,则主机会向带有 ARP 表的 NSX Controller 发送该请求。如果 NSX Controller 在其 ARP 表中有信息,则会将该信息返回给主机,主机进而回复虚拟机。

 

 

将新逻辑交换机挂接到 NSX Edge 服务网关以供外部访问

 

  1. 单击选择新创建的“Prod_Logical_Switch”
  2. 单击“Actions”(操作)菜单
  3. 单击“Connect Edge”(连接 Edge)

 

 

将逻辑交换机连接到 NSX Edge

 

可将 NSX Edge 作为逻辑(分布式)路由器或 Edge 服务网关进行安装。

  • Edge 服务网关“Perimeter-Gateway-01”提供 DHCP、NAT、负载均衡、防火墙和 VPN 等网络服务,并包含动态路由功能。
  • 逻辑分布式路由器“Distributed-Router-01”支持分布式路由和动态路由。

我们将在随后的单元中介绍有关 NSX Edge 和路由的更多详细信息。

此时,我们将逻辑交换机连接到 NSX Edge 服务网关 Perimeter-Gateway-01。这将在已连接到逻辑交换机的虚拟机与环境中剩余的虚拟机之间提供连接。

  1. 单击“Perimeter-Gateway-01”左侧的单选按钮以将其选中。
  2. 单击“Next”(下一步)

 

 

将逻辑交换机挂接到 NSX Edge

 

  1. 单击“vnic7”左侧的单选按钮以将其选中。
  2. 单击“Next”(下一步)

 

 

为接口命名

 

  1. 在“Name”(名称)中,输入 Prod_Interface
  2. 选择“Connected”(已连接)
  3. 单击绿色加号图标,为该接口配置 IP 地址和子网信息。

 

 

为接口分配一个 IP 地址

 

  1. 输入 172.16.40.1 作为“Primary IP Address”(主要 IP 地址)(将“Secondary IP Address”[次要 IP 地址] 留空)。
  2. 输入 24 作为“Subnet Prefix Length”(子网前缀长度)。
  3. 确认您的设置正确无误,然后单击“Next”(下一步)。

 

 

完成接口编辑过程

 

  1. 单击“Finish”(完成)

 

 

将 web-03a 和 web-04a 挂接到新创建的 Prod_Logical_Switch

 

  1. 单击选择新创建的“Prod_Logical_Switch”
  2. 单击“Actions”(操作)菜单
  3. 单击“Add VM”(添加虚拟机)

 

 

向逻辑交换机添加虚拟机

 

  1. 搜索名称中包含“web”的虚拟机。
  2. 选择“web-03a.corp.local”和“web-04a.corp.local”
  3. 单击向右箭头将选择的虚拟机添加到该逻辑交换机
  4. 单击“Next”(下一步)

 

 

选择虚拟机的虚拟网卡以添加到逻辑交换机

 

  1. 选择这两台 Web 虚拟机的虚拟网卡
  2. 单击“Next”(下一步)

 

 

完成向逻辑交换机添加虚拟机的过程

 

  1. 单击“Finish”(完成)

 

 

将 Prod_Logical_Switch 连接到 NSX Edge 服务网关后的拓扑

 

您现在已经配置了一个新的逻辑交换机,并通过“Perimeter-Gateway-01” Edge Gateway 为其提供了到外部网络的连接。您还向新逻辑交换机添加了两台虚拟机。

 

 

测试 web-03a 和 web-04a 间的连接

现在,我们将测试 web-03a 和 web-04a 间的连接。

 

 

转到“Hosts and Clusters”(主机和集群)

 

  1. 单击“Home”(主页)图标。
  2. 单击“Hosts and Clusters”(主机和集群)

 

 

展开集群

 

展开“RegionA01-COMP01”“RegionA01-COMP02”集群。您会看到两台虚拟机“web-03a.corp.local”和“web-04a.corp.local”位于两个不同的计算集群中。请注意,这是我们在先前的步骤中向逻辑交换机添加的两台虚拟机。

 

 

打开 PuTTY

 

  1. 单击 Windows 的“开始”按钮。
  2. 在“开始”菜单中,单击“Putty”应用图标

您将从位于 192.168.110.0/24 子网中的“Main Console”(主控制台)进行连接。此流量将通过 Perimeter-Gateway-01 NSX Edge,然后到达 Web 服务器。

 

 

打开连接到 web-03a 的 SSH 会话

 

  1. 滚动查看“Saved Sessions”(保存的会话)列表,直到看到“web-03a.corp.local”
  2. 单击“web-03a.corp.local”将其选中
  3. 单击“Load”(加载)以检索会话信息。
  4. 单击“Open”(打开)开始连接虚拟机的 Putty 会话。

 

 

登录虚拟机

 

  • 如果出现 PuTTY 安全提醒,请单击“Yes”(是)接受服务器的主机密钥。
  • 如果未自动登录,请以用户 root 身份和密码 VMware1! 登录

注意:如果您在连接 web-03a.corp.local 时遇到困难,请回顾之前的步骤并验证是否已正确完成这些步骤。

 

 

对 Web 服务器 web-04a.corp.local 执行 ping 操作

 

输入 ping -c 2 web-04a 以发送两次 ping,而不是连续执行 ping 操作。

ping -c 2 web-04a

注意:“web-04a.corp.local”的 IP 地址为 172.16.40.12。如果需要,您还可以按 IP 地址执行 ping 操作。

如果您看到 DUP! 数据包,这是由于 VMware 采用的嵌套式实验室环境的特性所致。生产环境下不会发生这种情况。

不要关闭您的 PuTTY 会话。将该窗口最小化以待以后使用。

 

可扩展性和可用性


在这部分中,我们将了解 NSX Controller 的可扩展性和可用性。NSX Controller 集群是控制平面组件,负责管理 hypervisor 中的交换和路由模块。NSX Controller 集群由三个 NSX Controller 节点组成,每个节点管理特定的逻辑对象。使用 NSX Controller 集群来管理基于 VXLAN 的逻辑交换机,这样就不再要求物理网络基础架构支持多播。

为了实现高恢复能力和高性能,生产部署必须部署由三个 NSX Controller 节点组成的 NSX Controller 集群。NSX Controller 集群表示横向扩展分布式系统,其中每个 NSX Controller 节点分配有一组角色。所分配的角色定义了 NSX Controller 节点可以实施的任务类型。当前支持的配置允许实现完全的活动负载共享和冗余。

为提高 NSX 体系结构的可扩展性,系统会利用“切片”机制以确保所有 NSX Controller 节点在任何给定时间都能保持活动状态。

如果 NSX Controller 出现故障,数据平面(虚拟机)流量不会受到影响。由于逻辑网络信息已向下推送到逻辑交换机(数据平面),流量会继续传输。但是,在没有控制平面(NSX Controller 集群)的情况下,您将无法进行编辑(添加/移动/更改)。

此外,NSX 现在包括控制器断开连接操作 (CDO) 功能。CDO 模式可创建一个所有主机都加入的特殊逻辑交换机。当 NSX 环境中的主机无法访问控制器时,这会为数据平面连接增加额外的冗余层。有关 CDO 模式的更多信息,可通过本单元结束语中的链接进行了解。


 

NSX Controller 的可扩展性和可用性

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

第 2 单元结束语


在本单元中,我们介绍了 NSX 平台的以下优点:

  1. 网络敏捷性,包括可轻松调配和配置逻辑交换机以便与虚拟机和外部网络交互。
  2. NSX 体系结构的可扩展性,例如传输域跨越多个集群或 NSX Controller 集群能够提供网络连接服务,无需重新配置物理网络。

 

您已完成第 2 单元

祝贺您!您已经完成了第 2 单元的学习。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.4 文档中心:

有关 NSX Controller 断开连接操作 (CDO) 模式的其他信息,请访问以下链接:

继续学习以下任意单元:

实验室单元列表:

实验室负责人:

  • 第 1-4 单元 - 美国 NSX 主管系统工程师 Joe Collon

 

 

如何结束实验室

 

要结束实验室,请单击“END”(结束)按钮。

 

第 3 单元 - 逻辑路由(60 分钟)

逻辑路由 - 单元概述


在上一单元中,我们体验到了只需单击几下即可创建隔离的逻辑交换机/网络的简便性。为了在这些隔离的第 2 层网络之间提供通信,路由支持必不可少。在 NSX 平台中, 您可以借助分布式逻辑路由器在逻辑交换机之间路由流量,并且逻辑交换机完全包含在 hypervisor 中。通过采用这种逻辑路由组件,NSX 可以在逻辑空间中重现复杂的路由拓扑。例如, 一个三层应用将连接到三个逻辑交换机,各层之间的路由将由此分布式逻辑路由器处理。

本单元将帮助我们了解 NSX 平台支持的一些路由功能, 以及在部署三层应用时如何利用这些功能。

在本单元中,我们将执行以下操作:

  • 检查当路由由外部物理路由器或 NSX Edge 服务网关处理时的流量。
  • 配置分布式逻辑路由器及其逻辑接口 (LIF), 以便在三层应用的 Web 层、应用层和数据库层之间启用路由。
  • 在分布式逻辑路由器和 Edge 服务网关上配置动态路由协议, 了解对通向上游外部路由器的内部路由通告的控制。
  • 通过使用等价多路径 (ECMP) 路由等路由协议来扩展和保护 NSX Edge 服务网关。

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。向实验室发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到实验室控制台:

  1. 突出显示手册中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)。
  3. Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、PuTTY、控制台等)中。某些特定字符通常并不存在于世界各地使用的所有键盘上。如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

动态路由和分布式路由


分布式逻辑路由器 (DLR) 是包含路由控制平面的虚拟设备,同时将内核模块中的数据平面分发到每台 hypervisor 主机。DLR 控制平面功能依赖于 NSX Controller 集群将路由更新推送到内核模块。这允许在每个本地 hypervisor 内优化东西向路由,从而无需通过网络上的单个点来“发夹式”传输流量。

您将首先了解分布式路由的配置,以了解在内核级别执行路由的优势。


 

当前拓扑和数据包流概览

 

上图显示了本实验室的环境,其中,应用虚拟机和数据库虚拟机位于同一物理主机上。红色箭头显示两台虚拟机之间的流量。

  1. 流量离开应用虚拟机, 到达主机。
  2. 由于应用虚拟机和数据库虚拟机不在同一个网络子网中,因此需要将流量发送给第 3 层设备。NSX Edge(外围网关)驻留在管理集群中并充当第 3 层网关。流量被发送给外围网关所在的主机。
  3. 流量到达外围网关。
  4. 外围网关路由数据包并将其发送回目标网络上的主机。
  5. 已路由的流量被发送回数据库虚拟机所在的主机。
  6. 主机再将流量传输到数据库虚拟机。

在本实验室的末尾,我们将查看分布式路由配置完成后的通信流示意图。这将有助于了解分布式路由对网络流量的正面影响。

 

 

访问 vSphere Web Client (Flash)

 

  1. 通过双击桌面上的“Google Chrome”图标启动 vSphere Web Client (Flash)。

 

 

登录 vSphere Web Client (Flash)

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 Google Chrome 中的“vSphere Web (Flash)”图标。)

  1. 在“User name”(用户名)中输入 administrator@vsphere.local
  2. 在“Password”(密码)中输入 VMware1!
  3. 单击“Login”(登录)

 

 

确认三层应用能否正常工作

 

  1. 打开一个新的浏览器选项卡。
  2. 单击“Customer DB App”(客户数据库应用)书签。

 

在开始为应用配置分布式路由之前,我们先来确认三层应用是否运行正常。应用的三个层(Web、应用和数据库)位于不同的逻辑交换机上,由 NSX Edge 服务网关在这三层之间提供路由。

  • Web 服务器将返回一个页面,其中显示数据库中存储的客户信息。

 

 

从外围边缘移除应用和数据库接口

 

正如您在前面的拓扑中看到的,三个应用层驻留在特定于层的逻辑交换机上,并且这些逻辑交换机由外围网关 (NSX ESG) 提供路由。我们准备更新该拓扑:从外围网关移除应用和数据库接口。删除这些接口后,我们将它们移动到分布式路由器 (NSX DLR) 上。为节省时间,我们已为您部署了分布式路由器。

  1. 单击“vSphere Web Client”浏览器选项卡。
  2. 单击“Home”(主页)图标。
  3. 单击“Networking & Security”(网络连接和安全性)

 

 

将应用和数据库接口添加到分布式路由器中

 

我们将通过向分布式路由器 (NSX Edge) 中添加应用和数据库接口, 来开始配置分布式路由。

  1. 双击“Distributed-Router-01”。

 

 

在分布式路由器上配置动态路由

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 单击“Routing”(路由)
  2. 单击“Global Configuration”(全局配置)
  3. 单击“Edit”(编辑)以更改“Dynamic Routing Configuration”(动态路由配置)

 

 

编辑动态路由配置

 

  1. 选择上行链路接口的 IP 地址作为默认“Router ID”(路由器 ID)。在本例中,上行链路接口为 Transit_Network_01,IP 地址为 192.168.5.2
  2. 单击“OK”(确定)

注意:路由器 ID 是一个表示为 IP 地址的 32 位标识符。路由器 ID 在 OSPF 操作中非常重要,因为它在自控系统中用于指示路由器标识。在我们的实验室情景中,我们使用的路由器 ID 和 NSX Edge 的上行链路接口 IP 地址相同。屏幕将返回到“Global Configuration”(全局配置)部分,其中包含“Publish Changes”(发布变更)选项

确认“Router ID”(路由器 ID)字段显示与 Transit_Network 逻辑交换机相关联的 IP 地址:192.168.5.2。如果配置更改未成功应用,则此值将留空。如果发生这种情况,请重复上述的步骤 1 和 2 来重新应用路由器 ID。

 

 

配置 OSPF 特定参数

 

我们将使用 OSPF 作为 Perimeter-Gateway-01 和 Distributed-Router-01 之间的动态路由协议。这将使两个路由器可以交换各自的已知路由信息。

  1. 单击“OSPF”
  2. 单击“Edit”(编辑)以更改“OSPF Configuration”(OSPF 配置)。此时会打开“OSPF Configuration”(OSPF 配置)对话框。

 

 

在外围边缘上配置 OSPF 路由

 

接下来,我们将在 Perimeter-Gateway-01 (NSX Edge) 上配置动态路由以恢复与三层应用的连接。

  1. 反复单击“Back”(返回),直到您返回到附有 Edge 列表的 NSX Edges 摘要页面。

 

 

检查新拓扑

 

新拓扑显示了分布式路由器和外围网关 (NSX Edge) 之间的路由对等关系。指向与分布式路由器连接的任意网络的路由都会通过 OSPF 被传递到外围网关 (NSX Edge)。此外,我们还将通过 BGP 将所有路由从外围网关传递到物理网络的 vPod 路由器。

下一部分将更详细地介绍此内容。

 

 

验证与三层应用的通信

 

现在,路由信息在分布式路由器和外围网关之间进行交换。两个 NSX Edge 之间的路由建立后,与三层 Web 应用的连接便可恢复。我们将通过访问三层 Web 应用来验证路由功能是否正常。

  1. 单击“HOL - Customer Database”(HOL - 客户数据库)浏览器选项卡(该选项卡已在先前的步骤中打开)。页面可能会显示上次尝试后留下的“504 Gateway Time-out”(504 网关超时)消息。
  2. 单击“Reload”(重新加载)。

注意:这可能需要花点时间进行路由传播,这是因为实验室环境为嵌套式环境。

 

 

动态路由和分布式路由已完成

在本部分中,我们已成功配置动态路由和分布式路由。在下一部分中,我们将介绍如何使用外围网关 (NSX Edge) 实现集中式路由。

 

集中式路由


在这一部分,我们来看看各个元素,了解如何从 NSX Edge 服务网关 (ESG) 配置北向路由。这包括如何在整个 NSX 环境中控制、更新和传播动态路由。我们将验证 NSX 外围 ESG 设备与可运行和路由整个实验室的虚拟路由器设备(vPod 路由器)之间的路由是否已交换。

特别声明:在桌面上,您将看到一个名为 README.txt 的文件。它包含本实验室练习中需要的所有 CLI 命令。如果您无法输入这些命令,可以将其复制并粘贴到 PuTTY 会话中。如果您看到带有大括号的编号,例如 {1},它指示您在文本文件中为本单元查找该 CLI 命令。


 

当前实验室拓扑

 

上图显示了当前拓扑,其中,OSPF 用于在外围网关和分布式路由器之间交换路由。另外,我们还将看到从外围网关到 vPod 路由器的北向链路。这些路由器通过 BGP 交换路由信息。

 

 

查看外围网关中的 OSPF 路由

首先,我们要确认 Web 应用正常运行,然后我们将登录 NSX 外围网关,查看 OSPF 邻居和现有的路由信息。这样将演示外围网关如何获知来自分布式路由器以及正在运行整个实验室的 vPod 路由器的路由信息。

 

 

确认三层应用是否正常运行

 

  1. 打开一个新的浏览器选项卡。
  2. 单击“Customer DB App”(客户数据库应用)书签。

 

 

查看 BGP 邻居

 

我们来看一下 Perimeter-Gateway-01 的 BGP 邻居。

  1. 输入 show ip bgp neighbors
show ip bgp neighbors

 

 

查看显示的 BGP 邻居信息

 

我们来查看 BGP 邻居信息。

  1. BGP neighbor is 192.168.100.1 - 这是 NSX 环境内 vPod 路由器的路由器 ID。
  2. Remote AS 65002 - 这是 vPod 路由器外部网络的自控系统编号。
  3. BGP state = Established, up - 这表示 BGP 邻居邻接关系已建成,BGP 路由器将发送更新数据包以交换路由信息。

 

 

查看外围边缘上的路由及其来源信息

 

观察 Perimeter-Gateway-01 上的可用路由。

  1. 输入 show ip route
show ip route

 

 

控制 BGP 路由分发

在某种情况下,您可能只想在虚拟环境内分发 BGP 路由,而不想将其告知给物理环境。您可以在 NSX Edge 配置中轻松控制和筛选路由分发。

 

ECMP 和高可用性


在这一部分,我们会将另一个外围网关添加到网络中,然后使用 ECMP(等价多路径路由)扩展 Edge 的容量并提高可用性。借助 NSX,我们能够就地添加 Edge 设备并启用 ECMP。

ECMP 是一项路由功能,支持通过多条冗余路径转发数据包。这些路径可以通过静态方式来添加,也可以利用 OSPF 或 BGP 等动态路由协议进行的衡量指标计算来添加。为特定源和目标 IP 地址对选择下一跃点后,路由缓存将存储选定的路径。该流的所有数据包都将流向选定的下一跃点。分布式逻辑路由器使用 XOR 算法从可能的 ECMP 路径列表中确定下一跃点。此算法使用出站数据包上的源和目标 IP 地址作为熵源。

在本单元中,我们将配置新的外围网关,并在外围网关和分布式逻辑路由器之间建立 ECMP 集群,以便利用增加的容量和可用性。我们将关闭其中一个外围网关,并观察生成的路由路径,以测试可用性。


 

在 vSphere Web Client 中导航到 NSX

 

  1. 单击“vSphere Web Client”浏览器选项卡。
  2. 单击“Home”(主页)图标。
  3. 单击“Networking & Security”(网络连接和安全性)

 

 

修改外围网关 Edge

 

我们首先需要修改现有的外围网关 NSX Edge,以便删除辅助 IP 地址:

  1. 单击“NSX Edges”(NSX Edge)
  2. 双击“Perimeter-Gateway-01”

 

 

修改上行链路虚拟网卡

 

  1. 单击“Manage”(管理)
  2. 单击“Settings”(设置)
  3. 单击“Interfaces”(接口)
  4. 单击选择“vNIC 0”(虚拟网卡 0)
  5. 单击“Edit”(编辑)铅笔图标。

 

 

删除辅助 IP 地址

 

  1. 单击“Edit”(编辑)铅笔图标。
  2. 单击叉号图标删除辅助 IP 地址。

在以下针对新外围网关的步骤中,我们将暂时使用此辅助 IP 地址。

 

 

确认更改

 

  1. 单击“OK”(确定)

注意:如果“OK”(确定)和“Cancel”(取消)按钮不可见,您可能需要单击并拖动“Edit NSX Edge Interface”(编辑 NSX Edge 接口)对话框。这是由于实验室中可用的屏幕分辨率有限。

 

 

返回“NSX Edges”(NSX Edge) 页面

 

  1. 重复单击“Back”(返回),直到您返回到附有 Edge 列表的“NSX Edges”(NSX Edge) 摘要页面。

 

 

添加另一个外围网关 Edge

 

 

 

选择 Edge 并为其命名

 

  1. 对于“Install Type”(安装类型),请选择“Edge Services Gateway”(Edge 服务网关)
  2. 对于“Name”(名称),请输入 Perimeter-Gateway-02
  3. 单击“Next”(下一步)

 

 

设置密码

 

  1. 对于“Password”(密码),请输入 VMware1!VMware1!
  2. 对于“Confirm password”(确认密码),请输入 VMware1!VMware1!
  3. 选中“Enable SSH access”(启用 SSH 访问)
  4. 单击“Next”(下一步)

注意:NSX Edge 的所有密码至少是由 12 个字符组成的复杂密码。

 

 

添加 Edge 设备

 

  1. 单击绿色加号图标。此时将显示“Add NSX Edge Appliance”(添加 NSX Edge 设备)对话框。
  2. 对于“Cluster/Resource Pool”(集群/资源池),选择“RegionA01-MGMT01”
  3. 对于“Datastore”(数据存储),请选择“RegionA01-ISCSI01-COMP01”
  4. 对于“Host”(主机),选择“esx-04a.corp.local”
  5. 单击“OK”(确定)

 

 

继续部署

 

  1. 单击“Next”(下一步)

 

 

添加上行链路接口

 

  1. 单击绿色加号图标。这将添加第一个接口。

 

 

选择连接到的交换机

 

必须为此外围网关选择北向交换机接口(一个分布式端口组)。

  1. 单击“Connected To”(连接到)右侧的“Select”(选择)链接
  2. 单击“Distributed Virtual Port Group”(分布式虚拟端口组)
  3. 单击“Uplink-RegionA01-vDS-MGMT”左侧的单选按钮以将其选中。
  4. 单击“OK”(确定)

 

 

命名并添加 IP

 

  1. 输入 Uplink 作为“Name”(名称)。
  2. 选择“Uplink”(上行链路)作为“Type”(类型)。
  3. 单击绿色加号图标。
  4. 输入 192.168.100.4 作为“Primary IP Address”(主 IP 地址)。
  5. 输入 24 作为“Subnet Prefix Length”(子网前缀长度)。
  6. 单击“OK”(确定)

 

 

添加 Edge 传输接口

 

  1. 单击绿色加号图标。这将添加第二个接口。

 

 

选择连接到的交换机

 

必须为此外围网关选择北向交换机接口(基于 VXLAN 的逻辑交换机)。

  1. 单击“Connected To”(连接到)下的“Select”(选择)
  2. 单击“Logical Switch”(逻辑交换机)
  3. 单击“Transit_Network_01 (5005)”左侧的单选按钮以将其选中。
  4. 单击“OK”(确定)

 

 

命名并添加 IP

 

  1. 输入 Transit_Network_01 作为“Name”(名称)。
  2. 选择“Internal”(内部)作为“Type”(类型)。
  3. 单击绿色加号图标。
  4. 输入 192.168.5.4 作为“Primary IP Address”(主 IP 地址)。
  5. 输入 29 作为“Subnet Prefix Length”(子网前缀长度)。请务必提供正确的子网前缀长度 (29),否则实验室将无法正常进行。
  6. 单击“OK”(确定)

 

 

继续部署

 

确保 IP 地址和子网前缀长度信息与上图所列的值一致。

  1. 单击“Next”(下一步)

 

 

移除默认网关

 

通过 OSPF 接收到相关信息后,我们将移除默认网关。

  1. 取消选中“Configure Default Gateway”(配置默认网关)
  2. 单击“Next”(下一步)

 

 

默认防火墙设置

 

  1. 选中“Configure Firewall default policy”(配置防火墙默认策略)
  2. 选择“Accept”(接受)作为“Default Traffic Policy”(默认流量策略)。
  3. 单击“Next”(下一步)

 

 

完成部署

 

  1. 单击“Finish”(完成)。这样将会开始部署。

 

 

Edge 部署

 

部署 NSX Edge 需要几分钟时间。

  1. 部署 Perimeter-Gateway-02 时,“NSX Edges”(NSX Edge) 部分将显示“1 Installing”(1 个正在安装)
  2. Perimeter-Gateway-02 的状态将显示为“Busy”(忙碌)。这表示部署正在进行。
  3. 单击 vSphere Web Client 上的“Refresh”(刷新)图标以更新 Perimeter-Gateway-02 的部署状态。

在 Perimeter-Gateway-02 的状态显示为“Deployed”(已部署)后,可以继续下一步骤。

 

 

在新 Edge 上配置路由

 

我们需要先在 Perimeter-Gateway-02 (NSX Edge) 上配置 OSPF,才能启用 ECMP。

  1. 双击“Perimeter-Gateway-02”

注意:如果网关的全称不可见,将鼠标指针悬停在名称上方即可看到工具提示。

 

 

启用 ECMP

 

现在,我们将在分布式路由器和外围网关上启用 ECMP

  1. 重复单击“Back”(返回),直到您返回到附有 Edge 列表的“NSX Edges”(NSX Edge) 摘要页面。

 

 

拓扑概述

 

在这一阶段,本实验室将探讨拓扑的相关知识。内容包括新添加的外围网关、已配置的路由以及已启用的 ECMP。

 

 

验证分布式路由器的 ECMP 功能

 

现在,请访问分布式路由器,确保 OSPF 正在进行通信并且 ECMP 正常运行。

  1. 单击“Home”(主页)图标。
  2. 单击“VMs and Templates”(虚拟机和模板)

 

 

验证 vPod 路由器的 ECMP 功能

 

注意:要从窗口中释放光标,请按 Ctrl+Alt 组合键。

现在,我们将探讨 vPod 路由器的 ECMP,这个路由器会模拟您网络中的物理路由器。

  1. 单击任务栏上的 PuTTY 图标。

 

 

关闭外围网关 01

 

我们将关闭 Perimeter-Gateway-01 模拟某个节点离线。

返回至“vSphere Web Client”浏览器选项卡。

  1. 展开“RegionA01”
  2. 右键单击“Perimeter-Gateway-01-0”
  3. 单击“Power”(电源)
  4. 单击“Shut Down Guest OS”(关闭客户操作系统)

 

 

使用 ECMP 测试高可用性

 

借助环境中的 ECMP、BGP 和 OSPF,我们能够在特定路径出现故障时动态更改路由。我们现在将模拟一条路径出现故障以及发生路由重新分配。

  1. 单击任务栏中的命令提示符图标。

 

 

访问分布式路由器虚拟机控制台

 

  1. 单击“Distributed-01-0”浏览器选项卡。

在浏览器选项卡中启动虚拟机控制台时,它将显示为黑屏。在黑屏内单击,然后按几次 Enter 键,就能使虚拟机控制台从屏幕保护程序中显示出来。

 

 

启动外围网关 01

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 展开“RegionA01”
  2. 右键单击“Perimeter-Gateway-01-0”
  3. 单击“Power”(电源)
  4. 单击“Power On”(启动)

 

 

返回 ping 测试

 

  • 在任务栏上,返回到运行 ping 测试的命令提示符

 

 

访问分布式路由器虚拟机控制台

 

  1. 单击“Distributed-01-0”浏览器选项卡。

在浏览器选项卡中启动虚拟机控制台时,它将显示为黑屏。在黑屏内单击,然后按几次 Enter 键,就能使虚拟机控制台从屏幕保护程序中显示出来。

 

在继续学习第 4 单元之前 - 请完成以下清理步骤


如果您打算在完成第 2 单元之后继续学习本实验室中的任何其他单元,您必须完成以下步骤,否则本实验室练习将无法正常开展。


 

删除第二个外围边缘设备

 

返回“vSphere Web Client”浏览器选项卡。

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

删除 Perimeter-Gateway-02

 

我们需要删除创建的 Perimeter-Gateway-02。

  1. 单击“NSX Edges”(NSX Edge)
  2. 单击选择“Perimeter-Gateway-02”
  3. 单击红色的 X 以删除“Perimeter-Gateway-02”

 

 

确认删除

 

  1. 单击“Yes”(是)

 

 

在 DLR 和 Perimeter Gateway-01 上禁用 ECMP

 

  1. 双击“Distributed-Router-01”

 

 

在分布式路由器上禁用 ECMP

 

  1. 单击“Manage”(管理)
  2. 单击“Routing”(路由)
  3. 单击“Global Configuration”(全局配置)
  4. 单击“Stop”(停止)

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)推送配置更改。

 

 

返回 Edge 设备

 

  1. 重复单击“Back”(返回),直到您返回到附有 Edge 列表的“NSX Edges”(NSX Edge) 摘要页面。

 

 

访问外围网关 01

 

  1. 双击“Perimeter-Gateway-01”

 

 

在外围网关 01 上禁用 ECMP

 

  1. 单击“Manage”(管理)
  2. 单击“Routing”(路由)
  3. 单击“Global Configuration”(全局配置)
  4. 单击“Stop”(停止)

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)推送配置更改。

 

 

在外围网关 01 上启用防火墙

 

  1. 单击“Manage”(管理)
  2. 单击“Firewall”(防火墙)
  3. 单击“Start”(开始)

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)以更新 Perimeter-Gateway-01 (NSX Edge) 上的配置。

 

第 3 单元结束语


在本单元中,我们通过执行以下任务介绍了 NSX 分布式逻辑路由器 (DLR) 和 Edge 服务网关 (ESG) 的路由功能:

  1. 将逻辑交换机从 Edge 服务网关 (ESG) 迁移至分布式逻辑路由器 (DLR)。
  2. 通过 OSPF 在 ESG 和 DLR 之间配置动态路由。
  3. 了解 ESG 的集中式路由功能,包括动态路由对等。
  4. 通过部署第二个 ESG 并通过等价多路径 (ECMP) 路由配置在两个 ESG 之间建立路由对等关系,展示了 ESG 的可扩展性和可用性。
  5. 移除 ESG2 和 ECMP 路由配置。

 

您已完成第 3 单元

祝贺您!您已经完成了第 3 单元的学习。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.4 文档中心:

继续学习以下任意单元:

实验室单元列表:

实验室负责人:

  • 第 1-4 单元 - 美国 NSX 主管系统工程师 Joe Collon

 

 

如何结束实验室

 

要结束实验室,请单击“END”(结束)按钮。

 

第 4 单元 - Edge 服务网关(60 分钟)

Edge 服务网关 - 单元概述


NSX Edge 服务网关 (ESG) 可在虚拟化环境内外提供网络边缘安全保护和路由服务。正如之前单元提到的,ESG 具有许多选项,可以采用恢复能力强的可扩展方式传送南北向流量。

NSX Edge 分布式逻辑路由器 (DLR) 可在 NSX 环境内提供基于内核的经过优化的东西向路由。分布式路由允许驻留在 NSX 环境中的工作负载彼此直接有效地通信,不再需要通过传统路由接口对流量进行“发夹式”传输。

除了路由功能,NSX Edge 服务网关还提供许多高级网关服务。这些服务包括 DHCP、VPN、NAT、负载均衡和传统第 3 层防火墙。只需在 ESG 配置中启用便能利用这些功能。

在本单元中,我们将探索 ESG 提供的一些服务。本单元结束时,您将有机会完成以下任务:

  • 部署新的 Edge 服务网关
  • 在 Edge 服务网关上配置负载均衡
  • 验证负载均衡器的配置
  • 配置 Edge 服务第 3 层网关防火墙
  • 配置 DHCP 中继
  • 配置 L2VPN

可通过本单元末尾的链接找到这些功能以及其他 Edge 服务网关功能特性的完整介绍。


为负载均衡部署 Edge 服务网关


NSX Edge 服务网关包含负载均衡功能。实施负载均衡器具有许多优势,包括应用级的高效资源利用率、可扩展性和恢复能力。这可以缩短应用的响应时间,扩展应用使其性能远超单个服务器的功能,还能通过使用 HTTPS 负载分流减少后端服务器上的负载。

负载均衡服务能够在第 4 层实现 TCP 或 UDP 负载均衡,在第 7 层实现 HTTP 或 HTTPS 负载均衡。

在这一部分,我们将部署新的 NSX Edge 设备并将其配置为“单路并联”负载均衡器。


 

验证实验室已准备就绪

 

  • 主控制台 Windows 虚拟机的桌面上会显示实验室状态。

验证检查可确保实验室的所有组件都已正确部署,完成验证后,状态将更新为绿色/准备就绪。由于环境资源的限制,实验室的部署可能会失败。

 

 

通过折叠右侧任务窗格获得更多屏幕空间

 

单击图钉图标可折叠任务窗格,从而为主窗格腾出更多显示空间。您也可以通过折叠左侧窗格来获得最大的空间。

 

 

在 vSphere Web Client 中导航至“Networking & Security”(网络连接和安全性)

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

创建新的 Edge 服务网关

 

我们将在新的 Edge 服务网关上配置负载均衡服务。要开始部署新的 Edge 服务网关,请执行以下操作:

  1. 单击“NSX Edges”(NSX Edge)
  2. 单击绿色加号图标。

 

 

定义名称和类型

 

  1. 输入 OneArm-LoadBalancer 作为“Name”(名称)。
  2. 单击“Next”(下一步)

 

 

配置 Admin 帐户

 

  1. 输入 VMware1!VMware1! 作为“Password”(密码)。
  2. 对于“Confirm password”(确认密码),请输入 VMware1!VMware1!
  3. 选中“Enable SSH access”(启用 SSH 访问)
  4. 单击“Next”(下一步)

注意:NSX Edge 的所有密码至少是由 12 个字符组成的复杂密码。

 

 

定义 Edge 大小和虚拟机安置

 

Edge 服务网关有四种不同的虚拟设备大小。规范如下所示:

  • 紧凑型:1 个虚拟 CPU,512 MB RAM
  • 大型:2 个虚拟 CPU,1024 MB RAM
  • 特大型:4 个虚拟 CPU,2 GB RAM
  • 超大型:6 个虚拟 CPU,8 GB RAM

我们将为这一新的 Edge 服务网关选择紧凑型的 Edge,但请注意,这些 Edge 服务网关在部署后也可以配置为其他规格。要继续此新 Edge 服务网关的创建,请执行以下操作:

  1. 单击绿色加号图标。此时将打开“Add NSX Edge Appliances”(添加 NSX Edge 设备)弹出窗口。

 

 

集群/数据存储安置

 

  1. 选择“RegionA01-MGMT01”作为“Cluster/Resource Pool”(集群/资源池)。
  2. 选择“RegionA01-ISCSI01-COMP01”作为“Datastore”(数据存储)。
  3. 选择“esx-05a.corp.local”作为“Host”(主机)。
  4. 单击“OK”(确定)

 

 

配置部署

 

  1. 单击“Next”(下一步)

 

 

在 NSX Edge 上放置一个新的网络接口

 

由于这是一个单路并联式负载均衡器,因此仅需要一个网络接口。

  1. 单击绿色加号图标。

 

 

为此 NSX Edge 配置新的网络接口

 

我们将为此新 NSX Edge 配置第一个网络接口。 

  1. 输入 WebNetwork 作为“Name”(名称)。
  2. 选择“Uplink”(上行链路)作为“Type”(类型)。
  3. 单击“Select”(选择)

 

 

为新的 Edge 接口选择网络

 

此单路并联式负载均衡器的接口将驻留在为其提供负载均衡服务的两个 Web 服务器所在的同一网络中。

  1. 单击“Logical Switch”(逻辑交换机)
  2. 单击“Web_Tier_Logical_Switch (5006)”左侧的单选按钮以将其选中。
  3. 单击“OK”(确定)

 

 

配置子网

 

  1. 单击绿色加号图标。这样您就可以配置此接口的 IP 地址。

 

 

配置 IP 地址和子网

 

要为此接口添加新的 IP 地址,请执行以下操作:

  1. 输入 172.16.10.10 作为“Primary IP Address”(主 IP 地址)。
  2. 输入 24 作为“Subnet Prefix Length”(子网前缀长度)。
  3. 单击“OK”(确定)

 

 

确认接口列表

 

确保 IP 地址和子网前缀长度信息与上图中的信息一致。

  1. 单击“Next”(下一步)

 

 

配置默认网关

 

  1. 输入 172.16.10.1 作为“Gateway IP”(网关 IP)。
  2. 单击“Next”(下一步)

 

 

配置防火墙和高可用性选项

 

  1. 选中“Configure Firewall default policy”(配置防火墙默认策略)
  2. 选择“Accept”(接受)作为“Default Traffic Policy”(默认流量策略)。
  3. 单击“Next”(下一步)

 

 

检查整体配置并完成

 

  1. 单击“Finish”(完成)开始部署。

 

 

监控部署情况

 

部署 NSX Edge 可能需要一些时间。

  1. 部署 OneArm-LoadBalancer 时,“NSX Edges”(NSX Edge) 部分将显示“1 Installing”(1 个正在安装)
  2. OneArm-LoadBalancer 的状态将显示为“Busy”(忙碌)。这表示部署正在进行。
  3. 单击 vSphere Web Client 上的“Refresh”(刷新)图标以更新 OneArm-LoadBalancer 的部署状态。

在 OneArm-LoadBalancer 的状态显示为“Deployed”(已部署)后,可以转到下一步骤。

 

为负载均衡器配置 Edge 服务网关


现在我们已经部署了 Edge 服务网关,接下来将配置负载均衡服务。


 

配置负载均衡器服务

 

上图介绍了新的 NSX Edge 服务网关 (ESG) OneArm-LoadBalancer 所提供的负载均衡器使用的最终拓扑。配置完成后,此 ESG 将驻留在现有的 Web_Tier_Logical_Switch 上。逻辑交换机的网关连接由现有的 Perimeter-Gateway-01 ESG 提供。

此 ESG 的负载均衡服务将接受 IP 地址为 172.16.10.10 的虚拟服务器上的传入客户端连接。接收新的入站连接请求后,负载均衡器会将请求与预定义池成员列表中的一个内部服务器相关联。在本示例中,有两个池成员:web-01a.corp.local (172.16.10.11)web-02a.corp.local (172.16.10.12)

这将使负载均衡器能够为入站客户端提供一个端点,同时跨多个内部 Web 服务器以透明方式分配这些连接。如果某个 Web 服务器发生故障或变得不可用,负载均衡器将进行检测并从其活跃池成员列表中移除该服务器。服务监控器用于定期检查所有池成员的运行状况,一旦发生故障的服务器恢复运行,它将恢复为活跃的池成员。

 

 

在单路并联式负载均衡器上配置负载均衡器功能

 

  1. 双击“OneArm-LoadBalancer”

 

 

导航到新 NSX Edge

 

  1. 单击“Manage”(管理)
  2. 单击“Load Balancer”(负载均衡器)
  3. 单击“Global Configuration”(全局配置)
  4. 单击“Edit”(编辑)以更改负载均衡器全局配置。

 

 

编辑负载均衡器全局配置

 

要启用负载均衡器服务,请执行以下操作:

  1. 选中“Enable Load Balancer”(启用负载均衡器)
  2. 单击“OK”(确定)

 

 

创建新的应用程序配置文件

 

应用程序配置文件用于定义典型类型的网络流量的行为。这些配置文件会应用至虚拟服务器 (VIP),该虚拟服务器根据应用程序配置文件中指定的值来处理流量。 

利用配置文件可使流量管理任务不易出错,并且更加高效。 

  1. 单击“Application Profiles”(应用程序配置文件)
  2. 单击绿色加号图标。此时将打开“New Profile”(新建配置文件)窗口。

 

 

配置新的应用程序配置文件 HTTPS

 

为新的应用程序配置文件配置以下选项:

  1. 输入 OneArmWeb-01 作为“Name”(名称)。
  2. 选择“HTTPS”作为“Type”(类型)。
  3. 选中“Enable SSL Passthrough”(启用 SSL 直通)。这会将负载均衡服务配置为通过未经检查的负载均衡器传送 HTTPS 连接,并在池服务器上终止。
  4. 单击“OK”(确定)

 

 

定义自定义 HTTPS 服务监控器

 

监控器可确保为虚拟服务器提供服务的池成员已启动并正常运行。默认 HTTPS 监控功能将使用基本 HTTP GET 请求 (GET /)。我们将定义自定义监控器,为特定于应用的 URL 执行运行状况检查。这将验证 Web 服务器是否响应连接,也将检查应用是否正常运行。

  1. 单击“Service Monitoring”(服务监控)
  2. 单击绿色加号以定义新的监控器。

 

 

定义新的监控器

 

输入以下信息定义新的监控器:

  1. 对于“Name”(名称),请输入 custom_https_monitor
  2. 对于“Type”(类型),请选择“HTTPS”
  3. 对于“URL”,请输入 /cgi-bin/app.py
  4. 单击“OK”(确定)

 

 

新建池

 

池的服务器组是代表流量要经过负载均衡以到达的节点的实体。我们将向一个新池中添加两个 Web 服务器,即 web-01a 和 web-02a。要创建一个新池,请执行以下操作:

  1. 单击“Pools”(池)
  2. 单击绿色加号图标。此时将打开“New Pool”(新建池)弹出窗口。

 

 

配置新池

 

为此新池配置以下设置:

  1. 输入 Web-Tier-Pool-01 作为“Name”(名称)。
  2. 选择“default_https_monitor”作为“Monitors”(监控器)。
  3. 单击绿色加号图标。

 

 

向池中添加成员

 

  1. 输入 web-01a 作为“Name”(名称)。
  2. 输入 172.16.10.11 作为“IP Address / VC Container”(IP 地址/VC 容器)。
  3. 对于“Port”(端口),输入 443
  4. 对于“Monitor Port”(监控端口),输入 443
  5. 单击“OK”(确定)

使用以下信息重复上述流程,添加第二个池成员:

  • “Name”(名称):web-02a
  • “IP Address”(IP 地址):172.16.10.12
  • “Port”(端口):443
  • “Monitor Port”(监控端口):443

 

 

保存池设置

 

  1. 单击“OK”(确定)

 

 

创建新的虚拟服务器

 

虚拟服务器是接受来自负载均衡配置“前端”的传入连接的实体。用户流量会定向至虚拟服务器的 IP 地址,然后重新分发至负载均衡器“后端”上的池成员。要在此 Edge 服务网关上配置新的虚拟服务器并完成负载均衡配置,请执行以下操作:

  1. 单击“Virtual Servers”(虚拟服务器)
  2. 单击绿色加号图标。此时将打开“New Virtual Server”(新建虚拟服务器)弹出窗口。

 

 

配置新的虚拟服务器

 

请为此新的虚拟服务器配置以下选项:

  1. 输入 Web-Tier-VIP-01 作为“Name”(名称)。
  2. 输入 172.16.10.10 作为“IP Address”(IP 地址)。
  3. 选择“HTTPS”作为“Protocol”(协议)。
  4. 选择“Web-Tier-Pool-01”
  5. 单击“OK”(确定)

 

Edge 服务网关负载均衡器 - 验证配置


现在我们已经配置了负载均衡服务,接下来我们将验证该配置。


 

测试对虚拟服务器的访问

 

  1. 打开一个新的浏览器选项卡。
  2. 单击展开书签列表。
  3. 单击选择“1-Arm LB Customer DB”书签。
  4. 单击“Advanced”(高级)

 

 

忽略 SSL 错误

 

  1. 单击“Proceed to 172.16.10.10 (unsafe)”(前进到 172.16.10.10 [不安全])

 

 

测试对虚拟服务器的访问

 

您应该能够成功访问单路并联式负载均衡器。

  1. 单击“Refresh”(刷新)图标。您将看到负载均衡器在两个池成员之间分配连接。

注意:由于 Chrome 中的浏览器缓存,后续刷新可能不会利用这两个服务器。

 

 

显示池统计信息

 

返回至“vSphere Web Client”浏览器选项卡。

要查看单个池成员的状态,请执行以下操作:

  1. 单击“Pools”(池)
  2. 单击“Show Pool Statistics”(显示池统计信息)
  3. 单击“pool-1”。我们将看到每个成员的当前状态。
  4. 单击 X 关闭窗口。

 

 

监控(运行状况检查)响应增强功能

 

为了帮助进行故障排除,NSX 负载均衡器的“show ...pool”命令将生成有关池成员故障的详细信息。我们将在 Edge 网关 OneArm-LoadBalancer-0 上使用 show 命令来创建两个不同的故障并检查响应。

  1. 在搜索框中输入 LoadBalancer。搜索框位于 vSphere Web Client 的右上角。
  2. 单击“OneArm-LoadBalancer-0”

 

 

打开 Console Load Balancer 控制台

 

  1. 单击“Summary”(摘要)
  2. 单击“VM console”(虚拟机控制台)

 

 

登录到 OneArm-LoadBalancer-0

 

  1. admin 身份登录。
  2. 输入 VMware1!VMware1! 作为“Password”(密码)。

 

 

在出现故障之前检查池的状态

 

  1. 输入 show service loadbalancer pool
show service loadbalancer pool

注意:池成员 web-01a 和 web-02a 的状态显示为“UP”(正常)。

 

 

启动 PuTTY

 

  1. 单击任务栏中的 PuTTY

 

 

通过 SSH 连接到 web-01a.corp.local

 

  1. 向下滚动以找到“web-01a.corp.local”
  2. 选择“web-01a.corp.local”
  3. 单击“Load”(加载)
  4. 单击“Open”(打开)

 

 

停止 Nginx 服务

 

我们将关闭 HTTPS 以模拟首次故障情况

  1. 输入 systemctl stop nginx
systemctl stop nginx

 

 

Loadbalancer 控制台

 

  1. 输入 show service loadbalancer pool
show service loadbalancer pool

由于该服务已关闭,因此故障详细信息会显示负载均衡器的运行状况监控流程无法建立 SSL 会话。

 

 

启动 NGINX 服务

 

切换回 web-01a 的 Putty SSH 会话。

1. 输入 systemctl start nginx

systemctl start nginx

 

 

关闭 web-01a

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 在搜索框中输入 web-01a。搜索框位于 vSphere Web Client 的右上角。
  2. 单击“web-01a”

 

 

关闭 web-01a

 

  1. 单击“Actions”(操作)
  2. 单击“Power”(电源)
  3. 单击“Power Off”(关闭)
  4. 单击“Yes”(是)确认。

 

 

检查池状态

 

  1. 输入 show service loadbalancer pool
show service loadbalancer pool

由于该虚拟机当前已关闭,因此故障详细信息会显示客户端无法建立 L4 连接,这与前一步骤中的 L7 (SSL) 连接相反。

 

 

启动 web-01a

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 单击“Actions”(操作)
  2. 单击“Power”(电源)
  3. 单击“Power On”(启动)

 

 

小结

在本实验室中,我们部署并配置了新的 Edge 服务网关,并针对 1-Arm LB Customer DB 应用启用了负载均衡服务。

“Edge 服务网关负载均衡器”课程到此结束。接下来,我们将学习有关 Edge 服务网关防火墙的更多信息。

 

Edge 服务网关防火墙


NSX Edge 防火墙监控南北向流量以提供边界安全功能。而 NSX 分布式防火墙与之不同,其中策略应用于每个虚拟机的虚拟网关。

Edge 防火墙可以帮助您满足关键的边界安全要求,例如根据 IP/VLAN 结构来构建 DMZ、在多租户虚拟数据中心内进行租户隔离,以及对无法使用分布式防火墙的物理设备实施传统路由防火墙。


 

使用 NSX Edge 防火墙规则

Edge 服务网关和逻辑路由器都包含用于防火墙配置的选项卡,只是此策略的应用位置存在显著差异。对逻辑路由器应用防火墙规则时,这些策略应用于逻辑路由器控制虚拟机,而且不是数据平面的组件。为了保护数据平面流量,逻辑(分布式)防火墙规则可用于虚拟网卡上的东西向保护,NSX Edge 服务网关级别的规则可用于南北向保护或基于 VLAN 的物理端口组之间的路由。

对于在 NSX 防火墙用户界面中创建的适用于 NSX Edge Gateway 的规则,它们以只读模式显示在 Edge 上。当规则存在于多个位置时,它们将按以下顺序显示并强制实施:

  1. 防火墙用户界面上用户定义的规则(只读)。
  2. 自动配置的规则(自动创建的可为 Edge 服务启用控制流量的规则)。
  3. NSX Edge 防火墙用户界面上用户定义的规则。
  4. 默认规则。

 

 

打开“Network & Security”(网络与安全性)

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

打开一个 NSX Edge

 

  1. 单击“NSX Edges”(NSX Edge)
  2. 双击“Perimeter Gateway-01”

 

 

打开“Manage”(管理)选项卡

 

  1. 单击“Manage”(管理)
  2. 单击“Firewall”(防火墙)
  3. 单击选择“Default Rule”(默认规则)
  4. 单击“Action”(操作)列下方的铅笔图标。
  5. 在“Action”(操作)字段中选择“Deny”(拒绝)

注意:NSX 为防火墙规则提供了以下三种可用操作:

  • “Accept”(接受):将规则与此操作匹配的流量将正常传送。
  • “Deny”(拒绝):将规则与此操作匹配的流量将被丢弃,且不再向流量来源提供通知。
  • “Reject”(拒绝):与“Deny”(拒绝)类似,将规则与此操作匹配的流量将被丢弃,但会向源数据包的源 IP 地址发送无法访问 ICMP 的消息。

 

 

发布变更

 

我们将不会对 Edge 服务网关防火墙设置进行永久性更改。

  1. 单击“Revert”(恢复)可回滚更改。

 

 

添加 Edge 服务网关防火墙规则

 

现在我们已经熟悉了如何编辑现有 Edge 服务网关防火墙规则,接下来将添加一个新的 Edge 防火墙规则,用来阻止控制中心对客户数据库应用的访问。

  1. 单击绿色加号图标以添加一个新的防火墙规则。
  2. 将鼠标悬停在“Name”(名称)列的右上角,然后单击铅笔图标。
  3. 输入 Main Console FW Rule 作为“Rule Name”(规则名称)。
  4. 单击“OK”(确定)

 

 

指定源

 

将鼠标悬停在“Source”(源)列的右上角,然后单击铅笔图标。

  1. 单击“Object Type”(对象类型)下拉菜单,然后选择“IP Sets”(IP 组)
  2. 单击“New IP Set...”(新建 IP 组...)超链接。
  3. 输入 Main Console 作为“Name”(名称)。
  4. 输入 192.168.110.10 作为“IP Address”(IP 地址)。
  5. 单击“OK”(确定)

 

 

指定源

 

  1. 从“Object Type”(对象类型)列表中选择“IP Sets”(IP 组)
  2. 从“Available Objects”(可用对象)列表中单击选择“Main Console”(主控制台)
  3. 单击向右箭头。此操作会将对象移到“Selected Objects”(所选对象)列表中。
  4. 确认主控制台位于“Selected Objects”(所选对象)列表中,然后单击“OK”(确定)

 

 

指定目标

 

将鼠标悬停在“Destination”(目标)列的右上角,然后单击铅笔图标。

  1. 从“Object Type”(对象类型)列表中选择“Logical Switch”(逻辑交换机)
  2. 从“Available Objects”(可用对象)列表中单击选择“Web_Tier_Logical_Switch”
  3. 单击向右箭头。此操作会将对象移到“Selected Objects”(所选对象)列表中
  4. 确认 Web_Tier_Logical_Switch 位于“Selected Objects”(所选对象)列表中,然后单击“OK”(确定)

 

 

配置操作

 

  1. 单击“Action”(操作)列下方的铅笔图标。
  2. 在“Action”(操作)字段中选择“Reject”(拒绝)
  3. 单击“OK”(确定)

注意:选择“Reject”(拒绝)而非“Deny”(拒绝)是为了在以下步骤中加快 Web 服务器的故障。如果选择“Deny”(拒绝),流将被丢弃,最终超时。由于已在上面选择“Reject”(拒绝),因此在尝试连接时会向主控制台发送 ICMP 消息,立即通知操作系统连接失败。建议使用“Deny”(拒绝)作为通用安全最佳实践。

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)以更新 Perimeter-Gateway-01 (NSX Edge) 上的配置。

 

 

测试新防火墙规则

 

现在我们已经配置了可阻止控制中心访问 Web 层逻辑交换机的新防火墙规则,接下来我们进行一个快速测试:

  1. 打开一个新的浏览器选项卡。
  2. 单击“Customer DB App”(客户数据库应用)书签。

验证主控制台是否无法访问客户数据库应用。我们应该会看到浏览器页面显示无法访问该网站。现在,我们来修改一下防火墙规则以允许主控制台访问客户数据库应用。

 

 

将主控制台防火墙规则更改为“Accept”(接受)

 

返回至“vSphere Web Client”浏览器选项卡。

  1. 单击主控制台防火墙规则的“Action”(操作)列下方的铅笔图标。
  2. 在“Action”(操作)字段中选择“Accept”(接受)
  3. 单击“OK”(确定)

 

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)以更新 Perimeter-Gateway-01 (NSX Edge) 上的配置。

 

 

确认可以访问客户数据库应用

 

返回至“Customer DB App”(客户数据库应用)浏览器选项卡。

  1. 单击“Refresh”(刷新)图标。

我们已将主控制台防火墙规则更改为“Accept”(接受),现在主控制台可以访问客户数据库应用

 

 

删除主控制台防火墙规则

 

  1. 单击选择“Main Console FW Rule”(主控制台防火墙规则)
  2. 单击红色的 X 以删除选定的防火墙规则。
  3. 单击“OK”(确定)以确认。

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更)以更新 Perimeter-Gateway-01 (NSX Edge) 上的配置。

 

 

小结

在本实验室中,我们学习了如何修改现有 Edge 服务网关防火墙规则,以及如何配置可阻止从外部访问客户数据库应用的新 Edge 服务网关防火墙规则。

“Edge 服务网关防火墙”课程到此结束。接下来,我们将学习有关 Edge 服务网关如何管理 DHCP 服务的更多信息。

 

DHCP 中继


在仅有一个网段的网络中,DHCP 客户端可与其 DHCP 服务器直接通信。DHCP 服务器还可为多个网络提供 IP 地址,包括与服务器本身不在同一网段的网络。由于 DHCP 的广播性质,当为本地网络之外的范围提供 IP 地址时,DHCP 服务器无法直接与请求客户端通信。

在这些情况下,DHCP 中继代理用于中继客户端广播的 DHCP 请求。这是通过将广播请求作为一个单播数据包定向到指定的 DHCP 服务器来完成的。DHCP 服务器将基于单播源的地址范围选择一个 DHCP 范围。DHCP 响应数据包将提供给中继地址,然后在源网络上重新广播到客户端。

本实验室中将要介绍的领域:

  • 在 NSX 中创建新的网段
  • 在新网段上启用 DHCP 中继代理
  • 利用需要 DHCP 中继的 DHCP 服务器上预先创建的 DHCP 范围
  • 通过 DHCP 范围选项,网络引导 (PXE) 一个空白虚拟机

在本实验室中,已经预先配置了以下项目:

  • 基于 Windows Server 的 DHCP 服务器,并设置了适当的 DHCP 范围和范围选项
  • PXE 引导文件的 TFTP 服务器。已经安装、配置了此服务器,并已加载操作系统文件。

 

实验室拓扑

 

此图说明了将在本实验室单元中创建和使用的拓扑。

 

 

通过 vSphere Web Client 访问 NSX

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

创建新的逻辑交换机

 

首先,我们必须创建一个新的逻辑交换机,它将运行我们新的 172.16.50.0/24 网络。

  1. 单击“Logical Switches”(逻辑交换机)
  2. 单击绿色加号图标以创建新的逻辑交换机。

 

 

将逻辑交换机连接到外围网关

 

现在,我们要将逻辑交换机连接到外围网关上的某个接口。此接口将是 172.16.50.0/24 网络的默认网关,地址为 172.16.50.1。

  1. 单击“NSX Edges”(NSX Edge)
  2. 双击“Perimeter-Gateway-01”

 

 

配置 DHCP 中继

 

在“Perimeter Gateway”(外围网关)内部,我们必须为 DHCP 中继进行全局配置。

  1. 单击“Manage”(管理)
  2. 单击“DHCP”
  3. 单击“Relay”(中继)
  4. 单击“Edit”(编辑)

 

 

为 PXE 引导创建空白虚拟机

 

现在,我们将创建一个空白虚拟机,它将从我们作为中继目标的 DHCP 服务器进行 PXE 引导。

  1. 单击“Home”(主页)图标。
  2. 单击“Hosts and Clusters”(主机和集群)

 

 

访问新创建的虚拟机

 

接下来,我们将打开此虚拟机的控制台,并观察它从 PXE 映像引导。它将通过我们先前配置的远程 DHCP 服务器接收此信息。

  1. 单击“PXE VM”(PXE 虚拟机)
  2. 单击“Summary”(摘要)
  3. 单击虚拟机控制台

 

 

验证 DHCP 租约

 

在等待虚拟机引导时,我们可以验证 DHCP 租约中使用的地址。

  1. 转到主控制台的桌面,然后双击“DHCP”图标。

 

 

访问已引导的虚拟机

 

  1. 单击“PXE VM”(PXE 虚拟机)浏览器选项卡。

 

 

验证地址和连接性

 

位于虚拟机右上角的小工具将显示该虚拟机的统计数据和 IP。此 IP 应与先前的 DHCP 中显示的 IP 相匹配。

 

 

小结

在这一部分,我们完成了新网段的创建,然后将来自该网络的 DHCP 请求中继到外部 DHCP 服务器。在进行这些操作时,我们可以访问此外部 DHCP 服务器的其他引导选项,以及 Linux 操作系统内部的 PXE。

接下来,我们将探讨 Edge 服务网关 L2VPN 服务。

 

配置 L2VPN


在这一部分,我们将利用 NSX Edge Gateway 的 L2VPN 功能,在两个独立的 vSphere 集群之间延展 L2 边界。为演示此功能,我们将分别在 RegionA01-MGMT01 集群和 RegionA01-COMP01 集群上部署 NSX Edge L2VPN 服务器和 NSX Edge L2VPN 客户端,最后测试安全加密链路状态以验证是否配置成功。


 

打开 Google Chrome 并导航到 vSphere Web Client

 

  1. 从桌面上打开 Google Chrome Web 浏览器(如果尚未打开)。

 

 

导航到 vSphere Web Client 的“Networking & Security”(网络连接和安全性)部分

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

为 L2VPN-Server 创建 NSX Edge Gateway

 

要创建 L2VPN 服务器服务,我们必须首先部署 NSX Edge Gateway,以便该服务在其中运行。 

  1. 单击“NSX Edges”(NSX Edge)
  2. 单击绿色加号图标。

 

 

配置新的 NSX Edge Gateway:L2VPN-Server

 

  1. 对于“Name”(名称),请输入 L2VPN-Server
  2. 单击“Next”(下一步)

 

 

为新的 NSX Edge Gateway 配置设置:L2VPN-Server

 

  1. 对于“Password”(密码),请输入 VMware1!VMware1!
  2. 对于“Confirm password”(确认密码),请输入 VMware1!VMware1!
  3. 选中“Enable SSH access”(启用 SSH 访问)
  4. 单击“Next”(下一步)

 

 

准备 L2VPN-Server NSX Edge 以建立 L2VPN 连接

在配置新部署的 NSX Edge 以建立 L2VPN 连接之前,我们需要完成以下步骤:

  1. 将中继接口添加到 L2VPN-Server Edge Gateway。
  2. 将子接口添加到 L2VPN-Server Edge Gateway。
  3. 在 L2VPN-Server Edge Gateway 上配置动态路由 (OSPF)。

 

 

为此 NSX Edge 设置路由器 ID

 

接下来,我们将在此 Edge Gateway 上配置动态路由。

  1. 单击“Routing”(路由)
  2. 单击“Global Configuration”(全局配置)
  3. 单击“Edit”(编辑)以更改“Dynamic Routing Configuration”(动态路由配置)。

 

 

在 L2VPN-Server NSX Edge 上配置 OSPF

 

  1. 单击“OSPF”
  2. 单击“Area to Interface Mapping”(区域到接口的映射)下的绿色加号图标。

 

 

启用 OSPF 路由重新分发

 

  1. 单击“Route Redistribution”(路由重新分发)
  2. 单击“Edit”(编辑)以更改“Route Redistribution Status”(路由重新分发状态)。
  3. 选中“OSPF”
  4. 单击“OK”(确定)

 

 

在 L2VPN-Server NSX Edge 上配置 L2VPN 服务

172.16.10.1 地址属于 L2VPN-Server Edge Gateway,并且通过 OSPF 动态分发路由。接下来,我们将在此 Edge 网关上配置 L2VPN 服务,以使 Edge 在 L2VPN 连接中充当“服务器”。

 

 

部署 L2VPN-Client NSX Edge Gateway

现在我们已配置了 L2VPN 的服务器端,接下来将部署一个新的 NSX Edge Gateway 以充当 L2 VPN 客户端。在部署 NSX Edge Gateway L2 VPN 客户端之前,我们需要在分布式虚拟交换机上配置上行链路和中继分布式端口组。

 

 

配置 L2VPN-Client NSX Edge Gateway

 

  1. 双击“L2VPN-Client”

 

原生桥接


NSX 提供各种内核中软件 L2 桥接功能,这使各企业可以使用 VXLAN 将旧式 VLAN 上运行的传统工作负载无缝连接到虚拟化网络。L2 桥接通常用于升级或扩容环境中以简化逻辑网络的引入,或在物理系统需要与 NSX 逻辑交换机上运行的虚拟机建立 L2 连接时使用。

本单元将引导我们配置传统 VLAN 和访问 NSX 逻辑交换机之间的 L2 桥接实例。


 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。向实验室发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到实验室控制台:

  1. 突出显示手册中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、PuTTY、控制台等)中。某些特定字符通常并不存在于世界各地使用的所有键盘上。如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

 

访问 vSphere Web Client

 

  • 通过双击桌面上标记为“Chrome”的图标启动 vSphere Web Client。

 

 

验证初始配置

 

我们将验证初始配置是否如上图所示。实验室环境的管理和边缘集群上有一个端口组,名为 Bridged-Net-RegionA01-vDS-MGMT。此时,名为 web-01aweb-02a 的 Web 服务器虚拟机已挂接到 Web-Tier-01 逻辑交换机。Web-Tier-01 逻辑交换机与桥接网络相互隔离。

 

 

将 Web-01a 迁移到 RegionA01-MGMT01 集群

 

  1. 单击“Home”(主页)图标。
  2. 单击“VMs and Templates”(虚拟机和模板)

 

 

查看已连接的虚拟机

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking”(网络连接)

 

 

将 Web_Tier_Logical_Switch 迁移到分布式逻辑路由器

 

  1. 单击“Home”(主页)图标。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

配置 NSX L2 桥接

 

我们将在 VLAN 101 和 Web-Tier-01 逻辑交换机之间实现 NSX L2 桥接,以便 web-01a.corp.local 能够与网络中的其他区域进行通信。此配置将在同一 Web 层逻辑交换机上启用 L2 桥接和分布式逻辑路由器接口。

 

 

验证 L2 桥接

NSX L2 桥接现已配置完毕。接下来,您将验证挂接到 VLAN 101 的 web-01a 虚拟机与挂接到 Web_Tier_Logical_Switchweb-02a 虚拟机之间的 L2 连接。

 

 

L2 桥接单元清理

如果您想继续学习本动手实验室中的其他单元,请确保按照以下步骤移除 L2 桥接,因为在此特定场景中使用的示例配置可能会与其他部分(比如 L2VPN)冲突。

 

 

将 Web-01a 迁移回 RegionA01-COMP01 集群

 

  1. 单击“Home”(主页)图标。
  2. 单击“VMs and Templates”(虚拟机和模板)

 

第 4 单元结束语


在本单元中,我们介绍了 NSX Edge 服务网关的高级功能特性:

  1. 部署了新的 Edge 服务网关 (ESG) 并将其配置为单路并联式负载均衡器。
  2. 基于现有 ESG 修改并创建了防火墙规则。
  3. 通过 ESG 配置了 DHCP 中继。
  4. 通过 ESG 配置了 L2VPN。

 

您已完成第 4 单元

祝贺您!您已经完成了第 4 单元的学习。

如果您想了解有关 NSX 部署的其他信息,请通过以下 URL 查看 NSX 6.4 文档中心:

继续学习以下任意单元:

实验室单元列表:

实验室负责人:

  • 第 1-4 单元 - 美国 NSX 主管系统工程师 Joe Collon

 

 

如何结束实验室

 

要结束实验室,请单击“END”(结束)按钮。

 

总结

感谢您参加 VMware 动手练习。 请务必访问 http://hol.vmware.com/ 继续完成在线练习。

练习 SKU: HOL-1903-01-NET

版本: 20181114-022405