VMware 动手练习 - HOL-1926-01-NET


实验室概述 - HOL-1926-01-NET - VMware NSX-T

实验指导


注意:本实验总时长超过 90 分钟。体验期间,您最好只完成 2 到 3 个单元。这些单元彼此独立,因此您可以从任一单元开始学起。您可以使用目录访问所选择的任何单元。

目录可以从实验手册的右上角访问。

实验单元列表:

实验负责人:

本实验手册可以从动手实验文档站点下载,网址为:

http://docs.hol.vmware.com

本实验可能提供其他语言版本。要设置语言首选项并在实验中部署本地化手册,可以在以下文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红框区域包含主控制台。实验手册位于主控制台右侧的选项卡上。
  2. 个别实验可能会用到左上角独立选项卡上的其他控制台。如有需要,系统将引导您打开其他的特定控制台。
  3. 实验时间为 90 分钟,由计时器计时。实验结果无法保存。所有操作都必须在实验课程中完成。但是您可以单击“EXTEND”(延长)延长时间。在 VMware 活动期间,您可以将实验时间延长两次,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将实验时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击实验手册内容并拖放到控制台的活动窗口

 
 

您也可以单击实验手册中的文本和命令行界面 (CLI) 命令,并将其直接拖放到主控制台中的活动窗口。 

 

 

访问在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

激活提示或水印

 

首次启动实验时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手实验利用了这一优势,我们可以运行多个数据中心内的实验。但是,这些数据中心的处理器可能不同,因此会通过 Internet 触发 Microsoft 激活检查。

请放心,VMware 和这些动手实验完全符合 Microsoft 的许可要求。您使用的实验是一个独立的单元,不具备对 Internet 的完全访问权限,而 Windows 需要该权限才能验证激活。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一表面问题不会影响到您的实验。 

 

 

查看屏幕右下部分

 

请检查是否完成实验的所有启动例程,以及是否准备好开始。如果您看到的内容并非“Ready”(准备就绪),请等待几分钟。如果 5 分钟后,您的实验仍未变为“Ready”(准备就绪),请寻求帮助。

 

第 1 单元 - NSX-T 简介(15 分钟)

NSX-T 简介


在本单元中,您将了解 NSX-T 及其功能,以及构成此解决方案的组件。


 

实验拓扑

 

 

 

实验拓扑 NSX

 

 

 

什么是 NSX-T?

VMware NSX-T 旨在解决具有异构端点和技术体系的新兴应用框架和体系结构。除了 vSphere,这些环境还可能包括其他 hypervisor (KVM)、容器和公有云。NSX-T 有助于 IT 和开发团队选择最适合其特定应用的技术。NSX-T 还设计用于开发企业(外加 IT 企业)的管理、运维和消耗。

与服务器虚拟化允许以编程方式创建、拍摄快照、删除和还原基于软件的虚拟机 (VM) 的方式大致相同,NSX-T 网络虚拟化支持以编程方式创建、拍摄快照、删除和还原基于软件的虚拟网络。

借助网络虚拟化,与网络 hypervisor 对等的功能可在软件中重现第 2 至 7 层的全套网络连接服务(如交换、路由、访问控制、防火墙、服务质量)。因此,这些服务能够以编程方式组建为任意组合,只需要几秒钟时间即可生成唯一的、隔离的虚拟网络。

NSX-T 的工作方式是实现三个单独但集成的平面:管理平面、控制平面和数据平面。这三个平面是作为一组进程、模块和代理实现的,它们位于三类节点上:管理器、控制器和传输节点。

 

 

NSX-T 组件(第 1 部分)

 

数据平面

根据控制平面填充的表执行无状态数据包转发/转换,向控制平面报告拓扑信息以及维护数据包级别统计信息。

数据平面是物理拓扑和组件状态的可信来源,例如 VIF 位置、安全加密链路状态等等。如果要将数据包从一个位置移动到另一个位置,则需要位于数据平面。数据平面还维护多个链路/安全加密链路的状态并处理它们之间的故障转移。每个数据包的性能是至关重要的,并具有非常严格的延迟或抖动要求。数据平面并不一定完全包含在内核、驱动程序、用户空间甚至特定用户空间流程中。数据平面限制为基于控制平面填充的表/规则进行完全无状态转发。

数据平面可能还具有可维护 TCP 终止等功能特性部分状态的组件。这与控制平面受管理状态(如 MAC:IP 安全加密链路映射)不同,因为控制平面管理的状态与如何转发数据包有关,而数据平面管理的状态仅限于如何处理负载数据。

 

控制平面

根据管理平面中的配置计算所有临时运行时状态,传播数据平面元素报告的拓扑信息以及将无状态配置推送到转发引擎。

控制平面有时被描述为网络的信号。如果要处置处理消息以便基于静态用户配置维护数据平面,则要位于控制平面(例如,控制平面负责响应虚拟机 (VM) 的 vMotion,而管理平面负责将虚拟机连接到逻辑网络)。通常,控制平面充当在数据平面元素之间映射拓扑信息的反射器,如 TEP 的 MAC/安全加密链路映射。在其他情况下,控制平面处理从某些数据平面元素中收到的数据以配置(或重新配置)某些数据平面元素,例如,使用 VIF 定位器计算和确定正确的安全加密链路子集网格。

控制平面处理的对象集包括 VIF、逻辑网络、逻辑端口、逻辑路由器、IP 地址等等。

控制平面在 NSX-T 中拆分成两个部分:中央控制平面 (CCP) 和本地控制平面 (LCP),前者在 NSX Controller 集群节点上运行,后者在它控制的数据平面的相邻传输节点上运行。中央控制平面根据管理平面中的配置计算某种临时运行时状态,并通过本地控制平面传播由数据平面元素报告的信息。本地控制平面监控本地链路状态,根据数据平面和 CCP 中的更新计算最新的运行时状态,并将无状态配置推送到转发引擎。LCP 与托管它的数据平面元素存在相同的风险。

管理平面

管理平面提供一个系统 API 入口点,永久保留用户配置,处理用户查询,以及在系统中的所有管理平面节点、控制平面节点和数据平面节点上执行操作任务。

对于 NSX-T,管理平面负责处理查询、修改并保留用户配置,而控制平面负责将该配置向下传播到正确的数据平面元素子集。这意味着某些数据属于多个平面,具体取决于它所处的阶段。管理平面还处理从控制平面中查询最近的状态和统计信息,有时直接从数据平面中进行查询。

管理平面是配置的(逻辑)系统的唯一可信来源,由用户通过配置进行管理。可以使用 RESTful API 或 NSX-T UI 进行更改。

在 NSX 中,还会在所有集群和传输节点上运行管理平面代理 (MPA)。引导配置就是一个示例用例,例如,中央管理节点地址凭证、软件包、统计信息和状态。MPA 可以相对独立于控制平面和数据平面而运行,并且可在其流程崩溃或楔入的情况下单独重新启动;但在某些场景中,它们在同一主机上运行,因此将具有相同的命运。MPA 支持本地访问和远程访问。MPA 在传输节点、控制节点以及用于节点管理的管理节点上运行。在传输节点上,它可能还会执行与数据平面相关的任务。

在管理平面上执行的任务包括:

 

 

NSX-T 组件(第 2 部分)

 

NSX Manager

NSX Manager 提供图形用户界面 (GUI) 和 REST API,用于创建、配置和监控 NSX-T 组件,如控制器、逻辑交换机和边缘服务网关。

NSX Manager 是用于 NSX-T 生态系统的管理平面。NSX Manager 提供聚合的系统视图,是 NSX-T 的集中式网络管理组件。它提供了一种方法来监控连接到 NSX-T 创建的虚拟网络的工作负载,并对其进行故障排除。它还提供以下方面的配置和编排:

NSX Manager 支持对内置和外部服务进行无缝编排。所有安全服务,无论是内置还是由第三方提供,均通过 NSX-T 管理平面进行部署和配置。管理平面提供单个窗口来查看服务可用性。它还有助于实现基于策略的服务链、上下文共享和服务间事件处理。这将简化安全状况审核,精简基于身份的控制的应用(如 AD 和移动配置文件)。

NSX Manager 还提供 REST API 入口点以供自动使用。借助这种灵活的体系结构,可通过任何云计算管理平台、安全供应商平台或自动化框架自动执行所有配置和监控工作。

NSX-T 管理平面代理 (MPA) 是一个 NSX Manager 组件,位于每个节点 (hypervisor) 上。MPA 负责永久保留系统的理想状态,以及在传输节点与管理平面之间传送非流量控制 (NFC) 消息,如配置、统计信息、状态和实时数据。

 

NSX Controller

NSX Controller 是一种高级分布式状态管理系统,可控制虚拟网络和叠加传输安全加密链路。

NSX Controller 作为高度可用的虚拟设备的集群进行部署,这些设备负责整个 NSX-T 体系结构中虚拟网络的编程部署。NSX-T 中央控制平面 (CCP) 在逻辑上与所有数据平面流量分离,这意味着控制平面中的任何故障都不会影响现有的数据平面运维。流量不会通过控制器传输;而控制器负责为其他 NSX Controller 组件提供配置,如逻辑交换机、逻辑路由器和边缘网关配置。数据传输的稳定性和可靠性是网络连接的重点。为了进一步增强高可用性和可扩展性,将在包含三个实例的集群中部署 NSX Controller。

 

N-VDS 交换机

N-VDS 交换机或逻辑交换机在 NSX 平台中提供功能,支持像搭建虚拟机一样灵活、敏捷地搭建隔离的第 2 层逻辑网络。

虚拟数据中心的云部署在多个租户中拥有各种应用。这些应用和租户需要相互隔离,以确保安全性和故障隔离,并避免 IP 寻址重叠问题。虚拟和物理端点都可以连接到这些逻辑分段并建立连接,而不依赖它们在数据中心网络中的物理位置。这是通过将网络基础架构与 NSX-T 网络虚拟化提供的逻辑网络分离(即,将底层网络与叠加网络分离)而实现。

逻辑交换机展示了跨多台主机的第 2 层交换连接,这些主机之间还具有第 3 层 IP 可连接性。如果您计划将一些逻辑网络限制于一组限定主机,或者具有自定义连接要求,则可能会发现有必要创建其他逻辑交换机。

 

 

NSX-T 组件(第 3 部分)

 

逻辑路由器

NSX-T 逻辑路由器提供南北向连接以便租户访问公共网络,还会在同一租户内的不同网络之间提供东西向连接。

逻辑路由器是传统网络硬件路由器的配置分区。它可以复制硬件的功能,从而在单个路由器内创建多个路由域。逻辑路由器执行可由物理路由器处理的部分任务,每个路由器可以包含多个路由实例和路由表。使用逻辑路由器是最大限度提高路由器使用率的一种有效方式,因为单个物理路由器内的一组逻辑路由器可以执行之前由多台设备执行的运维。

借助 NSX-T,可以创建双层逻辑路由器拓扑:顶层逻辑路由器为第 0 层,底层逻辑路由器为第 1 层。这种结构为提供商管理员和租户管理员提供了对其服务和策略的完全控制权。提供商管理员可以控制和配置第 0 层路由和服务,租户管理员可以控制和配置第 1 层路由和服务。第 0 层北端与物理网络连接,可以在其中配置动态路由协议以便与物理路由器交换路由信息。第 0 层南端连接到多个第 1 层路由层,并接收来自这些层的路由信息。为了优化资源使用,第 0 层不会将来自物理网络的所有路由推送到第 1 层,但会提供默认信息。

南向第 1 层路由层与租户管理员定义的逻辑交换机连接,并在它们之间提供单跃点路由功能。为了实现从物理网络连接到与第 1 层连接的子网,必须启用到第 0 层的路由重新分发。但是,第 1 层和第 0 层之间并未运行经典路由协议(如 OSPF 或 BGP),并且所有路由都会通过 NSX-T 控制平面。注意:如果无需将提供商与租户分开,则不强制要求使用双层路由拓扑。可以创建单层拓扑,并且在这种情况下,逻辑交换机将直接连接到第 0 层,而没有第 1 层。

一个逻辑路由器由两个可选部分组成:一个分布式路由器 (DR) 以及一个或多个服务路由器 (SR)。

DR 横跨多个 hypervisor(其虚拟机连接到此逻辑路由器)以及该逻辑路由器绑定到的边缘网关节点。在功能方面,DR 负责逻辑交换机和/或连接到此逻辑路由器的各逻辑路由器之间的单跃点分布式路由。SR 负责交付当前未以分发方式实施的服务,如有状态 NAT。

一个逻辑路由器始终具有一个 DR;如果满足以下任何条件,则还具有 SR:

NSX-T 管理平面 (MP) 负责自动创建将服务路由器连接到分布式路由器的结构。MP 会创建一个传输逻辑交换机并为其分配一个 VNI,然后在每个 SR 和 DR 上创建一个端口,将其连接到传输逻辑交换机,并为 SR 和 DR 分配 IP 地址。

 

NSX Edge 节点

NSX Edge 节点提供路由服务以及与 NSX-T 部署外部的网络的连接。

借助 NSX Edge 节点,驻留在同一主机但不同子网上的虚拟机或工作负载可以互相通信,而无需流经传统路由接口。

要利用第 0 层路由器并以 BGP 或静态路由方式从 NSX-T 域建立外部连接,NSX Edge 节点必不可少。此外,如果您需要在第 0 层或第 1 层逻辑路由器使用网络地址转换 (NAT) 服务,则必须部署 NSX Edge 节点。

NSX Edge 节点通过提供 NAT 和动态路由等通用网关服务,将隔离的存根网络连接到共享(上行链路)网络。NSX Edge 节点的常见部署发生于 DMZ 和多租户云计算环境;在多租户云计算环境中,NSX Edge 节点可为每个租户创建虚拟边界。

 

传输域

传输域可以控制逻辑交换机能够连接到的主机。它可以跨越一个或多个主机集群。传输域可指定哪些主机以及哪些虚拟机有权使用特殊网络。

传输域可以定义一组能够跨物理网络基础架构彼此进行通信的主机。该通信通过一个或多个定义为安全加密链路端点 (TEP) 的接口进行。

如果两个传输节点位于同一传输域中,则托管在这些传输节点上的虚拟机可以“看到”并因此连接到同样位于该传输域中的 NSX-T 逻辑交换机。借助此连接,虚拟机可以相互通信,但前提是虚拟机具有第 2 层/第 3 层可连接性。如果虚拟机连接到位于不同传输域内的逻辑交换机,则虚拟机之间无法相互通信。传输域并不会替代第 2 层/第 3 层可连接性要求,但会给可连接性设定限制。换句话说,属于同一传输区域是建立连接的先决条件。满足该先决条件后,便可建立连接,但不会自动实施。为了实现真正的可连接性,第 2 层和(对于不同子网)第 3 层网络连接必须正常运行。

如果节点至少包含一个 hostswitch,则可用作传输节点。创建主机传输节点并将其添加到传输域时,NSX-T 会在主机上安装一个 hostswitch。对于主机所属的每个传输域,会安装单独的 hostswitch。Hostswitch 用于将虚拟机连接到 NSX-T 逻辑交换机,以及创建 NSX-T 逻辑路由器上行链路和下行链路。

 

 

组件术语词汇表

文档和用户界面中使用的常见 NSX-T 概念。

控制平面

根据管理平面的配置计算运行时状态。控制平面传达数据平面元素报告的拓扑信息,并将无状态配置推送到转发引擎。

数据平面

根据控制平面填充的表对数据包执行无状态转发或转换。数据平面将拓扑信息报告给控制平面,并维护数据包级别统计信息。

外部网络

并非由 NSX-T 代管的物理网络或 VLAN。您可以通过 NSX Edge 将逻辑网络或叠加网络链接到外部网络。例如,客户数据中心的物理网络或物理环境中的 VLAN。

结构节点

已向 NSX-T 管理平面注册且已安装 NSX-T 模块的节点。要使 hypervisor 主机或 NSX Edge 成为 NSX-T 叠加的一部分,必须在 NSX-T 结构中添加该节点。

结构配置文件

表示可以与 NSX Edge 集群相关联的特定配置。例如,结构配置文件可能包含用于检测停止运行的对等项的安全加密链路属性。

逻辑路由器

提供分布式东西向路由的 NSX-T 路由实体。逻辑路由器还将第 1 层路由器与第 0 层路由器相链接。 

逻辑路由器端口

逻辑网络端口,可将逻辑交换机端口或连接物理网络的上行链路端口连接到该端口。可提供网络地址转换 (NAT)、负载均衡、边界防火墙、VPN 等网络服务。

逻辑交换机

为虚拟机接口和网关接口提供第 2 层虚拟交换的 API 实体。逻辑交换机为租户网络管理员提供第 2 层物理交换机的逻辑对等功能,允许他们将一组虚拟机连接到一个通用广播域。逻辑交换机是独立于物理 hypervisor 基础架构的逻辑实体,并且可横跨多个 hypervisor,连接处于任意物理位置的虚拟机。这样,无需租户网络管理员进行重新配置,虚拟机即可实现迁移。

在多租户云计算环境中,可能有大量逻辑交换机并排存在于同一 hypervisor 硬件上,并且第 2 层分段与其他分段隔离。逻辑交换机可以使用逻辑路由器进行连接,而逻辑路由器可以提供连接到外部物理网络的上行链路端口。

逻辑交换机端口

逻辑交换机连接点,用于建立与虚拟机网络接口或逻辑路由器接口的连接。逻辑交换机端口报告应用的交换配置文件、端口状态和链路状态。

管理平面

为系统提供单个 API 入口点,保留用户配置,处理用户查询并在系统中的所有管理、控制和数据平面节点上执行运维任务。管理平面还负责查询、修改和保留用户配置。

NSX Controller 集群

作为高度可用的虚拟设备的集群进行部署,这些设备负责整个 NSX-T 体系结构中虚拟网络的编程部署。

NSX Edge 集群

NSX Edge 节点设备的集合,这些设备与高可用性监控中所涉及的协议具有相同的设置。

NSX Edge 节点

具有功能目标的组件旨在提供计算能力以提供 IP 路由和 IP 服务功能。

NSX-T Hostswitch 或 KVM Open vSwitch

在 hypervisor 上运行并提供物理流量转发的软件。Hostswitch 或 OVS 对租户网络管理员不可见,提供每个逻辑交换机所依赖的底层转发服务。为了实现网络虚拟化,网络控制器必须使用网络流表配置 hypervisor hostswitch,这些表构成租户管理员在创建和配置其逻辑交换机时定义的逻辑广播域。

每个逻辑广播域的实施方式是,使用安全加密链路封装机制 Geneve 针对虚拟机间的流量和虚拟机到逻辑路由器的流量建立安全加密链路。网络控制器提供数据中心的全局视图,并确保 hypervisor hostswitch 流表随着虚拟机的创建、迁移和移除而更新。

NSX Manager

托管 API 服务、管理平面和代理服务的节点。

Open vSwitch (OVS)

开源软件交换机,充当 XenServer、Xen、KVM 和其他基于 Linux 的 hypervisor 内的 hypervisor hostswitch。NSX Edge 交换组件基于 OVS。

叠加逻辑网络

使用第 2 层到第 3 层安全加密链路实施的逻辑网络,使得虚拟机看到的拓扑与物理网络的拓扑分离。

物理接口 (pNIC)

安装 hypervisor 的物理服务器上的网络接口。

第 0 层逻辑路由器

提供商逻辑路由器也称为连接物理网络的第 0 层逻辑路由器接口。第 0 层逻辑路由器是顶层路由器,可以实现为服务路由器的双活或活动-备用集群。逻辑路由器运行 BGP 并与物理路由器对等。在活动-备用模式下,逻辑路由器还可以提供有状态服务。

第 1 层逻辑路由器

第 1 层逻辑路由器是第二层路由器,连接到第 0 层逻辑路由器以建立北向连接,并连接到一个或多个叠加网络以建立南向连接。第 1 层逻辑路由器可以是提供有状态服务的服务路由器的活动-备用集群。

传输域

传输节点集合,定义逻辑交换机的最大跨度。传输域表示一组调配类似的 hypervisor 和连接这些 hypervisor 上的虚拟机的逻辑交换机。NSX-T 可以向主机部署所需的支持软件包,因为它知道逻辑交换机上启用了哪些功能。

虚拟机接口 (vNIC)

虚拟机上的网络接口,在虚拟客户机操作系统与标准 vSwitch 或 vSphere Distributed Switch 之间提供连接。vNIC 可以连接到逻辑端口。您可以根据唯一 ID (UUID) 来识别 vNIC。

TEP

安全加密链路端点。安全加密链路端点使 hypervisor 主机能够参与 NSX-T 叠加。NSX-T 叠加将帧封装在数据包内并通过底层传输网络传输数据包,从而在现有第 3 层网络结构上部署第 2 层网络。底层传输网络可以是另一个第 2 层网络,也可以跨越第 3 层边界。TEP 是进行封装和解除封装的连接点。

虚拟网络接口 (VNI)

由连接到虚拟交换机的虚拟机创建的网络接口。VNI 相当于物理机上的物理网络接口。

 

第 2 单元 - 主机准备和逻辑交换(45 分钟)

主机准备和逻辑交换 - 单元概述


本实验旨在演示如何为 NSX-T 准备主机并配置逻辑交换。


为 NSX-T 准备 KVM 主机


本部分中,我们将查看 NSX Manager 并确保其正常运行。然后,我们将 KVM 主机添加到 NSX 结构并确认它处于连接状态。


 

启动 Google Chrome

 

 

 

打开 NSX-T Web 界面

 

与使用 vSphere Web Client 插件来管理 NSX 的 NSX-V 不同,NSX-T 利用单独的 Web 界面进行管理。

 

 

登录 NSX-T Web 界面

 

按照以下步骤登录 NSX-T Web 界面:

  1. 在“User name”(用户名)字段中,输入 admin
  2. 在“Password”(密码)字段中,输入 VMware1!
  3. 单击“Log In”(登录)

 

 

NSX 主页

 

NSX 主页显示了您可以在 NSX 中使用的组件。

1. 单击左侧的“Dashboard”(仪表盘)选项卡。

 

 

NSX 仪表盘

 

您可以通过新的 NSX 仪表盘总体了解 NSX 组件及每个组件的运行状况。   

 

 

NSX 系统概述

 

现在,我们需要检查 NSX Manager 和 the NSX Controller 的信息。

  1. 单击左侧的“System”(系统)
  2. 单击“Overview”(概述)(如果未默认显示该页面)。

该屏幕显示管理集群信息,其中包括 CPU、RAM 和接口信息。向下滚动以查看集群信息。

 

 

在 NSX-T UI 中导航到主机

 

现在,让我们向结构中添加一台 KVM 主机。

 

 

将 KVM 主机添加到 NSX-T

 

  1. 单击“Hosts”(主机)
  2. 在“Fabric”(结构)菜单的“Nodes”(节点)部分中,单击“Hosts”(主机)选项卡中的“Add”(添加)

 

 

将 KVM 主机添加到 NSX-T

 

在“Add Host”(添加主机)窗口中输入以下信息:

  1. 在“Name”(名称)字段中,输入 kvm-02a.corp.local
  2. 在“IP Addresses”(IP 地址)字段中,输入 192.168.110.62
  3. 在“Operating System”(操作系统)字段中,从下拉菜单中选择“Ubuntu KVM”
  4. 在“Username”(用户名)字段中,输入 vmware
  5. 在“Password”(密码)字段中,输入 VMware1!
  6. 单击“Save”(保存)

 

 

将 KVM 主机添加到 NSX-T

 

在上一步中单击“Save”(保存)后,将弹出一个错误,警告指纹无效。

 

 

将 KVM 主机添加到 NSX-T

 

几分钟后,KVM 上 NSX-T 软件将安装完成,部署状态应显示为“NSX Installed”(NSX 已安装)。

您可以等待,或者继续操作,稍后返回查看。

 

 

验证上行链路配置文件配置

 

  1. 在 NSX-T 用户界面左侧的菜单中的“Fabric”(结构)部分下,单击“Profiles”(配置文件)
  2. 单击“Uplinks Profiles”(上行链路配置文件)
  3. 单击“nsx-default-uplink-hostswitch-profile”

 

 

验证上行链路配置文件配置

 

注意 nsx-default-uplink-hostswitch-profile 上行链路配置文件的以下配置:

 

 

验证 IP 池配置

 

  1. 在 NSX-T 用户界面左侧的菜单中,单击“Inventory”(清单)
  2. 在“Inventory”(清单)菜单下,单击“Groups”(组)
  3. 单击“IP Pools”(IP 池)选项卡
  4. 在“Groups”(组)部分的“IP Pools”(IP 池)选项卡下,单击 TEP-KVM-Pool 旁边的复选框
  5. 单击“Edit”(编辑)

 

 

验证 IP 池配置

 

注意 TEP-KVM-Pool IP 池的以下配置:

  1. 单击“Cancel”(取消)

 

 

验证叠加传输域配置

 

  1. 在 NSX-T 用户界面左侧的菜单中,单击“Fabric”(结构)
  2. 在“Fabric”(结构)菜单下,单击“Transport Zones”(传输域)
  3. 在“Transport Zones”(传输域)选项卡下,单击“TZ_OVERLAY”
    • 注意:单击传输域的名称,而非名称旁边的复选框

 

 

验证叠加传输域配置

 

注意 TZ_OVERLAY 传输域的以下配置:

注意:您所看到的数值可能与屏幕截图中不一致。

此信息有助于了解传输域的用途。

 

 

 

为 KVM 主机创建传输节点

 

现在,我们需要添加 KVM(在之前在实验中,我们在该 KVM 上安装了 NSX)作为传输节点。这样,它将成为 NSX 网络结构的一部分。

  1. 在 NSX-T 用户界面左侧的菜单中,单击“Fabric”(结构)
  2. 在“Fabric”(结构)菜单下,单击“Nodes”(节点)
  3. 单击“Transport Nodes”(传输节点)选项卡
  4. 单击“Add”(添加)

 

 

为 KVM 主机创建传输节点

 

在“Add Transport Node”(添加传输节点)窗口中,输入以下详细信息,然后单击“N_VDS”选项卡:

  1. 名称:KVM-TN2
  2. 节点:选择“kvm-02a.corp.local - 192.168.110.62”
  3. 在“Transport Zones”(传输域)部分下,单击 TZ_OVERLAY 旁边的复选框
  4. 单击箭头以添加 TZ_OVERLAY 传输域
  5. 单击“N-VDS”

继续执行下一步,继续配置传输节点。

 

 

为 KVM 主机创建传输节点

 

在“Add Transport Node”(添加传输节点)窗口中,选择或输入以下详细信息:

  1. 主机交换机类型:Standard(标准)
  2. 主机交换机名称:hostswitch1
  3. 上行链路配置文件:选择“nsx-default-uplink-hostswitch-profile”
  4. IP 分配:选择“Use IP Pool”(使用 IP 池)
  5. IP 池:选择“TEP-KVM-Pool”
  6. 物理网卡:分别选择“eth1”和“uplink-1”
  7. 单击“Save”(保存)

 

 

为 KVM 主机创建传输节点

 

在“Transport Node”(传输节点)选项卡下,验证新的传输节点是否已添加至表中,以及状态列中是否显示“Success”(成功)

此过程可能需要几分钟才能完成。

 

 

检查 KVM VTEP

 

现在,检查 KVM 上已安装的 VTEP

  1. 单击 Windows 菜单栏中的“PuTTY”图标,以打开 PuTTY

 

 

打开连接到 kvm-02a 的 SSH 会话

 

  1. 选择“kvm-02a.corp.local”
  2. 单击“Open”(打开)

 

 

登录 kvm-02a

 

 

 

 

验证是否已在 kvm-02a 上创建 TEP

 

  1. 在 kvm-02a 的命令行中输入 ifconfig nsx-vtep0.0,以查看是否已创建 IP 地址为 192.168.130.62 且 MTU 为 1600 的 TEP 接口。
ifconfig nsx-vtep0.0

 

 

验证 kvm-02a 和 kvm-01a 之间的 TEP 接口是否已连接

 

  1. kvm-02a 上 TEP 接口的 IP 地址是 192.168.130.62,kvm-01a 的 IP 地址是 192.168.130.61。为确认这些接口之间是否已连接,输入 ping 192.168.130.61 -c 2 以便只发送两次 ping,这样即可从 kvm-02a 对 kvm-01a 的 TEP 接口执行 ping 操作。
ping 192.168.130.61 -c 2

 

NSX-T 中的逻辑交换


现在,您的网络组件已配置完毕且已正常运行;接下来,我们需要创建一些逻辑网络交换机,并连接我们的工作负载。


 

创建新的逻辑交换机

 

首先,我们要为三层应用中的应用层创建新的逻辑交换机。 

在 NSX-T Manager Web 界面:

  1. 单击左侧的“Switching”(交换)
  2. 单击“Switches”(交换机)选项卡
  3. 单击“Add”(添加)

请注意,目前已存在一些交换机,包括我们的 Web 交换机和数据库交换机。

 

 

创建新的逻辑交换机

 

在“Add New Logical Switch”(添加新的逻辑交换机)窗口中,选择或输入以下详细信息:

  1. 名称:LS-App
  2. 传输域:TZ-OVERLAY
  3. 管理状态:Up(启动)
  4. 复制模式:Hierarchical Two-Tier replication(双层分层复制)
  5. 单击“Save”(保存)

 

 

验证逻辑交换机是否已创建

 

 

 

将新的应用虚拟机挂接到新的逻辑交换机

 

我们需要进入 vCenter 以打开并挂接虚拟机。

  1. 单击“New Tab”(打开新的标签页)图标
  2. 单击“RegionA”文件夹
  3. 单击“RegionA vCenter”

 

 

登录 vCenter

 

  1. 单击“Use Windows session authentication”(使用 Windows 会话身份验证)复选框
  2. 单击“Login”(登录)

 

 

查找应用虚拟机

 

登录后,您可能需要转到“Hosts and Clusters”(主机和集群)屏幕。

  1. 单击“Home”(主页)按钮旁边的主页图标
  2. 单击“Hosts and Clusters”(主机和集群)

 

 

App-01a

 

如果左侧的树形结构没有打开,请执行以下操作。

  1. 单击“RegionA01”旁边的箭头
  2. 单击“RegionA01-COMP01”旁边的箭头
  3. 单击“app01a”

 

 

编辑 app-01a 的设置

 

  1. 右键单击“app-01a”
  2. 单击“Edit Settings”(编辑设置)

 

 

更改网络设置

 

  1. 单击“VM-RegionA01-MGMT”旁边的下拉箭头
  2. 查看列表,然后选择“LS-App”(如果您未看到该网络,请单击“Show more networks...”[显示更多网络...])
  3. 单击“OK”(确定)

 

 

启动应用

 

  1. 单击“Power on”(启动)图标

 

 

检查交换机端口

 

返回 NSX

  1. 从左侧单击“Switching”(交换)(如果未显示)。
  2. 单击“LS-App”交换机
  3. 单击“Related”(相关)
  4. 单击“Ports”(端口)

 

 

 

端口视图

 

此操作将启动目前属于该交换机的端口。现在,您可以看到 app-01a 虚拟机已连接到一个新创建的端口。我们稍后将在本实验中通过逻辑交换机测试虚拟机之间的网络连接。

 

 

将 KVM 虚拟机添加到 KVM-02a 上的逻辑交换机

 

我们已将在 ESXi 主机上运行的一个虚拟机添加到 NSX 交换机,因此,现在我们需要将在 KVM 上运行的虚拟机添加到 NSX 交换机。

如果您需要更大的屏幕空间,请将已打开的窗口最小化。

  1. 启动 Putty(如果您的 Putty 会话一直处于打开状态,且一直连接到 kvm-02a,请忽略以下步骤)

 

 

从 Putty 列表中选择 kvm-02a

 

  1. 向下滚动,找到“kvm-02a.corp.local”,选择它
  2. 单击“Open”(打开)

 

 

登录 kvm-02a

 

如果您未自动登录,请使用以下凭证登录 kvm-02a:用户名 vmware密码 VMware1!

 

 

在 kvm-02a 上创建 web-04a 虚拟机,并启动该虚拟机

 

  1. 使用以下命令进入超级用户模式:
sudo su
  1. 使用以下命令导航至虚拟机定义路径:
cd /etc/libvirt/qemu
  1. 使用以下命令创建 web-04a 域:
virsh create web-04a.xml
  1. 使用以下命令定义 web-04a 域:
virsh define web-04a.xml
  1. 使用以下命令将 web-04a 虚拟机配置为随主机自动启动:
virsh autostart web-04a
  1. 使用以下命令列出在 kvm-02a 上运行的虚拟机:
virsh list

记录 kvm-02a 上列出的虚拟机的名称:web-04a

 

 

获取 web-04a 的接口 ID

 

  1. 在 Shell 中键入以下命令,以获取 web-04a 的接口 ID:
virsh dumpxml web-04a | grep interfaceid

记录返回的接口 ID 值:714e17d8-922a-4a97-81b8-849bda3d7b43。在创建用于连接虚拟机的网络端口时,我们需要用到此信息。您可以使用复制功能进行复制,以便将其粘贴到下一步骤中。

另请注意,您的 ID 可能会有所不同

 

 

返回 NSX Manager

 

  1. 返回 NSX Manager
  2. 单击左侧的“Switching”(交换)链接(如果您还未打开此选项卡)

如果您已关闭 NSX Manager 或它已超时,则单击工具栏中的“VMware NSX | Login”(VMware NSX | 登录),然后输入以下内容。

 

 

将 web-04a 连接到 LS-Web 逻辑交换机

 

在 NSX-T Manager Web 界面:

  1. 单击“Ports”(端口)
  2. 单击“Add”(添加)

 

 

将 web-04a 连接到 LS-Web 逻辑交换机

 

在“Add New Logical Port”(添加新的逻辑端口)窗口中,选择或输入以下详细信息:

  1. 名称:web-04a
  2. 逻辑交换机:LS-Web
  3. 连接类型:VIF
  4. 连接 ID:714e17d8-922a-4a97-81b8-849bda3d7b43(选择下方代码块中的内容并将其拖到窗口中,而不是输入整个值):
714e17d8-922a-4a97-81b8-849bda3d7b43
  1. 单击“Save”(保存)

 

 

验证 web-04a 逻辑交换机端口是否已创建

 

 

 

验证与 web-04a 的连接

 

现在,我们已将 web-04a 添加到 Web 逻辑交换机;接下来,我们需要测试它能否正常工作。

  1. 返回 vCenter(这可能是 Chrome 中打开的标签页,或者,您可能需要打开一个新标签页并重新连接到 vCenter)
  2. 单击“web-01a”
  3. 单击“Open Console”(打开控制台)图标

 

 

对 web-04a 进行 Ping 测试

 

请登录 Web 服务器(如果尚未登录)。

在控制台窗口中,执行以下 ping 测试。

ping 172.16.10.14 -c 2

这将对 web-04a 执行 ping 操作。您也可以对如下所列的其他 Web 服务器执行 ping 测试。

 

 

检查 NSX 内的端口信息

 

现在,我们将返回 NSX,看看我们能在 NSX 中看到有关此端口的哪些信息。

  1. 单击返回 NSX Manager 标签页,或者,打开一个新标签页,然后重新登录 NSX Manager
  2. 选择“Switching”(交换)
  3. 选择“Ports”(端口)
  4. 向下滚动,并单击您之前创建的“web-04a”端口。

 

 

Web-04a 地址信息

 

NSX Manager 将提供与该端口关联的 IP 信息。

  1. 单击“Address Bindings”(地址绑定)向下箭头(如果未打开),以查看与该端口关联的地址。

如您所见,位于 KVM-02 服务器上的 web-04a 的 IP 为 172.16.10.14。

 

第 2 单元结束语


祝贺您!您已经完成了第 2 单元的学习!接下来,我们将启用不同逻辑交换机之间的路由。

 

祝贺您!您已经完成了第 2 单元的学习


 

如何结束实验练习

 

要结束实验,请单击“END”(结束)按钮。

 

第 3 单元 - 逻辑路由(60 分钟)

逻辑路由 - 单元概述


本实验的目标是展示 NSX-T 的逻辑路由功能


 

逻辑路由拓扑

 

我们正在构建的实验环境将包括连接到外部网络的第 0 层路由器,以及用于处理三个网段之间路由的第 1 层路由器。

 

东西向流量的逻辑路由


在本课程中,我们将在 NSX-T 中配置东西向流量的逻辑路由。


 

登录 NSX Manager(如果您未打开它)

 

  1. 在桌面双击 Google Chrome 图标,以打开 Chrome 浏览器

 

 

打开 NSX-T Manager

 

  1. 在书签工具栏中,单击“VMware NSX | Login”(VMware NSX | 登录),以打开 NSX-T Manager

 

 

登录 NSX-T Manager

 

使用以下凭证登录 NSX-T Manager:

  1. 用户名:admin
  2. 密码:VMware1!
  3. 单击“Log In”(登录)

 

 

新建第 1 层路由器

 

我们需要创建一个路由器,将我们现有的逻辑交换机相互连接起来。第 1 层路由器将用于链接 Web、应用和数据库交换机,并允许它们之间的路由。

  1. 单击“Routing”(路由)
  2. 单击“Routers”(路由器)(如果未默认打开)
  3. 单击“+Add”(+ 添加)向下箭头
  4. 单击“Tier-1 Router”(第 1 层路由器)

 

 

新建第 1 层路由器

 

  1. 在“Name”(名称)字段中,输入 Logical-Router-Tier1
  2. 单击“Save”(保存)

 

 

验证新的第 1 层路由器是否已创建

 

 

 

将逻辑交换机连接到第 1 层路由器

 

  1. 单击“Logical-Router-Tier1”
  2. 单击“Configuration”(配置)
  3. 单击“Router Ports”(路由器端口)

 

 

将逻辑交换机连接到第 1 层路由器

 

  1. 单击“Add”(添加)

 

 

将逻辑交换机连接到第 1 层路由器

 

在“New Router Port”(新建路由器端口)窗口中选择或输入以下信息,以便为 Web 网络创建路由器端口:

  1. 名称:Tier1-Web
  2. 逻辑交换机:LS-Web
  3. 交换机端口名称:Tier1-Web-Port
  4. IP 地址/掩码:172.16.10.1/24
  5. 单击“Save”(保存)

 

 

通过脚本创建应用逻辑交换机

 

如果您之前未创建应用逻辑交换机,请执行以下步骤。如果您已经创建应用逻辑交换机,请跳过以下说明,并继续执行下一步骤。

  1. 右键单击桌面上的“Web-LS.ps1”PowerCLI 脚本。
  2. 单击“Run with PowerShell”(使用 PowerShell 运行)。脚本运行后,窗口将关闭。

该脚本将创建逻辑交换机,更新并启动虚拟机。操作完成后,执行上一屏幕中的步骤。

 

 

将逻辑交换机连接到第 1 层路由器

 

 

使用以下信息,为应用网络重复执行创建路由器端口的过程:

  1. 名称:Tier1-App
  2. 逻辑交换机:LS-App
  3. 交换机端口名称:Tier1-App-Port
  4. IP 地址/掩码:172.16.20.1/24
  5. 单击“Save”(保存)

 

 

 

将逻辑交换机连接到第 1 层路由器

 

使用以下信息并重复之前的步骤,为数据库网络创建路由器端口:

  1. 名称:Tier1-DB
  2. 逻辑交换机:LS-DB
  3. 交换机端口名称:Tier1-DB-Port
  4. IP 地址/掩码:172.16.30.1/24
  5. 单击“Save”(保存)

 

 

验证逻辑路由器端口的配置

 

现在,我们已将所有组件连接在一起;接下来,我们需要测试其连接性。

 

 

打开 vSphere Web Client

 

如果您尚未打开 vCenter,请执行以下步骤。

  1. 单击“New Tab”(打开新的标签页)
  2. 单击“RegionA”文件夹
  3. 单击“RegionA vCenter”

 

 

登录 vSphere Web Client

 

使用以下凭证登录 vSphere Web Client:

  1. 单击“Use Windows session authentication”(使用 Windows 会话身份验证)
  2. 单击“Login”(登录)

 

 

 

打开 web-01a 控制台

 

  1. 选择“web-01a”
  2. 单击“Actions”(操作)
  3. 单击“Open Console”(打开控制台)

 

 

验证东西向流量的路由

 

  1. 使用以下凭证登录 web-01a:

 

 

验证东西向流量的路由

 

在 web-01a 控制台上,对之前创建的逻辑路由器端口的网关 IP 地址执行 ping 操作:

  1. 对 Web 网络的网关执行 ping 操作:
ping 172.16.10.1 -c 2
  1. 对应用网络的网关执行 ping 操作:
ping 172.16.20.1 -c 2
  1. 对数据库网络的网关执行 ping 操作:
ping 172.16.30.1 -c 2

注意:按 CTRL+ALT 可从 VMware Remote Console 移除键盘和鼠标焦点

 

 

验证东西向流量的路由

 

在 web-01a 控制台上,对 3 层应用中的其他虚拟机执行 ping 操作:

  1. 对 web-02a 执行 ping 操作
ping web-02a -c 2
  1. 对 app-01a 执行 ping 操作
ping app-01a -c 2
  1. 对 db-01a 执行 ping 操作
ping db-01a -c 2

 

 

打开命令提示符

 

  1. 单击任务栏中的“Start”(开始)菜单图标
  2. 单击“Command Prompt”(命令提示符)

注意:按 CTRL+ALT 可从 VMware Remote Console 移除键盘和鼠标焦点

 

 

测试能否从主控制台进行连接

 

在命令提示符下,确认您无法对逻辑网络的网关 IP 地址执行 ping 操作。启用这些连接的操作将在下一部分完成:

  1. 对 Web 网络的网关执行 ping 操作:
ping 172.16.10.1
  1. 对应用网络的网关执行 ping 操作:
ping 172.16.20.1
  1. 对数据库网络的网关执行 ping 操作:
ping 172.16.30.1

 

南北向流量的逻辑路由


在本课程中,我们将配置南北向流量的逻辑路由。


 

返回 NSX Manager 界面

 

  1. 单击“NSX Manager”标签页返回 NSX Manager

 

 

验证上行链路配置文件的配置

 

首先,让我们看看为边缘网关路由器配置的配置文件。

  1. 单击左侧的“Fabric”(结构)
  2. 单击下方的“Profiles”(配置文件)
  3. 单击“Uplink Profiles”(上行链路配置文件)选项卡
  4. 单击“nsx-edge-uplink-hostswitch-profile”

 

 

验证上行链路配置文件的配置

 

验证上行链路配置文件是否使用以下配置: 

 

 

 

验证传输域配置

 

NSX 中有受 VLAN 和叠加支持的传输类型。让我们看看 VLAN 传输域。

  1. 单击“Transport Zones”(传输域)
  2. 单击“TZ-VLan”

 

 

验证传输域配置

 

验证传输域 TZ-VLan 是否使用以下配置:

您可以看到 VLAN 传输域使用的是 hostswitch2。您还记得叠加使用的是哪个 hostswitch 吗?

 

 

验证边缘网关节点配置

 

现在,让我们看看 Edge-01a 以及配置方式。

  1. 单击左侧的“Nodes”(节点)
  2. 单击“Edges”(边缘网关)选项卡
  3. 单击“nsx-edge-01a”

 

 

验证边缘网关节点配置

 

验证边缘网关节点 nsx-edge-01a 是否使用以下配置以及是否正常运行。

 

 

验证传输节点配置

 

现在,检查边缘网关上传输节点的配置方式。

  1. 单击“Transport Nodes”(传输节点)
  2. 选中“Edge-TN1”旁边的复选框
  3. 单击“Edit”(编辑)

 

 

验证传输节点配置

 

在这里,您可以看到边缘网关传输节点的配置。边缘网关具有受叠加和 VLAN 支持的传输域,这样一来,它可以连接集群中使用的外部 VLAN 和内部叠加网络。

传输域:

 

 

验证传输节点配置

 

 

  1. 单击“N-VDS”,然后查看配置。向下滚动时,您将看到 hostswitch1 和 hostswitch2 均已定义。这些定义说明了 NSX 如何部署到节点,以及流量如何在主机内进行引导(哪种网卡用于哪种流量类型)

hostswitch1:

向下滚动,以查看 hostswitch2 的设置

  1. 完成后,单击“Cancel”(取消)

 

 

验证上行链路逻辑交换机配置

 

边缘网关看上去正常,现在,我们需要检查是否已将上行链路配置为从外部连接到我们的集群。

 

  1. 单击左侧的“Switching”(交换)
  2. 单击“Switches”(交换机)
  3. 单击“LS-Uplink”

 

 

验证上行链路逻辑交换机配置

 

验证逻辑交换机 LS-Uplink 是否使用以下配置:

如您所见,我们正使用 VLAN 连接上行链路流量。

 

 

验证第 0 层逻辑路由器上的 BGP 配置

 

现在,我们需要了解第 0 层路由器如何与外部路由器进行通信以及如何更新路由。

  1. 单击左侧的“Routing”(路由)
  2. 单击“Routers”(路由器)
  3. 单击“Logical-Router-Tier0”

 

 

验证第 0 层逻辑路由器上的 BGP 配置

 

  1. 单击“Routing”(路由)
  2. 单击“BGP”

 

 

验证第 0 层逻辑路由器上的 BGP 配置

 

请注意第 0 层逻辑路由器上 BGP 的当前配置:

我们已设置 BGP 并使其与邻居一起运行。我们未在此路由器与用于应用的 3 个网络之间建立连接。接下来,我们将重点介绍这部分内容。

  1. 单击“X”关闭屏幕

 

 

编辑第 1 层逻辑路由器

 

我们需要对 Logical-Router-Tier1 进行一些更改,然后才能将其连接到第 0 层路由器

  1. 选中“Logical-Router-Tier1”旁边的框
  2. 单击“Edit”(编辑)

 

 

第 1 层集群更改

 

  1. 单击“Edge Cluster”(边缘网关集群)字段中的向下箭头,并选择“EdgeCluster01”
  2. 单击“Save”(保存)

 

 

连接到第 0 层路由器

 

  1. 将“Logical-Router-Tier1”旁的复选框仍保持选中状态,单击“Action”(操作)
  2. 单击“Connect to Tier-0 Router”(连接到第 0 层路由器)

 

 

连接到 Tier0

 

  1. 从下拉列表中选择“Logical-Router-Tier0”
  2. 单击“Connect”(连接)

 

 

验证第 1 层逻辑交换机与第 0 层逻辑交换机之间的连接

 

现在,我们需要验证路由器是否已创建和连接。

  1. 单击“Logical-Router-Tier1”(相应复选框仍保持选中状态)
  2. 单击“Overview”(概述)

向下滚动后,您会看到“Tier-0 Connection”(第 0 层连接)显示该路由器现已连接到 Logical-Router-Tier0

 

 

通告第 1 层逻辑路由器与第 0 层逻辑路由器之间的路由

 

  1. 单击“Logical-Router-Tier1”
  2. 单击“Routing”(路由)
  3. 单击“Route Advertisement”(路由通告)

 

 

通告第 1 层逻辑路由器与第 0 层逻辑路由器之间的路由

 

  1. 单击“Edit”(编辑)

 

 

通告第 1 层逻辑路由器与第 0 层逻辑路由器之间的路由

 

  1. 将“Status”(状态)设置为“Enabled”(启用)
  2. 将“Advertise All NSX Connected Routes”(通告所有与 NSX 连接的路由)设置为“Yes”(是)
  3. 单击“Save”(保存)

 

 

通告第 1 层逻辑路由器与第 0 层逻辑路由器之间的路由

 

 

 

第 0 层逻辑路由器上重新分发的 NSX 静态路由

 

  1. 单击“Logical-Router-Tier0”
  2. 单击“Routing”(路由)
  3. 单击“Route Redistribution”(路由重新分发)

 

 

第 0 层逻辑路由器上重新分发的 NSX 静态路由

 

 

 

打开命令提示符

 

  1. 单击 Windows 任务栏中的“Start”(开始)菜单图标
  2. 单击“Command Prompt”(命令提示符)

 

 

验证主控制台到虚拟机的连接

 

  1. 尝试在命令提示符中执行 ping 操作,以验证到不同网关地址的连接:首先,验证 Web 网关地址
ping 172.16.10.1
  1. 然后,验证应用网关地址
ping 172.16.20.1
  1. 最后,验证数据库网关地址
ping 172.16.30.1

 

 

测试网站

 

现在,测试我们的三层应用。

  1. 打开一个新标签页
  2. 单击“3-Tier App”(3 层应用)书签
  3. 单击“Advanced”(高级)
  4. 单击“Proceed to 172.16.10.11(unsafe)”(前进到 172.16.10.11 [不安全])

 

 

网站能正常运行

 

我们的网站能正常运行!

 

High Availability (HA)


在本课程中,我们将为 NSX-T 中的逻辑路由器配置 High Availability (HA)。


 

在 NSX-T Manager 中找到“nsx- edge-02a.corp.local”

 

  1. 单击左侧的“Fabric”(结构)
  2. 单击“Nodes”(节点)
  3. 单击“Edges”(边缘网关)
  4. 找到“nsx-edge-02a.corp.local”
    • 请注意,当前 Manager 连接状态为“Down”(关闭)

 

 

启动 edge-02a 虚拟机

 

返回 vSphere Web Client:

  1. 选择“nsx-edge-02a”
  2. 单击“Actions”(操作)
  3. 单击“Power”(电源)
  4. 单击“Power On”(启动)

如果因存储错误而无法启动边缘网关,请执行以下 Storage vMotion 迁移步骤。

 

 

Storage vMotion

 

要执行 Storage vMotion 迁移,请执行以下步骤。

  1. 选择“nsx-edge-02a”
  2. 单击“Actions”(操作)
  3. 单击“Migrate...”(迁移...)

 

 

迁移

 

  1. 选择“Change storage only”(仅更改存储)
  2. 单击“Next”(下一步)

 

 

本地存储

 

现在,选择本地存储

  1. 选择“esx-05a_local”
  2. 单击“Next”(下一步)

 

 

检查并保存

 

  1. 单击“Finish”(完成)。

任务完成后,立即启动“nss-edge-02a”

 

 

验证 Manager 与 nsx-edge-02a.corp.local 的连接

 

将 edge-02a.corp.local 连接到 NSX-T Manager 可能需要几分钟时间。要验证它是否已连接,请执行以下操作:

  1. 单击“Edges”(边缘网关)页面底部的“Refresh”(刷新)按钮

 

 

向边缘网关集群添加传输节点

 

  1. 单击“Edge Clusters”(边缘网关集群)
  2. 选中“EdgeCluster01”旁边的复选框
  3. 单击“Edit”(编辑)

 

 

向边缘网关集群添加传输节点

 

  1. 单击“Edit...”(编辑...)

 

 

向边缘网关集群添加传输节点

 

  1. 选中“EDGE-TN2”旁边的复选框
  2. 单击箭头将“EDGE-TN2”添加到选定传输节点的列表中
  3. 单击“OK”(确定)

 

 

向边缘网关集群添加传输节点

 

  1. 验证传输节点列表中是否包含“EDGE-TN1”和“EDGE-TN2”
  2. 单击“Save”(保存)

 

 

验证 NSX-Edge-02a 的配置状态

 

  1. 单击“Edges”(边缘网关)

 

 

向备用边缘网关的第 0 层逻辑路由器添加上行链路

 

  1. 单击“Routing”(路由)
  2. 单击“Routers”(路由器)
  3. 单击“Logical-Router-Tier0”

 

 

向备用边缘网关的第 0 层逻辑路由器添加上行链路

 

  1. 单击“Configuration”(配置)
  2. 单击“Router Ports”(路由器端口)

 

 

向备用边缘网关的第 0 层逻辑路由器添加上行链路

 

  1. 单击“Add”(添加)

 

 

向备用边缘网关的第 0 层逻辑路由器添加上行链路

 

在“New Router Port”(新建路由器端口)窗口中,选择或输入以下参数:

  1. 名称:Uplink2
  2. 类型:Uplink(上行链路)
  3. 传输节点:Edge-TN2
  4. 逻辑交换机:LS-Uplink
  5. 逻辑交换机端口:
    • Attach to new switch port(挂接到新的交换机端口)
    • 交换机端口名称:uplink2-port
  6. IP 地址/掩码:192.168.100.4/24
  7. 单击“Save”(保存)

 

 

验证是否已创建到第 0 层逻辑路由器的上行链路

 

 

 

打开 PuTTY

 

  1. 单击 Windows 任务栏中的“Start”(开始)菜单按钮
  2. 单击“PuTTY”

 

 

连接到 edge-02a.corp.local

 

  1. 从 PuTTY 的“Saved Sessions”(保存的会话)列表中选择“edge-02a.corp.local”
  2. 单击“Open”(打开)

 

 

登录 edge-02a.corp.local

 

使用以下凭证登录 edge-02a.corp.local:

  1. 用户名:admin
  2. 密码:VMware1!

 

 

列出连接到 edge-02a.corp.local 的逻辑路由器

 

  1. 运行以下命令以获取连接到 edge-02a 的逻辑路由器的列表:
get logical-routers

记录类型为“SERVICE_ROUTER_TIER0”的逻辑路由器的 VRF 编号

注意:“SERVICE_ROUTER_TIER0”的 VRF 编号可能不同于屏幕截图中的编号。

 

 

验证 BGP 与上游路由器的邻居关系

 

  1. 通过输入以下命令输入有关边缘网关的 VRF 路由上下文(注意:请将下方命令中的“4”替换为上一步骤中显示的 VRF 编号):
vrf 4
  1. 运行以下命令以获取 BGP 邻居状态:
get bgp neighbor
  1. 验证与“192.168.100.1”的邻居关系是否显示为“Established, up”状态

 

 

确认支持 HA

现在,如您所见,有 2 个边缘网关节点与外部路由器建立了连接,可实现 HA。

 

等价多路径 (ECMP)


在本课程中,我们将配置等价多路径 (ECMP)。


 

删除连接到 LogicalRouter-Tier0 的未使用的逻辑路由器

 

  1. 单击“Routing”(路由)
  2. 单击“Routers”(路由器)
  3. 选中名称以 k8s 打头或名称中包含 k8s 的逻辑路由器旁边的复选框
  4. 单击“Delete”(删除)

 

 

确认已删除连接到 LogicalRouter-Tier0 的未使用的逻辑路由器

 

  1. 单击“Delete”(删除)

 

 

断开第 1 层逻辑路由器与第 0 层逻辑路由器的连接

 

  1. 选中“Logical-Router-Tier1”旁边的复选框
  2. 单击“Actions”(操作)
  3. 单击“Disconnect from Tier-0 Router”(从第 0 层路由器断开连接)

 

 

断开第 1 层逻辑路由器与第 0 层逻辑路由器的连接

 

  1. 当系统提示您确认是否从第 0 层路由器断开连接时,单击“Disconnect”(断开连接)

 

 

删除 LogicalRouter-Tier0

 

  1. 选中“Logical-Router-Tier0”旁边的复选框
  2. 单击“Delete”(删除)

 

 

删除 Logical-Router-Tier0

 

  1. 当系统提示您确认是否删除 Logical-Router-Tier0 时,单击“Delete”(删除)

 

 

验证第 0 层逻辑路由器是否已删除

 

 

 

添加双活第 0 层逻辑路由器

 

  1. 单击“Add”(添加)
  2. 单击“Tier-0 Router”(第 0 层路由器)

 

 

添加双活第 0 层逻辑路由器

 

在“New Tier-0 Router”(新建第 0 层路由器)窗口中,选择或输入以下配置参数:

  1. 名称:Logical-Router-Tier0-ECMP
  2. 边缘集群:EdgeCluster1
  3. High Availability 模式:Active-Active(双活)
  4. 单击“Save”(保存)

 

 

向第 0 层逻辑路由器添加端口

 

  1. 单击“Logical-Router-Tier0-ECMP”

 

 

向第 0 层逻辑路由器添加端口

 

  1. 单击“Configuration”(配置)
  2. 单击“Router Ports”(路由器端口)

 

 

向第 0 层逻辑路由器添加端口

 

  1. 单击“Add”(添加)

 

 

向第 0 层逻辑路由器添加端口

 

在“New Router Port”(新建路由器端口)窗口中,选择或输入以下配置详细信息:

  1. 名称:Uplink1
  2. 类型:Uplink(上行链路)
  3. 传输节点:Edge-TN1
  4. 逻辑交换机:LS-Uplink
  5. 逻辑交换机端口:Attach to existing switch port(挂接到现有的交换机端口)
    • 交换机端口名称:uplink1-port
  6. IP 地址/掩码:192.168.100.3/24
  7. 单击“Save”(保存)

 

 

向第 0 层逻辑路由器添加端口

 

在“New Router Port”(新建路由器端口)窗口中,使用以下配置详细信息添加另一个端口:

  1. 名称:Uplink2
  2. 类型:Uplink(上行链路)
  3. 传输节点:Edge-TN2
  4. 逻辑交换机:LS-Uplink
  5. 逻辑交换机端口:Attach to existing switch port(挂接到现有的交换机端口)
    • 交换机端口名称:uplink2-port
  6. IP 地址/掩码:192.168.100.4/24
  7. 单击“Save”(保存)

 

 

验证是否已创建逻辑路由器端口

 

 

 

在第 0 层逻辑路由器上配置 BGP

 

  1. 单击“Routing”(路由)
  2. 单击“BGP”

 

 

在第 0 层逻辑路由器上配置 BGP

 

  1. 单击“Edit”(编辑)

 

 

在第 0 层逻辑路由器上配置 BGP

 

在“Edit BGP Configuration”(编辑 BGP 配置)窗口中,选择或输入以下配置详细信息:

  1. 状态:Enabled(启用)
  2. ECMP:Enabled(启用)
  3. 本地 AS:65001
  4. 单击“Save”(保存)

 

 

在第 0 层逻辑路由器上配置 BGP

 

验证 BGP 和 ECMP 是否已设置为“Enabled”(启用),以及“Local AS”(本地 AS)是否设置为“65001”

  1. 单击“Add”(添加)

 

 

在第 0 层逻辑路由器上配置 BGP

 

在“New Neighbor”(新建邻居)窗口中,选择或输入以下配置详细信息:

  1. 邻居地址:192.168.100.1
  2. 远程 AS:65002
  3. 单击“Address Families”(地址系列)

 

 

在第 0 层逻辑路由器上配置 BGP

 

  1. 单击“Add”(添加)
  2. 选择“IPV4_UNICAST”
  3. 将“State”(状态)更改为“Enabled”(启用)
  4. 单击“Save”(保存)

 

 

验证第 0 层逻辑路由器上的 BGP 配置

 

验证新的 BGP 邻居的配置

  1. 单击“Routing”(路由)
  2. 单击“Route Redistribution”(路由重新分发)

 

 

在第 0 层逻辑路由器上配置路由重新分发

 

  1. 单击“Edit”(编辑)

 

 

在第 0 层逻辑路由器上配置路由重新分发

 

  1. 将“Status”(状态)设置为“Enabled”(启用)
  2. 单击“Save”(保存)

 

 

在第 0 层逻辑路由器上配置路由重新分发

 

  1. 验证“Status”(状态)是否为“Enabled”(启用)
  2. 单击“Add”(添加)

 

 

在第 0 层逻辑路由器上配置路由重新分发

 

在“New Redistribution Criteria”(新建重新分发标准)窗口中,选择或输入以下配置详细信息:

  1. 名称:RouteDistro
  2. 源:NSX Static(NSX 静态)
  3. 单击“Save”(保存)

 

 

验证第 0 层逻辑路由器上的路由重新分发配置

 

验证路由重新分发标准的配置

  1. 单击面板右上角的 X

 

 

将第 1 层逻辑路由器连接到第 0 层逻辑路由器

 

  1. 仅选中“Logical-Router-Tier1”旁边的复选框
  2. 单击“Actions”(操作)
  3. 单击“Connect to Tier-0 Router”(连接到第 0 层路由器)

 

 

将第 1 层逻辑路由器连接到第 0 层逻辑路由器

 

  1. 从下拉列表中选择“Logical-Router-Tier0-ECMP”
  2. 单击“Connect”(连接)

 

 

验证第 0 层与第 1 层逻辑路由器之间的连接

 

 

 

在 NSX-T 界面中找到第 0 层路由器的 ID

 

  1. 单击“LogicalRouter-Tier0-ECMP”
  2. 单击“Overview”(概述)
  3. 记录“Summary”(摘要)下列出的 ID。您需要在后面的步骤中引用此 ID

注意:实际列出的 ID 与图中显示的 ID 会不一致

 

 

打开 PuTTY

 

  1. 单击 Windows 任务栏中的“Start”(开始)菜单图标
  2. 单击“PuTTY”

 

 

连接到 NSX Controller

 

  1. 从 PuTTY 的“Saved Sessions”(保存的会话)列表中选择“nsxctrl-01a.corp.local”
  2. 单击“Open”(打开)

 

 

登录 Controller

 

您应自动登录 esx-01a.corp.local。如果您未自动登录,请使用以下凭证登录:

 

 

验证 NSX Controller 上的 ECMP 配置

 

  1. 输入以下命令,以获取连接到 nsxctrl-01a 的逻辑路由器的列表
get logical-router 4e79d1c0-b334-4123-b4e9-17b2ded17603 route

您可以看到 0.0.0.0/0 地址在两个上行链路端口之间均衡分布。

 

 

清理

 

返回 vSphere Web Client:

  1. 选择“nsx-edge-02a”
  2. 单击“Actions”(操作)
  3. 单击“Power”(电源)
  4. 单击“Power Off”(关闭)

要使负载均衡实验在我们的实验环境中正常运行,这是需要执行的操作。

 

第 3 单元结束语



 

您已完成第 3 单元的学习

 

祝贺您!您已经完成了第 3 单元的学习。

 

 

 

如何结束实验练习

 

要结束实验,请单击“END”(结束)按钮。

 

第 4 单元 - DHCP 和 NAT(30 分钟)

DHCP 和 NAT - 单元概述



 

DHCP 和 NAT 与 NSX-T 配合使用

本实验的目的是展示 DHCP 服务器和 NAT 功能。

 

配置动态主机配置协议 (DHCP)



 

开始体验 DHCP

 

如果您浏览器中的 NSX Manager 仍处于开启状态,请跳过以下步骤。否则,请执行以下步骤。

  1. 单击桌面上的“Google Chrome”链接

 

 

选择收藏的 NSX Manager

 

  1. 单击书签栏中的“VMware NSX | Login”(VMware NSX | 登录)链接

 

 

NSX Manager 登录

 

输入 NSX Manager 的以下登录凭证。

  1. 用户名:admin
  2. 密码:VMware1!
  3. 单击“Login”(登录)

 

 

创建新的逻辑交换机

 

我们需要在本实验中创建新的逻辑交换机,该逻辑交换机将利用我们稍后创建的 DHCP 服务器。要创建新的逻辑交换机,请执行以下任务。

  1. 单击左侧的“Switches”(交换机)
  2. 单击“Switches”(交换机)(如果未默认选中该实验)
  3. 单击“+Add”(+ 添加)链接。

 

 

新建逻辑交换机

 

现在为交换机命名,并选择传输域。执行以下任务:

  1. 名称:LS-NAT-Web
  2. 传输域:选择“TZ_Overlay”
  3. 单击“Save”(保存)按钮

 

 

新的 LS 已创建

 

 

 

DHCP 服务器

 

现在创建新的 DHCP 服务器

  1. 展开左侧的“DDI”
  2. 单击左侧的“DHCP”
  3. 单击“Server Profiles”(服务器配置文件)(如果未默认选中该选项卡)
  4. 单击“+Add”(+ 添加)按钮

 

 

创建 DHCP 服务器配置文件

 

现在提供有关 DHCP 服务器配置文件的详细信息。

  1. 名称:DHCP Profile
  2. 边缘集群:选择“EdgeCluster01”
  3. 单击“Save”(保存)按钮

 

 

对创建的 DHCP 服务器配置文件进行验证

 

 

 

创建 DHCP 服务器

 

现在,我们将创建新的 DHCP 服务器。

  1. 单击“Servers”(服务器)选项卡
  2. 单击“+Add”(+ 添加)链接

 

 

DHCP 服务器设置

 

请填写以下信息。

  1. 在弹出窗口中,输入名称:NAT-Web DHCP Server
  2. IP 地址/掩码:172.16.50.2/24
  3. 配置文件,选择:DHCP Profile
  4. 域名:corp.local
  5. 默认网关:172.16.50.1
  6. DNS 服务器:192.168.110.10
  7. 子网掩码:255.255.255.0
  8. 单击“Save”(保存)

 

 

DHCP 服务器已创建

 

您现在会看到新创建的 DHCP 服务器。现在添加 IP 池。

  1. 单击新创建的 DHCP 服务器:NAT-Web DHCP Server

 

 

DHCP 池

 

在摘要弹出窗口中,您将找到有关已创建的 DHCP 服务器的信息。我们需要向该服务器中添加一个 IP 池。

  1. 单击“IP Pool”(IP 池)旁边的箭头打开该部分
  2. 单击“+Add”(+ 添加)链接

 

 

DHCP IP 池信息

 

现在提供 IP 池信息。

  1. 名称:NAT-Web Pool1
  2. IP 范围:172.16.50.101-172.16.50.110
  3. 默认网关:172.16.50.1
  4. 单击“Save”(保存)

 

 

验证您的新 IP 池

 

现在,新创建的 IP 池将出现在 DHCP 服务器的 IP 池部分

 

 

将 DHCP 服务器挂接到逻辑交换机上

 

现在,您要把新的 DHCP 服务器挂接到之前创建的逻辑交换机上。

  1. 单击左侧的“Switching”(交换)
  2. 单击“Switches”(交换机)选项卡(如果未默认选中该选项卡)
  3. 选择“LS-NAT-Web”逻辑交换机
  4. 单击“Actions”(操作)
  5. 单击“Attach to a DHCP Server”(挂接到 DHCP 服务器)

 

 

选择挂接的 DHCP 服务器

 

  1. 从下拉列表中选择“NAT-Web DHCP Server”
  2. 单击“Save”(保存)

 

 

登录 vCenter

 

我们现在需要进入 vCenter。

  1. 单击打开新的标签页
  2. 单击“RegionA”文件夹
  3. 单击“HTML5 Client”(HTML5 客户端)

 

 

登录 vCenter

 

  1. 选择“Use Windows session authentication”(使用 Windows 会话身份验证)
  2. 单击“Login”(登录)

 

 

关闭 web-03a

 

如果 web-03a 已关闭,请执行以下步骤将其彻底关闭

  1. 选择“web-03a”
  2. 单击“Actions”(操作)
  3. 选择“Power”(电源)
  4. 单击“Shut Down Guest OS”(关闭客户机操作系统)

 

 

编辑 web-03a 的设置

 

现在,为了将客户机挂接到逻辑交换机,我们将挂接新逻辑交换机,该交换机已挂接到了 DHCP 服务器。

  1. 选择“web-03a”
  2. 单击“Actions”(操作)
  3. 选择“Edit Settings”(编辑设置)

 

 

添加新的适配器

 

  1. 单击“Add New Device”(添加新的设备)
  2. 单击“Network Adapter”(网络适配器)

 

 

挂接新的网络适配器

 

  1. 找到我们新的网络适配器
  2. 单击向下箭头,然后选择“Browse...”(浏览…)

 

 

更改网络设置

 

  1. 向下滚动,直到您找到“LS-NAT_Web”交换机,然后选择该交换机
  2. 单击“OK”(确定)

 

 

编辑设置完成

 

现在,我们新的网卡及其连接都已设置完毕,只需保存这些设置即可。

  1. 单击“OK”(确定)

 

 

启动 Web-03a

 

现在您已返回到虚拟机摘要页面,我们来启动虚拟机。

  1. 选择“web-03a”
  2. 单击“Actions”(操作)
  3. 选择“Power”(电源)
  4. 单击“Power On”(启动)

 

 

启动 Web 控制台

 

  1. 单击“Launch Web Console”(启动 Web 控制台)连接到虚拟机

 

 

登录 web-03a

 

现在,我们将登录虚拟机并测试 DHCP 是否正常运行。

  1. 登录名: root 密码: VMware1!

 

 

配置 eth1

 

我们现在需要配置刚才创建的新网络接口来接受 DHCP 地址。

  1. 键入以下内容:
cat > /etc/systemd/network/50-DHCP-en.network << "EOF"
[Match]
Name=eth1
[Network]
DHCP=yes
EOF
  1. 此命令将配置接口。以下是另外两个命令
chmod 644 /etc/systemd/network/50-DHCP-en.network
systemctl restart systemd-networkd

 

 

 

DHCP 检查

 

  1. 键入以下内容了解 DHCP 是否正常运行
ifconfig

此命令将列出虚拟机上的所有接口。查找 eth1。您会看到虚拟机上的 IP 是 172.16.50.101 或 102。

这意味着 DHCP 正按计划运行。

如果 eth0 出现在列表中,我们需要将其彻底关闭。 

 

 

根据需要彻底关闭 eth0

 

  1. 如果 eth0 出现在接口列表中,请键入以下命令
ifconfig eth0 down
  1. 要验证是否已关闭,请键入
ifconfig

列表中应该看不到 eth0 了。

接下来,我们将介绍如何将 NAT 与 NSX-T 配合使用。

 

配置网络地址转换 (NAT)


在本章中,我们将创建一个新路由器,并启用和配置 NAT。该 NAT 将允许从转换的地址访问内部 Web 服务器。


 

新建第 1 层路由器

 

单击返回“NSX Manager”标签页。

  1. 单击左侧的“Routing”(路由)
  2. 单击“Routers”(路由器)(如果未默认选中该屏幕)
  3. 单击“+Add”(+ 添加)链接
  4. 单击“Tier-1 Router”(第 1 层路由器)

 

 

第 1 层路由器配置

 

输入以下信息:

  1. 名称:LogicalRouter-T1-NAT
  2. 第 0 层路由器:选择“LogicalROuter-Tier0”
    • 注意:如果您已完成“第 3 单元 - 逻辑路由”的 ECMP 课程,请改选“LogicalRouter-Tier0-ECMP”。
  3. 边缘集群:EdgeCluster1
  4. 边缘集群成员:Edge-TN1
  5. 首选成员:Edge-TN1
  6. 单击“Save”(保存)

 

 

查看您的新路由器

 

现在,您将在列表中看到新的逻辑路由器。

  1. 选择新路由器:LogicalRouter-T1-NAT

 

 

路由器端口

 

选择“LogicalRouter-T1-NAT”后,执行以下任务:

  1. 单击“Configuration”(配置)选项卡
  2. 单击“Router Ports”(路由器端口)

 

 

添加端口

 

您可以看到路由器已预配置到第 0 层路由器的上行链路

  1. 单击“+Add”(+ 添加)链接将新端口添加到 LogicalRouter-t1-NAT

 

 

路由器端口

 

现在,针对路由器端口选择或输入以下信息和配置项目:

  1. 名称:Connection-to-NAT-Web
  2. 逻辑交换机:LS-NAT-Web
  3. 逻辑交换机端口:Attach to new switch port(挂接到新交换机端口)
  4. 交换机端口名称:NAT-Web-Port
  5. IP 地址/掩码:172.16.50.1/24
  6. 单击“Save”(保存)

 

 

新端口已创建

 

现在,您将看到新端口和为其配置的设置。

 

 

添加 NAT 规则

 

  1. 单击“Services”(服务)选项卡
  2. 单击“NAT”

 

 

添加 NAT 规则

 

  1. 单击“+Add”(+ 添加)链接,添加新的 NAT 规则

 

 

添加 SNAT 规则

 

  1. 确保将“Action”(操作)设置为“SNAT”
  2. 对于“Source IP”(源 IP),输入:172.16.50.101
  3. 对于“Translated IP”(已转换 IP),输入:80.80.80.1
  4. 单击“Save”(保存)

 

 

现在添加 DNAT 规则

 

  1. 单击“+Add”(+ 添加)链接,添加新的 NAT 规则

 

 

DNAT 设置

 

  1. 确保将“Action”(操作)设置为“DNAT”
  2. 对于“Destination IP”(目标 IP),输入:80.80.80.1
  3. 对于“Translated IP”(转换 IP),输入:172.16.50.102(这是您的虚拟机在前几个步骤收到的 DHCP 地址。如果两者不同,请将 DNAT 和 SNAT 更新为此地址)
  4. 单击“Save”(保存)

 

 

检查 NAT

 

现在,您将看到 DNAT 和 SNAT 规则。确保这些规则均正确无误。

现在更改路由通告

  1. 单击“Routing”(路由)选项卡
  2. 单击“Route Advertisement”(路由通告)

 

 

更改路由通告

 

现在更改路由通告。

  1. 单击“Edit”(编辑)

 

 

更改通告

 

更改以下内容

  1. 将“Status”(状态)更改为“Enabled”(已启用)
  2. Advertise All NAT Routes(通告所有 NAT 路由):Yes(是)
  3. 单击“Save”(保存)

 

 

检查更改

 

您现在应该会看到刚刚所作的更改,

查看并确保“Status”(状态)现已变为“Enabled”(已启用)

  1. 单击“X”关闭窗口

 

 

选择第 0 层路由器

 

现在,我们需要更新第 0 层路由器,适当地重新分发路由

  1. 根据您启动该实验的位置,选择“Logical-Router-Tier0”或“Logical-Router-TIer0-ECMP”。两者对应的“Type”(类型)列下均应显示“Tier-0”(第 0 层)。

 

 

路由重新分发

 

  1. 单击“Routing”(路由)选项卡
  2. 单击“Route Redistribution”(路由重新分发)

 

 

路由重新分发设置

 

  1. 选择“RouteDistro”
  2. 单击“Edit”(编辑)

 

 

路由分发更改

 

  1. 如果尚未选中,请选择“Sources”(资源)部分中新的”Tier-1 NAT”(第 1 层 NAT)
  2. 单击“Save”(保存)

 

 

测试 NAT

 

现在,我们来测试 NAT 规则是否正常运行。

  1. 单击 Windows 的“开始”图标
  2. 单击“命令提示符”

 

 

Ping 测试

 

  1. 执行以下 Ping 测试。在命令提示符窗口中键入以下内容
ping 80.80.80.1

您会成功完成 Ping 测试

 

 

Web 浏览器测试

 

现在执行 Web 测试。

  1. 打开一个新标签页
  2. 在网址窗口中,输入以下信息
http://80.80.80.1

您将看到网站测试成功的消息

 

第 4 单元结束语


在本单元中,您将学习如何在 NSX-T 中部署 DHCP 和 NAT


 

您已完成第 4 单元的学习

 

祝贺您!您已经完成了第 4 单元的学习。

继续学习以下您最感兴趣的任意单元。

 

 

如何结束实验练习

 

要结束实验,请单击“END”(结束)按钮。

 

第 5 单元 - 负载均衡(15 分钟)

负载均衡单元概述


负载均衡单元概述


配置负载均衡器


在本实验中,我们将创建一个位于 Web 服务器前面的负载均衡器,以为它们提供循环模式负载均衡。


 

路由器更新

 

如果您从本单元启动实验,请忽略以下步骤,执行前面两个步骤。如果您接着上述单元操作,我们需要移除所有的第 1 层路由器。

  1. 单击左侧的“Routing”(路由)
  2. 单击所有“Tier-1 Routers”(第 1 层路由器)旁边的复选框
  3. 单击“Delete”(删除)

 

 

 

删除逻辑路由器

 

  1. 单击“Delete”(删除)

 

 

运行脚本

 

 

如果您未完成之前的任意单元或未创建应用逻辑交换机,请执行以下任务。

  1. 首先右键单击桌面上的”Web-LS.ps1”脚本。
  2. 单击“Run with PowerShell”(使用 PowerShell 运行)

 

 

新建第 1 层路由器

 

我们需要创建一个路由器,将我们现有的逻辑交换机相互连接起来。第 1 层路由器将用于链接 Web、应用和数据库交换机,并允许它们之间的路由。

  1. 单击左侧的“Routing”(路由)
  2. 单击“Routers”(路由器)(如果未默认打开)
  3. 单击“+Add”(+ 添加)向下箭头
  4. 单击“Tier-1 Router”(第 1 层路由器)

 

 

新建第 1 层路由器

 

  1. 在“Name”(名称)字段中,输入 Logical-Router-Tier1
  2. 从下拉菜单中选择“EdgeCluser01”
  3. 单击“Save”(保存)

 

 

将逻辑交换机连接到第 1 层路由器

 

  1. 单击“Logical-Router-Tier1”
  2. 单击“Configuration”(配置)
  3. 单击“Router Ports”(路由器端口)

 

 

将逻辑交换机连接到第 1 层路由器

 

  1. 单击“+Add”(+ 添加)

 

 

将逻辑交换机连接到第 1 层路由器

 

在“New Router Port”(新建路由器端口)窗口中选择或输入以下信息,以便为 Web 网络创建路由器端口:

  1. 名称:Tier1-Web
  2. 逻辑交换机:LS-WEB
  3. 交换机端口名称:Tier1-Web-Port
  4. IP 地址/掩码:172.16.10.1/24
  5. 单击“Save”(保存)

 

 

添加应用和 DB

现在对应用和 DB 层执行同样的操作

  • 名称:Tier1-App
  • 逻辑交换机:LS-APP
  • 交换机端口名称:Tier1-App-Port
  • IP 地址/掩码:172.16.20.1/24
  • 单击“Save”(保存)

 

  • 名称:Tier1-DB
  • 逻辑交换机:LS-DB
  • 交换机端口名称:Tier1-DB-Port
  • IP 地址/掩码:172.16.30.1/24
  • 单击“Save”(保存)

 

 

确认端口

 

此时,您应当可以看到三个新端口。

  1. 单击“Routing”(路由)
  2. 单击“Route Advertisement”(路由通告)

我们需要将这些新路由与第 0 层路由器共享

 

 

路由通告

 

  1. 单击“Edit”(编辑)

 

 

编辑路由通告

 

  1. 将“Status”(状态)更改为“Enabled”(已启用)
  2. 将“Advertise All NSX Connected Routes”(通告所有与 NSX 连接的路由)更改为“Yes”(是)
  3. 单击“Save”(保存)

 

 

确认通告

 

路由通告此时将显示为“已启用”。

单击“X”关闭屏幕

 

 

将第 1 层挂接到第 0 层

 

  1. 单击“Logical-Router-Tier1”旁边的复选框
  2. 单击“Actions”(操作)
  3. 连接到第 0 层路由器

 

 

连接路由器

 

  1. 从下拉列表中选择“Logical-Router-Tier0”
  2. 单击“Connect”(连接)

 

 

删除 K8 负载均衡器

 

 

由于我们的实验环境资源有限,因此需要为新实验创建一些空间。

  1. 单击左侧的“Load Balancing”(负载均衡)
  2. 单击“Load Balancer”(负载均衡器)。

如果列表中有负载均衡器,则您需要将其删除(如果不跳过后续两个步骤)。 

  1. 单击负载均衡器旁边的复选框。本例中为“k82-cl1-fzekz“
  2. 单击“Delete”(删除)。
  3. 单击“Confirm”(确认)

 

 

创建负载均衡器

 

现在创建负载均衡器。

  1. 单击“+Add”(+ 添加)

 

 

创建负载均衡器

 

现在填写负载均衡器的相关详细信息

  1. 名称:Tenant_LB
  2. 负载均衡器大小:选择“Small”(小型)
  3. 单击“OK”(确定)

 

 

挂接负载均衡器

 

  1. 单击“Tenant_LB”旁边的复选框
  2. 单击“Actions”(操作)
  3. 单击“Attach to a Logical Router”(挂接到逻辑路由器)

 

 

选择逻辑路由器

 

  1. 选择“Logical-Router-Tier1”
  2. 单击“OK”(确定)

 

 

服务器池

 

现在设置服务器池

  1. 单击左侧的“Load Balancing”(负载均衡)
  2. 单击“Server Pools”(服务器池)
  3. 单击“Server Pools”(服务器池)选项卡
  4. 单击“+Add”(+ 添加)

 

 

服务器池设置

 

  1. 在“Name”(名称)字段中,输入 Tenent1-WebPool
  2. 单击“Next”(下一步)

 

 

SNAT

 

将设置保留为“Transparent”(透明)

  1. 单击“Next”(下一步)

 

 

池成员

 

现在添加 Web 服务器

  1. 单击“+Add”(+ 添加),然后输入以下信息
  • 名称:web-01a
  • IP:172.16.10.11
  • 端口:443

 

  • 针对 web-02a 重复以上操作
  • 名称:web-02a
  • IP:172.16.10.12
  • 端口:443
  1. 单击“Next”(下一步)

 

 

运行状况监控器

 

  1. 在“Passive Health Monitor”(被动运行状况监控器)字段中选择“nsx-default-http-monitor”
  2. 单击“Finish”(完成)

 

 

虚拟服务器

 

现在设置虚拟服务器

  1. 单击左侧的“Load Balancing”(负载均衡)
  2. 单击“Virtual Servers”(虚拟服务器)选项卡
  3. 单击“Virtual Servers”(虚拟服务器)
  4. 单击“+Add”(+ 添加)

 

 

虚拟服务器属性

 

填写以下字段

  1. 名称:Tenent1-VIP
  2. 从下拉字段中选择“nsx-default-ib-fast-tcp-profile”
  3. 单击“Next”(下一步)

 

 

标识符

 

  1. IP 地址:172.16.10.3
  2. 端口:443
  3. 单击“Next”(下一步)

 

 

服务器池

 

  1. 服务器池:选择“Tenent-WebPool”
  2. 单击“Next”(下一步)

 

 

负载均衡配置文件

 

将此字段留空

  1. 单击“Finish”(完成)

 

 

将虚拟服务器挂接到负载均衡器

 

将新的虚拟服务器挂接到负载均衡器

  1. 单击“Tenent1-VIP”旁边的复选框
  2. 单击“Actions”(操作)
  3. 单击“Attach To a Load Balancer”(挂接到负载均衡器)

 

 

 

挂接到负载均衡器

 

  1. 选择“Logical-Router-Tier1”
  2. 单击“OK”(确定)

 

 

状态

 

检查负载均衡器的状态。可能需要几秒时间才能上线。查找“Operation Status”(运维状态)以显示“Up”(向上)

 

 

网站

 

 

现在检查网站。将以下地址输入到 Chrome 中的新标签页中。

https://172.16.10.6/cgi-bin/app.py?querystring=

如果出现以下屏幕,请接受安全警告并检查负载均衡网站。 

如果此屏幕未出现(如果您在本章启动实验),则需要执行以下步骤。

 

第 5 单元结束语



 

您已完成第 5 单元的学习

 

祝贺您!您已经完成了第 5 单元的学习

 

 

 

如何结束实验练习

 

要结束实验,请单击“END”(结束)按钮。

 

第 6 单元 - 分布式防火墙和工具(15 分钟)

分布式防火墙和工具 - 单元概述



 

DFW、Spoof Guard 和工具

本单元的目标是演示如何配置 NSX-T 功能中的分布式防火墙、Spoof Guard 和工具。

  • 我们将创建新的防火墙规则并进行测试,了解它们的工作原理
  • 我们将在逻辑交换机上启用 Spoof Guard,并阻止和启用流量
  • 我们将回顾 NSX-T 提供的用于运维和故障排除的部分内置工具。

 

分布式防火墙



 

NSX-T 中的分布式防火墙

在本章中,我们将查看和配置 NSX 的分布式防火墙

 

 

登录 vCenter

 

首先,我们需要进入 vCenter

  1. 双击桌面上的“Chrome”图标

 

 

登录 vCenter II

 

  1. 单击“Use Windows session authentication”(使用 Windows 会话身份验证)复选框:
  2. 单击“Login”(登录)

 

 

web-01a 上的远程控制台

 

 

  1. 找到左侧的虚拟机“web-01a”
  2. 单击“Launch Web Console”(启动 Web 控制台)

注意:弹出阻止程序可能会阻止窗口打开。选中弹出阻止程序图标以允许窗口打开。

 

 

远程控制台启动

 

如果您之前未登录虚拟机,则可能需要登录。

  • 用户名:root
  • 密码:VMware1!

现在,我们需要仔细检查 web-01a 的 IP

键入以下信息

ifconfig

web-01a 的 IP 是 172.16.10.11。现在,对连接到同一逻辑交换机的其他 Web 服务器执行 Ping 操作。

 

 

Ping 测试

 

运行以下 Ping 命令,这些命令应全部成功恢复。

  1. ping 172.16.10.12 -c 2
  2. ping 172.16.10.13 -c 2

 

 

 

登录 NSX

 

  1. 打开一个新标签页
  2. 单击“VMware NSX Login”(VMware NSX 登录)书签
  3. 用户名:admin
  4. 密码:VMware1!
  5. 单击“Log In”(登录)

 

 

 

我们将使用组来查找所有的 Web 服务器,即使它们驻留在 KVM 服务器中,我们也可以针对它们应用防火墙。

  1. 单击左侧的“Inventory”(清单)
  2. 单击“Groups”(组)选项卡
  3. 单击“+Add”(+ 添加)

 

 

NS 组创建

 

现在创建 Web 组

输入以下信息:

  1. 名称:Web Servers
  2. 单击“Membership Criteria”(成员标准)选项卡

 

 

成员

 

我们将虚拟机名称用作查找组成员的方式

  1. 单击“+ CRITERIA”(+ 标准)
  2. 从下拉菜单中,选择“Virtual Machine”(虚拟机)
  3. 输入 web
  4. 单击“Save”(保存)

 

 

新建组

 

现在,我们有了新组,需要了解该组的现有成员。

  1. 单击“Web Servers”(Web 服务器)

 

 

组成员

 

现在,我们可以验证 Web 服务器是否是组的成员。

  1. 单击“Members”(成员)
  2. 成员对象:选择“Virtual Machine”(虚拟机)

现在,我们可以在我们的环境中看到三个 Web 服务器。

 

 

防火墙

 

  1. 单击左侧的“Firewall”(防火墙)链接

 

 

防火墙部分

 

我们将为防火墙规则创建新的部分。

  1. 单击防火墙的顶部一行。选中后,您将能够单击其他选项按钮。
  2. 单击“+Add Section”(添加部分)
  3. 单击“Add Section Above”(将部分添加在上面)

 

 

选择 Web 服务器

 

选择或填写有关“防火墙”部分的以下信息

  1. 部分名称:Web Servers Isolation
  2. 对于“Type”(类型),选择“Logical Switch”(逻辑交换机)
  3. 找到“LS-Web“ 交换机,单击该交换机旁边的复选框
  4. 单击”>”按钮将其移至选定部分
  5. 单击“Save”(保存)

 

 

新规则

 

  1. 单击新创建的部分,即“Web Servers Isolation”(Web 服务器隔离)
  2. 单击“+Add Rule”(添加规则)
  3. 单击“Add Rule Below”(将规则添加在下面)

 

 

防火墙规则信息

 

  1. 单击“Name”(名称)列中的铅笔图标,然后输入 Web Isolation 作为防火墙名称,单击“OK”(确定)
  2. 单击“Sources”(来源)列下的铅笔图标

 

 

来源信息

 

  1. 将“Type”(类型)更改为“NSGroup“
  2. 选择“ Web Servers”(Web 服务器)
  3. 单击”>”移至选定选项
  4. 单击“OK”(确定)

在防火墙规则中针对“Destination”(目标)框重复执行上述操作

 

 

检查防火墙规则

 

您的来源和目标中现在应均显示“Web Servers NSgroup”(Web 服务器 NS 组)。现在阻止两者之间的所有流量。

  1. 单击“Action”(操作)字段中的铅笔图标

 

 

放弃

 

  1. 单击下拉菜单,然后选择“Drop”(放弃)
  2. 单击“OK”(确定)

 

 

保存规则

 

 

  1. 单击“Save”(保存)
  2. 单击“Save”(保存)

我们的规则已保存且正在运行,因此我们需要测试相应规则是否正常工作。

 

 

检查防火墙

 

  1. 返回您在 web-01a 上打开的 Web 控制台
  2. 可以使用键盘上的向上箭头,也可以从头开始手动键入 Ping 命令。

您可以看到所有流量现已丢弃。分布式防火墙阻止数据包转到 ESXi 和 KVM 上的虚拟机中。

 

工具


NSX-T 还提供了各种各样的工具来简化运维和故障排除工作。在本章中,我们将浏览部分工具并查看它们的功能。在 NSX-T UI 中,您可以在“Tools”(工具)菜单下面找到运维工具。以下列出了部分工具及其功能。

  • 端口连接:显示两台虚拟机之间的路径
  • Traceflow:通过注入流量测试两台虚拟机之间的数据平面
  • 端口镜像:同一传输节点上网卡之间应用的数据包复制功能
  • IPFIX:生成流量的流记录并将其发送至远程收集器

 

端口连接

 

我们要了解的第一个工具称为端口连接。端口连接工具可用于对网络基础架构中的端口连接性问题进行故障排除。拓扑视图显示跨逻辑组件和物理组件的连接性,包括叠加安全加密链路运行状况

  1. 在 NSX Manager 内,单击左侧的“Tools”(工具)
  2. 如果未默认选中“Port Connection”(端口连接),请单击其链接
  3. 对于源虚拟机,选择“web-01a”
  4. 对于目标虚拟机,选择“db-01a”
  5. 单击“Go”(运行)

 

 

端口连接映射

 

单击“Go”(运行)后,NSX-T 将会处理请求并通过一个映射(详细说明两台虚拟机之间的连接情况)进行回复。如果您已经完成了之前的其他单元,则您的映像可能会有所不同。操作该工具。更改不同的虚拟机,并单击映射以详细了解每个组件。

 

 

Traceflow

 

Traceflow 可跟踪在逻辑端口注入的数据包的传输节点级路径。Traceflow 支持 L2 和 L3,并在 ESXi 和 KVM Edge(包括 NAT)中受支持。利用用户提供的详细信息,系统将会创建 Traceflow 数据包并将其插入源逻辑端口。当此数据包从源虚拟机移至目标虚拟机时,所有逻辑网络实体都将会对观察结果进行报告。这些观察结果经过整合会显示在 UI 中。

  1. 单击左侧的“TraceFlow”
  2. 滚动源下拉菜单,找到“web-01a”
  3. 滚动目标下拉菜单,找到“web-02a”
  4. 单击“TRACE”(跟踪)

 

 

Traceflow 结果

 

开始跟踪后,NSX-T Traceflow 将会提供一个映射,其中包含数据包从一端传输到另一端的信息。 

如您所见,我们在本单元前面部分中创建的防火墙规则放弃了我们的数据包。您可以随意使用该环境并重新运行工具

 

 

搜索

 

NSX-T 中最实用的一项新功能是搜索功能。搜索功能可用于查找端口、组或任何您要查找的内容。测试该功能。

  1. 单击页面顶部右侧的搜索图标。
  2. 开始键入单词“web

如图所示,系统将在您键入时开始填充结果。 

根据需要测试搜索功能

 

第 6 单元结束语


在本单元中,您将学习如何在 NSX-T 中部署和使用 DFW 和工具


 

您已完成第 6 单元的学习和实验练习

 

恭喜,您已完成第 6 单元的学习和本实验练习。

我们希望这是一次愉快的实验练习。

 

 

 

如何结束实验练习

 

要结束实验,请单击“END”(结束)按钮。

 

总结

感谢您参加 VMware 动手练习。 请务必访问 http://hol.vmware.com/ 继续完成在线练习。

练习 SKU: HOL-1926-01-NET

版本: 20181114-022631