可以使用 ISO、OVA/OVF 或 PXE 启动安装 NSX Edge。无论使用什么安装方法,请确保在安装 NSX Edge 之前准备主机网络。

传输区域中的 NSX Edge 的简要视图

NSX Edge 节点是具有容量池的服务设备,专用于运行无法分发到管理程序的网络服务。在首次部署 Edge 节点时,可以将其视为空容器。

图 1. NSX Edge 简要概述

NSX Edge 节点是提供物理网卡以连接到物理基础架构的设备。这些功能包括:

  • 到物理基础架构的连接

  • NAT

  • DHCP 服务器

  • 元数据代理

  • Edge 防火墙

如果配置了其中的一个服务,或者在逻辑路由器上定义了上行链路以连接到物理基础架构,则会在 NSX Edge 节点上实例化一个 SR。NSX Edge 节点也是一个传输节点,就像 NSX-T Data Center 中的计算节点一样;与计算节点类似,NSX Edge 可以连接到多个传输区域,一个用于覆盖网络,另一个用于与外部设备之间的南北向对等连接。在 NSX Edge 上具有两个传输区域:

覆盖网络传输区域 - 来自于加入 NSX-T Data Center 域的虚拟机的任何流量可能需要能够访问外部设备或网络。这通常描述为外部南北向流量。NSX Edge 节点负责解封从计算节点收到的覆盖网络流量,以及封装发送到计算节点的流量。

VLAN 传输区域 - 除了封装或解封流量功能以外,NSX Edge 节点还需要使用 VLAN 传输区域以提供到物理基础架构的上行链路连接。

默认情况下,SR 和 DR 之间的链路使用 169.254.0.0/28 子网。在部署 Tier-0 或 Tier-1 逻辑路由器时,将自动创建这些路由器内中转链路。您不需要配置或修改链路配置,除非在您的部署中已使用 169.254.0.0/28 子网。在 Tier-1 逻辑路由器上,只有在创建 Tier-1 逻辑路由器时选择了 NSX Edge,才会使用 SR。

为 Tier-0 到 Tier-1 的连接分配的默认地址空间为 100.64.0.0/10。将在 100.64.0.0/10 地址空间中为每个 Tier-0 到 Tier-1 的对等连接提供一个 /31 子网。在创建 Tier-1 路由器并将其连接到 Tier-0 路由器时,将自动创建该链路。您不需要在该链路上配置或修改接口,除非在您的部署中已使用 100.64.0.0/10 子网。

每个 NSX-T Data Center 部署具有一个管理层面群集 (MP) 和一个控制层面群集 (CCP)。MP 和 CCP 将配置推送到每个传输区域的本地控制层面 (LCP)。在主机或 NSX Edge 加入管理层面时,管理层面代理 (MPA) 将与主机或 NSX Edge 建立连接,并且主机或 NSX Edge 变为 NSX-T Data Center 结构层节点。然后,在将结构层节点添加为传输节点时,将与主机或 NSX Edge 建立 LCP 连接。

NSX Edge 简要概述图显示了绑定在一起以提供高可用性的两个物理网卡(pNIC1 和 pNIC2)的示例。数据路径管理物理网卡。它们可以作为到外部网络的 VLAN 上行链路,或者作为到 NSX-T Data Center 管理的内部虚拟机网络的隧道端点链路。

最佳做法是,将至少两个物理链路分配给每个部署为虚拟机的 NSX Edge。或者,也可以在相同 pNIC 上叠加使用不同 VLAN ID 的端口组。找到的第一个网络链路用于管理。例如,在 NSX Edge 虚拟机上,找到的第一个链路可能是 vnic1。

在裸机安装上,找到的第一个链路可能是 eth0 或 em0。其余链路用于上行链路和隧道。例如,一个链路可能用于 NSX-T Data Center 管理的虚拟机使用的隧道端点。另一个链路可能用于 NSX Edge 到外部 TOR 的上行链路。

您可以查看 NSX Edge 的物理链路信息,以管理员身份登录到 CLI 并运行 get interfacesget physical-ports 命令。在该 API 中,您可以使用 GET fabric/nodes/<edge-node-id>/network/interfaces API 调用。

无论将 NSX Edge 安装为虚拟机设备,还是安装在裸机上,您都可以使用多种方法进行网络配置,具体取决于您的部署。

传输区域和 N-VDS

传输区域控制 NSX-T Data Center 中的第 2 层网络的范围。N-VDS 是在传输节点上创建的软件交换机。传输节点的数据层面中涉及的主要组件是 N-VDS。N-VDS 在传输节点上运行的组件之间转发流量,例如,在虚拟机之间或在内部组件和物理网络之间转发流量。对于后一种情况,N-VDS 必须在传输节点上具有一个或多个物理接口 (pNIC)。与其他虚拟交换机一样,一个 N-VDS 不能与其他 N-VDS 共享物理接口。在使用一组单独的 pNIC 时,它可能与另一个 N-VDS 共存。

共有两种类型的传输区域:

  • 用于传输节点之间内部 NSX-T Data Center 隧道的覆盖网络。

  • 用于 NSX-T Data Center 外部上行链路的 VLAN。

如果您希望每个 NSX Edge 仅具有一个 N-VDS,则可以这样做。另一个设计方法是,使 NSX Edge 属于多个 VLAN 传输区域,每个上行链路一个传输区域。

最常见的设计方法是三个传输区域:一个覆盖网络传输区域和两个 VLAN 传输区域(用于冗余的上行链路)。

有关传输区域的详细信息,请参阅关于传输区域

虚拟设备/虚拟机 NSX Edge 网络

NSX Edge 虚拟机具有四个内部接口:eth0、fp-eth0、fp-eth1 和 fp-eth2。eth0 是为管理预留的,而其余接口分配给 DPDK 快速路径。将为到 TOR 交换机的上行链路以及 NSX-T Data Center 覆盖网络隧道分配这些接口。可以灵活地为上行链路或覆盖网络分配接口。例如,可以为覆盖网络流量分配 fp-eth0,并为上行链路流量分配 fp-eth1 和/或 fp-eth2。

vSphere Distributed Switch 或 vSphere 标准交换机上,您必须为 NSX Edge 分配至少两个 vmnic 以提供冗余。

在以下示例物理拓扑中,将 eth0 用于管理网络,将 fp-eth0 用于 NSX-T Data Center 覆盖网络流量,将 fp-eth1 用于 VLAN 上行链路,并且未使用 fp-eth2。如果未使用 fp-eth2,您必须将其断开连接。

图 2. 建议用于 NSX Edge 虚拟机网络的一种链路设置

该示例中显示的 NSX Edge 属于两个传输区域(一个是覆盖网络,另一个是 VLAN),因此,具有两个 N-VDS(一个用于隧道,另一个用于上行链路流量)。

该屏幕截图显示虚拟机端口组 nsx-tunnel 和 vlan-uplink。

在部署期间,您必须指定与在虚拟机端口组上配置的名称匹配的网络名称。例如,如果使用 ovftool 部署 NSX Edge,要与该示例中的虚拟机端口组匹配,网络 ovftool 设置可以如下所示:

--net:"Network 0-Mgmt" --net:"Network 1-nsx-tunnel" --net:"Network 2=vlan-uplink"

此处显示的示例使用虚拟机端口组名称 Mgmt、nsx-tunnel 和 vlan-uplink。您的虚拟机端口组可以使用任意名称。

例如,在标准 vSwitch 上,您可以按以下方式配置中继端口:主机 > 配置 > 网络 > 添加网络 > 虚拟机 > 所有 VLAN ID (4095)

可以在 vSphere Distributed Switch 或 vSphere 标准交换机上安装 NSX Edge 虚拟机。

可以将 NSX Edge 虚拟机安装在 NSX-T Data Center 已就绪的主机上并将其配置为传输节点。有两种部署类型:

  • 使用其中的 VSS/VDS 占用主机上单独 pNIC 的 VSS/VDS 端口组可以部署 NSX Edge 虚拟机。主机传输节点占用在主机上安装的 N-VDS 的单独 pNIC。主机传输节点的 N-VDS 与 VSS 或 VDS(它们占用单独的 pNIC)共存。主机 TEP(隧道端点)和 NSX Edge TEP 可以在相同或不同的子网中。

  • 在主机传输节点的 N-VDS 上使用支持 VLAN 的的逻辑交换机可以部署 NSX Edge 虚拟机。主机 TEP 和 NSX Edge TEP 必须在不同的子网中。

可以将多个 NSX Edge 虚拟机安装在单个主机上,以利用相同的管理、VLAN 和覆盖网络端口组。

对于具有 vSphere 而没有 N-VDS 的 ESXi 主机上部署的 NSX Edge 虚拟机,您必须执行以下操作:

  • 为该 NSX Edge 上运行的 DHCP 服务器启用伪信号。

  • NSX Edge 虚拟机启用混杂模式以接收未知单播数据包,因为 MAC 学习默认处于禁用状态。vDS 6.6 或更高版本不需要这样做,因为在这些版本中,MAC 学习默认处于启用状态。

裸机 NSX Edge 网络

NSX-T Data Center 裸机 NSX Edge 在物理服务器上运行,并且是使用 ISO 文件或 PXE 引导安装的。建议在生产环境中使用裸机 NSX Edge,该环境需要使用 NAT、防火墙和负载平衡器等服务以及第 3 层单播转发。裸机 NSX Edge 在性能方面与虚拟机规格 NSX Edge 不同。它提供了亚秒级聚合、更快的故障切换以及更高的吞吐量。

在安装裸机 NSX Edge 节点时,将为管理保留一个专用接口。如果需要冗余,可以使用两个网卡以提供管理层面高可用性。这些管理接口也可能是 1G。

裸机 NSX Edge 节点最多支持 8 个物理网卡,以传输覆盖网络流量以及到架顶式 (TOR) 交换机的上行链路流量。对于服务器上的 8 个物理网卡,将按照命名方案“fp-ethX”分别创建一个内部接口。这些内部接口分配给 DPDK 快速路径。可以非常灵活地为覆盖网络或上行链路连接分配 fp-eth 接口。

在下面的示例物理拓扑中,fp-eth0 和 fp-eth1 绑定在一起并用于 NSX-T Data Center 覆盖网络隧道。fp-eth2 和 fp-eth3 用作到 TOR 的冗余 VLAN 上行链路。

图 3. 建议用于裸机 NSX Edge 网络的一种链路设置