对于东西向网络侦测,需创建服务分段和覆盖网络传输区域。但是,您可以支持 VLAN 传输区域上的所有其他分段或逻辑交换机。

东西向网络侦测将应用于整个 NSX-T Data Center 部署。您可以在集群级别或在每个主机上部署该服务。

支持多种部署方法。其中一种方法是基于主机的部署。部署类型决定了在何处运行特定服务的服务虚拟机。但是,无论部署类型如何,所有东西向网络侦测工作负载都可以访问服务虚拟机。例如,如果没有其他更好的方案,在集群 A 上运行的工作负载可以使用在集群 B 上运行的服务虚拟机。因此,选择基于集群的部署不会将东西向网络侦测限制到该集群。

即使您计划仅使用 VLAN 支持的分段的部署,东西向流量也会通过覆盖网络传输区域和覆盖网络支持的分段进行传输。东西向网络侦测将应用于拓扑中的所有分段,无论这些分段由覆盖网络提供支持,还是由 VLAN 传输区域提供支持。

东西向网络侦测的要求

  • 仅 IPv4 流量。
  • 确保托管客户机虚拟机和服务虚拟机的传输节点配置了覆盖网络传输区域。需要覆盖网络传输区域才能在系统中的所有传输节点上使用东西向网络侦测。
  • 创建一个覆盖网络支持的服务分段,东西向网络侦测服务将使用该分段。

  • 所有分段都必须由每个主机上的同一主机交换机提供支持。

  • 如果在 ESXi 主机上运行的客户机虚拟机连接到 VLAN 分段,但该 ESXi 主机未配置到覆盖网络传输区域,则传输到服务虚拟机的流量会中断。此类配置还可能导致流量被路由到黑洞。

vMotion 客户机虚拟机

在执行 vMotion 操作过程中,仅当目标主机配置了覆盖网络传输区域,且具有单个主机交换机时,才能成功将客户机虚拟机迁移到另一个主机。但是,如果没有创建服务分段的覆盖网络传输区域,或者如果配置了多个主机交换机,即使在执行 vMotion 操作后,客户机虚拟机的虚拟网卡也会进入已断开连接状态。

vMotion 服务虚拟机

  • 基于主机的 SVM 部署:NSX 不支持对单个主机上部署的服务虚拟机 (SVM) 执行 vMotion 操作。

  • 基于集群的 SVM 部署:即使 NSX 允许对基于集群的 SVM 部署中的 SVM 执行 vMotion 操作,也不要对 SVM 启动 vMotion 以避免流量丢失。

不支持的环境

  • IPv6 流量。
  • 为 VLAN 传输区域配置了一些传输节点,而为 VLAN 和 GENEVE(覆盖网络)传输区域配置了其余主机。确保为 VLAN 和 GENEVE(覆盖网络)传输区域配置了所有传输节点。
  • 从客户机虚拟机虚拟网卡中传出的流量带有 .1q VLAN 标记。
  • 中继端口(可传输来自客户机虚拟机的多个 VLAN)支持的客户机虚拟机。
  • 涉及多个主机交换机的任何拓扑都不支持东西向网络侦测。

置备支持覆盖网络(支持 GENEVE)的分段以供东西向网络侦测内部使用。在 NSX Manager UI 上,转到安全 → 网络侦测设置 → 服务分段

支持的流量类

  • L3 (IPv4) 单播
  • L3 (IPv4) 多播
  • L3 (IPv4) 广播
  • L3(非 IP)(例如,GRE 和 IPSec 流量)