可以使用 ISO、OVA/OVF 或 PXE 启动安装 NSX Edge。无论使用什么安装方法,请确保在安装 NSX Edge 之前准备主机网络。
传输区域中的 NSX Edge 的简要视图
NSX-T Data Center 的简要视图显示传输区域中的两个传输节点。一个传输节点是主机。另一个传输节点是 NSX Edge。
在首次部署 NSX Edge 时,您可以将其视为空容器。在创建网关后,NSX Edge 才会执行操作。NSX Edge 为 Tier-0 和 Tier-1 网关提供计算支持。每个网关包含一个服务路由器 (SR) 和一个分布式路由器 (DR)。在我们谈到路由器是分布式路由器时,我们是指在属于同一传输区域的所有传输节点上复制该路由器。在该图中,主机传输节点包含在 Tier-0 和 Tier-1 路由器上包含的同一 DR。如果要配置网关以执行服务(如 NAT),则需要使用服务路由器。所有 Tier-0 网关都有一个服务路由器。如果需要,Tier-1 路由器可以根据设计要求使用服务路由器。
默认情况下,SR 和 DR 之间的链路使用 169.254.0.0/28 子网。在部署 Tier-0 或 Tier-1 网关时,将自动创建这些路由器内中转链路。您不需要配置或修改链路配置,除非在您的部署中已使用 169.254.0.0/28 子网。
为 Tier-0 到 Tier-1 的连接分配的默认地址空间为 100.64.0.0/10。将在 100.64.0.0/10 地址空间中为每个 Tier-0 到 Tier-1 的对等连接提供一个 /31 子网。在创建 Tier-1 路由器并将其连接到 Tier-0 路由器时,将自动创建该链路。您不需要在该链路上配置或修改接口,除非在您的部署中已使用 100.64.0.0/10 子网。
每个 NSX-T Data Center 部署具有一个管理平面集群 (MP) 和一个控制平面集群 (CCP)。MP 和 CCP 将配置推送到每个传输区域的本地控制平面 (LCP)。在主机或 NSX Edge 加入管理平面时,管理平面代理 (MPA) 将与主机或 NSX Edge 建立连接,并且主机或 NSX Edge 变为 NSX-T Data Center Fabric 节点。然后,在将 Fabric 节点添加为传输节点时,将与主机或 NSX Edge 建立 LCP 连接。
最后,该图显示了绑定在一起以提供高可用性的两个物理网卡(pNIC1 和 pNIC2)的示例。数据路径管理物理网卡。它们可以作为到外部网络的 VLAN 上行链路,或者作为到 NSX-T Data Center 管理的内部虚拟机网络的隧道端点链路。
最佳做法是向部署为虚拟机的每个 NSX Edge 至少分配两个物理链路。或者,也可以在相同 pNIC 上叠加使用不同 VLAN ID 的端口组。找到的第一个网络链路用于管理。例如,在 NSX Edge 虚拟机上,找到的第一个链路可能是 vnic1。在裸机安装上,找到的第一个链路可能是 eth0 或 em0。其余链路用于上行链路和隧道。例如,一个链路可能用于 NSX-T Data Center 管理的虚拟机使用的隧道端点。另一个链路可能用于 NSX Edge 到外部 TOR 的上行链路。
您可以通过以管理员身份登录到 CLI 并运行 get interfaces 和 get physical-ports 命令来查看 NSX Edge 的物理链路信息。在该 API 中,您可以使用 GET fabric/nodes/<edge-node-id>/network/interfaces API 调用。将在下一节中更详细地讨论物理链路。
无论将 NSX Edge 安装为虚拟机设备,还是安装在裸机上,您都可以使用多种方法进行网络配置,具体取决于您的部署。
传输区域和 N-VDS
要了解 NSX Edge 网络,您必须了解有关传输区域和 N-VDS 的内容。传输区域控制 NSX-T Data Center 中的第 2 层网络的范围。N-VDS 是在传输节点上创建的软件交换机。N-VDS 的用途是,将网关上行链路和下行链路绑定到物理网卡。对于 NSX Edge 所属的每个传输区域,将在 NSX Edge 上安装单个 N-VDS。
- 用于传输节点之间内部 NSX-T Data Center 隧道的覆盖网络。
- 用于 NSX-T Data Center 外部上行链路的 VLAN。
NSX Edge 可以属于零个或多个 VLAN 传输区域。对于零个 VLAN 传输区域,NSX Edge 可能仍然具有上行链路,因为 NSX Edge 上行链路可以使用为覆盖网络传输区域安装的相同 N-VDS。如果您希望每个 NSX Edge 仅具有一个 N-VDS,则可以这样做。另一个设计方法是,使 NSX Edge 属于多个 VLAN 传输区域,每个上行链路一个传输区域。
最常见的设计方法是三个传输区域:一个覆盖网络传输区域和两个 VLAN 传输区域(用于冗余的上行链路)。
要将同一 VLAN ID 用于覆盖网络流量的传输网络和 VLAN 流量的其他网络(如 VLAN 上行链路),请在两个不同的 N-VDS(一个用于 VLAN,另一个用于覆盖网络)上配置 ID。
从 NSX-T Data Center 2.5 开始,您可以使用单个 N-VDS 交换机配置网络,用于管理单个集群上的 NSX Edge、主机传输节点和 NSX Manager 流量。请参见在运行 N-VDS 交换机的主机上部署完全折叠的 vSphere 集群 NSX-T。
虚拟设备/虚拟机 NSX Edge 网络
在将 NSX Edge 安装为虚拟设备或虚拟机时,将创建名为 fp-ethX 的内部接口,其中 X 为 0、1、2 和 3。将为到架顶式 (Top-Of-Rack, ToR) 交换机的上行链路和 NSX-T Data Center 覆盖网络隧道分配这些接口。
在创建 NSX Edge 传输节点时,您可以选择 fp-ethX 接口,以便与上行链路和覆盖网络隧道相关联。您可以决定如何使用 fp-ethX 接口。
在 vSphere Distributed Switch 或 vSphere 标准交换机上,您必须为 NSX Edge 分配至少两个 vmnic:一个用于 NSX Edge 管理,一个用于上行链路和隧道。
在下面的示例物理拓扑中,fp-eth0 用于覆盖网络隧道流量,承载 TEP IP 地址。fp-eth1 用于 Tier-0 网关上行链路,支持南北向流量。fp-eth2 未使用,因为拓扑仅包含网关。如果配置了 L2 网桥,您可以使用 fp-eth2。eth0/vNIC1 分配给管理网络。
该示例中显示的 NSX Edge 属于两个传输区域(一个是覆盖网络,另一个是 VLAN),因此,具有两个 N-VDS(一个用于隧道,另一个用于上行链路流量)。
该屏幕截图显示虚拟机端口组 nsx-tunnel 和 vlan-uplink。
--net:"Network 0-Mgmt" --net:"Network 1-nsx-tunnel" --net:"Network 2=vlan-uplink"
此处显示的示例使用虚拟机端口组名称 Mgmt、nsx-tunnel 和 vlan-uplink。您的虚拟机端口组可以使用任意名称。
为 NSX Edge 配置的隧道和上行链路虚拟机端口组不需要与 VMkernel 端口或给定的 IP 地址相关联。这是因为,它们仅在第 2 层中使用。如果您的部署使用 DHCP 为管理接口提供地址,请确保仅将一个网卡分配给管理网络。如果分配给 N-VDS 交换机的其中一个 fp-eth 接口发生故障,NSX Edge 状态将变为已降级。如果 NSX Edge 的所有隧道都关闭,节点状态将变为关闭。
请注意,VLAN 和隧道端口组配置为中继端口。这是必需的。例如,在标准 vSwitch 上,您可以按以下方式配置中继端口:。
。如果使用基于设备或虚拟机 NSX Edge,您可以使用标准 vSwitch 或 vSphere Distributed Switch。
可以将 NSX Edge 虚拟机安装在 NSX-T Data Center 已就绪的主机上并将其配置为传输节点。有两种部署类型:
- 使用其中的 VSS/VDS 占用主机上单独 pNIC 的 VSS/VDS 端口组可以部署 NSX Edge 虚拟机。主机传输节点占用在主机上安装的 N-VDS 的单独 pNIC。主机传输节点的 N-VDS 与 VSS 或 VDS(它们占用单独的 pNIC)共存。主机 TEP(隧道端点)和 NSX Edge TEP 可以在相同或不同的子网中。
- 在主机传输节点的 N-VDS 上使用支持 VLAN 的逻辑交换机可以部署 NSX Edge 虚拟机。主机 TEP 和 NSX Edge TEP 可以位于同一 VLAN 或子网中。
或者,也可以在单个主机上安装多个 NSX Edge 设备/虚拟机,所有安装的 NSX Edge 可以使用相同的管理、VLAN 和隧道端点端口组。
在连接了底层物理链路并配置了虚拟机端口组的情况下,您可以安装 NSX Edge。
裸机 NSX Edge 网络
裸机 NSX Edge 包含名为 fp-ethX 的内部接口,其中 X 最多为 16 个接口。创建的 fp-ethX 接口数取决于裸机 NSX Edge 具有多少个物理网卡。最多可以为到架顶式 (ToR) 交换机和 NSX-T Data Center 覆盖网络隧道的上行链路分配其中的 4 个接口。
在创建 NSX Edge 传输节点时,您可以选择 fp-ethX 接口,以便与上行链路和覆盖网络隧道相关联。
您可以决定如何使用 fp-ethX 接口。在下面的示例物理拓扑中,fp-eth0 和 fp-eth1 绑定在一起,用于覆盖网络隧道流量,承载 TEP IP 地址。fp-eth2 和 fp-eth3 用于 Tier-0 网关上行链路,支持南北向流量。eth0/vNIC1 分配给管理网络。
- 在运行低于 6.6 版本的 vDS 交换机上,为连接到 NSX Edge 虚拟机虚拟网卡以提供 VLAN 连接的端口启用混杂模式。
- 在运行 6.6 或更高版本的 vDS 交换机上,启用 MAC 学习并禁用混杂模式。这些设置可确保能够在目标 MAC 地址与虚拟网卡有效 MAC 地址不匹配的目标中接收数据包。
- 在 vDS 交换机上启用伪信号。通过伪信号,在源 MAC 地址与虚拟网卡有效 MAC 地址不匹配的情况下,仍能发送数据包。需要使用这些设置来支持 VLAN 网络的桥接或 L2VPN 和 DHCP 功能。