您必须先设置基础架构,然后再配置网关安全的环境。

1. 部署 NSX Edge 传输节点

您必须先部署 NSX Edge 传输节点。

前提条件

您已部署 NSX Manager 并配置了有效的许可证。

过程

  1. 从浏览器中,使用 admin 权限登录到 https://<nsx-manager-ip-address> 中的 NSX Manager
  2. 选择系统 > Fabric > 节点 > Edge 传输节点 > 添加 Edge 节点

    添加 Edge 传输节点

  3. 键入 NSX Edge 的名称。
  4. 键入 vCenter Server 的主机名称或 FQDN。
  5. NSX Edge 虚拟机设备选择规格。
  6. 要自定义分配给 NSX Edge 虚拟机设备的 CPU 和内存,请调整以下参数。但是,要获得最佳性能,必须为 NSX Edge 虚拟机设备分配 100% 的可用资源。
    小心: 如果您自定义分配给 NSX Edge 虚拟机的资源,请稍后将该预留恢复到 100%,以获得最大性能。
    选项 说明
    内存预留 (%)

    预留百分比是指相对于规格中预定义值的百分比。

    100 表示为 NSX Edge 虚拟机预留 100% 的内存。

    如果输入 50,则表示为 Edge 传输节点预留 50% 的已分配内存。
    CPU 预留优先级 选择要分配给 NSX Edge 虚拟机的份额数(相对于争用共享资源的其他虚拟机)。
    以下份额适用于中型规格的 NSX Edge 虚拟机:
    • 低 - 2000 份额
    • 正常 - 4000 份额
    • 高 - 8000 份额
    • 超高 - 10000 份额
    CPU 预留 (MHz)
    小心: 除非您需要对 CPU 预留进行精细控制,否则请不要使用此字段。相反,可以通过 CPU 预留优先级字段更改 CPU 预留值。

    最大 CPU 预留值不得超过 vCPU 数量与物理 CPU 内核正常 CPU 运行速率的乘积。

    如果输入的 MHz 值超过物理 CPU 内核的最大 CPU 容量,那么即使已接受分配,NSX Edge 虚拟机也可能无法启动。

    例如,假设系统具有两个 Intel Xeon E5-2630 CPU。每个 CPU 包含十个以 2.20 GHz 运行的内核。那么配置有两个 vCPU 的虚拟机的最大 CPU 分配为 2 x 2200 MHz = 4400 MHz。如果将 CPU 预留指定为 8000 MHz,则虚拟机的重新配置将成功完成。但是,虚拟机无法打开电源。
  7. 在“凭据”窗口中,输入以下详细信息。
    • NSX Edge 指定 CLI 和 root 密码。您的密码必须符合密码强度限制。
      • 至少 12 个字符
      • 至少一个小写字母
      • 至少一个大写字母
      • 至少一个数字
      • 至少一个特殊字符
      • 至少 5 个不同的字符
      • 没有字典词语
      • 没有回文
      • 不允许使用超过四个单调字符的序列
    • 要为管理员启用 SSH,请切换允许 SSH 登录按钮。
    • 要为 root 用户启用 SSH,请切换允许 Root SSH 登录按钮。
    • 输入 audit 角色的凭据。如果未在 audit 凭据部分中输入凭据,则 audit 角色将保持禁用状态。
      注: 在部署 NSX Edge 节点后,您无法更改在部署期间设置的 root 用户的 SSH 设置。例如,如果您在部署期间为 root 用户禁用了 SSH,则无法启用 SSH。
  8. 输入 NSX Edge 详细信息。
    选项 说明
    计算管理器 从下拉菜单中选择计算管理器。

    计算管理器是在管理平面中注册的 vCenter Server
    集群 从下拉菜单中指定 NSX Edge 要加入的集群。
    资源池或主机 从下拉菜单中为 NSX Edge 分配资源池或特定主机。
    数据存储 从下拉菜单中选择 NSX Edge 文件的数据存储。
  9. 输入 NSX Edge 接口详细信息。
    选项 说明
    IP 分配

    它是分配给 NSX Edge 节点的 IP 地址,与 NSX ManagerNSX Controller 通信时需要使用该 IP 地址。

    选择 DHCP静态 IP。
    如果选择 静态,请输入以下值:
    • 管理 IP:以 CIDR 表示法输入 NSX Edge 的 IP 地址。
    • 默认网关:输入 NSX Edge 的网关 IP 地址。
    管理接口 从下拉菜单中,选择连接到 NSX Edge 管理网络的接口。此接口必须可从 NSX Manager 访问,或者必须与 NSX ManagerNSX Controller 位于同一管理接口中。

    NSX Edge 管理接口会与 NSX Manager 管理接口建立通信。

    NSX Edge 管理接口连接到分布式端口组或分段。
    搜索域名 以“example.com”格式输入域名或输入一个 IP 地址。
    DNS 服务器 输入 DNS 服务器的 IP 地址。
    NTP 服务器 输入 NTP 服务器的 IP 地址。
  10. 输入 N-VDS 信息。
    选项 说明
    Edge 交换机名称 输入交换机的名称。
    传输区域 选择该传输节点所属的传输区域。NSX Edge 传输节点属于至少两个传输区域:用于 NSX-T Data Center 连接的覆盖网络以及用于上行链路连接的 VLAN。
    注: 满足以下先决条件时,NSX Edge 节点支持多个覆盖网络隧道(多 TEP):
    • 必须仅在一个 N-VDS 上进行 TEP 配置。
    • 所有 TEP 必须对覆盖网络流量使用相同的传输 VLAN。
    • 所有 TEP IP 必须位于同一子网中,并使用相同的默认网关。
    上行链路配置文件 从下拉菜单中选择上行链路配置文件。

    可用的上行链路取决于选定的上行链路配置文件中的配置。
    IP 分配 (TEP)

    为配置的 NSX Edge 交换机分配 IP 地址。它用作 NSX Edge 的隧道端点。

    为覆盖网络 N-VDS 选择使用 IP 池使用静态 IP 列表
    • 如果选择使用静态 IP 列表,请指定:
      • 静态 IP 列表:输入由 NSX Edge 使用且以逗号分隔的 IP 地址列表。
      • 网关:输入 TEP 的默认网关,该网关用于将数据包路由到另一个网络中的另一个 TEP。例如, ESXi TEP 属于 20.20.20.0/24,NSX Edge TEP 属于 10.10.10.0/24,那么我们将使用默认网关在这些网络之间路由数据包。
      • 子网掩码:输入在 NSX Edge 上使用的 TEP 网络的子网掩码。
    • 如果您选择使用 IP 池进行 IP 分配,请指定 IP 池名称。

    DPDK 快速路径接口/虚拟网卡 选择作为分布式端口组中继或分段的数据路径接口作为上行链路接口。
    注: 如果应用到 NSX Edge 节点的上行链路配置文件使用指定绑定策略,请确保满足以下条件:
    • 默认绑定策略中的所有上行链路都必须映射到 Edge 虚拟机上的相应物理网络接口,这样流量才能流过使用指定绑定策略的逻辑交换机。

    NSX Data Center 3.2.1 开始,最多可以在一个 NSX Edge 虚拟机上将四个唯一的数据路径接口配置为上行链路。

    在将上行链路映射到 DPDK 快速路径接口时,如果 NSX Edge 未显示所有可用接口(总共四个),则意味着尚未向 NSX Edge 虚拟机添加额外接口,或者上行链路配置文件具有较少数量的上行链路。

    对于从 NSX-T Data Center 早期版本升级到 3.2.1 或更高版本的 NSX Edge 虚拟机,请调用重新部署 API 以重新部署 NSX Edge 虚拟机。调用重新部署 API 可确保部署的 NSX Edge 虚拟机能够识别 NSX Manager UI 中的所有可用数据路径接口。确保上行链路配置文件已正确配置为使用额外的数据路径网卡。

    • 对于自动部署的 NSX Edge,请调用重新部署 API。
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • 对于手动部署的 Edge,请部署新的 NSX Edge 虚拟机。请确保也为该新的 NSX Edge 虚拟机执行旧 NSX Edge 虚拟机的所有 vmx 自定义。

    NSX Edge 虚拟机上执行 vMotion 可能会导致 NSX Edge 虚拟机进入故障状态,或者由于内存缓冲区问题而无法启用额外的网络适配器。要对在 NSX Edge 虚拟机上执行 vMotion 时出现的内存相关问题进行故障排除,请参见https://kb.vmware.com/s/article/76387
    注:
    • NSX Edge 虚拟机设备不支持 LLDP 配置文件。
    • 如果使用 NSX Manager 或在裸机服务器上安装 NSX Edge,那么上行链路接口将显示为 DPDK 快速路径接口
    • 如果使用 vCenter Server 手动安装 NSX Edge,那么上行链路接口将显示为虚拟网卡
  11. 传输节点页面上查看连接状态。
    NSX Edge 添加为传输节点后,连接状态将在 10-12 分钟后变为“已启动”。

1.1:置备 NSX Edge 集群

为了实现高可用性,Edge 集群中应有两个 Edge 节点。

过程

  1. 添加 Edge 集群。转到系统 > Fabric > 节点 > Edge 集群,然后单击添加 Edge 集群
  2. 名称文本框中,输入 Edge 集群的名称。例如,Edge-cluster-1
  3. 将创建的 Edge 节点 (Edge-1) 从可用移动到选定窗口,然后单击添加

2. 创建 Tier-0 或 Tier-1 网关

根据您的用例,创建 Tier-1 或 Tier-0 网关。

过程

  1. 要添加网关,请执行以下操作:
    • 添加 Tier-0 网关:在 NSX Manager UI 中,单击网络 > Tier-0 网关 > 添加网关 > Tier-0

      添加 Tier-0 网关

    • 添加 Tier-1 网关:在 NSX Manager UI 中,单击网络 > Tier-1 网关 > 添加网关 > Tier-1
  2. 提供以下信息。
    名称 输入网关的名称。例如,T0-gateway-1
    Edge 集群 选择创建的 Edge 集群。例如,Edge-cluster-1
  3. 单击保存

    有关更多详细信息,请参见NSX-T Data Center 管理指南

3. 在 Tier-0 或 Tier-1 网关上创建接口

NSX 网关具有不同的接口类型。根据网络拓扑,您可以选择连接到网络所需的接口,并为通过网关的流量提供防火墙。

显示 NSX 网关的不同接口类型的图。

Tier-0 外部接口:

  • 连接到物理路由器以进行外部连接
  • 您可以在 Tier-0 网关上的 VLAN 分段上创建此接口

Tier-1 上行链路接口:

  • 连接到 gier-0
  • 在 Tier-1 连接到 Tier-0 时,系统会创建此接口

服务接口:

  • 用于向非 NSX 管理的 VLAN 工作负载提供 NSX-T 服务(GFW 及其他)
  • 连接到 VLAN 分段
  • 在 Tier-0 和 Tier-1 上均受支持

下行链路接口:

  • 网关上的覆盖网络分段接口
  • 在 Tier-0 和 Tier-1 上均受支持
  • 不支持 GFW
网关防火墙主要用于以下两种场景,具体取决于工作负载如何连接到网络:
  • VLAN 连接的工作负载
  • NSX 网络覆盖网络分段连接的工作负载

这其中的每个场景都遵循略有不同的步骤来创建网络接口,如本部分中稍后所述。

3.1:为 VLAN 连接的工作负载创建 NSX-T 网关防火墙接口

您必须执行以下步骤来设置环境。

  1. NSX-T 中创建 VLAN 分段。
    1. NSX Manager 中,单击网络 > 分段 > 添加分段
    2. 提供以下信息。
      分段名称 输入分段的名称。例如,VLAN-100
      传输区域 为 VLAN 流量选择默认传输区域。例如,nsx-vlan-transportzone
      VLAN 输入 100
    3. 单击保存
  2. 在 Tier-0 或 Tier-1 网关上创建服务接口。
    1. NSX Manager 中,单击网络 > Tier-1 网关添加网关 > Tier-1
    2. 编辑创建的网关。例如,T1-gateway-1
    3. 服务接口下,单击设置
    4. 单击添加接口
    5. 提供以下信息。
      名称 输入接口的名称。例如,SI-VLAN-100
      IP 地址/掩码 输入一个 IP 地址。例如,192.168.50.12/24
      已连接到 (分段) 选择配置的分段。例如,VLAN-100
    6. 单击保存

    根据网络要求创建更多服务接口。

    在 Tier-0 上,您可以选择根据连接要求创建外部接口或服务接口。如果创建外部接口,则需要为属于 Edge 集群的每个 Edge 创建一个外部接口。

    在工作流中,选择要创建该接口的 Edge 节点以及提及的参数。

有关详细信息,请参见 NSX-T Data Center 管理指南

3.2:为覆盖网络工作负载创建 NSX-T 网关防火墙接口

执行以下步骤。
  1. 创建 Tier-1 网关。
    1. 单击网络 > Tier-1 网关 > 添加 Tier-1 网关
    2. 输入 Tier-1 网关的名称。例如,PROD-Tier1

      添加 Tier-1 网关

    3. 选择 Tier-0 网关以在 Tier-1 上创建上行链路。
    4. 选择用于实施网关服务的 Edge 集群。

      添加 Tier-1 网关后,添加数据

    5. 单击保存
  2. 此外,您还应创建一个覆盖网络分段以连接工作负载。这会在网关上创建一个下行链路接口,并且还会使 NSX 分段在 ESXi 上可用,以便与虚拟机建立网络连接。
    1. 单击网络 > 分段 > NSX > 添加分段

      添加分段

    2. 提供以下信息。
      名称 输入分段的名称。例如,LS1.1
      连接 选择配置的 Tier-1 网关。例如,T1-Tenant1
      传输区域 选择覆盖网络流量的默认传输区域。例如,nsx-overlay-transportzone
      子网 输入所需的子网。例如,10.x.x.1/24
    3. 单击保存
  3. 验证配置的覆盖网络分段在 vCenter Server 中是否可用。在 vCenter Server 中,转到主机和集群,然后验证已创建并连接到所配置的覆盖网络分段的虚拟机。

有关详细信息,请参见 NSX-T Data Center 安装指南