可以安装 NSX Edge 作为 Edge 服务网关 (ESG) 或分布式逻辑路由器 (DLR)。每个主机上的 Edge 设备数量(包括 ESG 和 DLR)限制为 250 个。

Edge 服务网关

通过 ESG,您可以访问所有 NSX Edge 服务,例如防火墙、NAT、DHCP、VPN、负载平衡和高可用性。您可以在数据中心中安装多个 ESG 虚拟设备。每个 ESG 虚拟设备总共可以拥有十个上行链路和内部网络接口。借助中继,一个 ESG 最多可以拥有 200 个子接口。内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关。分配给内部接口的子网可以是公开路由的 IP 空间,也可以是采用 NAT/路由的 RFC 1918 专用空间。对网络接口之间的流量会实施防火墙规则和其他 NSX Edge 服务。

ESG 的上行链路接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层网络连接功能的服务。可以为负载平衡器、点对点 VPN 和 NAT 服务配置多个外部 IP 地址。

分布式逻辑路由器

DLR 提供东西向分布式路由,可实现租户 IP 地址空间和数据路径隔离。位于不同子网中同一台主机上的虚拟机或工作负载可以彼此通信,而无需遍历传统的路由接口。

逻辑路由器可以有八个上行链路接口和多达一千个内部接口。DLR 上的上行链路接口通常与 ESG 建立对等关系,DLR 与 ESG 之间存在第 2 层逻辑转换交换机。DLR 上的内部接口与 ESX 管理程序上托管的虚拟机建立对等关系,虚拟机与 DLR 之间存在逻辑交换机。

DLR 有两个主要组件:

  • DLR 控制层面由 DLR 虚拟设备提供(也称为控制虚拟机):此虚拟机支持动态路由协议(BGP 和 OSPF),与下一个第 3 层跃点设备(通常为 Edge 服务网关)交换路由更新,并与 NSX Manager 和 NSX Controller 群集进行通信。通过活动-待机配置支持 DLR 虚拟设备的高可用性:当您创建启用了 HA 的 DLR 时,系统将提供一对在活动/待机模式下运行的虚拟机。

  • 在数据层面级别,属于 NSX 域中的 ESXi 主机上安装有 DLR 内核模块 (VIB)。内核模块类似于支持第 3 层路由的模块化机架中的线路卡。内核模块具有通过控制器群集推送的路由信息库 (RIB)(也称为路由表)。路由查找、ARP 条目查找的数据层面功能均由内核模块执行。内核模块配有逻辑接口(称为 LIF),可连接到不同的逻辑交换机以及任意 VLAN 支持的端口组。每个 LIF 都分配有一个 IP 地址(代表其所连接的逻辑 L2 分段的默认 IP 网关)和一个 vMAC 地址。IP 地址对每个 LIF 而言是唯一的,而为所有已定义的 LIF 分配的 vMAC 都相同。

图 1. 逻辑路由组件
  1. DLR 实例已利用 OSPF 或 BGP 从 NSX Manager UI(或通过 API 调用)创建,并且路由已启用。

  2. NSX Controller 利用控制层面和 ESXi 主机推送新的 DLR 配置(包括 LIF 及其关联的 IP 和 vMAC 地址)。

  3. 如果假定在下一个跃点设备(在本例中为 NSX Edge [ESG])上也启用路由协议,则会在 ESG 与 DLR 控制虚拟机之间建立 OSPF 或 BGP 对等互连。ESG 和 DLR 就可以交换路由信息:

    • DLR 控制虚拟机可以配置为将所有已连接逻辑网络的 IP 前缀(在本例中为 172.16.10.0/24 和 172.16.20.0/24)重新分发到 OSPF 中。结果是其将这些路由播发推送到 NSX Edge 中。注意,这些前缀的下一跃点不是分配给控制虚拟机的 IP 地址 (192.168.10.3),而是标识 DLR 的数据层面组件的 IP 地址 (192.168.10.2)。前者称为 DLR“协议地址”,而后者是“转发地址”。

    • NSX Edge 将前缀推送到控制虚拟机,以访问外部网络中的 IP 网络。在大多数情况下,NSX Edge 很有可能发送一个默认路由,因为该路由代表面向物理网络基础架构的单个退出点。

  4. DLR 控制虚拟机将从 NSX Edge 获知的 IP 路由推送到控制器群集中。

  5. 控制器群集负责在虚拟化管理程序之间分发从 DLR 控制虚拟机获知的路由。群集中的每个控制器节点负责为特殊的逻辑路由器实例分发信息。在部署了多个逻辑路由器实例的部署中,负载跨多个控制器节点分布。单独的逻辑路由器实例通常与每个部署的租户关联。

  6. 主机上的 DLR 路由内核模块处理数据路径流量,以通过 NSX Edge 与外部网络通信。