您可以在一个数据中心中安装多个 NSX Edge 服务网关虚拟设备。每个 NSX Edge 虚拟设备总共可以有十个上行链路和内部网络接口。内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关。分配给内部接口的子网可以是公开路由的 IP 地址空间,或者是采用 NAT/路由的 RFC 1918 专用空间。会对接口之间的流量实施防火墙规则和其他 NSX Edge 服务。

关于此任务

ESG 的上行链路接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层网络连接功能的服务。

以下列表介绍了 ESG 上的接口类型(内部和上行链路)支持的功能。

  • DHCP:上行链路接口不支持。

  • DNS 转发器:上行链路接口不支持。

  • HA:上行链路接口不支持,至少需要一个内部接口。

  • SSL VPN:侦听器 IP 必须属于上行链路接口。

  • IPSec VPN:本地站点 IP 必须属于上行链路接口。

  • L2 VPN:仅可延伸内部网络。

下图显示了一个拓扑示例,其中 ESG 的上行链路接口通过 vSphere Distributed Switch 连接到物理基础架构,ESG 的内部接口通过 NSX 逻辑转换交换机连接到 NSX 逻辑路由器。

可以为负载平衡、点对点 VPN 和 NAT 服务配置多个外部 IP 地址。

先决条件

您必须已获得企业管理员或 NSX 管理员角色。

验证资源池是否具有足够的容量用于部署 Edge 服务网关 (ESG) 虚拟设备。请参见NSX 的系统要求

过程

  1. 在 vCenter 中,导航到主页 > 网络和安全 > NSX Edge (Home > Networking & Security > NSX Edges),然后单击添加 (Add) (添加) 图标。
  2. 选择 Edge 服务网关 (Edge Services Gateway),然后键入设备的名称。

    该名称会显示在 vCenter 清单中。该名称在单个租户内的所有 ESG 中都应唯一。

    此外,还可以输入主机名。该名称会显示在 CLI 中。如果未指定主机名,则 CLI 中将显示自动创建的 Edge ID。

    此外,还可以输入描述和租户,并启用高可用性。

    例如:

  3. 键入 ESG 的密码,然后重新键入一次。

    该密码必须至少为 12 个字符,且必须遵循以下 4 个规则中的 3 个:

    • 至少一个大写字母

    • 至少一个小写字母

    • 至少一个数字

    • 至少一个特殊字符

  4. (可选) 启用 SSH、高可用性和自动规则生成,并设置日志级别。

    如果不启用自动规则生成,则必须手动添加防火墙、NAT 和路由配置,以便控制某些 NSX Edge 服务(包括负载平衡和 VPN)的流量。自动规则生成不会为数据通道流量创建规则。

    默认情况下,SSH 和高可用性处于禁用状态,而自动规则生成处于启用状态。默认情况下,日志级别为紧急。

    默认情况下,将在所有新的 NSX Edge 设备上启用日志记录。默认日志记录级别为“通知”。

    例如:

  5. 基于系统资源选择 NSX Edge 实例的大小。

    中型 (Large) NSX Edge 的 CPU、内存和磁盘空间量高于精简 (Compact) NSX Edge,并且支持的并发 SSL VPN-Plus 用户数更多。超大型 (X-Large) NSX Edge 适合具有负载平衡器以及数百万个并发会话的环境。大型的 NSX Edge 推荐用于高吞吐量和高连接速率要求的环境。

    请参见NSX 的系统要求

  6. 创建一个 Edge 设备。

    输入将添加到 vCenter 清单的 ESG 虚拟设备的设置。如果安装 NSX Edge 时未添加设备,NSX Edge 将保持脱机模式,直到您添加设备为止。

    如果已启用 HA,则可以添加两个设备。如果添加一个设备,NSX Edge 会为备用设备复制其配置,并确保即使在您使用 DRS 和 vMotion 之后,两个 HA NSX Edge 虚拟机也不在同一个 ESX 主机上(除非以手动方式通过 vMotion 将二者移至同一个主机)。要使 HA 正常工作,必须将两个设备部署在共享数据存储上。

    例如:

  7. 选择部署 NSX Edge (Deploy NSX Edge),以便添加处于已部署模式的 Edge。必须先为 Edge 配置设备和接口,然后才能对其进行部署。
  8. 配置接口。

    在 ESG 上,同时支持 IPv4 地址和 IPv6 地址。

    您必须至少添加一个内部接口才能使 HA 工作。

    一个接口可以具有多个非重叠的子网。

    如果为一个接口输入多个 IP 地址,则可以选择主 IP 地址。一个接口可以具有一个主 IP 地址和多个辅助 IP 地址。NSX Edge 将主 IP 地址视为本地生成流量(例如,远程 syslog 和操作员启动的 ping)的源地址。

    必须将 IP 地址添加到接口,才能在所有功能配置中使用该地址。

    此外,还可以输入接口的 MAC 地址。

    如果已启用 HA,可以采用 CIDR 格式输入两个管理 IP 地址。两个 NSX Edge HA 虚拟机的检测信号通过这些管理 IP 地址进行通信。管理 IP 地址必须在同一 L2/子网中,并且能够彼此通信。

    此外,还可以修改 MTU。

    如果要允许 ESG 响应面向其他计算机的 ARP 请求,请启用代理 ARP。例如,当在 WAN 连接的两端具有相同子网时,这会非常有用。

    启用 ICMP 重定向,以将路由信息传输给主机。

    启用反向路径筛选器,以验证正转发的数据包中源地址的可访问性。在启用模式下,必须在路由器将用来转发返回数据包的接口上接收数据包。在宽松模式下,源地址必须显示在路由表中。

    如果要在不同的受防护环境之间重用 IP 和 MAC 地址,请配置防护参数。例如,在 Cloud Management Platform (CMP) 中,通过防护可以同时运行多个具有相同 IP 和 MAC 地址且完全隔离或“受防护”的云实例。

    例如:

    以下示例显示了两个接口,一个接口通过 vSphere Distributed Switch 上的上行链路端口组将 ESG 连接到外界,另一个接口将 ESG 连接到同时连接分布式逻辑路由器的逻辑转换交换机。

  9. 配置默认网关。

    您可以编辑 MTU 值,但其不能超过接口上配置的 MTU 值。

    例如:

  10. 配置防火墙策略、日志记录和 HA 参数。
    警告:

    如果您未配置防火墙策略,则默认策略将设置为拒绝所有流量。

    默认情况下,将在所有新的 NSX Edge 设备上启用日志。默认日志记录级别为“通知”。如果将日志本地存储在 ESG 上,则日志记录可能会生成过多日志,并影响 NSX Edge 的性能。因此,建议您配置远程 syslog 服务器,并将所有日志转发到集中式收集器以进行分析和监控。

    如果已启用高可用性,请完成 HA 部分。默认情况下,HA 会自动选择内部接口,并自动分配本地链接 IP 地址。NSX Edge 支持两个虚拟机实现高可用性,这两个虚拟机都保持最新的用户配置。如果主虚拟机上出现检测信号故障,则辅助虚拟机状态将变为活动。因此,网络上始终有一个 NSX Edge 虚拟机处于活动状态。NSX Edge 会为备用设备复制主设备的配置,并确保即使在您使用 DRS 和 vMotion 之后,两个 HA NSX Edge 虚拟机也不在同一个 ESX 主机上。两个虚拟机都在 vCenter 上部署,与您配置的设备处于同一资源池和数据存储中。系统会为 NSX Edge HA 中的 HA 虚拟机分配本地链接 IP 地址,以便它们彼此进行通信。选择要为其配置 HA 参数的内部接口。如果为接口选择“任意”,但未配置任何内部接口,则 UI 不会显示错误。将创建两个 Edge 设备,但由于未配置任何内部接口,新的 Edge 将保持备用状态且会禁用 HA。配置内部接口后,便会在该 Edge 设备上启用 HA。以秒为单位键入时间段,如果备用设备在该时间段内未从主设备收到检测信号,则主设备将被视为不活动,并被该备用设备取代。默认时间间隔为 15 秒。此外,还可以采用 CIDR 格式输入两个管理 IP 地址,以替代分配给 HA 虚拟机的本地链接 IP 地址。确保管理 IP 地址不与用于任何其他接口的 IP 地址重叠,并且不干扰流量路由。不得使用网络上其他地方存在的 IP 地址,即使该网络未直接连接到 NSX Edge 也是如此。

    例如:

结果

部署 ESG 之后,转到“主机和群集”视图,并打开 Edge 虚拟设备的控制台。从控制台中,确保可以 ping 已连接的接口。

下一步做什么

在第一次部署 NSX Edge 设备的主机上,NSX 会启用自动虚拟机启动/关机。如果设备虚拟机后来被迁移到其他主机,则新的主机可能不会启用自动虚拟机启动/关机。因此,VMware 建议您检查群集中的所有主机,以确保启用了自动虚拟机启动/关机。请参见 http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html

现在,便可配置路由以允许外部设备到虚拟机的连接。