您必须先设置基础架构,然后再配置网关安全的环境。

1. 部署 NSX Edge 传输节点

您必须先部署 NSX Edge 传输节点。

前提条件

您已部署 NSX Manager 并配置了有效的许可证。

过程

  1. 从浏览器中,使用 admin 权限登录到 https://<nsx-manager-ip-address> 或 https://<nsx-manager-fqdn> 中的 NSX Manager
  2. 选择系统 > Fabric > 节点 > Edge 传输节点 > 添加 Edge 节点

    添加 Edge 传输节点

  3. 键入 NSX Edge 的名称。
  4. subdomain.example.com 格式键入主机名或 FQDN。
  5. NSX Edge 虚拟机设备选择规格。
  6. 要自定义分配给 NSX Edge 虚拟机设备的 CPU 和内存,请调整以下参数。但是,要获得最佳性能,必须为 NSX Edge 虚拟机设备分配 100% 的可用资源。
    小心: 如果您自定义分配给 NSX Edge 虚拟机的资源,请稍后将该预留恢复到 100%,以获得最大性能。
    选项 描述
    内存预留 (%)

    预留百分比是指相对于规格中预定义值的百分比。

    100 表示为 NSX Edge 虚拟机预留 100% 的内存。
    如果输入 50,则表示为 Edge 传输节点预留 50% 的已分配内存。
    注: 如果要在 UPT 模式下使用 NSX Edge 虚拟机数据路径接口,请为 NSX Edge 传输节点预留 100% 的已分配内存。
    CPU 预留优先级 选择要分配给 NSX Edge 虚拟机的份额数(相对于争用共享资源的其他虚拟机)。
    以下份额适用于中型规格的 NSX Edge 虚拟机:
    • 低 - 2000 份额
    • 正常 - 4000 份额
    • 高 - 8000 份额
    • 超高 - 10000 份额
    CPU 预留 (MHz)
    小心: 除非您需要对 CPU 预留进行精细控制,否则请不要使用此字段。相反,可以通过 CPU 预留优先级字段更改 CPU 预留值。

    最大 CPU 预留值不得超过 vCPU 数量与物理 CPU 内核正常 CPU 运行速率的乘积。

    如果输入的 MHz 值超出物理 CPU 内核的最大 CPU 容量,则即使已接受分配,NSX Edge 虚拟机也可能无法启动。

    例如,假设系统具有两个 Intel Xeon E5-2630 CPU。每个 CPU 包含十个以 2.20 GHz 运行的内核。那么配置有两个 vCPU 的虚拟机的最大 CPU 分配为 2 x 2200 MHz = 4400 MHz。如果将 CPU 预留指定为 8000 MHz,则虚拟机的重新配置将成功完成。但是,虚拟机无法打开电源。
  7. 在“凭据”窗口中,输入以下详细信息。
    • NSX Edge 指定 CLI 和 root 密码。您的密码必须符合密码强度限制。
      • 至少 12 个字符
      • 至少一个小写字母
      • 至少一个大写字母
      • 至少一个数字
      • 至少一个特殊字符
      • 至少 5 个不同的字符
      • 没有字典词语
      • 没有回文
      • 不允许使用超过四个单调字符的序列
    • 要为管理员启用 SSH,请切换允许 SSH 登录按钮。
    • 要为 root 用户启用 SSH,请切换允许 Root SSH 登录按钮。
    • 输入 audit 角色的凭据。如果未在 audit 凭据部分中输入凭据,则 audit 角色将保持禁用状态。
      注: 在部署 NSX Edge 节点后,您无法更改在部署期间设置的 root 用户的 SSH 设置。例如,如果您在部署期间为 root 用户禁用了 SSH,则无法启用 SSH。
  8. 输入 NSX Edge 详细信息。
    选项 描述
    计算管理器 从下拉菜单中选择计算管理器。

    计算管理器是在管理平面中注册的 。

    集群 从下拉菜单中指定 NSX Edge 要加入的集群。
    资源池或主机 从下拉菜单中为 NSX Edge 分配资源池或特定主机。
    数据存储 从下拉菜单中选择 NSX Edge 文件的数据存储。
  9. 输入 NSX Edge 管理接口详细信息。
    选项 描述
    管理 IP 分配

    这将指定用于分配给 NSX Edge 节点的 IP 地址的 IP 版本,与 NSX ManagerNSX Controller 通信时需要使用该 IP 地址。

    选择仅 IPv4IPv4 和 IPv6

    • 如果选择仅 IPv4,请选择 DHCP静态 IP

      如果选择 静态,请输入以下值:
      • 管理 IP:以 CIDR 表示法输入 NSX Edge 的 IP 地址。
      • 默认网关:输入 NSX Edge 的网关 IP 地址。
    • 如果选择 IPv4 和 IPv6,请输入以下值:
      • 管理 IP:以 CIDR 表示法输入 NSX Edge 的 IP 地址。
      • 默认网关:输入 NSX Edge 的网关 IP 地址。
    管理接口 从下拉菜单中,选择连接到 NSX Edge 管理网络的接口。此接口必须可从 NSX Manager 访问,或者必须与 NSX ManagerNSX Controller 位于同一管理接口中。

    NSX Edge 管理接口会与 NSX Manager 管理接口建立通信。

    NSX Edge 管理接口连接到分布式端口组或分段。
    搜索域名 以“example.com”格式输入域名或输入一个 IP 地址。
    DNS 服务器 输入 DNS 服务器的 IP 地址。
    NTP 服务器 输入 NTP 服务器的 IP 地址或 FQDN。

    为数据路径接口启用 UPT 模式

    		 NSX Edge 数据路径接口上启用统一直通 (UPT) 模式以便对虚拟网络适配器进行直接 I/O 访问或直通。它提高了 NSX Edge 节点的整体性能。
    启用此字段之前,请确保:
    • NSX Edge 硬件版本为 20(或 vmx-20)或更高版本。早期的硬件版本不支持 UPT 模式。
    • ESXi 主机版本必须为 8.0 或更高版本。
    小心: 要使 UPT 设置在 NSX Edge 虚拟机虚拟网络适配器上生效, NSX Manager 会将 NSX Edge 虚拟机置于维护模式,关闭其电源,然后重新打开电源。
  10. 输入 N-VDS 信息。

    在配置 NSX Edge 节点的 vNIC 之前,请考虑以下几点:

    N-VDS 交换机托管在具有四个快速路径 vNIC 和一个管理 vNIC 的 Edge 节点虚拟机内。

    • 一个 vNIC 专用于管理流量。
    • 一个 vNIC 专用于覆盖网络流量(fp-eth0 DPDK 快速路径接口)。
    • 两个 vNIC 专用于外部流量(fp-eth1、fp-eth2 DPDK 快速路径接口)。
    选项 描述
    Edge 交换机名称 输入交换机的名称或保留默认名称。
    传输区域 选择该传输节点所属的传输区域。NSX Edge 传输节点属于至少两个传输区域:用于 NSX 连接的覆盖网络以及用于上行链路连接的 VLAN。
    注: 满足以下必备条件时, NSX Edge 节点支持多个覆盖网络隧道(多 TEP):
    • 必须仅在一个 N-VDS 上进行 TEP 配置。
    • 所有 TEP 必须对覆盖网络流量使用相同的传输 VLAN。
    • 所有 TEP IP 必须位于同一子网中,并使用相同的默认网关。
    上行链路配置文件 从下拉菜单中选择上行链路配置文件。可用的上行链路取决于选定的上行链路配置文件中的配置。
    注: NSX Edge 节点仅支持采用“故障切换”绑定策略(有单个活动上行链路且无备用上行链路)和 Loadbalancer 源绑定策略(有多个活动上行链路)的上行链路配置文件。
    IP 地址类型 (TEP) 选择要用于隧道端点 (TEP) 的 IP 版本。选项包括 IPv4IPv6
    重要说明: 确保传输节点转发模式与 TEP IP 地址类型相同。例如,如果传输节点转发模式设置为 IPv6,请将 TEP IP 地址类型也设置为 IPv6。如果这两者不同,可能会导致流量丢失。
    IPv4 分配 (TEP)

    IP 地址类型 (TEP) 设置为 IPv4 时,将显示此字段。

    选择如何将 IPv4 地址分配给配置的 NSX Edge 交换机。它用作 NSX Edge 的隧道端点。选项包括:

    • 使用 IP 池:选择 IPv4 池。
    • 使用静态 IPv4 列表:指定以下字段:
      • 静态 IP 列表:输入由 NSX Edge 使用且以逗号分隔的 IPv4 地址列表。
      • IPv4 网关:输入 TEP 的默认网关,该网关用于将数据包路由到另一个网络中的另一个 TEP。例如,ESXi TEP 属于 20.20.20.0/24,NSX Edge TEP 属于 10.10.10.0/24,那么我们将使用默认网关在这些网络之间路由数据包。
      • IPv4 子网掩码:输入在 NSX Edge 上使用的 TEP 网络的子网掩码。
    IPv6 分配 (TEP)

    IP 地址类型 (TEP) 设置为 IPv6 时,将显示此字段。

    选择如何将 IPv6 地址分配给配置的 NSX Edge 交换机。它用作 NSX Edge 的隧道端点。选项包括:

    • 使用 IP 池:选择 IPv4 池。
    • 使用静态 IPv6 列表:指定以下字段:
      • 静态 IP 列表:输入由 NSX Edge 使用且以逗号分隔的 IPv4 地址列表。
      • IPv6 网关:输入 TEP 的默认网关,该网关用于将数据包路由到另一个网络中的另一个 TEP。
      • IPv6 子网掩码:输入在 NSX Edge 上使用的 TEP 网络的子网掩码。
    DPDK 快速路径接口/虚拟网卡

    将上行链路映射到 DPDK 快速路径接口。

    NSX 版本 2.5 开始,建议对裸机和 NSX Edge 虚拟机使用单个 N-VDS 部署模式。请参见

    NSX 4.0.1 开始,您可以将上行链路映射到启用 smartNIC 的 DVPG、VLAN 逻辑交换机或分段支持的 DPDK 快速路径接口。必备条件是在 NSX Edge 虚拟机虚拟网络适配器上启用 UPT 模式。UPT 模式要求至少有一个 DPDK 接口受启用 smartNIC 的硬件(也称为支持数据处理单元 (DPU) 的网络)支持。

    注: 如果应用到 NSX Edge 节点的上行链路配置文件使用指定绑定策略,请确保满足以下条件:
    • 默认绑定策略中的所有上行链路都必须映射到 Edge 虚拟机上的相应物理网络接口,这样流量才能流过使用指定绑定策略的逻辑交换机。请参见

    您最多可以在一个 NSX Edge 虚拟机上将四个唯一的数据路径接口配置为上行链路。

    在将上行链路映射到 DPDK 快速路径接口时,如果 NSX Edge 未显示所有可用接口(总共四个),则意味着尚未向 NSX Edge 虚拟机添加额外接口,或者上行链路配置文件具有较少数量的上行链路。

    对于从 NSX 早期版本升级到 3.2.1 或更高版本的 NSX Edge 虚拟机,请调用重新部署 API 以重新部署 NSX Edge 虚拟机。调用重新部署 API 可确保部署的 NSX Edge 虚拟机能够识别 NSX Manager UI 中的所有可用数据路径接口。确保上行链路配置文件已正确配置为使用额外的数据路径网卡。

    有关配置 NSX Edge DPDK 快速路径接口的详细信息,请参见

    • 对于自动部署的 NSX Edge(通过 NSX Manager UI 或 API 部署的 Edge 节点),请调用重新部署 API。以下 API 已弃用。
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • 对于手动部署的 Edge(从 VMware vCenter UI 使用 OVA/OVF 文件或通过 API 部署的 Edge),请部署新的 NSX Edge 虚拟机。请确保也为该新的 NSX Edge 虚拟机执行旧 NSX Edge 虚拟机的所有 vmx 自定义。

    如果创建具有多个 vNIC 且使用较大环形缓冲区的大型虚拟机,在 NSX Edge 虚拟机上执行 vMotion 可能会导致 ESXi 耗尽共享缓冲池中的资源。要增加共享缓冲区的深度,请在 ESXi 中修改 ShareCOSBufSize 参数。要配置缓冲区大小,请参见https://kb.vmware.com/s/article/76387
    注:
    • NSX Edge 虚拟机设备不支持 LLDP 配置文件。
    • 如果使用 NSX Manager 或在裸机服务器上安装 NSX Edge,那么上行链路接口将显示为 DPDK 快速路径接口
    • 如果使用 vCenter Server 手动安装 NSX Edge,那么上行链路接口将显示为虚拟网卡
  11. 传输节点页面上查看连接状态。
    NSX Edge 添加为传输节点后, Edge 传输节点页面将在大约 10 到 12 分钟后,显示配置状态为 成功且节点状态为 开启

1.1:置备 NSX Edge 集群

为了实现高可用性,Edge 集群中应有两个 Edge 节点。

过程

  1. 添加 Edge 集群。转到系统 > Fabric > 节点 > Edge 集群,然后单击添加 Edge 集群
  2. 名称文本框中,输入 Edge 集群的名称。例如,Edge-cluster-1
  3. 将创建的 Edge 节点 (Edge-1) 从可用移动到选定窗口,然后单击添加

2. 创建 Tier-0 或 Tier-1 网关

根据您的用例,创建 Tier-1 或 Tier-0 网关。

过程

  1. 要添加网关,请执行以下操作:
    • 添加 Tier-0 网关:在 NSX Manager UI 中,单击网络 > Tier-0 网关 > 添加网关 > Tier-0

      添加 Tier-0 网关

    • 添加 Tier-1 网关:在 NSX Manager UI 中,单击网络 > Tier-1 网关 > 添加网关 > Tier-1
  2. 提供以下信息。
    名称 输入网关的名称。例如,T0-gateway-1
    Edge 集群 选择创建的 Edge 集群。例如,Edge-cluster-1
  3. 单击保存

    有关更多详细信息,请参见NSX 管理指南

3. 在 Tier-0 或 Tier-1 网关上创建接口

NSX 网关具有不同的接口类型。根据网络拓扑,您可以选择连接到网络所需的接口,并为通过网关的流量提供防火墙。

显示 NSX 网关的不同接口类型的图。

Tier-0 外部接口:

  • 连接到物理路由器以进行外部连接
  • 您可以在 Tier-0 网关上的 VLAN 分段上创建此接口

Tier-1 上行链路接口:

  • 连接到 gier-0
  • 在 Tier-1 连接到 Tier-0 时,系统会创建此接口

服务接口:

  • 用于向非 NSX 管理的 VLAN 工作负载提供 NSX 服务(GFW 及其他)
  • 连接到 VLAN 分段
  • 在 Tier-0 和 Tier-1 上均受支持

下行链路接口:

  • 网关上的覆盖网络分段接口
  • 在 Tier-0 和 Tier-1 上均受支持
  • 不支持 GFW
网关防火墙主要用于以下两种场景,具体取决于工作负载如何连接到网络:
  • VLAN 连接的工作负载
  • NSX 网络覆盖网络分段连接的工作负载

这其中的每个场景都遵循略有不同的步骤来创建网络接口,如本部分中稍后所述。

3.1:为 VLAN 连接的工作负载创建 NSX 网关防火墙接口

您必须执行以下步骤来设置环境。

  1. NSX 中创建 VLAN 分段。
    1. NSX Manager 中,单击网络 > 分段 > 添加分段
    2. 提供以下信息。
      分段名称 输入分段的名称。例如,VLAN-100
      传输区域 为 VLAN 流量选择默认传输区域。例如,nsx-vlan-transportzone
      VLAN 输入 100
    3. 单击保存
  2. 在 Tier-0 或 Tier-1 网关上创建服务接口。
    1. NSX Manager 中,单击网络 > Tier-1 网关添加网关 > Tier-1
    2. 编辑创建的网关。例如,T1-gateway-1
    3. 服务接口下,单击设置
    4. 单击添加接口
    5. 提供以下信息。
      名称 输入接口的名称。例如,SI-VLAN-100
      IP 地址/掩码 输入一个 IP 地址。例如,192.168.50.12/24
      已连接到 (分段) 选择配置的分段。例如,VLAN-100
    6. 单击保存

    根据网络要求创建更多服务接口。

    在 Tier-0 上,您可以选择根据连接要求创建外部接口或服务接口。如果创建外部接口,则需要为属于 Edge 集群的每个 Edge 创建一个外部接口。

    在工作流中,选择要创建该接口的 Edge 节点以及提及的参数。

有关详细信息,请参见NSX 管理指南

3.2:为覆盖网络工作负载创建 NSX 网关防火墙接口

执行以下步骤。
  1. 创建 Tier-1 网关。
    1. 单击网络 > Tier-1 网关 > 添加 Tier-1 网关
    2. 输入 Tier-1 网关的名称。例如,PROD-Tier1

      添加 Tier-1 网关

    3. 选择 Tier-0 网关以在 Tier-1 上创建上行链路。
    4. 选择用于实施网关服务的 Edge 集群。

      添加 Tier-1 网关后,添加数据

    5. 单击保存
  2. 此外,您还应创建一个覆盖网络分段以连接工作负载。这会在网关上创建一个下行链路接口,并且还会使 NSX 分段在 ESXi 上可用,以便与虚拟机建立网络连接。
    1. 单击网络 > 分段 > NSX > 添加分段

      添加分段

    2. 提供以下信息。
      名称 输入分段的名称。例如,LS1.1
      连接 选择配置的 Tier-1 网关。例如,T1-Tenant1
      传输区域 选择覆盖网络流量的默认传输区域。例如,nsx-overlay-transportzone
      子网 输入所需的子网。例如,10.x.x.1/24
    3. 单击保存
  3. 验证配置的覆盖网络分段在 VMware vCenter 中是否可用。在 VMware vCenter 中,转到主机和集群,然后验证已创建并连接到所配置的覆盖网络分段的虚拟机。

有关详细信息,请参见NSX 安装指南