NSX Edge kann über ISO, OVA/OVF oder PXE-Start installiert werden. Stellen Sie unabhängig von der Installationsmethode sicher, dass das Hostnetzwerk vor der Installation von NSX Edge vorbereitet ist.

Übersicht über NSX Edge in einer Transportzone

NSX Edge-Knoten sind Dienst-Appliances mit Kapazitätspools, die für die Durchführung von Netzwerkdiensten reserviert sind und nicht an die Hypervisoren verteilt werden können. Edge-Knoten können bei der ersten Bereitstellung als leere Container betrachtet werden.

Abbildung 1. Übersicht über NSX Edge

Ein NSX Edge-Knoten ist die Appliance, die physische Netzwerkkarten für die Verbindung mit der physischen Infrastruktur bereitstellt. Zu diesen Funktionen zählen:

  • Konnektivität mit der physischen Infrastruktur

  • NAT

  • DHCP-Server

  • Metadaten-Proxy

  • Edge-Firewall

Wenn einer dieser Dienste konfiguriert ist oder wenn auf dem logischen Router ein Uplink definiert ist, um eine Verbindung mit der physischen Infrastruktur herzustellen, wird auf dem NSX Edge-Knoten ein SR instanziiert. Der NSX Edge-Knoten ist außerdem ein Transportknoten, wie die Computing-Knoten in NSX-T Data Center, und ähnlich wie Computing-Knoten kann sich NSX Edge mit mehr als einer Transportzone verbinden – eine für Overlay und weitere für Nord-Süd-Peering mit externen Geräten. Es gibt zwei Transportzonen in der NSX Edge:

Overlay-Transportzone – Jeder Datenverkehr, der von einer VM stammt, die an der NSX-T Data Center-Domäne teilnimmt, benötigt möglicherweise Erreichbarkeit von externen Geräten oder Netzwerken. Dies wird in der Regel als externer Nord-Süd-Datenverkehr bezeichnet. Der NSX Edge-Knoten ist zuständig für die Entkapselung des von Computing-Knoten empfangenen Overlay-Datenverkehrs sowie für die Kapselung des an Computing-Knoten gesendeten Datenverkehrs.

VLAN-Transportzone – Neben der Funktion zur Kapselung oder Entkapselung des Datenverkehrs benötigen NSX Edge-Knoten außerdem eine VLAN-Transportzone, um Uplink-Konnektivität zur physischen Infrastruktur bereitzustellen.

Standardmäßig verwenden die Links zwischen dem SR und dem DR das Subnetz 169.254.0.0/28. Diese routerübergreifenden Transit-Links werden automatisch erstellt, wenn Sie einen logischen Ebene-0- oder Ebene-1-Router bereitstellen. Sie müssen die Linkkonfiguration nur dann ändern, wenn das Subnetz 169.254.0.0/28 bereits in Ihrer Bereitstellung verwendet wird. Auf einem logischen Ebene-1-Router ist der SR nur vorhanden, wenn Sie beim Erstellen des logischen Ebene-1-Routers eine NSX Edge auswählen.

Der Standard-Adressbereich für die Verbindungen von Ebene-0 zu Ebene-1 lautet 100.64.0.0/10. Jede Tier-0-zu-Tier-1-Peer-Verbindung erhält ein /31-Subnetz innerhalb des 100.64.0.0/10-Adressraums. Dieser Link wird automatisch erstellt, wenn Sie einen Ebene-1-Router erstellen und mit einem Ebene-0-Router verbinden. Sie müssen die Schnittstellen auf diesem Link nur dann ändern, wenn das Subnetz 100.64.0.0/10 bereits in Ihrer Bereitstellung verwendet wird.

Jede NSX-T Data Center-Bereitstellung verfügt über einen Managementebenen-Cluster (Management Plane Cluster; MP) und einen Steuerungskomponentencluster (Control Plane Cluster; CCP). Der MP und der CCP geben Konfigurationen an die lokale Steuerungskomponente (LCP) jeder Transportzone weiter. Wenn ein Host oder NSX Edge der Managementebene beitritt, baut der Managementebenen-Agent (MPA) Konnektivität mit dem Host oder NSX Edge auf und der Host oder NSX Edge wird zu einem NSX-T Data Center-Fabric-Knoten. Wenn der Fabric-Knoten dann als Transportknoten hinzugefügt wird, wird LCP-Konnektivität mit dem Host oder NSX Edge aufgebaut.

Die Übersicht der NSX Edge-Abbildung zeigt ein Beispiel für zwei physikalische Netzwerkkarten (pNIC1 und pNIC2), die zur Gewährleistung hoher Verfügbarkeit verbunden sind. Der Datenpfad verwaltet die physischen Netzwerkkarten. Sie können entweder als VLAN-Uplinks zu einem externen Netzwerk oder als Tunnel-Endpoint-Links zu internen von NSX-T Data Center verwalteten VM-Netzwerken dienen.

Es wird empfohlen, mindestens zwei physische Links auf jeder NSX Edge zuzuteilen, die als virtuelle Maschine bereitgestellt wird. Optional können Sie die Portgruppen auf demselben pNIC mit unterschiedlichen VLAN-IDs überlappen. Der erste gefundene Netzwerklink wird für das Management verwendet. Beispiel: Bei einer NSX Edge-VM kann zuerst der Link vnic1 gefunden werden.

Bei einer Bare Metal-Installation kann der erste gefundene Link eth0 oder em0 sein. Die restlichen Links werden für die Uplinks und Tunnel verwendet. Einer davon könnte z. B. für einen Tunnel-Endpoint für von NSX-T Data Center verwaltete VMs dienen. Der andere könnte als TOR-Uplink von NSX Edge zu extern verwendet werden.

Sie können die Informationen zum physischen Link der NSX Edge anzeigen, indem Sie sich bei der CLI als Administrator anmelden und die Befehle get interfaces und get physical-ports ausführen. In der API können Sie den API-Aufruf GET fabric/nodes/<edge-node-id>/network/interfaces verwenden.

Unabhängig davon, ob Sie NSX Edge als VM-Appliance oder in einer Bare-Metal-Bereitstellung installieren, stehen Ihnen mehrere Optionen für die Netzwerkkonfiguration zur Verfügung, je nach Ihrer Bereitstellung.

Transportzonen und N-VDS

Transportzonen steuern die Reichweite von Layer 2-Netzwerken in NSX-T Data Center. N-VDS ist ein Software-Switch, der auf einem Transportknoten erstellt wird. Die primäre Komponente, die auf der Datenebene der Transportknoten beteiligt ist, ist der N-VDS. Der N-VDS leitet den Datenverkehr zwischen den Komponenten weiter, die auf dem Transportknoten ausgeführt werden; z. B. zwischen virtuellen Maschinen oder zwischen internen Komponenten und dem physischen Netzwerk. Im letzten Fall muss der N-VDS eine oder mehrere physische Schnittstellen (pNICs) auf dem Transportknoten besitzen. Wie andere virtuelle Switches kann ein N-VDS keine physische Schnittstelle mit einem anderen N-VDS gemeinsam nutzen. Er kann mit einem anderen N-VDS koexistieren, sofern ein separater Satz pNICs verwendet wird.

Es gibt zwei Arten von Transportzonen:

  • Overlay für internes NSX-T Data Center-Tunneling zwischen Transportknoten.

  • VLAN für Uplinks außerhalb von NSX-T Data Center.

Sie können dies tun, wenn Sie möchten, dass jeder NSX Edge nur einen N-VDS hat. Bei einer weiteren Designoption könnte der NSX Edge zu mehreren VLAN-Transportzonen gehören (einer für jeden Uplink).

Am häufigsten wird ein Design mit drei Transportzonen verwendet: eine Overlay- und zwei VLAN-Transportzonen für redundante Uplinks.

Weitere Informationen zu Transportzonen finden Sie unter Grundlegende Informationen zu Transportzonen.

NSX Edge-Networking über virtuelle Appliance/VM

Eine NSX Edge-VM hat vier interne Schnittstellen: eth0, fp-eth0, fp-eth1 und fp-eth2. Eth0 ist für die Verwaltung reserviert, während die restlichen Schnittstellen DPDK-FastPath zugewiesen sind. Diese Schnittstellen werden für Uplinks zu Top-of-Rack(ToR-)Switches und für NSX-T Data Center-Overlay-Tunneling zugeteilt. Die Zuweisung der Schnittstellen entweder für Uplink oder Overlay ist flexibel. Beispiel: fp-eth0 kann für den Overlay-Datenverkehr fp-eth1, fp-eth2 oder beide für Uplink-Datenverkehr zugewiesen werden.

Auf dem vSphere Distributed Switch oder dem vSphere Standard Switch müssen Sie der NSX Edge mindestens zwei vmnics zuteilen, um Redundanz zu erhalten.

Im folgenden Beispiel für eine physische Topologie werden eth0 für das Verwaltungsnetzwerk, fp-eth0 für den NSX-T Data Center-Overlay-Datenverkehr und fp-eth1 für den VLAN-Uplink verwendet. fp-eth2 wird nicht verwendet. Wenn fp-eth2 nicht verwendet wird, müssen Sie die Verbindung trennen.

Abbildung 2. Ein Vorschlag für die Linkeinrichtung zum NSX Edge-VM-Networking

Der in dieser Abbildung gezeigte NSX Edge gehört zu zwei Transportzonen (einer Overlay- und einer VLAN-Zone) und verfügt daher über zwei N-VDS: einen für Tunnel- und einen für Uplink-Datenverkehr.

Dieser Screenshot zeigt die Portgruppen der virtuellen Maschine, den nsx-Tunnel und den VLAN-Uplink.

Bei der Bereitstellung müssen Sie die Netzwerknamen angeben, die mit den in den VM-Portgruppen konfigurierten Namen übereinstimmen. Um beispielsweise die VM-Portgruppen des Beispiels abzugleichen, können Ihre Netzwerk-Ovftool-Einstellungen wie folgt aussehen, wenn Sie das Ovtool zur Bereitstellung von NSX Edge verwenden:

--net:"Network 0-Mgmt" --net:"Network 1-nsx-tunnel" --net:"Network 2=vlan-uplink"

Das hier gezeigte Beispiel verwendet die VM-Portgruppennamen Mgmt, nsx-tunnel und vlan-uplin. Sie können die VM-Portgruppen beliebig benennen.

Bei einem Standard-vSwitch konfigurieren Sie beispielsweise die Trunk-Ports wie folgt: Host > Konfiguration > Networking > Networking hinzufügen > Virtuelle Maschine > VLAN-ID Alle (4095).

Eine NSX Edge-VM kann auf dem vSphere Distributed Switch oder auf vSphere Standard Switches installiert werden.

Die NSX Edge-VM kann auf einem vorbereiteten NSX-T Data Center-Host installiert und als Transportknoten konfiguriert werden. Es gibt zwei Arten der Bereitstellung:

  • Die NSX Edge-VM kann über VSS/VDS-Portgruppen bereitgestellt werden, wobei VSS/VDS separate PNIC(s) auf dem Host verbrauchen. Der Hosttransportknoten nutzt separate PNIC(s) für den auf dem Host installierten N-VDS. Der N-VDS des Hosttransportknotens koexistiert mit einem VSS oder VDS, wobei beide separate PNICs nutzen. Der Host-TEP (Tunnelendpunkt) und der NSX Edge-TEP können im selben Subnetz oder in verschiedenen Subnetzen verfügbar sein.

  • Die NSX Edge-VM kann über VLAN-unterstützte logische Switches auf dem N-VDS des Host-Transportknotens bereitgestellt werden. Der Host TEP und der NSX Edge-TEP müssen sich in unterschiedlichen Subnetzen befinden.

Mehrere NSX Edge-VMs können auf einem einzigen Host installiert werden, der dieselben Verwaltungs-, VLAN-und Overlay-Portgruppen nutzt.

Für eine auf einem ESXi-Host mit dem vSphere anstelle von N-VDS bereitgestellte NSX Edge-VM müssen Sie wie folgt verfahren:

  • Aktivieren Sie die gefälschte Übertragung für den DHCP-Server, der auf dieser NSX Edge ausführt wird.

  • Aktivieren Sie den promiskuitiven Modus für die NSX Edge-VM, um unbekannte Unicast-Pakete zu empfangen, da MAC-Lernen standardmäßig deaktiviert ist. Für vDS 6.6 oder höhere Versionen ist dies nicht notwendig, da der MAC-Lernvorgang für diese Versionen standardmäßig aktiviert ist.

NSX Edge-Networking auf Bare-Metal-Bereitstellung

Die NSX-T Data Center Bare Metal-NSX Edge wird auf einem physischen Server ausgeführt und wird unter Verwendung einer ISO-Datei oder eines PXE-Startvorgangs installiert. Die Bare Metal-NSX Edge empfiehlt sich für Produktionsumgebungen, in denen neben der Layer-3-Unicast-Weiterleitung auch Dienste wie NAT, Firewall und Load Balancer benötigt werden. Eine Bare Metal-NSX Edge unterscheidet sich von der VM-Formfaktor-NSX Edge im Hinblick auf die Leistung. Sie bietet eine schnellere Konvergenz, ein schnelleres Failover und einen höheren Durchsatz.

Wenn ein Bare Metal-NSX Edge-Knoten installiert ist, wird eine dedizierte Schnittstelle für die Verwaltung beibehalten. Wenn Redundanz erwünscht wird, können zwei Netzwerkkarten für die Hochverfügbarkeit der Verwaltungsebene verwendet werden. Diese Verwaltungsschnittstellen können auch 1G sein.

Der Bare Metal-NSX Edge-Knoten unterstützt maximal 8 physische Netzwerkkarten für Overlay-Datenverkehr und Uplink-Datenverkehr zu den TOR-Switches. Für jede dieser 8 physischen Netzwerkkarten auf dem Server wird eine interne Schnittstelle mit einem Namen vom Typ „fp-ethX“ erstellt. Diese internen Schnittstellen werden DPDK-FastPath zugewiesen. Bei der Zuweisung von fp-eth-Schnittstellen für Overlay-oder Uplink-Konnektivität besteht vollständige Flexibilität.

In der folgenden physischen Beispieltopologie werden fp-eth0 und fp-eth1 für den NSX-T Data Center-Overlay-Tunnel verwendet. fp-eth2 und fp-eth3 werden als redundante VLAN-Uplinks zu TORs eingesetzt.

Abbildung 3. Ein Vorschlag für die Linkeinrichtung für Bare-Metal- NSX Edge-Networking