Sie müssen zuerst Ihre Infrastruktur und dann Ihre Umgebung für Gateway-Sicherheit konfigurieren.

1. Bereitstellen eines NSX Edge-Transportknotens

Sie müssen zuerst den NSX Edge-Transportknoten bereitstellen.

Voraussetzungen

Sie haben NSX Manager bereitgestellt und die gültigen Lizenzen konfiguriert.

Prozedur

  1. Melden Sie sich in einem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie System > Fabric > Knoten > Edge-Transportknoten > Edge Node hinzufügen aus.

    Edge-Transportknoten hinzufügen

  3. Geben Sie einen Namen für NSX Edge ein.
  4. Geben Sie den Hostnamen oder FQDN von vCenter Server ein.
  5. Wählen Sie den Formfaktor für die NSX Edge-VM-Appliance aus.
  6. Um die CPU und den Arbeitsspeicher anzupassen, die einer NSX Edge-VM-Appliance zugewiesen sind, stimmen Sie die folgenden Parameter ab. Für eine maximale Leistung müssen der NSX Edge-VM-Appliance jedoch 100 % der verfügbaren Ressourcen zugewiesen werden.
    Vorsicht: Wenn Sie die der NSX Edge-VM zugewiesenen Ressourcen anpassen, setzen Sie die Reservierung später auf 100 % zurück, um die maximale Leistung zu erreichen.
    Option Beschreibung
    Arbeitsspeicherreservierung (%)

    Der Prozentsatz der Reservierung ist relativ zum vordefinierten Wert im Formfaktor.

    100 gibt an, dass 100 % des Speichers für die NSX Edge-VM reserviert sind.

    Wenn Sie 50 eingeben, bedeutet dies, dass 50 % des zugewiesenen Speichers für den Edge-Transport-Client reserviert werden.
    CPU-Reservierungspriorität Wählen Sie die Anzahl der Anteile aus, die einer NSX Edge-VM im Vergleich zu anderen VMs zugeteilt werden sollen, die um gemeinsam genutzte Ressourcen konkurrieren.
    Die folgenden Anteile gelten für eine NSX Edge-VM mit mittlerem Formfaktor:
    • Gering – 2000 Anteile
    • Normal – 4000 Anteile
    • Hoch – 8000 Anteile
    • Besonders hoch – 10.000 Anteile
    CPU-Reservierung (MHz)
    Vorsicht: Verwenden Sie dieses Feld nicht, sofern Sie nicht die genaue Kontrolle über die CPU-Reservierungen benötigen. Ändern Sie stattdessen die CPU-Reservierungen über das Feld CPU-Reservierungspriorität.

    Der maximale Wert für die CPU-Reservierung darf die Anzahl der vCPUs multipliziert mit der normalen CPU-Arbeitsgeschwindigkeit des physischen CPU-Kerns nicht überschreiten.

    Wenn der eingegebene MHz-Wert die maximale CPU-Kapazität der physischen CPU-Kerne überschreitet, kann die NSX Edge-VM möglicherweise nicht gestartet werden, obwohl die Zuteilung akzeptiert wurde.

    Erwägen Sie beispielsweise ein System mit zwei Intel Xeon E5-2630-CPUs. Jede CPU enthält zehn Kerne, die mit 2,20 GHz betrieben werden. Die maximale CPU-Zuteilung für eine VM, die mit zwei vCPUs konfiguriert ist, beträgt 2 x 2200 MHz = 4400 MHz. Wenn für die CPU-Reservierung 8000 MHz angegeben wurde, wird die Neukonfiguration der VM erfolgreich abgeschlossen. Allerdings kann die VM nicht eingeschaltet werden.
  7. Geben Sie im Fenster für die Anmeldeinformationen die folgenden Details ein.
    • Geben Sie die Befehlszeilenschnittstelle (CLI) und die Root-Kennwörter für den NSX Edge an. Ihre Kennwörter müssen den Einschränkungen zur Kennwortkomplexität entsprechen.
      • mindestens 12 Zeichen
      • mindestens ein Kleinbuchstabe
      • mindestens ein Großbuchstabe
      • mindestens eine Zahl
      • mindestens ein Sonderzeichen
      • mindestens fünf unterschiedliche Zeichen
      • keine Wörterbuchwörter
      • keine Palindrome
      • mehr als vier monotone Zeichenfolgen ist nicht zulässig
    • Wenn Sie SSH für einen Administrator aktivieren möchten, klicken Sie auf die Schaltfläche SSH-Anmeldung zulassen.
    • Wenn Sie SSH für einen Root-Benutzer aktivieren möchten, klicken Sie auf die Schaltfläche Root-SSH-Anmeldung zulassen.
    • Geben Sie die Anmeldeinformationen für die Audit-Rolle ein. Wenn Sie im Bereich Anmeldedaten für Audit keine Anmeldeinformationen eingeben, bleibt die Audit-Rolle deaktiviert.
      Hinweis: Nach der Bereitstellung des NSX Edge-Knotens können Sie die SSH-Einstellung für einen Root-Benutzer, die Sie während der Bereitstellung festgelegt haben, nicht mehr ändern. Sie können z. B. SSH nicht für einen Root-Benutzer aktivieren, wenn Sie diese Einstellung während der Bereitstellung deaktiviert haben.
  8. Geben Sie die Details zum NSX Edge ein.
    Option Beschreibung
    Compute Manager Wählen Sie im Dropdown-Menü den Compute Manager aus.

    Der Compute Manager entspricht der in der Management Plane registrierten vCenter Server.

    Cluster Weisen Sie den Cluster zu, den der NSX Edge aus dem Dropdown-Menü verknüpfen wird.
    Ressourcenpool oder Host Weisen Sie entweder einen Ressourcenpool oder einen bestimmten Host für den NSX Edge aus dem Dropdown-Menü zu.
    Datenspeicher Wählen Sie einen Datenspeicher für die NSX Edge-Dateien aus dem Dropdown-Menü.
  9. Geben Sie die Details zur NSX Edge-Schnittstelle ein.
    Option Beschreibung
    IP-Zuweisung

    Dies ist die dem NSX Edge-Knoten zugewiesene IP-Adresse, die für die Kommunikation mit NSX Manager und NSX Controller erforderlich ist.

    Wählen Sie für die IP-Adresse DHCP oder Statischaus.
    Wenn Sie Statisch auswählen, geben Sie die Werte für Folgendes ein:
    • Verwaltungs-IP: Geben Sie die IP-Adresse von NSX Edge in die CIDR-Notation ein.
    • Standard-Gateway: Geben Sie die Gateway-IP-Adresse von NSX Edge ein.
    Verwaltungsschnittstelle Wählen Sie im Dropdown-Menü die Schnittstelle aus, die eine Verbindung zum NSX Edge-Verwaltungsnetzwerk herstellt. Diese Schnittstelle muss entweder von NSX Manager aus erreichbar sein oder sich in derselben Verwaltungsschnittstelle befinden wie NSX Manager und NSX Controller.

    Die NSX Edge-Verwaltungsschnittstelle stellt die Kommunikation mit der NSX Manager-Verwaltungsschnittstelle her.

    Die NSX Edge-Verwaltungsschnittstelle ist mit verteilten Portgruppen oder Segmenten verbunden.
    Domänennamen suchen Geben Sie Domänennamen im Format „example.com“ ein oder geben Sie eine IP-Adresse ein.
    DNS-Server Geben Sie die IP-Adresse des DNS-Servers ein.
    NTP-Server Geben Sie die IP-Adresse des NTP-Servers ein.
  10. Geben Sie die N-VDS-Informationen ein.
    Option Beschreibung
    Edge-Switchname Geben Sie einen Namen für den Switch ein.
    Transportzone Wählen Sie die Transportzonen aus, zu denen dieser Transportknoten gehört. Ein NSX Edge-Transportknoten gehört zu mindestens zwei Transportzonen, einem Overlay für NSX-T Data Center-Konnektivität und einem VLAN für Uplink-Konnektivität.
    Hinweis: NSX Edge-Knoten unterstützen mehrere Overlay-Tunnel (Multi-TEP), wenn die folgenden Voraussetzungen erfüllt sind:
    • Die TEP-Konfiguration darf nur auf einem N-VDS durchgeführt werden.
    • Alle TEPs müssen dasselbe Transport-VLAN für Overlay-Datenverkehr verwenden.
    • Alle TEP-IPs müssen sich im selben Subnetz befinden und dasselbe Standard-Gateway verwenden.
    Uplink-Profil Wählen Sie ein Uplink-Profil im Dropdown-Menü aus.

    Die verfügbaren Uplinks hängen von der Konfiguration im gewählten Uplink-Profil ab.
    IP-Zuweisung (TEP)

    Die IP-Adresse wird dem konfigurierten NSX Edge-Switch zugewiesen. Sie wird als Tunnel-Endpoint des NSX Edge verwendet.

    Wählen Sie IP-Pool verwenden oder Liste statischer IPs verwenden für den Overlay-N-VDS aus.
    • Wenn Sie Liste statischer IPs verwenden auswählen, geben Sie Folgendes an:
      • Liste statischer IPs: Geben Sie eine Liste kommagetrennter IP-Adressen ein, die vom NSX Edge verwendet werden sollen.
      • Gateway: Geben Sie das Standard-Gateway des TEP ein, das zur Weiterleitung von Paketen mit einem anderen TEP in einem anderen Netzwerk verwendet wird. Wenn sich beispielsweise der ESXi-TEP in 20.20.20.0/24 befindet und die NSX Edge-TEPs in 10.10.10.0/24, dann verwenden wir das Standard-Gateway für die Weiterleitung von Paketen zwischen diesen Netzwerken.
      • Subnetzmaske: Geben Sie die Subnetzmaske des TEP-Netzwerks ein, das auf dem NSX Edge verwendet wird.
    • Wenn Sie IP-Pool verwenden für die IP-Zuweisung ausgewählt haben, geben Sie den Namen des IP-Pools an.

    DPDK-Fastpath-Schnittstellen/virtuelle Netzwerkkarten (NICs) Wählen Sie als Uplink-Schnittstelle die Datenpfadschnittstelle aus, bei der es sich entweder um einen Trunk verteilter Portgruppen oder um ein Segment handelt.
    Hinweis: Wenn das auf den NSX Edge-Knoten angewandte Uplink-Profil eine benannte Teaming-Richtlinie verwendet, muss die folgende Bedingung erfüllt sein:
    • Alle Uplinks in der Standard-Teaming-Richtlinie müssen den entsprechenden physischen Netzwerkschnittstellen auf der Edge-VM zugeordnet werden, damit der Datenverkehr über einen logischen Switch übermittelt wird, der die benannten Teaming-Richtlinien verwendet.

    Ab NSX Data Center 3.2.1 können Sie maximal vier eindeutige Datenpfadschnittstellen als Uplinks auf einer NSX Edge-VM konfigurieren.

    Wenn bei der Zuordnung von Uplinks zu DPDK-Fastpath-Schnittstellen NSX Edge nicht alle verfügbaren Schnittstellen anzeigt werden (insgesamt vier), bedeutet dies, dass entweder die zusätzliche Schnittstelle der NSX Edge-VM noch nicht hinzugefügt wurde oder dass das Uplink-Profil weniger Uplinks enthält.

    Führen Sie für NSX Edge-VMs, die von einer früheren Version von NSX-T Data Center auf 3.2.1 oder höher aktualisiert wurden, den API-Aufruf für die erneute Bereitstellung der NSX Edge-VM aus. Durch die erneute Bereitstellung der API wird sichergestellt, dass die bereitgestellte NSX Edge-VM alle verfügbaren Datenpfadschnittstellen in der NSX Manager-Benutzeroberfläche erkennt. Stellen Sie sicher, dass das Uplink-Profil ordnungsgemäß für die Verwendung zusätzlicher Datenpfad-Netzwerkkarten konfiguriert ist.

    • Rufen Sie für automatisch bereitgestellte NSX Edges die API für die erneute Bereitstellung auf.
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • Stellen Sie für manuell bereitgestellte Edges eine neue NSX Edge-VM bereit. Stellen Sie sicher, dass alle VMX-Anpassungen der alten NSX Edge-VM auch für die neue NSX Edge-VM durchgeführt werden.

    Das Ausführen von vMotion auf einer NSX Edge-VM kann dazu führen, dass die NSX Edge-VM in den Fehlerzustand wechselt oder dass der zusätzliche Netzwerkadapter aufgrund von Pufferproblemen im Arbeitsspeicher nicht aktiviert werden kann. Informationen zur Behebung von Arbeitsspeicherproblemen bei der Durchführung eines vMotion-Vorgangs auf einer NSX Edge-VM finden Sie unter https://kb.vmware.com/s/article/76387.
    Hinweis:
    • Das LLDP-Profil wird auf einer NSX Edge-VM-Appliance nicht unterstützt.
    • Uplink-Schnittstellen werden als DPDK-Fastpath-Schnittstellen angezeigt, wenn NSX Edge mithilfe von NSX Manager oder auf einem Bare Metal-Server installiert wird.
    • Uplink-Schnittstellen werden als Virtuelle Netzwerkkarten angezeigt, wenn NSX Edge manuell mithilfe von vCenter Server installiert wird.
  11. Überprüfen Sie den Verbindungsstatus auf der Seite Transportknoten.
    Nach dem Hinzufügen des NSX Edge als Transportknoten ändert sich der Verbindungsstatus in 10-12 Minuten in Aktiv.

1.1: Bereitstellen des NSX Edge-Clusters

Für Hochverfügbarkeit sollten Sie zwei Edge-Knoten in einem Edge-Cluster haben.

Prozedur

  1. Fügen Sie den Edge-Cluster hinzu. Wechseln Sie zu System > Fabric > Knoten > Edge-Cluster und klicken Sie auf Edge-Cluster hinzufügen.
  2. Geben Sie im Textfeld Name einen Namen für den Edge-Cluster ein. Beispiel: Edge-cluster-1.
  3. Verschieben Sie den erstellten Edge-Knoten (Edge-1) aus dem Fenster Verfügbar in das Fenster Ausgewählt und klicken Sie auf Hinzufügen.

2. Erstellen eines Tier-0- oder Tier-1-Gateways

Erstellen Sie je nach Anwendungsfall ein Tier-1- oder Tier-0-Gateway.

Prozedur

  1. So fügen Sie ein Gateway hinzu:
    • Tier-0-Gateway: Klicken Sie in der NSX Manager-Benutzeroberfläche auf Netzwerke > Tier-0-Gateways > Gateway hinzufügen > Tier-0.

      Tier-0-Gateway hinzufügen

    • Tier-1-Gateway: Klicken Sie in der NSX Manager-Benutzeroberfläche auf Netzwerke > Tier-1-Gateways > Gateway hinzufügen > Tier-1.
  2. Geben Sie die folgenden Informationen an.
    Name Geben Sie den Namen für das Gateway ein. Beispiel: T0-gateway-1.
    Edge-Cluster Wählen Sie den erstellten Edge-Cluster aus. Beispiel: Edge-cluster-1.
  3. Klicken Sie auf Speichern.

    Weitere Informationen finden Sie unter Administratorhandbuch für NSX-T Data Center.

3. Erstellen von Schnittstellen auf einem Tier-0- oder Tier-1-Gateway

NSX-Gateway verfügt über verschiedene Schnittstellentypen. Auf der Grundlage der Netzwerktopologie können Sie die erforderlichen Schnittstellen für die Verbindung mit dem Netzwerk auswählen und eine Firewall für den Datenverkehr bereitstellen, der das Gateway durchläuft.

Diagramm der verschiedenen Schnittstellentypen für NSX Gateway.

Externe Tier-0-Schnittstellen:

  • Stellt eine Verbindung zum physischen Router für externe Konnektivität her
  • Sie erstellen diese Schnittstelle in den VLAN-Segmenten auf dem Tier-0-Gateway

Tier-1-Uplink-Schnittstellen:

  • Stellt eine Verbindung zu Tier-0 her
  • Das System erstellt diese Schnittstelle, wenn Tier-1 mit Tier-0 verbunden wird

Dienstschnittstelle:

  • Wird für die Bereitstellung von NSX-T-Diensten (GFW und anderen) für nicht von NSX-verwaltete VLAN-Arbeitslasten verwendet
  • Stellt eine Verbindung zum VLAN-Segment her
  • Wird auf Tier-0 und Tier-1 unterstützt

Downlink-Schnittstelle:

  • Overlay-Segmentschnittstelle auf Gateway
  • Wird auf Tier-0 und Tier-1 unterstützt
  • Keine Unterstützung für GFW
Die Gateway-Firewall kann hauptsächlich für zwei Szenarien verwendet werden, je nachdem, wie Arbeitslasten mit dem Netzwerk verbunden werden:
  • Mit VLAN verbundene Arbeitslasten
  • Mit NSX-Netzwerk-Overlay-Segmenten verbundene Arbeitslasten

Die Schritte zum Erstellen der Netzwerkschnittstellen unterscheiden sich bei jedem dieser Szenarien geringfügig, wie weiter unten in diesem Abschnitt beschrieben.

3.1: Erstellen der NSX-T-Gateway-Firewallschnittstelle für mit VLAN verbundene Arbeitslasten

Sie müssen die folgenden Schritte ausführen, um Ihre -Umgebung einzurichten.

  1. Erstellen Sie ein VLAN-Segment in NSX-T.
    1. Klicken Sie im NSX Manager auf Netzwerke > Segmente > Segment hinzufügen.
    2. Geben Sie die folgenden Informationen an.
      Segmentname Geben Sie den Namen für das Segment ein. Beispiel: VLAN-100.
      Transportzone Wählen Sie die Standardtransportzone für den VLAN-Datenverkehr aus. Beispiel: nsx-vlan-transportzone.
      VLAN Geben Sie 100ein.
    3. Klicken Sie auf Speichern.
  2. Erstellen Sie eine oder mehrere Dienstschnittstellen auf dem Tier-0- oder Tier-1-Gateway.
    1. Klicken Sie im NSX Manager auf Netzwerk > Tier-1-Gateways Gateway hinzufügen > Tier-1.
    2. Bearbeiten Sie das erstellte Gateway. Beispiel: T1-gateway-1.
    3. Klicken Sie unter Dienstschnittstellen auf Festlegen.
    4. Klicken Sie auf Schnittstelle hinzufügen.
    5. Geben Sie die folgenden Informationen an.
      Name Geben Sie den Namen der Schnittstelle ein. Beispiel: SI-VLAN-100.
      IP-Adresse/-Maske Geben Sie eine IP-Adresse ein. Beispiel: 192.168.50.12/24.
      Verbunden mit (Segment) Wählen Sie das konfigurierte Segment aus. Beispiel: VLAN-100.
    6. Klicken Sie auf Speichern.

    Erstellen Sie weitere Dienstschnittstellen basierend auf den Netzwerkanforderungen.

    Auf Tier-0 haben Sie die Möglichkeit, eine externe Schnittstelle oder eine Dienstschnittstelle auf der Grundlage der Konnektivitätsanforderung zu erstellen. Wenn eine externe Schnittstelle erstellt wird, müssen Sie eine externe Schnittstelle pro Edge erstellen, die Teil des Edge-Clusters ist.

    Wählen Sie im Rahmen des Workflows neben den erwähnten Parametern den Edge-Knoten aus, um diese Schnittstelle zu erstellen.

Weitere Informationen finden Sie unter Administratorhandbuch für NSX-T Data Center.

3.2: Erstellen einer NSX-T-Gateway-Firewallschnittstelle für Netzwerk-Overlay-Arbeitslasten

Führen Sie die folgenden Schritte aus.
  1. Erstellen Sie ein Tier-1-Gateway.
    1. Klicken Sie auf Netzwerk > Tier-1-Gateways > Tier-1-Gateway hinzufügen.
    2. Geben Sie den Namen für das Tier-1-Gateway ein. Beispiel: PROD-Tier1.

      Tier-1-Gateway hinzufügen

    3. Wählen Sie das Tier-0-Gateway aus, um einen Uplink auf der Tier-1 zu erstellen.
    4. Wählen Sie den Edge-Cluster für die Implementierung der Gateway-Dienste aus.

      Fügen Sie Daten hinzu, nachdem Sie das Tier-1-Gateway hinzugefügt haben.

    5. Klicken Sie auf Speichern.
  2. Darüber hinaus sollten Sie ein oder mehrere Overlay-Segmente für die Verbindung von Arbeitslasten erstellen. Dadurch wird eine Downlink-Schnittstelle auf dem Gateway erstellt, und die NSX-Segmente auf ESXi werden für die Netzwerkkonnektivität mit der virtuellen Maschine verfügbar gemacht.
    1. Klicken Sie auf Netzwerke > Segmente > NSX > Segment hinzufügen.

      Segment hinzufügen

    2. Geben Sie die folgenden Informationen an.
      Name Geben Sie den Namen für das Segment ein. Beispiel: LS1.1.
      Konnektivität Wählen Sie das konfigurierte Tier-1-Gateway aus. Beispiel: T1-Tenant1.
      Transportzone Wählen Sie die Standardtransportzone für Overlay-Datenverkehr aus. Beispiel: nsx-overlay-transportzone.
      Subnetze Geben Sie das erforderliche Subnetz ein. Beispiel: 10.x.x.1/24.
    3. Klicken Sie auf Speichern.
  3. Überprüfen Sie, ob das konfigurierte Overlay-Segment in vCenter Server verfügbar ist. Wechseln Sie in vCenter Server zu Host und Cluster und validieren Sie VMs, die erstellt und mit dem konfigurierten Overlay-Segment verbunden wurden.

Weitere Informationen finden Sie unter Installationshandbuch für NSX-T Data Center.