Sie können mehrere virtuelle NSX Edge Services Gateway-Appliances in einem Datencenter installieren. Jede virtuelle NSX Edge-Appliance kann über insgesamt zehn Uplink- und interne Netzwerkschnittstellen verfügen. Die internen Schnittstellen werden mit gesicherten Portgruppen verbunden und dienen als das Gateway für alle geschützten virtuellen Maschinen in der Portgruppe. Das Subnetz, das der internen Schnittstelle zugewiesen ist, kann ein öffentlich gerouteter IP-Adressbereich, ein gerouteter privater RFC 1918-Adressbereich oder privater RFC 1918-Adressbereich sein, der NAT verwendet. Firewallregeln und andere NSX Edge-Dienste werden beim Datenverkehr zwischen Schnittstellen erzwungen.

Warum und wann dieser Vorgang ausgeführt wird

Uplink-Schnittstellen von ESG stellen Verbindungen zu Uplink-Portgruppen her, die Zugriff auf ein gemeinsam genutztes Unternehmensnetzwerk oder einen Dienst haben, das bzw. der Zugriffsebenen im Netzwerk bereitstellt.

In der folgenden Liste wird die Unterstützung von Funktionen nach Schnittstellenart (intern und Uplink) in einem ESG beschrieben.

  • DHCP: wird nicht in einer Uplink-Schnittstelle unterstützt.

  • DNS-Weiterleitung: wird nicht in einer Uplink-Schnittstelle unterstützt.

  • HA: wird nicht in einer Uplink-Schnittstelle unterstützt, erfordert mindestens eine interne Schnittstelle.

  • SSL VPN: Listener-IP muss zur Uplink-Schnittstelle gehören.

  • IPSec-VPN: Listener-IP muss zur Uplink-Schnittstelle gehören.

  • L2 VPN: Es können nur interne Netzwerke ausgeweitet werden.

Die folgende Abbildung zeigt eine Beispieltopologie mit einer Uplink-Schnittstelle von ESG, die mit der physischen Infrastruktur durch den vSphere Distributed Switch verbunden ist, und der internen Schnittstelle von ESG, die mit einem NSX Logical Router durch einen NSX Logical Transit Switch verbunden ist.

Mehrere externe IP-Adressen können für Load-Balancing-, Site-to-Site-VPN- und NAT-Dienste konfiguriert werden.

Wichtig:

Wenn Sie die Hochverfügbarkeit (High Availability, HA) auf einem NSX Edge in einer Cross-vCenter NSX-Umgebung aktivieren, müssen sich die aktive und die Standby-NSX Edge-Appliance im selben vCenter Server befinden. Wenn Sie ein Mitglied eines NSX Edge-HA-Paares auf ein anderes vCenter Server-System migrieren, können die beiden HA-Appliances nicht mehr als HA-Paar ausgeführt werden. Dies kann zu einer Unterbrechung des Datenverkehrs führen.

Voraussetzungen

  • Ihnen muss die Rolle „Enterprise-Administrator“ oder „NSX-Administrator“ zugewiesen worden sein.

  • Stellen Sie sicher, dass der Ressourcenpool genug Kapazität für die Bereitstellung der virtuellen Edge Services Gateway (ESG)-Appliance aufweist. Weitere Informationen dazu finden Sie unter Systemvoraussetzungen für NSX.

  • Stellen Sie sicher, dass die Hostcluster, auf denen die NSX Edge-Appliance installiert wird, für NSX vorbereitet ist. Informationen dazu erhalten Sie unter „Vorbereiten der Hostcluster für NSX“ in der Dokumentation Installationshandbuch für NSX.

Prozedur

  1. Navigieren Sie in vCenter zu Home > Networking & Security > NSX Edges und klicken Sie auf das Symbol Hinzufügen (Add) (Hinzufügen).
  2. Wählen Sie Edge Services Gateway aus und geben Sie einen Namen für das Gerät ein.

    Dieser Name wird in Ihrer vCenter-Bestandsliste angezeigt. Der Name muss über alle ESGs eines einzelnen Mandanten hinweg eindeutig sein.

    Sie können optional auch einen Hostnamen eingeben. Dieser Name wird in der Befehlszeilenschnittstelle angezeigt. Wenn Sie keinen Hostnamen angeben, wird die automatisch erstellte Edge-ID in CLI angezeigt.

    Sie können auch eine Beschreibung und einen Mandanten eingeben und „High Availability“ aktivieren.

    Beispiel:

  3. Geben Sie ein Kennwort für das ESG ein und bestätigen Sie es.

    Das Kennwort muss mindestens 12 Zeichen lang sein und 3 der 4 folgenden Regeln folgen:

    • mindestens ein Großbuchstabe

    • mindestens ein Kleinbuchstabe

    • mindestens eine Zahl

    • mindestens ein Sonderzeichen

  4. (Optional) : Aktivieren Sie SSH, hohe Verfügbarkeit, automatische Regelgenerierung und FIPS-Modus, und legen Sie die Protokollierungsebene fest.

    Wenn Sie die automatische Regelerstellung nicht aktivieren, müssen Sie die Firewall-, NAT- und Routing-Konfiguration manuell hinzufügen, um den Steuerungsdatenverkehr für bestimmte NSX Edge-Dienste wie beispielsweise Load Balancing, VPN zu ermöglichen. Die Option „Automatische Regelerstellung“ erstellt keine Regeln für Datenkanal-Datenverkehr.

    Standardmäßig sind SSH und High Availability deaktiviert und die automatische Regelerstellung ist aktiviert.

    Der FIPS-Modus ist standardmäßig deaktiviert.

    Als Protokollierungsebene ist standardmäßig „Notfall“ eingestellt.

    Beispiel:

  5. Wählen Sie die Größe der NSX Edge-Instanz basierend auf den Systemressourcen aus.

    Das große (Large) NSX Edge verfügt über mehr CPU, Arbeitsspeicher und Festplattenspeicher als das kompakte (Compact) NSX Edge und unterstützt eine größere Anzahl an gleichzeitigen SSL VPN-Plus-Benutzern. Das sehr große (X-Large) NSX Edge eignet sich für Umgebungen, die über einen Load Balancer mit Millionen von gleichzeitig ausgeführten Sitzungen verfügen. Das Quad Large NSX Edge wird bei hohem Durchsatz empfohlen und benötigt eine hohe Verbindungsrate.

    Weitere Informationen dazu finden Sie unter Systemvoraussetzungen für NSX.

  6. Erstellen Sie eine Edge-Appliance.

    Geben Sie die Einstellungen für die virtuelle ESG-Appliance ein, die zur vCenter-Bestandsliste hinzugefügt wird. Wenn Sie bei der Installation von NSX Edge keine Appliance hinzufügen, bleibt NSX Edge so lange im Offline-Modus, bis Sie eine Appliance hinzugefügt haben.

    Wenn HA aktiviert ist, können Sie zwei Appliances hinzufügen. Wenn Sie eine einzelne Appliance hinzufügen, repliziert NSX Edge deren Konfiguration für die Standby-Appliance und stellt sicher, dass sich die zwei virtuellen HA-NSX Edge-Maschinen auch dann nicht auf demselben ESX-Host befinden, wenn Sie DRS und vMotion verwendet haben (es sei denn, Sie migrieren sie per vMotion manuell auf denselben Host). Damit HA ordnungsgemäß funktioniert, müssen Sie beide Appliances in einem gemeinsam verwendeten Datenspeicher bereitstellen.

    Beispiel:

  7. Wählen Sie NSX Edge bereitstellen (Deploy NSX Edge) aus, um den Edge in einem bereitgestellten Modus hinzuzufügen. Sie müssen Appliances und Schnittstellen für die Edge-Instanz konfigurieren, bevor sie bereitgestellt werden kann.
  8. Konfigurieren Sie Schnittstellen.

    Auf ESGs werden sowohl IPv4- als auch IPv6-Adressen unterstützt.

    Sie müssen mindestens eine interne Schnittstelle hinzufügen, damit HA funktioniert.

    Eine Schnittstelle kann über mehrere nicht überlappende Subnetze verfügen.

    Wenn Sie mehr als eine IP-Adresse für eine Schnittstelle eingeben, können Sie die primäre IP-Adresse auswählen. Eine Schnittstelle kann eine primäre und mehrere sekundäre IP-Adressen aufweisen. NSX Edge betrachtet die primäre IP-Adresse als Quelladresse für lokal generierten Datenverkehr, wie z. B. Remote-Syslog- und Operator-initiierte Pings.

    Sie müssen der Schnittstelle zuerst eine IP-Adresse hinzufügen, bevor Sie sie für jede beliebige Funktionskonfiguration verwenden können.

    Sie können auch die MAC-Adresse für die Schnittstelle hinzufügen.

    Wenn Sie die MAC-Adresse später mithilfe des API-Aufrufs ändern, müssen Sie das Edge nach der Änderung der MAC-Adresse erneut bereitstellen.

    Wenn HA aktiviert ist, können Sie optional zwei Verwaltungs-IP-Adressen im CIDR-Format eingeben. Die Taktsignale der zwei virtuellen NSX Edge-HA-Maschinen werden über diese Verwaltungs-IP-Adressen übertragen. Die Verwaltungs-IP-Adressen müssen sich in demselben L2/Subnetz befinden und müssen untereinander kommunizieren können.

    Sie können auch den MTU-Wert ändern.

    Aktivieren Sie Proxy-ARP, wenn das ESG ARP-Anforderungen beantworten soll, die für andere Maschinen bestimmt sind. Dies ist dann zum Beispiel hilfreich, wenn Sie über dasselbe Subnetz auf beiden Seiten einer WAN-Verbindung verfügen.

    Aktivieren Sie die ICMP-Umleitung, um Routing-Informationen an Hosts weiterzuleiten.

    Aktivieren Sie umgekehrte Pfadfilter, um zu die Erreichbarkeit der Quelladresse in weitergeleiteten Paketen zu überprüfen. Im aktivierten Modus muss das Paket auf der Schnittstelle empfangen werden, die der Router zum Weiterleiten des Rückgabepakets verwenden würde. Im Loose-Modus muss die Quelladresse in der Routing-Tabelle angezeigt werden.

    Konfigurieren Sie Fence-Parameter, wenn Sie IP- und MAC-Adressen über verschiedene umgrenzende Umgebungen hinweg wiederverwenden möchten. In einer Cloud-Verwaltungsplattform (Cloud Management Platform, CMP) können Sie mit Fencing mehrere Cloud-Instanzen gleichzeitig mit denselben IP-und MAC-Adressen ausführen, die vollständig isoliert oder „umgrenzt“ sind.

    Beispiel:

    Das folgende Beispiel zeigt zwei Schnittstellen. Eine Schnittstelle, die das ESG mit der Außenwelt durch eine Uplink-Portgroup in einem vSphere Distributed Switch verbindet, und eine zweite Schnittstelle, die das ESG mit einem Logical Transit Switch verbindet, an den auch ein Distributed Logical Router angefügt ist.

  9. Konfigurieren Sie ein Standard-Gateway.

    Sie können den MTU-Wert bearbeiten, er darf jedoch nicht höher als der konfigurierte MTU-Wert für die Schnittstelle sein.

    Beispiel:

  10. Konfigurieren Sie die Firewallrichtlinie, die Protokollierung und HA-Parameter.
    ACHTUNG:

    Wenn Sie keine Firewallrichtlinie konfigurieren, ist die Standardrichtlinie gesetzt, um jeglichen Datenverkehr zu verweigern.

    Standardmäßig sind Protokolle auf allen neuen NSX Edge-Appliances aktiviert. Die Standardprotokollierungsebene ist HINWEIS. Wenn Protokolle lokal im ESG gespeichert sind, werden durch die Protokollierung möglicherweise zu viele Protokolle generiert und die Leistung von NSX Edge wird beeinträchtigt. Aus diesem Grund ist es empfehlenswert, Remote-Syslog-Server zu konfigurieren und alle Protokolle an eine zentrale Stelle zur Analyse und Überwachung weiterzuleiten.

    Wenn Sie High Availability aktiviert haben, vervollständigen Sie den HA-Bereich. Standardmäßig wählt HA automatisch eine interne Schnittstelle aus und weist automatisch verbindungslokale IP-Adressen zu. NSX Edge unterstützt zwei virtuelle Maschinen für High Availability und beide Maschinen werden mithilfe von Benutzerkonfigurationen auf dem neuesten Stand gehalten. Falls ein Taktsignalfehler auf der primären virtuellen Maschine auftritt, wird der Zustand der sekundären virtuellen Maschine in „aktiv“ geändert. Folglich ist immer eine virtuelle NSX Edge-Maschine im Netzwerk aktiv. NSX Edge repliziert die Konfiguration der primären Appliance für die Standby-Appliance und stellt sicher, dass sich die zwei virtuellen HA-NSX Edge-Maschinen auch dann nicht auf demselben ESX-Host befinden, wenn Sie DRS und vMotion verwendet haben. Zwei virtuelle Maschinen werden auf vCenter in demselben Ressourcenpool und Datenspeicher wie die von Ihnen konfigurierte Appliance bereitgestellt. Die IP-Adressen von lokalen Links werden virtuellen HA-Maschinen in der NSX Edge HA zugewiesen, damit sie untereinander kommunizieren können. Wählen Sie die interne Schnittstelle aus, für die HA-Parameter konfiguriert werden sollen. Wenn Sie BELIEBIG für die Schnittstelle auswählen, aber keine internen Schnittstellen konfiguriert sind, wird auf der Benutzeroberfläche ein Fehler angezeigt. Zwei Edge-Appliances werden erstellt, aber da keine interne Schnittstelle konfiguriert ist, bleibt die neue Edge-Appliance im Standby-Modus und HA wird deaktiviert. Sobald eine interne Schnittstelle konfiguriert ist, wird HA in der Edge-Appliance aktiviert. Geben Sie den Zeitraum (in Sekunden) ein, nach dem die primäre Appliance als inaktiv betrachtet wird und die Backup-Appliance die Arbeit übernimmt, falls die Backup-Appliance kein Taktsignal von der primären Appliance erhält. Das Standardintervall beträgt 15 Sekunden. Sie können auch zwei Verwaltungs-IP-Adressen im CIDR-Format eingeben, die die IP-Adressen der lokalen Links überschreiben, die den virtuellen HA-Maschinen zugewiesen sind. Vergewissern Sie sich, dass sich die Verwaltungs-IP-Adressen nicht mit den IP-Adressen überschneiden, die für andere Schnittstellen verwendet wurden, und dass sie das Routing des Netzwerkdatenverkehrs nicht stören. Sie sollten keine IP-Adresse verwenden, die an einer anderen Stelle im Netzwerk existiert, auch wenn das Netzwerk nicht direkt mit dem NSX Edge verbunden ist.

    Beispiel:

Ergebnisse

Nach der Bereitstellung von ESG navigieren Sie zur Ansicht „Hosts und Cluster“ und öffnen Sie die Konsole der virtuellen Edge-Appliance. Stellen Sie in der Konsole sicher, dass Sie die verbundenen Schnittstellen pingen können.

Nächste Maßnahme

Wenn Sie eine NSX Edge-Appliance installieren, aktiviert NSX das automatische Starten/Herunterfahren von virtuellen Maschinen auf dem Host, wenn die vSphere HA auf dem Cluster deaktiviert ist. Wenn die Appliance-VMs später auf andere Hosts im Cluster migriert werden, ist auf den neuen Hosts das automatische Starten/Herunterfahren von virtuellen Maschinen möglicherweise nicht aktiviert. Aus diesem Grund wird von VMware empfohlen, bei der Installation von NSX Edge-Appliances auf Clustern, auf denen die vSphere HA deaktiviert ist, alle Hosts im Cluster zu überprüfen, um sicherzustellen, dass das automatische Starten/Herunterfahren aktiviert ist. Weitere Informationen erhalten Sie unter „Bearbeiten der Einstellungen zum Starten/Herunterfahren virtueller Maschinen“ im Dokument Verwaltung virtueller vSphere-Maschinen.

Sie können jetzt Routing konfigurieren, um die Konnektivität von externen Geräten zu Ihren VMs zu ermöglichen.