Erstellen Sie für die horizontale Netzwerk-Introspektion ein Dienstsegment und eine Overlay-Transportzone. Sie können jedoch alle anderen Segmente oder logischen Switches in einer VLAN-Transportzone sichern.

Die vertikale Netzwerk-Introspektion wird auf eine gesamte NSX-Bereitstellung angewendet. Sie können den Dienst auf Clusterebene oder hostweise bereitstellen.

Es werden mehrere Bereitstellungsmethoden unterstützt. Eine davon ist die hostbasierte Bereitstellung. Der Bereitstellungstyp legt fest, wo Dienst-VMs für einen bestimmten Dienst ausgeführt werden. Unabhängig vom Bereitstellungstyp können jedoch alle horizontalen Netzwerk-Introspektionsarbeitslasten auf Dienst-VMs zugreifen. Beispielsweise kann eine Arbeitslast, die auf Cluster A ausgeführt wird, eine Dienst-VM verwenden, die auf Cluster B ausgeführt wird, wenn es keine bessere Alternative gibt. Daher beschränkt die Auswahl einer clusterbasierten Bereitstellung die horizontale Netzwerk-Introspektion nicht auf den jeweiligen Cluster.

Selbst wenn Sie eine Bereitstellung planen, in der nur VLAN-gestützte Segmente verwendet werden, durchläuft der Ost-West-Datenverkehr Overlay-Transportzonen und Overlay-gestützte Segmente. Die horizontale Netzwerk-Introspektion wird auf alle Segmente in der Topologie angewendet, unabhängig davon, ob sie auf Overlay- oder VLAN-Transportzonen basieren.

Anforderungen für die horizontale Netzwerk-Introspektion

  • Nur IPv4-Datenverkehr.
  • Stellen Sie sicher, dass die Transportknoten, die Gast-VMs und Dienst-VMs hosten, mit einer Overlay-Transportzone konfiguriert sind. Eine Overlay-Transportzone ist erforderlich, um die horizontale Netzwerk-Introspektion auf allen Transportknoten im System zu verwenden.
  • Erstellen Sie ein Overlay-gestütztes Dienstsegment, das vom horizontalen Netzwerk-Introspektionsdienst verwendet wird.

  • Alle Segmente müssen von demselben Host-Switch auf jedem Host gestützt werden.

  • Wenn eine auf einem ESXi-Host ausgeführte Gast-VM mit einem VLAN-Segment verbunden ist, dieser ESXi-Host jedoch nicht für eine Overlay-Transportzone konfiguriert ist, wird der für eine Dienst-VM bestimmte Datenverkehr unterbrochen. Eine derartige Konfiguration kann auch dazu führen, dass der Datenverkehr zu einem Blackhole weitergeleitet wird.

vMotion von Gast-VMs

Während eines vMotion-Vorgangs kann die Gast-VM nur dann erfolgreich auf einen anderen Host migriert werden, wenn der Zielhost mit einer Overlay-Transportzone konfiguriert ist und ein einzelner Host-Switch vorhanden ist. Wenn jedoch keine Overlay-Transportzone vorhanden ist, in der das Dienstsegment erstellt wird, oder wenn mehrere Host-Switches konfiguriert sind, wechselt die virtuelle Netzwerkkarte (NIC) der Gast-VM auch nach vMotion in den getrennten Zustand.

vMotion von Dienst-VMs

  • Hostbasierte SVM-Bereitstellungen: NSX bietet keine Unterstützung für vMotion von Dienst-VMs (SVM), die auf einzelnen Hosts bereitgestellt werden.

  • Clusterbasierte SVM-Bereitstellungen: Obwohl NSX vMotion von SVMs in einer clusterbasierten SVM-Bereitstellung zulässt, führen Sie keine Initiierung von vMotion von SVMs durch, um Datenverkehrsverluste zu vermeiden.

Nicht unterstützte Umgebungen

  • IPv6-Datenverkehr.
  • Einige Transportknoten werden für die VLAN-Transportzone konfiguriert, während die verbleibenden Hosts für VLAN- und GENEVE-Transportzonen (Overlay) konfiguriert sind. Stellen Sie sicher, dass alle Transportknoten für VLAN- und GENEVE-Transportzonen (Overlay) konfiguriert sind.
  • Datenverkehr, der von einer virtuellen Netzwerkkarte der Gast-VM beendet wird, ist mit dem VLAN-Tag .1q versehen.
  • Von einem Trunk-Port (der mehrere VLANs von der Gast-VM übertragen kann) gestützte Gast-VMs.
  • Jede Topologie mit mehreren Host-Switches unterstützt die horizontale Netzwerk-Introspektion nicht.

Ein Overlay-gestütztes (GENEVE-gestütztes) Segment wird für die interne Verwendung durch die horizontale Netzwerk-Introspektion bereitgestellt. Navigieren Sie auf der NSX Manager-Benutzeroberfläche zu Sicherheit → Netzwerk-Introspektionseinstellungen → Dienstsegment.

Unterstützte Datenverkehrsklassen

  • L3-Unicast (IPv4)
  • L3-Multicast (IPv4)
  • L3-Broadcast (IPv4)
  • L3 (Nicht-IP) (z. B. GRE- und IPSec-Datenverkehr)