Probleme mit der Datenverkehrsleistung im Zusammenhang mit NSX Edge-VMs in einer Multi-NSX-Umgebung

In einer Multi-NSX-Umgebung kann nur der NSX Manager die NSX Edge-VM für das Routing und die Inter-TEP-Kommunikation verwenden, der diese bereitgestellt hat. Keiner der anderen NSX Manager, die bei demselben VMware vCenter registriert sind, kann diese für das Routing und die Inter-TEP-Kommunikation verwenden. Die anderen NSX Manager-Instanzen betrachten die NSX Edge-VM als reguläre VM. Dieses Szenario kann auf der NSX Edge-VM Probleme mit der Datenverkehrsleistung verursachen.

Problem

In einem Multi- NSX-Szenario sieht die Konfiguration wie folgt aus:

NSX Manager-1 und NSX Manager-2 sind bei demselben VMware vCenter (Compute Manager) registriert.
NSX Manager-1 hat die NSX Edge-VM bereitgestellt.
NSX Manager-2 hat den ESXi-Host vorbereitet.
Vom vSphere Web Client aus verschieben Sie die NSX Edge-VM mit vMotion auf einen ESXi-Host, der von NSX Manager-2 vorbereitet wurde. Die NSX Edge-VM wurde nicht durch NSX Manager-2 bereitgestellt.
NSX Manager-1 erkennt NSX Edge nicht als Bestandslisten-VM. Daher wendet NSX Manager-1 darauf keine DFW-Regeln an.

Nach dem Verschieben der NSX Edge-VM auf den neuen ESXi-Host:

NSX Manager-2 kategorisiert NSX Edge als reguläre VM und nicht als NSX Edge-VM. Sofern DFW-Regeln konfiguriert sind, wendet NSX Manager-2 alle DFW-Regeln auf die NSX Edge-VM an.

Hier sehen Sie eine Beispielausgabe:

https://<NSX Manager-2>/api/v1/fabric/virtual-machines
{
            “host_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
            “source”: {
                “target_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                “target_display_name”: “10.172.17.133”,
                “target_type”: “HostNode”,
                “is_valid”: true
            },
           …..
            “type”: “REGULAR”,
            “guest_info”: {
                “os_name”: “Ubuntu Linux (64-bit)“,
                “computer_name”: “vm”
            },
            “resource_type”: “VirtualMachine”,
            “display_name”: “mgr2_edge1",
            “_last_sync_time”: 1663802733277
        },

Ursache

Da die NSX Manager-2-Ausschlussliste die NSX Edge-VM nicht herausfiltert, wird sie als reguläre VM und nicht als NSX Edge-VM angesehen. Daher werden DFW-Regeln oder Firewallregeln von Drittanbietern, die für Arbeitslasten konfiguriert sind, auch auf die NSX EdgeVM angewendet. Dieses Szenario kann zu einer Unterbrechung des Datenverkehrs führen.

Lösung

Melden Sie sich beim VMware vCenter an (https://vCenter-Server-IP).
Da NSX Manager-2 die NSX Edge-VM als reguläre VM betrachtet, erstellen Sie eine NS-Gruppe „Edge-VMs-von-anderen Managern“ und fügen Sie die Edge-VMs zu dieser NS-Gruppe hinzu.
Führen Sie folgende Schritte aus, um die Edge-VMs aus NSX Manager-1 zu identifizieren, die zu Ausschlusslisten auf NSX Manager-2 hinzugefügt werden müssen:
1. Verwenden Sie den Wert für display_name, den Sie mit folgendem API-Aufruf erhalten: https://<NSX Manager-1>/api/v1/transport-nodes?node_types=EdgeNode.
2. Gleichen Sie den Namen mit dem display_name in der API-Antwort von NSX Manager-2 https://<NSX Manager-2>/api/v1/fabric/virtual-machines ab.
Fügen Sie die NS-Gruppe „Edge-VMs-von-anderen Managern“ zur DFW-Ausschlussliste und den SI-Ausschlusslisten auf NSX Manager-2 hinzu.
Überprüfen Sie die NSX Edge-VM und schließen Sie sie für Firewalls von Drittanbietern aus.
Wenn sich die Edge-VM-ID ändert, aktualisieren Sie die NS-Gruppe.
Entfernen Sie vor dem Löschen der Edge-VM den Eintrag aus den Ausschlusslisten.

Hinweis: Die Inter-TEP-Kommunikation auf der NSX Edge-VM wird auf NSX Manager-2 nicht unterstützt.