Der Datenverkehr fließt auf statusbehafteten Tier-0- und Tier-1-Gateways, die im Aktiv-Aktiv-HA-Modus konfiguriert sind.
Süd-Nord-Datenverkehrsfluss
- Auf Basis eines deterministischen Hashs wird ein eingehendes Paket von einer südwärts gerichteten VM an die Backplane des Edge-2 übertragen.
- Edge-2 bestimmt, dass Edge-4 die Datenverkehrsströme aktiv verwaltet und den Datenverkehrsstrom über die externen Schnittstellen weiterleitet (die Teil der Schnittstellengruppe sind).
- Ein IP-Hash wird auf Basis der Ziel-IP des externen Servers durchgeführt und der Datenverkehr von Edge-2 auf Edge-4 übertragen. Das Paket wird weiter zum Tier-0-Gateway-Dienstrouter (SR) weitergeleitet, wo SNAT die Quell-IP-Adresse in eine übersetzte IP-Adresse ändert.
- Nachdem der Datenverkehrsfluss den Edge-4-Tier-0-SR erreicht hat, leitet der Schatten-Port den NAT-Datenverkehr an die Uplink-Schnittstelle weiter und sendet ihn dann an den physischen Router.
- Wenn der Tier-0-SR auf Edge-4 ausfällt, sendet NSX Datenverkehr zu einem Sicherungsknoten im Untercluster, Edge-3, wo SNAT die Quell-IP-Adresse in eine übersetzte IP-Adresse ändert. Die Sicherungsschnittstelle auf Edge-1 übernimmt die Backplane-IP und die Uplink-IP des Tier-0-Gateways, bevor mit der Verarbeitung des Datenverkehrs begonnen wird. Die Sicherungsschnittstelle auf Edge-3 ist betriebsbereit und aktiv und die Schattenschnittstelle auf Edge-4 ist inaktiv.
- Alle von Firewall- und NAT-Regeln verarbeiteten Datenverkehrsflüsse werden auf dem Tier-0-SR auf Edge-3 synchronisiert.
- Wenn Edge-4 wieder aktiviert wird, wird der Datenverkehrsfluss erneut mit Edge-4 synchronisiert. Wenn der Schatten-Port wieder verfügbar ist, weist NSX den Datenverkehr diesem Port zu.
Nord-Süd-Datenverkehrsfluss
- Ein Paket von einer nordwärts gerichteten VM wird vom physischen Router mit einem eigenen Hashing-Algorithmus gehasht, um das Paket auf Basis einer ECMP-Routing-Wahl an Edge-3 zu senden. Das Tier-0-Gateway wird auf Edge-3 ausgeführt.
- Edge-3 bestimmt, dass Edge-4 den Datenverkehrsfluss aktiv verwaltet, und leitet den Datenverkehrsfluss an Edge-4 weiter. Der Flow wird von der Schattenschnittstelle von Edge-4 verwaltet.
- Ein IP-Hash wird basierend auf der Quell-IP des externen Servers durchgeführt. Der Datenverkehr wird vom Edge-3-Tier-0-SR auf den Edge-4-Tier-0-SR übertragen, wo NAT aktiviert ist. Die Quell-IP wird in die übersetzte IP-Adresse geändert.
- Das Paket wird vom Edge-4-Tier-0-SR an Edge-4-Tier-0-DR und dann an das Tier-1-Gateway gesendet, um schließlich die Ziel-VM zu erreichen.
- Wenn der Tier-0-Dienstrouter auf Edge-4 ausfällt, überträgt NSX den Datenverkehr zu seinem Peer-Knoten (Untercluster 2) Edge-3. Auf Edge-3 aktiviertes NAT ändert die Quell-IP-Adresse in eine übersetzte IP-Adresse.
- Bevor Sie mit der Verarbeitung des Datenverkehrs beginnen, verwaltet der Sicherungs-Schatten-Port auf Edge-3 den Datenverkehrsfluss. Jetzt ist der Sicherungs-Schatten-Port auf Edge-3 betriebsbereit und aktiv, der Schatten-Port auf Edge-4 ist inaktiv.
- Alle von Firewall- und NAT-Regeln verarbeiteten Datenverkehrsflüsse werden auf dem Tier-0-SR auf Edge-3 synchronisiert.
- Wenn Edge-4 wieder aktiviert wird, wird der Datenverkehrsfluss erneut synchronisiert. Der Schatten-Port auf Edge-4 wird wieder aktiviert und verwaltet den gesicherten Datenverkehr.
Sub-Cluster-Fehler
Wenn beide Knoten in einem Sub-Cluster ausfallen, wird der Sub-Cluster heruntergefahren.
- Vorhandene Flows werden unterbrochen. Dies führt zu Datenverkehrsverlust.
- Neue Flows werden an den anderen Sub-Cluster weitergegeben.
- Wenn der fehlgeschlagene Sub-Cluster wieder aktiviert wird, kehren die Flows zum ursprünglichen Sub-Cluster zurück.
Wenn ein Sub-Cluster ausfällt, übernimmt der andere Sub-Cluster im Cluster.
Ausfall eines einzelnen Knotens
Bei Ausfall eines Edge-Knotens treten die folgenden Ereignisse auf:
- Schnittstellenverbindungen des Edge-Knotens schlagen fehl.
- Der Schatten-Port auf dem fehlgeschlagenen Edge-Knoten ist im Status Inaktiv.
- Der Sicherungsport des Peer-Knotens im Untercluster übernimmt.
- Die Firewall- und NAT-Zustände werden auf dem Peer-Edge-Knoten synchronisiert.
- Der Sicherungsport auf dem Peer-Knoten bietet Konnektivität zu neuen Datenverkehrsflows.
- Wenn die Schnittstellenverknüpfungen des ausgefallenen Edge-Knotens wieder aktiviert werden, werden die Firewall- und NAT-Zustände mit dem Schatten-Port auf dem aktiven Knoten neu synchronisiert.
- NSX führt Datenverkehrsflüsse zurück zum ursprünglichen Knoten.