Puede instalar varios dispositivos virtuales de puertas de enlace de servicios NSX Edge en un centro de datos. Cada Dispositivo NSX Edge puede tener un total de diez interfaces de red de internas y de vínculo superior. Las interfaces internas se conectan a grupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtuales protegidas del grupo de puertos. La subred asignada a la interfaz interna puede ser una dirección IP enrutada públicamente o un espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican sobre el tráfico entre interfaces.

Las interfaces de vínculo superior de una ESG se conectan a grupos de puertos de vínculo superior que tienen acceso a una red compartida de la empresa o a un servicio que ofrece redes de capa de acceso.

En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculo superior) en la ESG:
  • DHCP: no se admite en interfaces de vínculo superior. Consulte la nota después de esta lista.
  • Reenviador de DNS: no se admite en interfaces de vínculo superior.
  • HA: no se admite en interfaces de vínculo superior, requiere al menos una interfaz interna.
  • VPN SSL: la dirección IP del agente de escucha debe pertenecer a una interfaz de vínculo superior.
  • VPN IPsec: la dirección IP del sitio local debe pertenecer a una interfaz de vínculo superior.
  • VPN de capa 2: solo las redes internas pueden ampliarse.
Nota: Por diseño, el servicio DHCP se admite en las interfaces internas de NSX Edge. Sin embargo, en algunas situaciones, puede optar por configurar DHCP en una interfaz de vínculo superior de Edge y no configurar ninguna interfaz interna. En esta situación, Edge puede escuchar las solicitudes de los clientes DHCP en la interfaz de vínculo superior y asignarles direcciones IP de forma dinámica. Más adelante, si configura una interfaz interna en la misma instancia de Edge, el servicio DHCP deja de funcionar debido a que Edge empieza a escuchar las solicitudes de los clientes DHCP en la interfaz interna.

La siguiente cifra muestra una topología como ejemplo. La interfaz de vínculo superior de la puerta de enlace de servicios Edge está conectada a la infraestructura física mediante vSphere Distributed Switch. La interfaz interna de la puerta de enlace de servicios Edge está conectada a un enrutador lógico a través de un conmutador de tránsito lógico.

La imagen se describe en el texto adyacente.

Puede configurar varias direcciones IP externas para equilibrar la carga, para la VPN de sitio a sitio y los servicios NAT.

Importante:

Si habilita la alta disponibilidad en NSX Edge en un entorno de Cross-vCenter NSX, los dispositivos Dispositivo NSX Edge activos y en espera deben residir en el mismo vCenter Server. Si migra uno de los dispositivos de un par NSX Edge HA a un sistema vCenter Server diferente, los dos dispositivos de HA dejarán de funcionar como un par HA y es posible que se interrumpa el tráfico.

Requisitos previos

  • Debe tener asignada la función de administrador de Enterprise o administrador de NSX.
  • Compruebe que el grupo de recursos tenga capacidad suficiente para implementar el dispositivo virtual de la puerta de enlace de servicios Edge (edge services gateway, ESG) . Consulte Requisitos del sistema de NSX Data Center for vSphere para conocer los recursos necesarios según el tamaño del dispositivo.
  • Verifique que los clústeres de host en los que se instalará Dispositivo NSX Edge están preparados para NSX. Consulte cómo preparar el clúster del host para NSX en Guía de instalación de NSX.
  • Determine si desea habilitar DRS. Si desea crear una puerta de enlace de servicios de Edge con HA y DRS está habilitado, se crean las reglas de antiafinidad de DRS para evitar que los dispositivos se implementen en el mismo host. Si DRS no está habilitado en el momento en el que se crean los dispositivos, las reglas no se crean y es posible que los dispositivos se implementen en el mismo host o se muevan hasta él.

Procedimiento

  1. Inicie sesión en vSphere Web Client, acceda a Inicio (Home) > Redes y seguridad (Networking & Security) > NSX Edge.
  2. Haga clic en Agregar (Add) y, a continuación, haga clic en Puerta de enlace de servicios Edge (Edge Services Gateway).
  3. Introduzca el nombre, la descripción y otros detalles de la ESG.
    Opción Descripción
    Nombre (Name)

    Introduzca un nombre para la ESG con el que quiera que aparezca en el inventario de vCenter.

    Asegúrese de que este nombre sea único en todas las ESG de un solo arrendatario.

    Nombre del host (Host Name)

    Opcional. Introduzca un nombre de host que desea mostrar para esta ESG en la CLI.

    Si no introduce un nombre de host, la interfaz de línea de comandos muestra el identificador de Edge que se crea automáticamente.

    Descripción Opcional. Escriba una descripción de la ESG.
    Implementar NSX Edge (Deploy NSX Edge)

    Opcional. Seleccione esta opción para crear una máquina virtual de Dispositivo NSX Edge.

    Si no selecciona esta opción, la ESG no funcionará hasta que se implemente una máquina virtual.

    Alta disponibilidad (High Availability)

    Opcional. Seleccione esta opción para habilitar y configurar la alta disponibilidad en la ESG.

    • Si necesita ejecutar servicios con estado en una ESG, como equilibrador de carga, NAT, DHCP, entre otros, puede habilitar HA en la instancia de Edge. HA ayuda a minimizar el tiempo de conmutación por error a una instancia de Edge en espera cuando se produce un error en una instancia de Edge activa. Al habilitar HA, se implementará una instancia de Edge independiente en un host diferente de un clúster. Por lo tanto, debe asegurarse de tener suficientes recursos en su entorno.
    • Si no ejecuta servicios con estado en la ESG, y la ESG se utiliza solo para el enrutamiento de norte a sur, se recomienda habilitar ECMP. ECMP utiliza un protocolo de enrutamiento dinámico para aprender el salto siguiente hacia un destino final y converger durante los errores.

      La configuración de ECMP puede aumentar significativamente el ancho de banda redistribuyendo la carga del tráfico en varias rutas de acceso y proporcionando tolerancia a errores para las rutas de acceso con errores. En esta configuración, la interrupción del plano de datos se limita solo a un subconjunto del tráfico. También tiene la opción de habilitar HA en cada ESG para proporcionar una conmutación por error más rápida en lugar de depender de vSphere HA. En una configuración ECMP, también debe asegurarse de tener suficientes recursos en su entorno.

      Puede habilitar ECMP en la instancia de Edge mientras se ejecuta la configuración de enrutamiento global y no al implementar la instancia de Edge en la red.

  4. Especifique la configuración de CLI y otras opciones de la ESG.
    Opción Descripción
    Nombre de usuario (User Name) Introduzca un nombre de usuario que desee usar para iniciar sesión en la CLI del Edge.
    Contraseña (Password) Introduzca una contraseña que tenga, al menos, 12 caracteres y que cumpla las siguientes reglas:
    • No debe superar los 255 caracteres
    • Al menos una letra mayúscula y una letra minúscula
    • Al menos un número
    • Al menos un carácter especial
    • No debe incluir el nombre de usuario como subcadena
    • Un carácter no debe repetirse 3 o más veces
    Confirmar contraseña Vuelva a introducir la contraseña para confirmarla.
    Acceso SSH (SSH access)

    Opcional. Habilite el acceso SSH al Edge. De forma predeterminada, el acceso SSH está deshabilitado.

    Normalmente, se recomienda emplear el acceso a SSH para solucionar problemas.

    Modo FIPS (FIPS mode)

    Opcional. De forma predeterminada, el modo FIPS está deshabilitado.

    Al habilitar el modo FIPS, cualquier comunicación segura desde o hacia NSX Edge utiliza algoritmos o protocolos criptográficos permitidos por FIPS.

    Generación automática de reglas (Auto rule generation)

    Opcional. De forma predeterminada, esta opción está habilitada. Esta opción permite la creación automática de reglas de firewall, NAT y la configuración del enrutamiento, que controla el tráfico para ciertos servicios de NSX Edge, como el equilibrio de carga y la VPN.

    Si deshabilita la generación automática de reglas, debe agregar manualmente estas reglas y configuraciones. La generación automática de reglas no crea reglas para tráfico de canal de datos.

    Registro del nivel de control de Edge (Edge control level logging) Opcional. De forma predeterminada, el nivel de registro es info.
  5. Configure la implementación de Dispositivo NSX Edge.
    1. Seleccione el tamaño del dispositivo de acuerdo a su entorno.
      Tamaño del dispositivo (Appliance Size) Descripción
      Compacto

      Solo es apropiado para entornos de validación técnica o de laboratorio.

      Grande

      Proporciona más CPU, memoria y espacio en disco que la opción Compacto (Compact), y admite una mayor cantidad de componentes de usuarios VPN SSL-Plus simultáneos.

      Tamaño cuádruple

      Es el idóneo si necesita un rendimiento elevado y una velocidad de conexión elevada.

      Extra grande

      Ideal para entornos que tienen un equilibrador de carga con millones de sesiones simultáneas.

      Consulte Requisitos del sistema de NSX Data Center for vSphere para conocer los recursos necesarios según el tamaño del dispositivo.

    2. Agregue Dispositivo NSX Edge y especifique los detalles del recurso para la implementación de la máquina virtual.
      Por ejemplo:
      Opción Valor
      Grupo de recursos y clústeres Administración y Edge
      Almacén de datos ds-1
      Host esxmgt-01a.corp.local
      Reserva de recursos Sistema gestionado

      Para obtener más información sobre la reserva de recursos, consulte "Administrar reservas de recursos de dispositivos NSX Edge" en la Guía de administración de NSX.

      Si habilitó HA, puede agregar dos dispositivos. Si agrega un solo dispositivo, NSX Edge replica su configuración para el dispositivo en espera. Para que HA funcione correctamente, debe implementar los dos dispositivos en un almacén de datos compartido.

  6. Configure las interfaces de la ESG.
    1. Especifique el nombre, el tipo y otra información básica de las interfaces.
      Opción Descripción
      Nombre (Name)

      Introduzca un nombre para la interfaz.

      Tipo (Type)

      Seleccione Interno (Internal) o Vínculo superior (Uplink). Para que funcione la alta disponibilidad, un dispositivo Edge debe tener, al menos, una interfaz interna.

      Conectada a

      Seleccione el grupo de puertos o el conmutador lógico al que desea conectar esta interfaz.

    2. Configure las subredes de la interfaz.
      Opción Descripción
      Dirección IP principal (Primary IP Address)

      En una ESG, se admiten las direcciones IPv4 e IPv6. Una interfaz puede tener varias subredes no superpuestas, varias direcciones IP secundarias y una dirección IP principal.

      Si introduce más de una dirección IP para la interfaz, puede seleccionar la dirección IP principal.

      Solo se permite una dirección IP principal por interfaz y Edge usa la dirección IP principal como la dirección de origen para el tráfico generado de forma local, por ejemplo, syslog remotos y pings iniciados por los operadores.

      Direcciones IP secundarias (Secondary IP Addresses)

      Introduzca la dirección IP secundaria. Use una lista separada por comas para introducir direcciones IP.

      Longitud de prefijo de subred (Subnet Prefix Length)

      Introduzca la máscara de subred de la interfaz.

    3. Especifique las siguientes opciones para la interfaz.
      Opción Descripción
      Direcciones MAC (MAC Addresses)

      Opcional. Puede introducir una dirección MAC para cada interfaz.

      Si cambia la dirección MAC más tarde mediante una llamada de API, tendrá que volver a implementar el dispositivo Edge.

      MTU

      El valor predeterminado del vínculo superior y la interfaz interna es 1500. Para la interfaz troncal, el valor predeterminado es 1600. Si es necesario, puede modificar el valor predeterminado. Para las subinterfaces del tronco, el valor predeterminado es 1500. Asegúrese de que la MTU de la interfaz troncal sea igual o superior que la MTU de la subinterfaz.

      ARP de proxy (Proxy ARP)

      Seleccione esta opción si desea que la ESG responda a las solicitudes de ARP dirigidas a otras máquinas virtuales.

      Esta opción es útil, por ejemplo, cuando tiene la misma subred en ambos lados de una conexión WAN.

      Enviar redirección de ICMP (Send ICMP Redirect) Seleccione esta opción si desea que la ESG transmita información de enrutamiento a los hosts.
      Invertir filtro de ruta de acceso (Reverse Path Filter)

      De forma predeterminada, esta opción está habilitada. Cuando lo está, verifica la posibilidad de alcance de la dirección de origen en los paquetes que se reenvían.

      En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador puede utilizar para reenviar el paquete de retorno.

      En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

      Parámetros de contención

      Configure parámetros de contención si desea volver a utilizar las direcciones IP y MAC en diferentes entornos contenidos.

      Por ejemplo, en una Cloud Management Platform (CMP), la contención permite ejecutar varias instancias de nube simultáneas con las mismas direcciones IP y MAC aisladas o “contenidas”.

      La siguiente tabla muestra un ejemplo de dos interfaces de NSX Edge. La interfaz de vínculo superior conecta la ESG al exterior a través de un grupo de puertos de vínculo superior en vSphere Distributed Switch. La interfaz interna conecta la ESG a un conmutador de tránsito lógico al que también está conectado un enrutador lógico distribuido.
      Tabla 1. Ejemplo: Interfaces de NSX Edge
      N.º de vNIC Nombre (Name) Dirección IP Longitud de prefijo de subred (Subnet Prefix Length) Conectada a
      0 Enlace ascendente 192.168.100.30 24 Mgmt_VDS-HQ_Uplink
      1 Interno 192.168.10.1* 29 conmutador de tránsito
      Importante: NSX 6.4.4 y versiones anteriores admiten una única interfaz de vínculo superior de la ESG. A partir de NSX 6.4.5, se admite la multidifusión en un máximo de dos interfaces de vínculo superior de la ESG. Para implementar varios vCenter, si utiliza NSX Edge 6.4.4 o versiones anteriores, puede habilitar la multidifusión solo en una interfaz de vínculo superior. Si desea habilitar la multidifusión en dos interfaces de vínculo superior, debe actualizar Edge a la versión 6.4.5 u otra posterior.
  7. Configure las opciones de la puerta de enlace predeterminada.
    Por ejemplo:
    Opción Valor
    vNIC Enlace ascendente
    IP de puerta de enlace (Gateway IP) 192.168.100.2
    MTU 1.500
    Nota: Puede editar el valor de MTU, pero este no puede ser mayor que el valor de MTU configurado en la interfaz.
  8. Configure la directiva de firewall predeterminada.
    Precaución: Si no configura la directiva de firewall, se establece la directiva predeterminada para denegar todo el tráfico. Sin embargo, el firewall está habilitado de forma predeterminada en la ESG durante la implementación.
  9. Configure el registro de ESG y los parámetros de HA.
    1. Habilite o deshabilite el registro en Dispositivo NSX Edge.

      De forma predeterminada, los registros están habilitados en todos los dispositivos NSX Edge nuevos. El nivel de registro predeterminado es Info. Si los registros se almacenan de forma local en la ESG, es posible que el proceso de registro genere demasiados registros y afecte al rendimiento de NSX Edge. Por este motivo, le recomendamos que configure los servidores syslog remotos y reenvíe los registros a un recopilador centralizado para que se analicen y se supervisen.

    2. Si habilitó la alta disponibilidad, complete los siguientes parámetros de HA.
      Opción Descripción
      vNIC

      Seleccione la interfaz interna en la que desee configurar parámetros de HA. De forma predeterminada, HA selecciona automáticamente una interfaz interna y asigna automáticamente direcciones IP de vínculos locales.

      Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero no hay interfaces internas configuradas, la interfaz de usuario mostrará un error. Se crean dos dispositivos Edge, pero como no hay ninguna interfaz interna configurada, el NSX Edge nuevo permanece en espera y se deshabilita HA. Una vez que se configura una interfaz interna, HA se vuelve a habilitar en el dispositivo NSX Edge.

      Declarar tiempo de inactividad (Declare dead time)

      Escriba el período en segundos dentro del cual, si el dispositivo de copia de seguridad no recibe una señal de latido del dispositivo principal, este se considera inactivo y el dispositivo de copia de seguridad lo reemplaza.

      El intervalo predeterminado es 15 segundos.

      IP de administración (Management IPs)

      Opcional: puede introducir dos direcciones IP de administración en formato CIDR para anular las direcciones IP de vínculo locales asignadas a las máquinas virtuales con HA.

      Asegúrese de que las direcciones IP de administración no se superpongan con las direcciones IP utilizadas para ninguna otra interfaz, y que no interfieran con el enrutamiento de tráfico. No utilice una dirección IP que exista en otro lugar de la red, aunque esa red no esté conectada directamente al dispositivo.

      Las direcciones IP de administración deben estar en la misma Capa 2/subred y deben poder comunicarse entre sí.

  10. Revise toda la configuración de la ESG antes de implementar el dispositivo.

Resultados

Después de implementar ESG, vaya a la vista Hosts y clústeres (Hosts and Clusters) y abra la consola del dispositivo virtual NSX Edge. Desde la consola, compruebe que pueda hacer ping en las interfaces conectadas.

Qué hacer a continuación

Cuando instale un Dispositivo NSX Edge, NSX habilita el encendido o apagado automático de la máquina virtual en el host si vSphere HA está deshabilitado en el clúster. Si posteriormente las máquinas virtuales del dispositivo se migran a otros hosts en el clúster, es posible que los hosts nuevos no tengan habilitada la opción de encendido/apagado automático de la máquina virtual. Por este motivo, cuando instale dispositivos NSX Edge en clústeres que tienen vSphere HA deshabilitado, debe comprobar todos los hosts del clúster para asegurarse de que la opción de encendido o apagado automático de las máquinas virtuales esté habilitada. Consulte la sección sobre cómo editar la configuración de encendido y apagado de la máquina Virtual en Administrar máquinas virtuales de vSphere.

Ahora puede configurar el enrutamiento para permitir la conectividad de los dispositivos externos a las máquinas virtuales.