NSX Edge se puede instalar mediante inicio ISO, OVA/OVF o PXE. Independientemente del método de instalación, asegúrese de que la red del host esté preparada antes de instalar NSX Edge.

Vista de alto nivel de NSX Edge dentro de una zona de transporte

Los nodos de NSX Edge son dispositivos de servicio con grupos de capacidad dedicados a la ejecución de servicios de red que no pueden distribuirse a los hipervisores. Los nodos de Edge se pueden ver como contenedores vacíos cuando se implementan por primera vez.

Figura 1. Descripción general de alto nivel de NSX Edge

Un nodo de NSX Edge es el dispositivo que proporciona NIC físicas para conectarse a la infraestructura física. Entre estas características se incluyen:

  • Conectividad a la infraestructura física

  • NAT

  • Servidor DHCP

  • Proxy de metadatos

  • Firewall de Edge

Cuando se configura uno de estos servicios o se define un vínculo superior en el enrutador lógico para conectarse a la infraestructura física, se crea una instancia de SR en el nodo NSX Edge. El nodo NSX Edge también es un nodo de transporte, justo como los nodos informáticos de NSX-T Data Center, y de forma similar al nodo informático, NSX Edge se puede conectar a más de una zona de transporte: una para superposición y otra para el emparejamiento norte-sur con dispositivos externos. Hay dos zonas de transporte en NSX Edge:

Zona de transporte superpuesta: Cualquier tráfico originado en una máquina virtual que participe en el dominio NSX-T Data Center puede necesitar acceder a redes o dispositivos externos. Por lo general, esto se describe como tráfico externo norte-sur. El nodo de NSX Edge es responsable de desencapsular el tráfico de superposición recibido de los nodos informáticos, así como de la encapsulación del tráfico enviado a los nodos informáticos.

Zona de transporte de VLAN: Además de la función de encapsular o desencapsular tráfico, los nodos de NSX Edge también necesitan una zona de transporte de VLAN para proporcionar conectividad de vínculo superior a la infraestructura física.

De manera predeterminada, los vínculos entre el SR y el DR utilizan la subred 169.254.0.0/28. Estos vínculos de tránsito entre enrutadores se crean automáticamente al implementar un enrutador lógico de nivel 0 o 1. No tiene que configurar ni modificar la configuración de vínculo salvo que ya se esté utilizando la subred 169.254.0.0/28 en su implementación. En un enrutador lógico de nivel 1, el SR solo está presente si selecciona una instancia de NSX Edge al crear el enrutador lógico de nivel 1.

El espacio de dirección predeterminado asignado a las conexiones de nivel 0 a nivel 1 es 100.64.0.0/10. A cada conexión del mismo nivel de nivel 0 a nivel 1 se le proporciona una subred /31 dentro del espacio de direcciones 100.64.0.0/10. Este vínculo se crea de forma automática al crear un enrutador de nivel 1 y conectarlo a un enrutador de nivel 0. No tiene que configurar ni modificar las interfaces de este vínculo salvo que ya se esté utilizando la subred 100.64.0.0/10 en su implementación.

Todas las implementaciones de NSX-T Data Center tienen un clúster de plano de administración (MP) y un clúster de plano de control (CCP). El MP y el CCP insertan configuraciones en el plano de control local (LCP) de cada zona de transporte. Cuando un host o NSX Edge se une al plano de administración, el agente del plano de administración (MPA) establece la conectividad con el host o NSX Edge, y el host o NSX Edge se convierten en un nodo de tejido de NSX-T Data Center. Cuando el nodo de tejido se agrega a continuación como un nodo de transporte, se establece la conectividad del LCP con el host o NSX Edge.

Por último, la descripción general de alto nivel de la figura NSX Edge muestra un ejemplo de dos NIC físicas (pNIC1 y pNIC2) que se conectan para proporcionar una alta disponibilidad. La ruta de datos administra las NIC físicas. Pueden servir como vínculos superiores de VLAN a una red externa o como vínculos de endpoints de túnel a redes de máquinas virtuales (VM) internas administradas por NSX-T Data Center.

Una práctica recomendada es asignar al menos dos vínculos físicos a cada NSX Edge que se implementa como una máquina virtual. De forma opcional, puede solapar los grupos de puertos en la misma pNIC utilizando distintos ID de VLAN. El primer vínculo de red se utiliza para la administración. Por ejemplo, en una VM de NSX Edge, el primer vínculo hallado podría ser vnic1.

En una instalación sin sistema operativo, el primer vínculo hallado podría ser eth0 o em0. Los vínculos restantes se utilizan para los vínculos superiores y túneles. Por ejemplo, uno podría ser para un endpoint de túnel utilizado por las VM administradas por NSX-T Data Center. El otro podría utilizarse para un vínculo superior de NSX Edge a TOR externo.

Para ver la información del vínculo físico de NSX Edge, inicie sesión en la CLI como administrador y ejecute los comandos get interfaces y get physical-ports. En la API, puede utilizar la llamada API GET fabric/nodes/<edge-node-id>/network/interfaces.

Independientemente de que instale NSX Edge como un dispositivo de VM o sin sistema operativo, dispone de varias opciones para configurar la red en función de la implementación que lleve a cabo.

Zonas de transporte y N-VDS

Las zonas de transporte controlan el alcance de las redes de Capa 2 en NSX-T Data Center. N-VDS es un conmutador de software que se crea en un nodo de transporte. El componente principal implicado en el plano de datos de los nodos de transporte es el N-VDS. El N-VDS reenvía tráfico entre los componentes que se ejecutan en el nodo de transporte (por ejemplo, entre máquinas virtuales o entre componentes internos y la red física). En el último caso, el N-VDS debe poseer una o varias interfaces físicas (PNIC) en el nodo de transporte. Al igual que ocurre con otros conmutadores virtuales, un N-VDS no puede compartir una interfaz física con otro N-VDS. Puede coexistir con otro N-VDS cuando se utiliza un conjunto independiente de PNIC.

Hay dos tipos de zonas de transporte:

  • Superposición para tunelización interna de NSX-T Data Center entre los nodos de transporte.

  • VLAN para vínculos superiores externos a NSX-T Data Center.

Puede hacer esto si quiere que cada NSX Edge tenga solamente un N-VDS. Otra opción de diseño consiste en que el NSX Edge pertenezca a varias zonas de transporte VLAN, una para cada vínculo superior.

La opción de diseño más común está compuesta por tres zonas de transporte: una zona de transporte superpuesta y dos zonas de transporte VLAN para vínculos superiores redundantes.

Para obtener más información sobre las zonas de transporte, consulte Acerca de las zonas de transporte.

Redes de NSX Edge de dispositivos virtuales/VM

Una máquina virtual NSX Edge tiene cuatro interfaces internas: eth0, fp-eth0, fp-eth1 y fp-eth2. Eth0 está reservada para la administración, mientras que el resto de las interfaces se asignan a DPDK FastPath. Estas interfaces se asignan para vínculos superiores a conmutadores TOR y para la tunelización superpuesta de NSX-T Data Center. La asignación de interfaz es flexible para el vínculo superior o la superposición. Como ejemplo, fp-eth0 podría asignarse al tráfico de superposición con fp-eth1, fp-eth2, o ambos para el tráfico de vínculo superior.

En el conmutador distribuido de vSphere o el conmutador estándar de vSphere, debe asignar al menos dos vmnics a NSX Edge para redundancia.

En la siguiente topología física de ejemplo, eth0 se utiliza para la red de administración, se utiliza fp-eth0 para el tráfico de superposición de NSX-T Data Center, fp-eth1 para el vínculo superior de VLAN, y fp-eth2 no se utiliza. Si no se utiliza fp-eth2, debe desconectarlo.

Figura 2. Una configuración recomendada de vínculo para redes de VM de NSX Edge

El NSX Edge que se muestra en este ejemplo pertenece a dos zonas de transporte (una de superposición y otra de VLAN) y, por lo tanto, tiene dos N-VDS, uno para el túnel y otro para el tráfico de enlaces ascendentes.

Esta captura de pantalla muestra los grupos de puertos de máquinas virtuales, el túnel de NSX y el vínculo superior de VLAN.

Durante la implementación debe especificar los nombres de red que se corresponden con los nombres configurados en sus grupos de puertos de VM. Por ejemplo, para que se correspondan con los grupos de puertos de VM del ejemplo, su configuración de ovftool de red puede ser tal como se indica a continuación si utilizase la ovftool para implementar NSX Edge:

--net:"Network 0-Mgmt" --net:"Network 1-nsx-tunnel" --net:"Network 2=vlan-uplink"

El ejemplo mostrado aquí utiliza los nombres de grupos de puertos de VM Mgmt, nsx-tunnel y vlan-uplink. Puede utilizar el nombre que quiera para sus grupos de puertos de VM.

Por ejemplo, en un vSwitch estándar, los puertos troncales se configuran de la siguiente manera: Host > Configuración > Redes > Agregar redes > Máquina virtual > ID VLAN todos (4095).

La máquina virtual de NSX Edge puede instalarse en el conmutador distribuido de vSphere o en el conmutador estándar de vSphere.

La VM de NSX Edge puede instalarse en un host preparado para NSX-T Data Center y configurado como un nodo de transporte. Existen dos tipos de implementación:

  • La VM de NSX Edge puede implementarse mediante grupos de puertos VSS/VDS donde VSS/VDS consumen pNIC independiente en el host. El nodo de transporte del host consume pNIC independientes para los N-VDS instalados en el host. El N-VDS del nodo de transporte del host coexiste con un VSS o VDS, que consumen ambos pNIC independientes. El TEP (endpoint de túnel) del host y el TEP de NSX Edge pueden estar en la misma subred o en subredes diferentes.

  • La VM de NSX Edge puede implementarse mediante conmutadores lógicos respaldados por VLAN en el N-VDS del nodo de transporte del host. El TEP del host y el TEP de NSX Edge deben estar en subredes diferentes.

Se pueden instalar varias máquinas virtuales de NSX Edge en un único host aprovechando los mismos grupos de puertos de superposición, de VLAN y de administración.

Para una máquina virtual de NSX Edge implementada en un host ESXi con vSphere y sin N-VDS, debe hacer lo siguiente:

  • Habilita la transmisión falsificada para el servidor DHCP que se ejecuta en esta instancia de NSX Edge.

  • Habilitar el modo promiscuo para que la máquina virtual de NSX Edge reciba paquetes de unidifusión desconocidos porque el aprendizaje de direcciones MAC está deshabilitado de forma predeterminada. Esto no es necesario para vDS 6.6 y versiones posteriores, ya que tienen el aprendizaje de direcciones MAC habilitado de forma predeterminada.

Redes de NSX Edge sin sistema operativo

NSX Edge sin sistema operativo de NSX-T Data Center se ejecuta en un servidor físico y se instala con un archivo ISO o un arranque de PXE. Se recomiendan las instancias de NSX Edge sin sistema operativo en entornos de producción en los que se necesitan servicios como NAT, firewall y equilibrador de carga además del reenvío de unidifusión de capa 3. Una instancia de NSX Edge sin sistema operativo es diferente del factor de forma de máquina virtual de NSX Edge en términos de rendimiento. Proporciona convergencia en subsegundos, conmutación por error más rápida y mayor capacidad de proceso.

Cuando se instala un nodo de NSX Edge sin sistema operativo, se conserva una interfaz dedicada para la administración. Si se desea conseguir redundancia, se pueden utilizar dos NIC para una alta disponibilidad del plano de administración. Estas interfaces de administración también pueden ser 1G.

El nodo de NSX Edge sin sistema operativo admite un máximo de 8 NIC físicas para tráfico de superposición y tráfico de vínculo superior con conmutadores TOR. Para cada una de estas 8 NIC físicas en el servidor, se crea una interfaz interna que sigue el esquema de nomenclatura "fp-ethX". Estas interfaces internas se asignan a DPDK FastPath. Existe una flexibilidad completa en la asignación de interfaces fp-eth para la conectividad de superposición o de vínculo superior.

En la siguiente topología física de ejemplo, se asocian y utilizan fp-eth0 y fp-eth1 para el túnel superpuesto de NSX-T Data Center. fp-eth2 y fp-eth3 se utilizan como vínculos superiores de VLAN a las TOR.

Figura 3. Una configuración recomendada de vínculo para redes de NSX Edge sin sistema operativo