Para la introspección de red este-oeste, cree un segmento de servicio y una zona de transporte superpuesta. Sin embargo, puede realizar una copia de seguridad de los demás segmentos o conmutadores lógicos de una zona de transporte de VLAN.

La introspección de red este-oeste se aplica a una implementación de NSX-T Data Center completa. Se puede implementar el servicio a nivel de clúster o en cada host.

Se admiten varios métodos de implementación. Uno de ellos es la implementación basada en host. El tipo de implementación decide dónde se ejecutarán las máquinas virtuales de servicio para un servicio en particular. Sin embargo, independientemente del tipo de implementación, todas las cargas de trabajo de introspección de red este-oeste pueden acceder a las máquinas virtuales de servicio. Por ejemplo, una carga de trabajo que se ejecuta en el clúster A puede utilizar una máquina virtual de servicio que se ejecute en el clúster B si no hay una alternativa mejor. Por lo tanto, seleccionar una implementación basada en clúster no limita la introspección de red este-oeste a ese clúster.

Aunque tenga pensado hacer una implementación usando solo segmentos respaldados por VLAN, el tráfico este-oeste pasará por las zonas de transporte superpuestas y los segmentos respaldados por superposición. La introspección de red este-oeste se aplica a todos los segmentos de la topología, independientemente de si están respaldados por zonas de transporte superpuestas o de VLAN.

Requisitos de introspección de red este-oeste

  • Solo tráfico IPv4.
  • Asegúrese de que los nodos de transporte que alojan máquinas virtuales invitadas y las máquinas virtuales de servicio estén configurados con una zona de transporte superpuesta. Una zona de transporte superpuesta es un requisito para utilizar la introspección de red este-oeste en todos los nodos de transporte del sistema.
  • Cree un segmento de servicio respaldado por superposición que utilizará el servicio de introspección de red este-oeste.

  • Todos los segmentos deben estar respaldados por el mismo conmutador de host en cada host.

  • Si una máquina virtual invitada que se ejecuta en un host ESXi está conectada a un segmento de VLAN, pero ese host ESXi no está configurado en una zona de transporte superpuesta, se interrumpirá el tráfico destinado a una máquina virtual de servicio. Una configuración de este tipo también puede provocar que el tráfico se enrute a un agujero negro.

vMotion de máquinas virtuales invitadas

Durante una migración con vMotion, la máquina virtual invitada puede migrarse correctamente a otro host solo si el host de destino está configurado con una zona de transporte superpuesta y hay un solo conmutador de host. Sin embargo, si no hay ninguna zona de transporte superpuesta en la que se cree el segmento de servicio o si hay varios conmutadores de host configurados, la NIC virtual de la máquina virtual invitada pasará al estado desconectado incluso después de vMotion.

vMotion de máquinas virtuales de servicio

  • Implementaciones de SVM basadas en host: NSX no admite el uso de vMotion con máquinas virtuales de servicio (SVM) implementadas en hosts individuales.

  • Implementaciones de SVM basadas en clústeres: a pesar de que NSX permite el uso de vMotion con SVM en una implementación de SVM basada en clústeres, no inicie vMotion con SVM para evitar la pérdida de tráfico.

Entornos no compatibles

  • Tráfico IPv6.
  • Se configuran algunos nodos de transporte para la zona de transporte de VLAN, mientras que los hosts restantes se configuran para zonas de transporte VLAN y GENEVE (superposición). Asegúrese de que todos los nodos de transporte estén configurados para las zonas de transporte VLAN y GENEVE (superposición).
  • El tráfico que sale de una NIC virtual de máquina virtual invitada lleva la etiqueta de VLAN .1q.
  • Puerto troncal (que puede transportar varias VLAN de la máquina virtual invitada) respaldado por máquinas virtuales invitadas.
  • Cualquier topología que implique varios conmutadores de host no admite la introspección de red este-oeste.

Se aprovisiona un segmento respaldado por superposición (respaldado por GENEVE) para su uso interno por parte de la introspección de red este-oeste. En la interfaz de usuario de NSX Manager, vaya a Seguridad → Configuración de introspección de red Segmento de servicio.

Clases de tráfico admitidas

  • Unidifusión de capa 3 (IPv4)
  • Multidifusión de capa 3 (IPv4)
  • Difusión de capa 3 (IPv4)
  • Capa 3 (sin IP) (por ejemplo, tráfico de IPSec y GRE)