Primero debe configurar la infraestructura y, a continuación, configurar el entorno para la seguridad de puerta de enlace.

1. Implementar nodo de transporte de NSX Edge

Primero debe implementar el nodo de transporte de NSX Edge.

Requisitos previos

Ha implementado NSX Manager y ha configurado las licencias válidas.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión con privilegios de usuario admin en NSX Manager.
  2. Seleccione Sistema > Tejido > Nodos > Nodos de transporte de Edge > Agregar nodo de Edge.

    Agrear nodo de transporte de Edge

  3. Introduzca un nombre para NSX Edge.
  4. Escriba el nombre de host o el FQDN de vCenter Server.
  5. Seleccione el factor de forma para el dispositivo de máquina virtual de NSX Edge.
  6. Para personalizar la CPU y la memoria asignadas a un dispositivo de máquina virtual de NSX Edge, ajuste los siguientes parámetros. Sin embargo, para tener el dispositivo de máquina virtual de NSX Edge al máximo rendimiento, debe tener asignado el 100 % de los recursos disponibles.
    Precaución: Si personaliza los recursos asignados a la máquina virtual de NSX Edge, vuelva a configurar la reserva al 100 % más adelante para obtener el máximo rendimiento.
    Opción Descripción
    Reserva de memoria (%)

    El porcentaje de reserva es relativo al valor predefinido en el factor de forma.

    100 indica que el 100 % de memoria está reservado para la máquina virtual de NSX Edge.

    Si introduce 50, indicará que el 50 % de la memoria asignada está reservado para el nodo de transporte de Edge.
    Prioridad de reserva de CPU Seleccione el número de recursos compartidos que se asignarán a una máquina virtual de NSX Edge relativa a otras máquinas virtuales que están compitiendo por recursos compartidos.
    Los siguientes recursos compartidos son para una máquina virtual de NSX Edge en un factor de forma mediano:
    • Bajo: 2000 recursos compartidos
    • Normal: 4000 recursos compartidos
    • Alto: 8000 recursos compartidos
    • Extraalto: 10000 recursos compartidos
    Reserva de CPU (MHz)
    Precaución: A menos que necesite un control detallado sobre las reservas de la CPU, no utilice este campo. En su lugar, cambie las reservas de CPU en el campo Prioridad de reserva de CPU.

    El valor de reserva de CPU máximo no debe superar la cantidad de vCPU multiplicada por la tasa de operaciones de CPU normal del núcleo de la CPU física.

    Si el valor de MHz introducido supera la capacidad máxima de CPU de los núcleos de CPU físicos, es posible que la máquina virtual de NSX Edge no se inicie aunque se acepte la asignación.

    Por ejemplo, supongamos que tiene un sistema con dos CPU Intel Xeon E5-2630. En cada CPU suponga que hay diez núcleos que se ejecutan a 2,20 GHz. La asignación de CPU máxima para una máquina virtual configurada con dos vCPU es de 2 x 2200 MHz = 4400 MHz. Si la reserva de CPU se especifica como 8000 MHz, la reconfiguración de la máquina virtual se completará correctamente. Sin embargo, la máquina virtual no se encenderá.
  7. Introduzca la siguiente información en la ventana Credenciales:
    • Especifique la CLI y las contraseñas root de NSX Edge. Sus contraseñas deben cumplir las restricciones de seguridad para contraseñas.
      • Al menos 12 caracteres
      • Al menos una letra en minúsculas
      • Al menos una letra en mayúsculas
      • Al menos un dígito
      • Al menos un carácter especial
      • Al menos cinco caracteres distintos
      • Sin palabras del diccionario
      • Sin palíndromos
      • No se admiten más de cuatro secuencias de caracteres monotónicos.
    • Para habilitar SSH para un administrador, active el botón Permitir el inicio de sesión SSH.
    • Para habilitar SSH para un usuario root, active el botón Permitir el inicio de sesión SSH de raíz.
    • Introduzca las credenciales de la función Usuario audit. Si no introduce las credenciales en la sección Credenciales del usuario audit, la función del usuario audit permanecerá deshabilitada.
      Nota: Después de implementar el nodo de NSX Edge, no podrá cambiar la configuración de SSH de un usuario root establecida durante la implementación. Por ejemplo, no se puede habilitar SSH para un usuario root si se ha deshabilitado durante la implementación.
  8. Introduzca los detalles de NSX Edge.
    Opción Descripción
    Administrador de equipo Seleccione el administrador de equipos en el menú desplegable.

    El administrador de equipos es el vCenter Server registrado en el Plano de administración.

    Clúster Designe el clúster al que se va a unir NSX Edge en el menú desplegable.
    Grupo de recursos o host Asigne un grupo de recursos o un host específico a NSX Edge en el menú desplegable.
    Almacén de datos Seleccione un almacén de datos para los archivos de NSX Edge en el menú desplegable.
  9. Introduzca los detalles de la interfaz de NSX Edge.
    Opción Descripción
    Asignación de IP

    Se trata de la dirección IP asignada al nodo de NSX Edge que debe establecer comunicación con NSX Manager y NSX Controller.

    Seleccione DHCP o IP estática.
    Si selecciona Estática, introduzca los siguientes valores:
    • IP de administración: introduzca la dirección IP de NSX Edge en notación CIDR.
    • Puerta de enlace predeterminada: introduzca la dirección IP de la puerta de enlace de NSX Edge.
    Interfaz de administración En el menú desplegable, seleccione la interfaz que se conecta a la red de administración de NSX Edge. Debe poder acceder a esta interfaz desde NSX Manager, o bien debe ser la misma interfaz de administración que en NSX Manager y NSX Controller.

    La interfaz de administración de NSX Edge establece comunicación con la interfaz de administración de NSX Manager.

    La interfaz de administración de NSX Edge está conectada a segmentos o grupos de puertos distribuidos.
    Buscar nombres de dominio Introduzca los nombres de dominio con el formato 'ejemplo.com' o introduzca una dirección IP.
    Servidores DNS Introduzca la dirección IP del servidor DNS.
    Servidores NTP Introduzca la dirección IP del servidor NTP.
  10. Introduzca la información del N-VDS.
    Opción Descripción
    Nombre del conmutador de Edge Introduzca un nombre para el conmutador.
    Zona de transporte Seleccione las zonas de transporte a las que corresponde este nodo de transporte. Un nodo de transporte de NSX Edge corresponde al menos a dos zonas de transporte, una superposición para la conectividad de NSX-T Data Center y una red VLAN para la conectividad de vínculo superior.
    Nota: Los nodos de NSX Edge admiten varios túneles de superposición (multi-TEP) cuando se cumplen los siguientes requisitos previos:
    • La configuración de TEP debe realizarse en un único N-VDS.
    • Todos los TEP deben utilizar la misma VLAN de transporte para el tráfico superpuesto.
    • Todas las IP de TEP deben estar en la misma subred y utilizar la misma puerta de enlace predeterminada.
    Perfil de vínculo superior Seleccione el perfil de vínculo superior en el menú desplegable.

    Los vínculos superiores disponibles dependen de la configuración del perfil de vínculo superior seleccionado.
    Asignación de IP (TEP)

    La dirección IP se asigna al conmutador de NSX Edge que esté configurado. Se utiliza como endpoint de túnel de NSX Edge.

    Seleccione Usar grupo de direcciones IP o Usar lista de direcciones IP estáticas para el N-VDS superpuesto.
    • Si selecciona Usar lista de direcciones IP estáticas, especifique los siguientes valores:
      • Lista de direcciones IP estáticas: introduzca una lista de direcciones IP separadas por comas que deba utilizar NSX Edge.
      • Puerta de enlace: introduzca la puerta de enlace predeterminada del TEP, que se utiliza para enrutar paquetes de otro TEP en otra red. Por ejemplo, el TEP ESXi se encuentra en 20.20.20.0/24 y los TEP NSX Edge se encuentran en 10.10.10.0/24, por lo que utilizamos la puerta de enlace predeterminada para enrutar paquetes entre estas redes.
      • Máscara de subred: introduzca la máscara de subred de la red de TEP utilizada en NSX Edge.
    • Si seleccionó Usar grupo de direcciones IP (Use IP Pool) para la asignación de direcciones IP, especifique el nombre del grupo de direcciones IP.

    Interfaces de fastpath de DPDK o NIC virtuales Seleccione la interfaz de ruta de datos que sea un enlace troncal del grupo de puertos distribuidos o un enlace de segmentos como la interfaz de vínculo superior.
    Nota: Si el perfil de vínculo superior aplicado al nodo de NSX Edge utiliza una directiva de formación de equipos con nombre, asegúrese de que se cumplan las siguientes condiciones:
    • Todos los vínculos superiores de la directiva de formación de equipos predeterminada deben estar asignados a las interfaces de red física correspondientes de la máquina virtual de Edge para que el tráfico fluya a través de un conmutador lógico que use las directivas de formación de equipos con nombre.

    A partir de NSX Data Center 3.2.1, puede configurar un máximo de cuatro interfaces de ruta de acceso de datos únicas como vínculos superiores en una máquina virtual de NSX Edge.

    Al asignar vínculos superiores a interfaces de Fastpath de DPDK, si NSX Edge no muestra todas las interfaces disponibles (cuatro en total), significa que la interfaz adicional aún no se agregó a la máquina virtual NSX Edge o que el perfil de vínculo superior tiene menos de vínculos superiores.

    Para las máquinas virtuales de NSX Edge actualizadas desde una versión anterior a NSX-T Data Center a la versión 3.2.1 o posterior, invoque la llamada de API de reimplementación para volver a implementar la máquina virtual de NSX Edge. La invocación de la API de reimplementación garantiza que la máquina virtual de NSX Edge implementada reconozca todas las interfaces de ruta de datos disponibles en la interfaz de usuario de NSX Manager. Asegúrese de que el perfil de vínculo superior esté configurado correctamente para utilizar la NIC de ruta de datos adicional.

    • Para las instancias de NSX Edge implementadas automáticamente, llame a la API de reimplementación.
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • Para las instancias de Edge implementadas manualmente, implemente una nueva máquina virtual de NSX Edge. Asegúrese de que todas las personalizaciones de VMX de la máquina virtual de NSX Edge anterior también se realicen para la nueva máquina virtual de NSX Edge.

    La ejecución de vMotion en una máquina virtual de NSX Edge puede provocar que la máquina virtual de NSX Edge entre en estado de error o que el adaptador de red adicional no se pueda habilitar debido a problemas de búfer de memoria. Para solucionar problemas relacionados con la memoria al realizar una operación de vMotion en una máquina virtual de NSX Edge, consulte https://kb.vmware.com/s/article/76387.
    Nota:
    • No se admite el perfil de LLDP en un dispositivo de máquina virtual de NSX Edge.
    • Las interfaces de vínculo superior se muestran como Interfaces de fastpath de DPDK si NSX Edge se instala con NSX Manager o en un servidor sin sistema operativo.
    • Las interfaces de vínculo superior se muestran como NIC virtuales si NSX Edge se instala manualmente con vCenter Server.
  11. Puede ver el estado de conexión en la página Nodos de transporte (Transport Nodes).
    Después de agregar NSX Edge como nodo de transporte, el estado de conexión cambiará a Activo en unos 10-12 minutos.

1.1: Aprovisionar clúster de NSX Edge

Debe tener dos nodos de Edge en un clúster de Edge para obtener alta disponibilidad.

Procedimiento

  1. Agregue el clúster de Edge. Vaya a Sistema > Tejido > Nodos > Clústeres de Edge y haga clic en Agregar clúster de Edge.
  2. En el cuadro de texto Nombre, introduzca un nombre para el clúster de Edge. Por ejemplo, Edge-cluster-1.
  3. Mueva el nodo de Edge creado (Edge-1) de la ventana Disponible a la ventana Seleccionado y haga clic en Agregar.

2. Crear una puerta de enlace de nivel 0 o nivel 1

Según su caso, cree una puerta de enlace de nivel 1 o nivel 0.

Procedimiento

  1. Para agregar una puerta de enlace:
    • Para agregar una puerta de enlace de nivel 0: en la interfaz de usuario de NSX Manager, haga clic en Redes > Puertas de enlace de nivel 0 > Agregar puerta de enlace > Nivel 0.

      Agregar una puerta de enlace de nivel 0

    • Para agregar una puerta de enlace de nivel 1: en la interfaz de usuario de NSX Manager, haga clic en Redes > Puertas de enlace de nivel 1 > Agregar puerta de enlace > Nivel 1.
  2. Proporcione la siguiente información.
    Nombre Introduzca el nombre de la puerta de enlace. Por ejemplo, T0-gateway-1.
    Clúster de Edge Seleccione el clúster de Edge creado. Por ejemplo, Edge-cluster-1.
  3. Haga clic en Guardar.

    Para obtener más información, consulte Guía de administración de NSX-T Data Center.

3. Crear interfaces en la puerta de enlace de nivel 0 o nivel 1

La puerta de enlace de NSX tiene diferentes tipos de interfaz. Según la topología de la red, puede seleccionar las interfaces necesarias para conectarse a la red y proporcionar un firewall para el tráfico que pasa a través de la puerta de enlace.

Diagrama que muestra los diferentes tipos de interfaz de la puerta de enlace de NSX.

Interfaces externas de nivel 0:

  • Se conecta al enrutador físico para la conectividad externa
  • Esta interfaz se crea en los segmentos de VLAN en la puerta de enlace de nivel 0

Interfaces de vínculo superior de nivel 1:

  • Se conecta a gier-0
  • El sistema crea esta interfaz cuando el nivel 1 se conecta al nivel 0

Interfaz de servicio:

  • Se utiliza para proporcionar servicios de NSX-T (GFW y otros) a cargas de trabajo de VLAN no administradas por NSX
  • Se conecta al segmento de VLAN
  • Compatible con nivel 0 y nivel 1

Interfaz de enlace descendente:

  • Interfaz de segmento superpuesto en la puerta de enlace
  • Compatible con nivel 0 y nivel 1
  • No se admite GFW
El firewall de puerta de enlace se puede utilizar principalmente para dos escenarios en función de cómo se conectan las cargas de trabajo a la red:
  • Cargas de trabajo conectadas a VLAN
  • La superposición de red de NSX segmenta las cargas de trabajo conectadas

Cada uno de estos escenarios sigue pasos ligeramente diferentes para crear las interfaces de red, como se describe más adelante en esta sección.

3.1: Crear interfaz de firewall de puerta de enlace de NSX-T para cargas de trabajo conectadas a VLAN

Debe realizar los siguientes pasos para configurar el entorno.

  1. Cree un segmento de VLAN en NSX-T.
    1. En NSX Manager, haga clic en Redes > Segmentos > Agregar segmento.
    2. Proporcione la siguiente información.
      Nombre del segmento Introduzca el nombre del segmento. Por ejemplo, VLAN-100.
      Zona de transporte Seleccione la zona de transporte predeterminada para el tráfico de VLAN. Por ejemplo, nsx-vlan-transportzone.
      VLAN Introduzca 100.
    3. Haga clic en Guardar.
  2. Cree una interfaz de servicio en la puerta de enlace de nivel 0 o nivel 1.
    1. En NSX Manager, haga clic en Redes > Puertas de enlace de nivel 1 Agregar puerta de enlace > Nivel 1.
    2. Edite la puerta de enlace creada. Por ejemplo, T1-gateway-1.
    3. En Interfaces de servicio, haga clic en Establecer.
    4. Haga clic en Agregar interfaz.
    5. Proporcione la siguiente información.
      Nombre Introduzca el nombre de la interfaz. Por ejemplo, SI-VLAN-100.
      Dirección/máscara IP Introduzca una dirección IP. Por ejemplo, 192.168.50.12/24.
      Conectado a (segmento) Seleccione el segmento configurado. Por ejemplo,VLAN-100.
    6. Haga clic en Guardar.

    Cree más interfaces de servicio en función de los requisitos de red.

    En el nivel 0, tiene la opción de crear una interfaz externa o una interfaz de servicio basada en el requisito de conectividad. Si se crea una interfaz externa, debe crear una interfaz externa por instancia de Edge, que forma parte del clúster de Edge.

    Como parte del flujo de trabajo, seleccione el nodo de Edge para crear esa interfaz, además de los parámetros mencionados.

Para obtener más información, consulte Guía de administración de NSX-T Data Center.

3.2: Crear interfaz de firewall de puerta de enlace de NSX-T para cargas de trabajo de superposición de red

Realice los pasos siguientes.
  1. Cree una puerta de enlace de nivel 1.
    1. Haga clic en Redes > Puertas de enlace de nivel 1 > Agregar puerta de enlace de nivel 1.
    2. Introduzca el nombre de la puerta de enlace de nivel 1. Por ejemplo, PROD-Tier1.

      Agregar puerta de enlace de nivel 1

    3. Seleccione la puerta de enlace de nivel 0 para crear un vínculo superior en el nivel 1.
    4. Seleccione el clúster de Edge para implementar los servicios de puerta de enlace.

      Después de agregar la puerta de enlace de nivel 1, agregue datos

    5. Haga clic en Guardar.
  2. Además, debe crear segmentos superpuestos para conectar cargas de trabajo. Esto creará una interfaz de vínculo inferior en la puerta de enlace y también hará que los segmentos de NSX estén disponibles en ESXi para la conectividad de red con la máquina virtual.
    1. Haga clic en Redes > Segmentos > NSX > Agregar segmento.

      Agregar segmento

    2. Proporcione la siguiente información.
      Nombre Introduzca el nombre del segmento. Por ejemplo, LS1.1.
      Conectividad Seleccione la puerta de enlace de nivel 1 configurada. Por ejemplo, T1-Tenant1.
      Zona de transporte Seleccione la zona de transporte predeterminada para el tráfico de superposición. Por ejemplo, nsx-overlay-transportzone.
      Subredes (Subnets) Introduzca la subred requerida. Por ejemplo, 10.x.x.1/24.
    3. Haga clic en Guardar.
  3. Validar que el segmento de superposición configurado está disponible en vCenter Server. En vCenter Server, vaya a Host y clústeres y valide las máquinas virtuales que se crearon y se conectaron al segmento de superposición configurado.

Para obtener más información, consulte Guía de instalación de NSX-T Data Center.