El subsistema de enrutamiento de NSX se habilita mediante varios componentes.

  • NSX Manager

  • Clúster de controladoras

  • Módulos del host ESXi (kernel y UWA)

  • Máquinas virtuales de control de DLR

  • ESGs

NSX Manager

NSX Manager proporciona las siguientes funciones relevantes para el enrutamiento de NSX:

  • Actúa como un plano de administración centralizada que proporciona el punto de acceso de API unificado de todas las operaciones de administración de NSX

  • Instala los agentes del ámbito del usuario y el módulo kernel de enrutamiento distribuido en los hosts para prepararlos para las funciones de NSX

  • Crea o destruye los LIF de DLR y los DLR

  • Implementa o elimina la máquina virtual de control de DLR a través de vCenter

  • Configura el clúster de la controladora a través de los hosts y la API de REST mediante un bus de mensajería:

    • Proporciona agentes de plano de control del host con las direcciones IP de las controladoras

    • Genera y distribuye los certificados a los hosts y las controladoras para proteger las comunicaciones de plano de control

  • Configura ESGs y máquinas virtuales de control de DLR a través del bus de mensajería

    • Tenga en cuenta que las ESG pueden implementarse en hosts no preparados, en cuyo caso VIX se utilizará en lugar del bus de mensajería

Clúster de controladoras

El enrutamiento distribuido de NSX necesita controladoras integrados en un clúster para escalarlos y para que estén disponibles. Estos proporcionan las siguientes funciones:

  • Admitir el plano de control de enrutamiento lógico y el VXLAN

  • Proporcionar la interfaz CLI para los estados del tiempo de ejecución y las estadísticas

  • Elegir un nodo de la controladora principal para cada instancia de DLR

    • El nodo principal recibe la información de enrutamiento de la máquina virtual de control de DLR y la distribuye a los hosts

    • Envía la tabla de LIF a los hosts

    • Realiza un seguimiento del host en el que se encuentra la máquina virtual de control de DLR

    • Selecciona la instancia designada para los LIF de VLAN y comunica esta información a los hosts. Supervisa el host de DI a través de los keepalive del plano de control (el tiempo de espera es de 30 segundos y el tiempo de detección oscila entre 20 y 40 segundos). Envía una actualización a los hosts si el host de DI desaparece

Módulos del host ESXi

El enrutamiento de NSX utiliza directamente dos agentes del ámbito del usuario (UWA) y un módulo kernel de enrutamiento. Se basa en el módulo kernel de VXLAN para la conectividad VXLAN.

A continuación le indicamos un resumen de las funciones de cada uno de estos componentes:

  • El agente del plano de control (netcpa) es un cliente TCP (SSL) que se comunica con la controladora a través del protocolo del plano de control. Puede conectarse a varias controladoras. netcpa se comunica con el cliente del bus de mensajería (vsfwd) para recuperar la información relacionada con el plano de control de NSX Manager.

  • Implementación y empaquetado de netcpa:

    • El agente se empaqueta en el VIB de VXLAN (paquete de instalación de vSphere)

    • NSX Manager lo instala a través de EAM (ESX Agent Manager) durante la preparación del host

    • Se ejecuta como un demonio de servicio en netcpa ESXi

    • Se puede iniciar, detener o consultar a través de su script de inicio /etc/init.d/netcpad

    • Se puede reiniciar de forma remota a través de Instalación de interfaz de usuario de Networking and Security (Networking and Security UI Installation) -> Preparación del host (Host Preparation) -> Estado de instalación (Installation Status) en los hosts individuales o en un clúster completo

  • El módulo kernel DLR (vdrb) se integra con el DVS para habilitar el reenvío de Capa 3

    • Configurado por netcpa

    • Se instala como parte de la implementación del VIB de VXLAN

    • Se conecta al DVS a través de un tronco especial denominado "vdrPort", que admite redes VLAN y VXLAN

    • Contiene la siguiente información para cada instancia de DLR:

      • Tablas de rutas y LIF

      • Caché de ARP local del host

  • Las máquinas virtuales de control de DLR, las ESG y netcpa utilizan el cliente del bus de mensajería (vsfwd) para comunicarse con NSX Manager

    • vsfwd obtiene la dirección IP de NSX Manager de /UserVars/RmqIpAddress que establece vCenter a través de vpxa o hosd e inicia sesión en el servidor del bus de mensajería con las credenciales por host que se almacenan en otras variables de /UserVars/RmqIpAddress

  • netcpa que se ejecuta en un host ESXi se basa en vsfwd para hacer lo siguiente:

    • Obtener el certificado y la clave privada SSL del plano de control del host de NSX Manager. Estas se almacenan en /etc/vmware/ssl/rui-for-netcpa.*

    • Obtener las huellas digitales SSL y las direcciones IP de las controladoras de NSX Manager. Estas se almacenan a continuación en /etc/vmware/netcpa/config-by-vsm.xml.

    • Crear y eliminar instancias de DLR en sus hosts según las instrucciones de NSX Manager

  • Empaquetado e implementación

    • Al igual que netcpa, es parte del VIB de VXLAN.

    • Se ejecuta como un demonio de servicio en vsfwd de ESXi.

    • Se puede iniciar, detener o consultar a través de su script de inicio /etc/init.d/ vShield-Stateful-Firewall

  • Las máquinas virtuales de control de DLR y las ESG utilizan el canal VMCI a vsfwd para recibir la configuración de NSX Manager

ESGs y máquinas virtuales de control de DLR

  • La máquina virtual de control de DLR es un "procesador de rutas" para su instancia de DLR

    • Tiene interfaces de un "vNIC real" o un "marcador de posición" para cada LIF de DLR junto con la configuración de IP

    • Puede ejecutar uno o dos protocolos de enrutamiento dinámico disponibles (BGP o OSPF) y/o utilizar rutas estáticas

    • Necesita al menos un LIF de "enlace de subida" para poder ejecutar OSPF o BGP

    • Calcula la tabla de reenvío de las rutas dinámicas y estáticas y las subredes conectadas directamente (LIF) y las envía a la controladora principal de la instancia de DLR a través de su vínculo de MCI a netcpa

    • Admite HA en la configuración par de la máquina virtual en espera o activa

  • La ESG es un enrutador independiente de una máquina virtual

    • Es completamente independiente del subsistema de enrutamiento del DLR de NSX (no hay integración del plano de control de NSX)

    • Se suele utilizar como una puerta de enlace ascendente para uno o varios DLR

    • Admite más de un protocolo de enrutamiento dinámico en ejecución simultánea