Puede instalar varios dispositivos virtuales de puertas de enlace de servicios NSX Edge en un centro de datos. Cada dispositivo virtual NSX Edge puede tener un total de diez interfaces de red de internas y de vínculo superior. Las interfaces internas se conectan a grupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtuales protegidas del grupo de puertos. La subred asignada a la interfaz interna puede ser una dirección IP enrutada públicamente o un espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican sobre el tráfico entre interfaces.

Por qué y cuándo se efectúa esta tarea

Las interfaces de vínculo superior de una ESG se conectan a grupos de puertos de vínculo superior que tienen acceso a una red compartida de la empresa o a un servicio que ofrece redes de capa de acceso.

En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculo superior) en la ESG:

  • DHCP: no se admite en la interfaz de vínculo superior.

  • Reenviador de DNS: no se admite en la interfaz de vínculo superior.

  • HA: no se admite en la interfaz de vínculo superior, requiere al menos una interfaz interna.

  • VPN SSL: la dirección IP del agente de escucha debe pertenecer a la interfaz de vínculo superior.

  • VPN IPsec: la dirección IP del sitio local debe pertenecer a la interfaz de vínculo superior.

  • VPN de capa 2: solo las redes internas pueden ampliarse.

En la siguiente imagen se muestra una topología de ejemplo con una interfaz de vínculo superior de ESG conectada a la infraestructura física mediante el conmutador distribuido de vSphere, y la interfaz interna de ESG conectada a un enrutador lógico de NSX mediante un conmutador de tránsito lógico de NSX.

Pueden configurarse varias direcciones IP para equilibrio de carga, VPN de sitio a sitio y servicios de NAT.

Importante:

Si habilita High Availability en NSX Edge en un entorno de Cross-vCenter NSX, los dispositivos NSX Edge activos y en espera deben residir en el mismo vCenter Server. Si migra uno de los miembros de un par HA de NSX Edge a un sistema de vCenter Server diferente, los dos dispositivos de HA dejarán de funcionar como un par HA, y es posible que se interrumpa el tráfico.

Requisitos

  • Se le debe haber asignado la función de administrador de Enterprise o administrador de NSX.

  • Compruebe que el grupo de recursos tenga capacidad suficiente para implementar el dispositivo virtual de la puerta de enlace de servicios Edge (edge services gateway, ESG) . Consulte Requisitos del sistema para NSX.

  • Compruebe que los clústeres de host en los que se instalará el dispositivo NSX Edge se instalarán y preparará para NSX. Consulte cómo preparar el clúster del host para NSX (Prepare the Host Cluster for NSX) en Guía de instalación de NSX.

Procedimiento

  1. En vCenter, desplácese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking & Security > NSX Edges) y haga clic en el icono Agregar (Add) (agregar).
  2. Seleccione Puerta de enlace de servicios Edge (Edge Services Gateway) y escriba un nombre para el dispositivo.

    Este nombre aparece en el inventario de vCenter. El nombre debe ser único en todas las ESG de un mismo arrendatario.

    De manera opcional, también puede introducir un nombre de host. Este nombre aparece en la interfaz de línea de comandos. Si no especifica un nombre de host, la interfaz de línea de comandos muestra el identificador de Edge, que se crea automáticamente.

    De manera opcional, puede introducir una descripción y un arrendatario, y habilitar High Availability.

    Por ejemplo:

  3. Escriba y vuelva a escribir una contraseña para ESG.

    La contraseña debe tener al menos 12 caracteres y cumplir con al menos 3 de las siguientes 4 reglas:

    • Al menos una letra en mayúscula

    • Al menos una letra en minúscula

    • Al menos un número

    • Al menos un carácter especial

  4. (Opcional) : Habilite SSH, High Availability, generación automática de reglas y el modo FIPS y establezca el nivel de registro.

    Si no habilita la generación automática de reglas, debe agregar manualmente la configuración de firewall, NAT y enrutamiento para permitir el control de tráfico para ciertos servicios NSX Edge, incluidos el equilibrio de carga y VPN. La generación automática de reglas no crea reglas para tráfico de canal de datos.

    De forma predeterminada, las opciones SSH y High Availability están deshabilitadas, y la generación automática de reglas está habilitada.

    De forma predeterminada, el modo FIPS está deshabilitado.

    De forma predeterminada, el registro está en nivel de emergencia.

    Por ejemplo:

  5. Seleccione el tamaño de la instancia NSX Edge en función de los recursos del sistema.

    La opción Large NSX Edge tiene más CPU, memoria y espacio en disco que la opción Compact NSX Edge, y admite una mayor cantidad de componentes de usuarios VPN SSL-Plus simultáneos. La opción X-Large NSX Edge es ideal para entornos que tienen un equilibrador de carga con millones de sesiones simultáneas. La opción Quad Large NSX Edge se recomienda cuando es necesaria una gran capacidad de proceso y requiere una alta velocidad de conexión.

    Consulte Requisitos del sistema para NSX.

  6. Cree un dispositivo Edge.

    Introduzca la configuración del dispositivo virtual de la ESG que se agregará al inventario de vCenter. Si no agrega un dispositivo al instalar NSX Edge, NSX Edge permanece en modo sin conexión hasta que se agrega un dispositivo.

    Si habilitó HA, puede agregar dos dispositivos. Si agrega un solo dispositivo, NSX Edge replica su configuración para el dispositivo en espera y garantiza que las dos máquinas virtuales NSX Edge con HA no estén en el mismo host ESX incluso después de utilizar DRS y vMotion (a menos que la migre manualmente con vMotion al mismo host). Para que HA funcione correctamente, debe implementar los dos dispositivos en un almacén de datos compartido.

    Por ejemplo:

  7. Seleccione Implementar NSX Edge (Deploy NSX Edge) y agregue el dispositivo Edge en un modo implementado. Debe configurar dispositivos e interfaces para el dispositivo Edge para poder implementarlo.
  8. Configure las interfaces.

    En ESG, se admiten las direcciones IPv4 e IPv6.

    Debe agregar al menos una interfaz interna para que HA funcione.

    Una interfaz puede tener varias subredes no superpuestas.

    Si introduce más de una dirección IP para una interfaz, puede seleccionar la dirección IP principal. Un interfaz puede tener una dirección IP principal y varias secundarias. NSX Edge considera la dirección IP principal como la dirección de origen para el tráfico generado localmente, por ejemplo, servidores de Syslog remotos y pings iniciados por el operador.

    Debe agregar una dirección IP con una interfaz antes de utilizarla en cualquier configuración de características.

    De manera opcional, puede introducir la dirección MAC de la interfaz.

    Si cambia la dirección MAC más tarde mediante una llamada API, tendrá que volver a implementar el dispositivo edge.

    Si HA está habilitado, puede introducir dos direcciones IP de administración en formato CIDR si lo desea. Los latidos de las dos máquinas virtuales NSX Edge con HA se comunican por medio de estas direcciones IP de administración. Las direcciones IP de administración deben estar en la misma Capa 2/subred y poder comunicarse entre sí.

    De manera opcional, puede modificar la MTU.

    Habilite el ARP de proxy si desea permitir que la ESG responda a las solicitudes de ARP dirigidas a otras máquinas. Esto es útil, por ejemplo, cuando tiene la misma subred en ambos lados de una conexión WAN.

    Habilite la redirección de ICMP para transmitir la información de enrutamiento a los hosts.

    Habilite el filtrado inverso de rutas para comprobar la posibilidad de conexión de la dirección de origen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador utilizaría para reenviar el paquete de retorno. En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

    Configure parámetros de contención si desea volver a utilizar las direcciones IP y MAC en diferentes entornos contenidos. Por ejemplo, en una Cloud Management Platform (CMP), la contención permite ejecutar varias instancias de nube simultáneas con las mismas direcciones IP y MAC completamente aisladas o “contenidas”.

    Por ejemplo:

    En el siguiente ejemplo se muestran dos interfaces: una conecta la ESG con el mundo exterior mediante un grupo de puertos de vínculo superior en un conmutador distribuido de vSphere, mientras que la otra conecta la ESG a un conmutador lógico de tránsito al cual también está conectado un enrutador lógico distribuido.

  9. Configure una puerta de enlace predeterminada.

    Puede editar el valor de MTU, pero este no puede ser mayor que el valor de MTU configurado en la interfaz.

    Por ejemplo:

  10. Configure la directiva de firewall, el registro y los parámetros de HA.
    PRECAUCIÓN:

    Si no configura la directiva de firewall, se establece la directiva predeterminada para denegar todo el tráfico.

    De forma predeterminada, los registros están habilitados en todos los dispositivos NSX Edge nuevos. El nivel de registro predeterminado es NOTICE (ATENCIÓN). Si los registros se almacenan de forma local en la ESG, es posible que el proceso de registro genere demasiados registros y afecte al rendimiento de NSX Edge. Por este motivo, le recomendamos que configure los servidores syslog remotos y reenvíe los registros a un recopilador centralizado para que se analicen y se supervisen.

    Si habilitó High Availability, complete la sección HA. De forma predeterminada, HA selecciona automáticamente una interfaz interna y asigna automáticamente direcciones IP de vínculo locales. NSX Edge admite dos máquinas virtuales para High Availability, que permanecen actualizadas con configuraciones del usuario. Si se produce un error de latido en la máquina virtual principal, el estado de la máquina virtual secundaria cambia a activo. De esa manera, una máquina virtual NSX Edge siempre está activa en la red. NSX Edge replica la configuración del dispositivo principal para el dispositivo en espera y garantiza que las dos máquinas virtuales NSX Edge con HA no estén en el mismo host ESX, incluso después de utilizar DRS y vMotion. En vCenter, se implementan dos máquinas virtuales en el mismo grupo de recursos y almacén de datos que el dispositivo configurado. Se asignan direcciones IP de vínculo locales a máquinas virtuales con HA en NSX Edge HA para que puedan comunicarse entre sí. Seleccione la interfaz interna para la cual desea configurar parámetros de HA. Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero no hay interfaces internas configuradas, la interfaz de usuario mostrará un error. Se crean dos dispositivos Edge, pero como no hay una interfaz interna configurada, el dispositivo Edge nuevo permanece en espera y se deshabilita HA. Una vez que se configura una interfaz interna, HA se vuelve a habilitar en el dispositivo Edge. Escriba el período en segundos dentro del cual, si el dispositivo de copia de seguridad no recibe una señal de latido del dispositivo principal, este se considera inactivo y el dispositivo de copia de seguridad lo reemplaza. El intervalo predeterminado es 15 segundos. De manera opcional, puede introducir dos direcciones IP de administración en formato CIDR para anular las direcciones IP de vínculo locales asignadas a las máquinas virtuales con HA. Asegúrese de que las direcciones IP de administración no se superpongan con las direcciones IP utilizadas para ninguna otra interfaz, y que no interfieran con el enrutamiento de tráfico. No debe utilizar una dirección IP que exista en otro lugar de la red, ni siquiera si esa red no está conectada directamente con NSX Edge.

    Por ejemplo:

Resultados

Después de implementar ESG, vaya a la vista Hosts y clústeres (Hosts and Clusters) y abra la consola del dispositivo virtual Edge. Desde la consola, compruebe si puede hacer ping en las interfaces conectadas.

Qué hacer a continuación

Cuando instale un dispositivo NSX Edge, NSX habilita el encendido/apagado automático de la máquina virtual en el host si vSphere HA está deshabilitado en el clúster. Si posteriormente las máquinas virtuales del dispositivo se migran a otros hosts en el clúster, es posible que los hosts nuevos no tengan habilitada la opción de encendido/apagado automático de la máquina virtual. Por este motivo, VMware recomienda que cuando instale dispositivos NSX Edge en clústeres que tienen vSphere deshabilitado, debe comprobar todos los hosts del clúster para asegurarse de que la opción de encendido/apagado automático esté habilitada. Consulte la sección sobre cómo editar la configuración de encendido y apagado de la máquina Virtual en Administrar máquinas virtuales de vSphere.

Ahora puede configurar el enrutamiento para permitir la conectividad de los dispositivos externos a las máquinas virtuales.