Primero debe configurar la infraestructura y, a continuación, configurar el entorno para la seguridad de puerta de enlace.

1. Implementar nodo de transporte de NSX Edge

Primero debe implementar el nodo de transporte de NSX Edge.

Requisitos previos

Ha implementado NSX Manager y ha configurado las licencias válidas.

Procedimiento

  1. En un navegador, inicie sesión en NSX Manager con privilegios de administrador en https://<dirección-ip-nsx-manager> o https://<fqdn-nsx-manager>.
  2. Seleccione Sistema > Tejido > Nodos > Nodos de transporte de Edge > Agregar nodo de Edge.

    Agrear nodo de transporte de Edge

  3. Introduzca un nombre para NSX Edge.
  4. Escriba el nombre de host o el FQDN con el formato subdominio.ejemplo.com desde VMware vCenter.
  5. Seleccione el formato para el dispositivo de máquina virtual de NSX Edge.
  6. Para personalizar la CPU y la memoria asignadas a un dispositivo de máquina virtual de NSX Edge, ajuste los siguientes parámetros. Sin embargo, para tener el dispositivo de máquina virtual de NSX Edge al máximo rendimiento, debe tener asignado el 100 % de los recursos disponibles.
    Precaución: Si personaliza los recursos asignados a la máquina virtual de NSX Edge, vuelva a configurar la reserva al 100 % más adelante para obtener el máximo rendimiento.
    Opción Descripción
    Reserva de memoria (%)

    El porcentaje de reserva es relativo al valor predefinido en el formato.

    100 indica que el 100 % de memoria está reservado para la máquina virtual de NSX Edge.
    Si introduce 50, indicará que el 50 % de la memoria asignada está reservado para el nodo de transporte de Edge.
    Nota: Si desea utilizar interfaces de ruta de datos de máquina virtual de NSX Edge en modo UPT, reserve el 100 % de la memoria asignada para el nodo de transporte de NSX Edge.
    Prioridad de reserva de CPU Seleccione el número de recursos compartidos que se asignarán a una máquina virtual de NSX Edge relativa a otras máquinas virtuales que están compitiendo por recursos compartidos.
    Los siguientes recursos compartidos son para una máquina virtual de NSX Edge en un formato mediano:
    • Bajo: 2000 recursos compartidos
    • Normal: 4000 recursos compartidos
    • Alto: 8000 recursos compartidos
    • Extraalto: 10000 recursos compartidos
    Reserva de CPU (MHz)
    Precaución: A menos que necesite un control detallado sobre las reservas de la CPU, no utilice este campo. En su lugar, cambie las reservas de CPU en el campo Prioridad de reserva de CPU.

    El valor de reserva de CPU máximo no debe superar la cantidad de vCPU multiplicada por la tasa de operaciones de CPU normal del núcleo de la CPU física.

    Si el valor de MHz introducido supera la capacidad máxima de CPU de los núcleos de CPU físicos, es posible que la máquina virtual de NSX Edge no se inicie aunque se acepte la asignación.

    Por ejemplo, supongamos que tiene un sistema con dos CPU Intel Xeon E5-2630. En cada CPU suponga que hay diez núcleos que se ejecutan a 2,20 GHz. La asignación de CPU máxima para una máquina virtual configurada con dos vCPU es de 2 x 2200 MHz = 4400 MHz. Si la reserva de CPU se especifica como 8000 MHz, la reconfiguración de la máquina virtual se completará correctamente. Sin embargo, la máquina virtual no se encenderá.
  7. Introduzca la siguiente información en la ventana Credenciales:
    • Especifique la CLI y las contraseñas root de NSX Edge. Sus contraseñas deben cumplir las restricciones de seguridad para contraseñas.
      • Al menos 12 caracteres
      • Al menos una letra en minúsculas
      • Al menos una letra en mayúsculas
      • Al menos un dígito
      • Al menos un carácter especial
      • Al menos cinco caracteres distintos
      • Sin palabras del diccionario
      • Sin palíndromos
      • No se admiten más de cuatro secuencias de caracteres monotónicos.
    • Para habilitar SSH para un administrador, active el botón Permitir el inicio de sesión SSH.
    • Para habilitar SSH para un usuario root, active el botón Permitir el inicio de sesión SSH de raíz.
    • Introduzca las credenciales de la función Usuario audit. Si no introduce las credenciales en la sección Credenciales del usuario audit, la función del usuario audit permanecerá deshabilitada.
      Nota: Después de implementar el nodo de NSX Edge, no podrá cambiar la configuración de SSH de un usuario root establecida durante la implementación. Por ejemplo, no se puede habilitar SSH para un usuario root si se ha deshabilitado durante la implementación.
  8. Introduzca los detalles de NSX Edge.
    Opción Descripción
    Administrador de equipo Seleccione el administrador de equipos en el menú desplegable.

    El administrador de equipos es el VMware vCenter registrado en el Plano de administración.

    Clúster Designe el clúster al que se va a unir NSX Edge en el menú desplegable.
    Grupo de recursos o host Asigne un grupo de recursos o un host específico a NSX Edge en el menú desplegable.
    Almacén de datos Seleccione un almacén de datos para los archivos de NSX Edge en el menú desplegable.
  9. Introduzca los detalles de la interfaz de administración de NSX Edge.
    Opción Descripción
    Asignación de IP de administración

    Esto especifica la versión de IP que se utiliza para la dirección IP asignada al nodo de NSX Edge, que es necesario para comunicarse con NSX Manager y NSX Controller.

    Seleccione Solo IPv4 o IPv4 e IPv6.

    • Si selecciona solo IPv4, seleccione DHCP o Estática para la IP.

      Si selecciona Estática, introduzca los siguientes valores:
      • IP de administración: introduzca la dirección IP de NSX Edge en notación CIDR.
      • Puerta de enlace predeterminada: introduzca la dirección IP de la puerta de enlace de NSX Edge.
    • Si selecciona IPv4 e IPv6, introduzca los siguientes valores:
      • IP de administración: introduzca la dirección IP de NSX Edge en notación CIDR.
      • Puerta de enlace predeterminada: introduzca la dirección IP de la puerta de enlace de NSX Edge.
    Interfaz de administración En el menú desplegable, seleccione la interfaz que se conecta a la red de administración de NSX Edge. Debe poder acceder a esta interfaz desde NSX Manager, o bien debe ser la misma interfaz de administración que en NSX Manager y NSX Controller.

    La interfaz de administración de NSX Edge establece comunicación con la interfaz de administración de NSX Manager.

    La interfaz de administración de NSX Edge está conectada a segmentos o grupos de puertos distribuidos.
    Buscar nombres de dominio Introduzca los nombres de dominio con el formato 'ejemplo.com' o introduzca una dirección IP.
    Servidores DNS Introduzca la dirección IP del servidor DNS.
    Servidores NTP Introduzca la dirección IP o el FQDN del servidor NTP.

    Habilitar el modo UPT para la interfaz de ruta de datos

    		 Habilite el modo de acceso directo uniforme (UPT) en interfaces de ruta de datos de NSX Edge para tener acceso directo de E/S o acceso directo al adaptador de red virtual. Mejora el rendimiento general del nodo de NSX Edge.
    Antes de habilitar este campo, asegúrese de lo siguiente:
    • La versión de hardware de NSX Edge debe ser la 20 (vmx-20) o una posterior. La versión de hardware anterior no admite el modo UPT.
    • La versión del host ESXidebe ser la 8.0 o una posterior.
    Precaución: Para que la configuración de UPT sea efectiva en adaptadores de red virtuales de máquina virtual de NSX Edge , NSX Manager pone la máquina virtual de NSX Edge en modo de mantenimiento, la apaga y vuelve a encenderla.
  10. Introduzca la información del N-VDS.

    Tenga en cuenta estos puntos antes de configurar las vNIC de los nodos de NSX Edge:

    Un conmutador N-VDS se aloja en la máquina virtual del nodo de Edge con cuatro vNIC de ruta rápida y una vNIC de administración.

    • Una vNIC está dedicada al tráfico de administración.
    • Una vNIC está dedicada al tráfico superpuesto (interfaz de fastpath de DPDK fp-eth0).
    • Dos vNIC están dedicadas al tráfico externo (interfaces de fastpath de DPDK fp-eth1 y fp-eth2).
    Opción Descripción
    Nombre del conmutador de Edge Introduzca un nombre para el conmutador o mantenga el nombre predeterminado.
    Zona de transporte Seleccione las zonas de transporte a las que corresponde este nodo de transporte. Un nodo de transporte de NSX Edge corresponde al menos a dos zonas de transporte, una superposición para la conectividad de NSX y una red VLAN para la conectividad de vínculo superior.
    Nota: Los nodos de NSX Edge admiten varios túneles de superposición (multi-TEP) cuando se cumplen los siguientes requisitos previos:
    • La configuración de TEP debe realizarse en un único N-VDS.
    • Todos los TEP deben utilizar la misma VLAN de transporte para el tráfico superpuesto.
    • Todas las IP de TEP deben estar en la misma subred y utilizar la misma puerta de enlace predeterminada.
    Perfil de vínculo superior Seleccione el perfil de vínculo superior en el menú desplegable. Los vínculos superiores disponibles dependen de la configuración del perfil de vínculo superior seleccionado.
    Nota: NSX Edge no admite perfiles de vínculo superior configurados con varios vínculos superiores activos o vínculos superiores configurados con vínculos superiores en espera.
    Tipo de dirección IP (TEP) Seleccione la versión de IP que se utilizará para el endpoint de túnel (TEP). Las opciones son IPv4 e IPv6.
    Importante: Asegúrese de que el modo de reenvío del nodo de transporte y el tipo de dirección IP de TEP sean iguales. Por ejemplo, si el modo de reenvío del nodo de transporte se establece en IPv6, establezca el tipo de dirección IP de TEP en IPv6. Si son diferentes, se puede producir una pérdida de tráfico.
    Asignación IPv4 (TEP)

    Este campo aparece cuando Tipo de dirección IP (TEP) se establece en IPv4.

    Elija cómo se asignarán las direcciones IPv4 al conmutador de NSX Edge que está configurado. Se utiliza como endpoint de túnel de NSX Edge. Las opciones son:

    • Usar grupo de direcciones IP: seleccione el grupo de IPv4.
    • Usar lista de direcciones IPv4 estáticas: especifique los siguientes campos:
      • Lista de direcciones IP estáticas: introduzca una lista de direcciones IPv4 separadas por comas que deba utilizar NSX Edge.
      • Puerta de enlace IPv4: introduzca la puerta de enlace predeterminada del TEP, que se utiliza para enrutar paquetes de otro TEP en otra red. Por ejemplo, el TEP ESXi se encuentra en 20.20.20.0/24 y los TEP NSX Edge se encuentran en 10.10.10.0/24, por lo que utilizamos la puerta de enlace predeterminada para enrutar paquetes entre estas redes.
      • Máscara de subred IPv4: introduzca la máscara de subred de la red de TEP utilizada en NSX Edge.
    Asignación IPv6 (TEP)

    Este campo aparece cuando Tipo de dirección IP (TEP) se establece en IPv6.

    Elija cómo se asignarán las direcciones IPv6 al conmutador de NSX Edge que está configurado. Se utiliza como endpoint de túnel de NSX Edge. Las opciones son:

    • Usar grupo de direcciones IP: seleccione el grupo de IPv4.
    • Usar lista de direcciones IPv6 estáticas: especifique los siguientes campos:
      • Lista de direcciones IP estáticas: introduzca una lista de direcciones IPv4 separadas por comas que deba utilizar NSX Edge.
      • Puerta de enlace IPv6: introduzca la puerta de enlace predeterminada del TEP, que se utiliza para enrutar paquetes de otro TEP en otra red.
      • Máscara de subred IPv6: introduzca la máscara de subred de la red de TEP utilizada en NSX Edge.
    Interfaces de fastpath de DPDK o NIC virtuales

    Asigne vínculos superiores a interfaces de fastpath de DPDK.

    A partir de NSX 4.0.1, puede asignar vínculos superiores a interfaces de fastpath de DPDK que estén respaldadas por DVPG habilitados para SmartNIC, conmutadores lógicos VLAN o segmentos. El requisito previo es habilitar el modo UPT en adaptadores de red virtuales de máquina virtual de NSX Edge. El modo UPT requiere que al menos una interfaz de DPDK esté respaldada por hardware habilitado para SmartNIC, también conocido como redes respaldadas por unidad de procesamiento de datos (DPU).

    Nota: Si el perfil de vínculo superior aplicado al nodo de NSX Edge utiliza una directiva de formación de equipos con nombre, asegúrese de que se cumplan las siguientes condiciones:
    • Todos los vínculos superiores de la directiva de formación de equipos predeterminada deben estar asignados a las interfaces de red física correspondientes de la máquina virtual de Edge para que el tráfico fluya a través de un conmutador lógico que use las directivas de formación de equipos con nombre. Consulte

    Puede configurar un máximo de cuatro interfaces de ruta de acceso de datos únicas como vínculos superiores en una máquina virtual de NSX Edge.

    Al asignar vínculos superiores a interfaces de Fastpath de DPDK, si NSX Edge no muestra todas las interfaces disponibles (cuatro en total), significa que la interfaz adicional aún no se agregó a la máquina virtual NSX Edge o que el perfil de vínculo superior tiene menos de vínculos superiores.

    Para las máquinas virtuales de NSX Edge actualizadas desde una versión anterior a NSX a la versión 3.2.1 o posterior, invoque la llamada API de reimplementación para volver a implementar la máquina virtual de NSX Edge. La invocación de la API de reimplementación garantiza que la máquina virtual de NSX Edge implementada reconozca todas las interfaces de ruta de datos disponibles en la interfaz de usuario de NSX Manager. Asegúrese de que el perfil de vínculo superior esté configurado correctamente para utilizar la NIC de ruta de datos adicional.

    • Para las instancias de NSX Edge implementadas automáticamente (nodos de Edge implementados desde la API o la interfaz de usuario de NSX Manager), ejecute la API de reimplementación. La siguiente API está obsoleta.
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • Para las instancias de Edge implementadas manualmente (instancias de Edge implementadas mediante un archivo OVA/OVF desde la interfaz de usuario de VMware vCenter), implemente una nueva máquina virtual de NSX Edge. Asegúrese de que todas las personalizaciones de VMX de la máquina virtual de NSX Edge anterior también se realicen para la nueva máquina virtual de NSX Edge.

    La ejecución de vMotion en una máquina virtual de NSX Edge puede provocar que ESXi se quede sin recursos de un grupo de búferes compartido si crea máquinas virtuales de gran tamaño con varias vNIC que usan búferes de anillo de gran tamaño. Para aumentar la profundidad del búfer compartido, modifique el parámetro ShareCOSBufSize en ESXi. Para configurar el tamaño del búfer, consulte https://kb.vmware.com/s/article/76387.
    Nota:
    • No se admite el perfil de LLDP en un dispositivo de máquina virtual de NSX Edge.
    • Las interfaces de vínculo superior se muestran como Interfaces de fastpath de DPDK si NSX Edge se instala con NSX Manager o en un servidor sin sistema operativo.
    • Las interfaces de vínculo superior se muestran como NIC virtuales si NSX Edge se instala manualmente con vCenter Server.
  11. Puede ver el estado de conexión en la página Nodos de transporte (Transport Nodes).
    Después de agregar NSX Edge como nodo de transporte, la página Nodo de transporte mostrará el estado de configuración Correcto y el estado del nodo Activo al cabo de aproximadamente 10-12 minutos.

1.1: Aprovisionar clúster de NSX Edge

Debe tener dos nodos de Edge en un clúster de Edge para obtener alta disponibilidad.

Procedimiento

  1. Agregue el clúster de Edge. Vaya a Sistema > Tejido > Nodos > Clústeres de Edge y haga clic en Agregar clúster de Edge.
  2. En el cuadro de texto Nombre, introduzca un nombre para el clúster de Edge. Por ejemplo, Edge-cluster-1.
  3. Mueva el nodo de Edge creado (Edge-1) de la ventana Disponible a la ventana Seleccionado y haga clic en Agregar.

2. Crear una puerta de enlace de nivel 0 o nivel 1

Según su caso, cree una puerta de enlace de nivel 1 o nivel 0.

Procedimiento

  1. Para agregar una puerta de enlace:
    • Para agregar una puerta de enlace de nivel 0: en la interfaz de usuario de NSX Manager, haga clic en Redes > Puertas de enlace de nivel 0 > Agregar puerta de enlace > Nivel 0.

      Agregar una puerta de enlace de nivel 0

    • Para agregar una puerta de enlace de nivel 1: en la interfaz de usuario de NSX Manager, haga clic en Redes > Puertas de enlace de nivel 1 > Agregar puerta de enlace > Nivel 1.
  2. Proporcione la siguiente información.
    Nombre Introduzca el nombre de la puerta de enlace. Por ejemplo, T0-gateway-1.
    Clúster de Edge Seleccione el clúster de Edge creado. Por ejemplo, Edge-cluster-1.
  3. Haga clic en Guardar.

    Para obtener más información, consulte Guía de administración de NSX.

3. Crear interfaces en la puerta de enlace de nivel 0 o nivel 1

La puerta de enlace de NSX tiene diferentes tipos de interfaz. Según la topología de la red, puede seleccionar las interfaces necesarias para conectarse a la red y proporcionar un firewall para el tráfico que pasa a través de la puerta de enlace.

Diagrama que muestra los diferentes tipos de interfaz de la puerta de enlace de NSX.

Interfaces externas de nivel 0:

  • Se conecta al enrutador físico para la conectividad externa
  • Esta interfaz se crea en los segmentos de VLAN en la puerta de enlace de nivel 0

Interfaces de vínculo superior de nivel 1:

  • Se conecta a gier-0
  • El sistema crea esta interfaz cuando el nivel 1 se conecta al nivel 0

Interfaz de servicio:

  • Se utiliza para proporcionar servicios de NSX (GFW y otros) a cargas de trabajo de VLAN no administradas por NSX
  • Se conecta al segmento de VLAN
  • Compatible con nivel 0 y nivel 1

Interfaz de enlace descendente:

  • Interfaz de segmento superpuesto en la puerta de enlace
  • Compatible con nivel 0 y nivel 1
  • No se admite GFW
El firewall de puerta de enlace se puede utilizar principalmente para dos escenarios en función de cómo se conectan las cargas de trabajo a la red:
  • Cargas de trabajo conectadas a VLAN
  • La superposición de red de NSX segmenta las cargas de trabajo conectadas

Cada uno de estos escenarios sigue pasos ligeramente diferentes para crear las interfaces de red, como se describe más adelante en esta sección.

3.1: Crear interfaz de firewall de puerta de enlace de NSX para cargas de trabajo conectadas a VLAN

Debe realizar los siguientes pasos para configurar el entorno.

  1. Cree un segmento de VLAN en NSX.
    1. En NSX Manager, haga clic en Redes > Segmentos > Agregar segmento.
    2. Proporcione la siguiente información.
      Nombre del segmento Introduzca el nombre del segmento. Por ejemplo, VLAN-100.
      Zona de transporte Seleccione la zona de transporte predeterminada para el tráfico de VLAN. Por ejemplo, nsx-vlan-transportzone.
      VLAN Introduzca 100.
    3. Haga clic en Guardar.
  2. Cree una interfaz de servicio en la puerta de enlace de nivel 0 o nivel 1.
    1. En NSX Manager, haga clic en Redes > Puertas de enlace de nivel 1 Agregar puerta de enlace > Nivel 1.
    2. Edite la puerta de enlace creada. Por ejemplo, T1-gateway-1.
    3. En Interfaces de servicio, haga clic en Establecer.
    4. Haga clic en Agregar interfaz.
    5. Proporcione la siguiente información.
      Nombre Introduzca el nombre de la interfaz. Por ejemplo, SI-VLAN-100.
      Dirección/máscara IP Introduzca una dirección IP. Por ejemplo, 192.168.50.12/24.
      Conectado a (segmento) Seleccione el segmento configurado. Por ejemplo,VLAN-100.
    6. Haga clic en Guardar.

    Cree más interfaces de servicio en función de los requisitos de red.

    En el nivel 0, tiene la opción de crear una interfaz externa o una interfaz de servicio basada en el requisito de conectividad. Si se crea una interfaz externa, debe crear una interfaz externa por instancia de Edge, que forma parte del clúster de Edge.

    Como parte del flujo de trabajo, seleccione el nodo de Edge para crear esa interfaz, además de los parámetros mencionados.

Para obtener más información, consulte Guía de administración de NSX.

3.2: Crear interfaz de firewall de puerta de enlace de NSX para cargas de trabajo de superposición de red

Realice los pasos siguientes.
  1. Cree una puerta de enlace de nivel 1.
    1. Haga clic en Redes > Puertas de enlace de nivel 1 > Agregar puerta de enlace de nivel 1.
    2. Introduzca el nombre de la puerta de enlace de nivel 1. Por ejemplo, PROD-Tier1.

      Agregar puerta de enlace de nivel 1

    3. Seleccione la puerta de enlace de nivel 0 para crear un vínculo superior en el nivel 1.
    4. Seleccione el clúster de Edge para implementar los servicios de puerta de enlace.

      Después de agregar la puerta de enlace de nivel 1, agregue datos

    5. Haga clic en Guardar.
  2. Además, debe crear segmentos superpuestos para conectar cargas de trabajo. Esto creará una interfaz de vínculo inferior en la puerta de enlace y también hará que los segmentos de NSX estén disponibles en ESXi para la conectividad de red con la máquina virtual.
    1. Haga clic en Redes > Segmentos > NSX > Agregar segmento.

      Agregar segmento

    2. Proporcione la siguiente información.
      Nombre Introduzca el nombre del segmento. Por ejemplo, LS1.1.
      Conectividad Seleccione la puerta de enlace de nivel 1 configurada. Por ejemplo, T1-Tenant1.
      Zona de transporte Seleccione la zona de transporte predeterminada para el tráfico de superposición. Por ejemplo, nsx-overlay-transportzone.
      Subredes (Subnets) Introduzca la subred requerida. Por ejemplo, 10.x.x.1/24.
    3. Haga clic en Guardar.
  3. Validar que el segmento de superposición configurado está disponible en VMware vCenter. En VMware vCenter, vaya a Host y clústeres y valide las máquinas virtuales que se crearon y se conectaron al segmento de superposición configurado.

Para obtener más información, consulte Guía de instalación de NSX.