En un entorno de varias instancias de NSX, solo la instancia de NSX Manager que implementó la máquina virtual de NSX Edge puede utilizarlo para el enrutamiento y la comunicación entre TEP. Ninguna de las otras instancias de NSX Manager registradas en la misma instancia de VMware vCenter puede utilizarlo para el enrutamiento y la comunicación entre TEP. Las otras instancias de NSX Manager consideran que la máquina virtual de NSX Edge es una máquina virtual normal. Este escenario puede provocar problemas de rendimiento de tráfico en la máquina virtual de NSX Edge.

Problema

En un escenario de varias instancias de NSX, dispone de la siguiente configuración:
  • NSX Manager-1 y NSX Manager-2 están registrados en la misma instancia de VMware vCenter (administrador de equipos).
  • NSX Manager-1 implementó la máquina virtual de NSX Edge.
  • NSX Manager-2 preparó el host ESXi.
  • En vSphere Web Client, use vMotion para mover la máquina virtual de NSX Edge a un host ESXi preparado por NSX Manager-2. NSX Manager-2 no implementó la máquina virtual de NSX Edge.
  • NSX Manager-1 no reconoce NSX Edge como una máquina virtual de inventario. Por lo tanto, NSX Manager-1 no le aplica ninguna regla de DFW.

Después de mover la máquina virtual de NSX Edge al nuevo host ESXi:

  • NSX Manager-2 clasifica NSX Edge como una máquina virtual normal y no como una máquina virtual de NSX Edge. Si hay reglas de DFW configuradas, NSX Manager-2 aplicará esas reglas de DFW a la máquina virtual de NSX Edge.

    Consulte una salida de ejemplo:

    https://<NSX Manager-2>/api/v1/fabric/virtual-machines
    {
                “host_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                “source”: {
                    “target_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                    “target_display_name”: “10.172.17.133”,
                    “target_type”: “HostNode”,
                    “is_valid”: true
                },
               …..
                “type”: “REGULAR”,
                “guest_info”: {
                    “os_name”: “Ubuntu Linux (64-bit)“,
                    “computer_name”: “vm”
                },
                “resource_type”: “VirtualMachine”,
                “display_name”: “mgr2_edge1",
                “_last_sync_time”: 1663802733277
            },
    

Causa

Como la lista de exclusión de NSX Manager-2 no filtra la máquina virtual de NSX Edge, se considera una máquina virtual normal y no una máquina virtual de NSX Edge. Por tanto, las reglas de DFW o las reglas de firewall de terceros configuradas para las cargas de trabajo también se aplican a la máquina virtual de NSX Edge. Este escenario puede causar la interrupción del tráfico.

Solución

  1. Inicie sesión en VMware vCenterhttps://IP-vCenter-Server.
  2. Como NSX Manager-2 considera que la máquina virtual de NSX Edge es una máquina virtual normal, cree un grupo de NS "Edge-VMs-From-Other-Managers" y agregue las máquinas virtuales de Edge a ese grupo de NS.
  3. Para identificar las máquinas virtuales de Edge de NSX Manager-1 que se deben agregar a las listas de exclusión en NSX Manager-2, siga estos pasos:
    1. Utilice el display_name que obtendrá al ejecutar la siguiente API: https://<NSX Manager-1>/api/v1/transport-nodes?node_types=EdgeNode.
    2. Compare el nombre con el display_name de la respuesta de la API de NSX Manager-2, https://<NSX Manager-2>/api/v1/fabric/virtual-machines.
  4. Agregue el grupo de NS "Edge-VMs-From-Other-Managers" a la lista de exclusión de DFW y las listas de exclusión de SI en NSX Manager-2.
  5. Compruebe y excluya la máquina virtual de NSX Edge de los firewalls de terceros.
  6. Si el identificador de máquina virtual de Edge cambia, actualice el grupo de NS.
  7. Antes de eliminar la máquina virtual de Edge, elimine la entrada de las listas de exclusión.
    Nota: No se admite la comunicación entre TEP en la máquina virtual de NSX Edge en NSX Manager-2.