Vous pouvez installer plusieurs dispositifs virtuels Services Gateway NSX Edge dans un centre de données. Chaque dispositif virtuel NSX Edge peut disposer d'un total de dix interfaces réseau internes et de liaison montante. Les interfaces internes se connectent à des groupes de ports sécurisés et font office de passerelle pour toutes les machines virtuelles protégées du groupe de ports. Le sous-réseau attribué à l'interface interne peut être un espace d'adresses IP routé publiquement ou un espace privé NAT/routé défini par la RFC 1918. Les règles de pare-feu et les autres services NSX Edge sont appliqués au trafic entre les interfaces.

Les interfaces de liaison montante d'une ESG se connectent à des groupes de ports de liaison montante ayant accès à un réseau d'entreprise partagé ou à un service qui propose la mise en réseau avec couche d'accès.

La liste suivante décrit la prise en charge de fonctionnalités par type d'interface (liaison montante et interne) sur une passerelle ESG.

  • DHCP : non pris en charge sur l'interface de liaison montante.

  • Redirecteur DNS : non pris en charge sur l'interface de liaison montante.

  • HA : non prise en charge sur l'interface de liaison montante, nécessite au moins une interface interne.

  • VPN SSL : l'adresse IP de l'écouteur doit faire partie de l'interface de liaison montante.

  • VPN IPSec : l'adresse IP locale doit faire partie de l'interface de liaison montante.

  • VPN de niveau 2 : seuls des réseaux internes peuvent être étendus.

L'illustration suivante présente un exemple de topologie avec une interface de liaison montante de passerelle ESG connectée à une infrastructure physique par l'intermédiaire de vSphere Distributed Switch et l'interface interne de la passerelle ESG se connecte à un routeur logique NSX par l'intermédiaire d'un commutateur logique NSX.

Il est possible de configurer plusieurs adresses IP externes pour les services d'équilibrage de charge, de VPN d'un site à l'autre et NAT.

Conditions préalables

Le rôle Administrateur d'entreprise ou Administrateur NSX doit vous avoir été attribué.

Vérifiez que la capacité du pool de ressources est suffisante pour que le dispositif virtuel de la passerelle ESG (Edge Services Gateway) puisse être déployé. Reportez-vous à la section Configuration système requise pour NSX.

Procédure

  1. Dans vCenter, accédez à Accueil > Networking & Security > Dispositifs NSX Edge (Home > Networking & Security > NSX Edges) et cliquez sur l'icône Ajouter (Add) (ajouter).
  2. Sélectionnez Edge Services Gateway et tapez le nom du périphérique.

    Ce nom apparaît dans l'inventaire vCenter. Ce nom doit être unique au sein des passerelles ESG d'un même locataire.

    Sinon, vous pouvez entrer également un nom d'hôte (en option). Ce nom apparaît dans l'interface de ligne de commande. Si vous ne spécifiez pas le nom d'hôte, l'ID du dispositif Edge, créé automatiquement, s'affiche dans l'interface de ligne de commande.

    Sinon, vous pouvez entrer une description et un locataire et activer la haute disponibilité (facultatif).

    Par exemple :

  3. Composez et confirmez un mot de passe pour la passerelle ESG.

    Le mot de passe doit se composer d'au moins 12 caractères et doit respecter trois des quatre règles suivantes :

    • Au moins une lettre en majuscule

    • Au moins une lettre en minuscule

    • Au moins un chiffre

    • Au moins un caractère spécial

  4. (Facultatif) Activez SSH, la haute disponibilité et la génération automatique de règles, puis définissez le niveau de journal.

    Si vous n'activez pas la génération automatique de règles, vous devez ajouter manuellement une configuration de pare-feu, de NAT et de routage afin d'autoriser le trafic de contrôle pour certains services NSX Edge, notamment l'équilibrage de charge et le VPN. La génération automatique de règles ne crée pas de règles pour le trafic du canal de données.

    Par défaut, SSH et la haute disponibilité sont désactivés et la génération automatique de règles est activée. Par défaut, le niveau de journal est le niveau d'urgence.

    Par défaut, la journalisation est activée sur tous les nouveaux dispositifs NSX Edge. Le niveau de journalisation par défaut est REMARQUE.

    Par exemple :

  5. Sélectionnez la taille de l'instance de NSX Edge en fonction de vos ressources système.

    La taille Grande (Large) de NSX Edge dispose d'une ressource de CPU plus puissante, d'une plus grande capacité mémoire et d'un plus grand espace disque que la taille Compacte (Compact) de NSX Edge, et elle prend en charge un plus grand nombre d'utilisateurs VPN-Plus SSL simultanés. La taille Extra grande (X-Large) de NSX Edge convient aux environnements bénéficiant de l'équilibrage de charge gérant des millions de sessions simultanées. La taille Super grande de NSX Edge est recommandée pour un débit élevé et nécessite une vitesse de connexion élevée.

    Reportez-vous à la section Configuration système requise pour NSX.

  6. Créez un dispositif Edge.

    Entrez les paramètres du dispositif virtuel de la passerelle ESG qui sera ajoutée à votre inventaire vCenter. Si vous n'ajoutez pas de dispositif lors de l'installation de NSX Edge, NSX Edge reste en mode hors ligne jusqu'à ce que vous ajoutiez un dispositif.

    Si vous avez activé HA, vous pouvez ajouter deux dispositifs. Si vous ajoutez un dispositif unique, NSX Edge réplique sa configuration pour le dispositif en veille et fait en sorte que les deux machines virtuelles NSX Edge HA ne se trouvent pas sur le même hôte ESX, même après avoir utilisé DRS et vMotion (sauf si vous les migrez manuellement à l'aide de vMotion vers le même hôte). Pour que HA fonctionne correctement, vous devez déployer les deux dispositifs sur une banque de données partagée.

    Par exemple :

  7. Sélectionnez Déployer le dispositif NSX Edge (Deploy NSX Edge) pour ajouter le dispositif Edge en mode déployé. Vous devez configurer des dispositifs et des interfaces pour le dispositif Edge avant qu'il puisse être déployé.
  8. Configurez des interfaces.

    Sur les passerelles ESG (Edge Services Gateway), les adresses IPv4 et IPv6 sont prises en charge.

    Pour que HA fonctionne, vous devez ajouter au moins une interface interne.

    Une interface peut avoir plusieurs sous-réseaux qui ne se chevauchent pas.

    Si vous entrez plusieurs adresses IP pour une interface, vous pouvez sélectionner l'adresse IP principale. Une interface peut être dotée d'une adresse IP principale et de plusieurs adresses IP secondaires. NSX Edge considère l'adresse IP principale comme l'adresse source du trafic généré localement, par exemple les pings du serveur syslog distant et ceux initiés par l'opérateur.

    Vous devez ajouter une adresse IP à une interface avant de l'utiliser sur une configuration des fonctionnalités.

    Sinon, vous pouvez entrer l'adresse MAC de l'interface (facultatif).

    Si HA est activée, vous pouvez entrer deux adresses IP de gestion au format CIDR (facultatif). Les pulsations des deux machines virtuelles NSX Edge HA sont communiquées via ces adresses IP de gestion. Les adresses IP de gestion doivent se trouver dans le même sous-réseau L2 et doivent pouvoir communiquer entre elles.

    Vous pouvez également modifier le MTU (facultatif).

    Activez l'ARP de proxy si vous souhaitez autoriser la passerelle ESG à répondre aux demandes ARP destinées aux autres machines. C'est utile notamment lorsque vous disposez du même sous-réseau de part et d'autre d'une connexion WAN.

    Activez la redirection ICMP pour acheminer les informations de routage aux hôtes.

    Activez le filtrage inversé des chemins pour vérifier l'accessibilité de l'adresse source dans les paquets transférés. En mode activé, le paquet doit être reçu sur l'interface que le routeur utiliserait pour transférer le paquet de retour. En mode Loose, l'adresse source doit apparaître sur la table de routage.

    Configurez des paramètres de délimitation si vous souhaitez réutiliser des adresses IP et MAC dans différents environnements délimités. Par exemple, sur une plate-forme de gestion de Cloud (CMP), la délimitation vous permet d'exécuter plusieurs instances de Cloud simultanément avec les mêmes adresses IP et MAC entièrement isolées ou « délimitées ».

    Par exemple :

    L'exemple suivant présente deux interfaces, l'une associant la passerelle ESG au monde extérieur par l'intermédiaire d'un groupe de ports de liaison montante sur un vSphere Distributed Switch et l'autre associant la passerelle ESG à un commutateur de transit logique auquel un routeur logique distribué est également associé.

  9. Configurez une passerelle par défaut.

    Vous pouvez modifier la valeur MTU, mais elle ne peut pas être supérieure à la valeur MTU configurée sur l'interface.

    Par exemple :

  10. Configurez tous les paramètres de stratégie de pare-feu, de journalisation et HA.
    Attention:

    Si vous ne configurez pas la stratégie de pare-feu, la stratégie par défaut est définie pour refuser l'ensemble du trafic.

    Par défaut, les journaux sont activés sur tous les nouveaux dispositifs NSX Edge. Le niveau de journalisation par défaut est REMARQUE. Si des journaux sont stockés localement sur la passerelle ESG, la journalisation peut générer un volume trop important de journaux, ce qui a une incidence sur les performances de votre dispositif NSX Edge. Pour cette raison, il vous est recommandé de configurer des serveurs Syslog distants et de transférer tous les journaux à un collecteur centralisé à des fins d'analyse et de surveillance.

    Si vous avez activé la haute disponibilité, renseignez la section HA. Par défaut, HA choisit automatiquement une interface interne et attribue automatiquement des adresses IP de liens locaux. NSX Edge prend en charge deux machines virtuelles pour la haute disponibilité, toutes deux étant actualisées avec les configurations utilisateur. En cas d'échec des pulsations sur la machine virtuelle principale, I'état de la machine virtuelle secondaire devient actif. Ainsi, une machine virtuelle NSX Edge est en permanence active sur le réseau. NSX Edge réplique la configuration du dispositif principal pour le dispositif en veille et s'assure que deux machines virtuelles NSX Edge HA ne se trouvent pas sur le même hôte ESX, même après avoir utilisé DRS et vMotion. Deux machines virtuelles sont déployées sur vCenter dans le même pool de ressources et la même banque de données que le dispositif que vous avez configuré. Des adresses IP de liens locaux sont attribuées aux machines virtuelles HA dans NSX Edge HA pour que ces dernières puissent communiquer ensemble. Sélectionnez l'interface interne dont les paramètres HA doivent être configurés. Si vous sélectionnez TOUTES pour l'interface, mais qu'aucune interface n'est configurée, l'interface utilisateur n'affiche aucune erreur. Deux dispositifs Edge sont créés, mais du fait qu'aucune interface interne n'est configurée, le nouveau dispositif Edge reste en veille et HA est désactivée. Une fois qu'une interface interne est configurée, HA est activée sur le dispositif Edge. Tapez la période, exprimée en secondes, au cours de laquelle si le dispositif de sauvegarde ne reçoit pas de signal de pulsation du dispositif principal, ce dernier est considéré comme étant inactif et le dispositif de sauvegarde prend le relais. L'intervalle par défaut est de 15 secondes. Tapez deux adresses IP de gestion au format CIDR pour remplacer les adresses IP de liens locaux attribuées aux machines virtuelles HA. Assurez-vous que les adresses IP de gestion ne se chevauchent pas avec les adresses IP utilisées pour toute autre interface et n'interfèrent pas avec le routage du trafic. Vous ne devez pas utiliser l'une des adresses IP de votre réseau, même si ce réseau n'est pas directement rattaché au dispositif NSX Edge.

    Par exemple :

Résultats

Une fois la passerelle ESG déployée, accédez à la vue Hôtes et clusters et ouvrez la console du dispositif virtuel Edge. Dans la console, assurez-vous de pouvoir exécuter une commande ping sur les interfaces connectées.

Que faire ensuite

Sur les hôtes où les dispositifs NSX Edge sont déployés pour la première fois, NSX permet le démarrage et l'arrêt automatique de machine virtuelle. Si les machines virtuelles du dispositif sont migrées ultérieurement vers d'autres hôtes, il se peut que le démarrage et l'arrêt automatique de machine virtuelle ne soit pas activé sur les nouveaux hôtes. Pour cette raison, VMware vous recommande de vérifier tous les hôtes du cluster afin de vous assurer que le démarrage et l'arrêt de machine virtuelle soit activé. Voir http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.

Vous pouvez à présent configurer le routage afin d'autoriser la connectivité entre des périphériques externes et vos machines virtuelles.