Vous pouvez installer plusieurs dispositifs virtuels Services Gateway NSX Edge dans un centre de données. Chaque dispositif NSX Edge Appliance peut disposer d'un total de dix interfaces réseau internes et de liaison montante. Les interfaces internes se connectent à des groupes de ports sécurisés et font office de passerelle pour toutes les machines virtuelles protégées du groupe de ports. Le sous-réseau attribué à l'interface interne peut être un espace d'adresses IP routé publiquement ou un espace privé NAT/routé défini par la RFC 1918. Les règles de pare-feu et les autres services NSX Edge sont appliqués au trafic entre les interfaces.

Les interfaces de liaison montante d'une ESG se connectent à des groupes de ports de liaison montante ayant accès à un réseau d'entreprise partagé ou à un service qui propose la mise en réseau avec couche d'accès.

La liste suivante décrit la prise en charge de fonctionnalités par type d'interface (liaison montante et interne) sur une passerelle ESG.
  • DHCP : non pris en charge sur les interfaces de liaison montante. Reportez-vous à la remarque après cette liste à puces.
  • Redirecteur DNS : non pris en charge sur les interfaces de liaison montante.
  • HA : non prise en charge sur les interfaces de liaison montante, nécessite au moins une interface interne.
  • VPN SSL : l'adresse IP de l'écouteur doit faire partie d'une interface de liaison montante.
  • VPN IPsec : l'adresse IP locale doit faire partie d'une interface de liaison montante.
  • VPN de niveau 2 : seuls des réseaux internes peuvent être étendus.
Note : Par conception, le service DHCP est pris en charge sur les interfaces internes d'un dispositif NSX Edge. Cependant, dans certaines situations, vous pouvez choisir de configurer DHCP sur une interface de liaison montante du dispositif Edge et de ne configurer aucune interface interne. Dans ce cas, le dispositif Edge peut écouter les demandes du client DHCP sur l'interface de liaison montante et attribuer dynamiquement des adresses IP aux clients DHCP. Par la suite, si vous configurez une interface interne sur le même dispositif Edge, le service DHCP cesse de fonctionner, car le dispositif Edge commence à écouter les demandes du client DHCP sur l'interface interne.

La figure suivante montre un exemple de topologie. L'interface de liaison montante des passerelles Edge Service Gateway est connectée à l'infrastructure physique via le vSphere Distributed Switch. L'interface interne des passerelles Edge Service Gateway est connectée à un routeur logique via un commutateur de transit logique.

L'image est décrite dans le texte qui s'y rapporte.

Vous pouvez configurer plusieurs adresses IP externes pour les services d'équilibrage de charge, de VPN site-à-site et NAT.

Important :

Si vous activez la haute disponibilité sur un dispositif NSX Edge dans un environnement cross-vCenter NSX, les dispositifs NSX Edge Appliance actifs et en veille doivent résider sur le même serveur vCenter Server. Si vous migrez un des dispositifs d'une paire NSX Edge HA vers un serveur vCenter Server différent, les deux dispositifs HA ne fonctionnent plus comme une paire HA, et vous pouvez rencontrer une interruption du trafic.

Conditions préalables

  • Le rôle Administrateur d'entreprise ou Administrateur NSX doit vous être attribué.
  • Vérifiez que la capacité du pool de ressources est suffisante pour que le dispositif virtuel de la passerelle ESG (Edge Services Gateway) puisse être déployé. Pour les ressources nécessaires à chaque taille de dispositif, consultez la section Configuration système requise pour NSX Data Center for vSphere.
  • Vérifiez que les clusters d'hôtes sur lesquels le dispositif NSX Edge Appliance sera installé sont préparés pour NSX. Consultez la section « Préparer des clusters d'hôtes pour NSX » dans le Guide d'installation de NSX.
  • Déterminez si vous souhaitez activer DRS. Si vous créez une passerelle Edge Services Gateway sur laquelle HA et DRS sont activés, les règles d'anti-affinité pour DRS sont créées afin d'empêcher le déploiement des dispositifs sur le même hôte. Si DRS n'est pas activé au moment de la création des dispositifs, les règles ne sont pas créées et les dispositifs peuvent être déployés ou déplacés vers le même hôte.

Procédure

  1. Connectez-vous à vSphere Web Client et accédez à Page d'accueil (Home) > Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).
  2. Cliquez sur Ajouter (Add), puis sur Edge Services Gateway.
  3. Entrez le nom, la description et d'autres détails de la passerelle ESG.
    Option Description
    Nom

    Entrez un nom pour la passerelle ESG qui s'affichera dans l'inventaire vCenter.

    Veillez à utiliser un nom unique au sein de toutes les passerelles ESG d'un même locataire.

    Nom d'hôte

    Facultatif. Entrez un nom d'hôte que vous voulez afficher pour cette passerelle ESG dans l'interface de ligne de commande.

    Si vous n'entrez aucun nom d'hôte, l'ID du dispositif Edge, créé automatiquement, s'affiche dans l'interface de ligne de commande.

    Description Facultative. Saisissez une description de la passerelle ESG.
    Déployer NSX Edge

    Facultatif. Sélectionnez cette option pour créer une machine virtuelle NSX Edge Appliance.

    Si vous ne sélectionnez pas cette option, la passerelle ESG ne fonctionne pas tant qu'une machine virtuelle n'est pas déployée.

    Haute disponibilité

    Facultative. Sélectionnez cette option pour activer et configurer la haute disponibilité sur la passerelle ESG.

    • Si vous devez exécuter des services avec état sur une passerelle ESG, tels que l'équilibreur de charge, NAT, DHCP, etc., vous pouvez activer HA sur le dispositif Edge. HA permet de minimiser le temps de basculement vers un dispositif Edge en veille en cas de panne d'un dispositif Edge actif. L'activation de HA déploie un dispositif Edge autonome sur un hôte différent dans un cluster. Vous devez donc vous assurer que vous disposez de ressources suffisantes dans votre environnement.
    • Si vous n'exécutez pas de services avec état sur la passerelle ESG et que votre passerelle ESG est utilisée uniquement pour le routage nord-sud, il est recommandé d'activer ECMP. ECMP utilise un protocole de routage dynamique pour apprendre le tronçon suivant vers une destination finale et converger en cas de panne.

      La configuration ECMP peut augmenter considérablement la bande passante en équilibrant la charge du trafic sur plusieurs chemins et en fournissant la tolérance de panne pour les chemins en échec. Dans cette configuration, la panne du plan de données est limitée à un sous-ensemble du trafic uniquement. Vous avez également la possibilité d'activer HA sur chaque passerelle ESG pour fournir un basculement plus rapide plutôt que de vous reposer sur vSphere HA. Dans une configuration ECMP également, vous devez vous assurer de disposer de ressources suffisantes dans votre environnement.

      Vous pouvez activer ECMP sur le dispositif Edge lors de la configuration du routage global, et pas lors du déploiement du dispositif Edge dans votre réseau.
  4. Spécifiez les paramètres d'interface de ligne de commande et d'autres paramètres de la passerelle ESG.
    Option Description
    Nom d'utilisateur Entrez un nom d'utilisateur que vous voulez utiliser pour la connexion à l'interface de ligne de commande Edge.
    Mot de passe Entrez un mot de passe comprenant au moins 12 caractères et conforme aux règles suivantes :
    • 255 caractères maximum
    • Au moins une lettre majuscule et une lettre minuscule
    • Au moins un chiffre
    • Au moins un caractère spécial
    • Ne doit pas contenir le nom d'utilisateur comme sous-chaîne
    • Un caractère ne doit pas être répété 3 fois ou plus de suite.
    Confirmer le mot de passe Entrez de nouveau le mot de passe pour le confirmer.
    Accès SSH

    Facultatif. Activez l'accès SSH à la passerelle ESG. Par défaut, l'accès SSH est désactivé.

    Généralement, l'accès SSH est recommandé à des fins de dépannage.

    Mode FIPS

    Facultatif. Par défaut, le mode FIPS est désactivé.

    Lorsque le mode FIPS est activé, toutes les communications sécurisées en provenance ou à destination du dispositif NSX Edge utilisent des protocoles ou des algorithmes cryptographiques qui sont autorisés par FIPS.

    Génération automatique de règles

    Facultative. Cette option est activée par défaut. Cette option permet la création automatique de règles de pare-feu, de NAT et de la configuration de routage, ce qui contrôle le trafic de certains services NSX Edge, notamment l'équilibrage de charge et VPN.

    Si vous désactivez la génération automatique de règles, vous devez ajouter manuellement les règles et les configurations. La génération automatique de règles ne crée pas de règles pour le trafic du canal de données.

    Journalisation du niveau de contrôle Edge Facultative. Par défaut, le niveau de journal est Infos.
  5. Configurez le déploiement du dispositif NSX Edge Appliance.
    1. Sélectionnez la taille du dispositif selon votre environnement.
      Taille du dispositif Description
      Compacte

      Convient uniquement pour les environnements de laboratoire ou de validation technique.

      Grande

      Dispose d'une ressource de CPU plus puissante, d'une plus grande capacité mémoire et d'un plus grand espace disque que la taille Compacte, et elle prend en charge un plus grand nombre d'utilisateurs VPN-Plus SSL simultanés.

      Super grande

      Convient lorsque vous avez besoin d'un haut débit et d'une vitesse de connexion élevée.

      Extra grande

      Convient aux environnements bénéficiant de l'équilibrage de charge gérant des millions de sessions simultanées.

      Pour les ressources nécessaires à chaque taille de dispositif, consultez la section Configuration système requise pour NSX Data Center for vSphere.

    2. Ajoutez un dispositif NSX Edge Appliance et spécifiez les détails de la ressource pour le déploiement de la VM.
      Par exemple :
      Option Valeur
      Cluster/Pool de ressources Gestion et Edge
      Banque de données ds-1
      Hôte esxmgt-01a.corp.local
      Réservation de ressources Géré par le système

      Reportez-vous à la section « Gestion des réservations de ressources du dispositif NSX Edge » dans Guide d'administration de NSX pour plus d'informations sur la réservation de ressources.

      Si vous avez activé HA, vous pouvez ajouter deux dispositifs. Si vous ajoutez un dispositif unique, NSX Edge réplique sa configuration pour le dispositif en veille. Pour que HA fonctionne correctement, vous devez déployer les deux dispositifs sur une banque de données partagée.

  6. Configurez les interfaces de la passerelle ESG.
    1. Spécifiez le nom, le type et d'autres détails de l'interface de base.
      Option Description
      Nom

      Entrez le nom de l'interface.

      Type

      Sélectionnez Interne ou Liaison montante. Pour que la haute disponibilité fonctionne, un dispositif Edge doit avoir au moins une interface interne.

      Connecté à

      Sélectionnez le groupe de ports ou le commutateur logique auquel vous voulez connecter cette interface.

    2. Configurez les sous-réseaux de l'interface.
      Option Description
      Adresse IP principale

      Sur une passerelle ESG, les adresses IPv4 et IPv6 sont prises en charge. Une interface peut avoir une adresse IP principale, plusieurs adresses IP secondaires et plusieurs sous-réseaux qui ne se chevauchent pas.

      Si vous entrez plusieurs adresses IP pour l'interface, vous pouvez sélectionner l'adresse IP principale.

      Seule une adresse IP principale est autorisée par interface et le dispositif Edge utilise l'adresse IP principale comme adresse source du trafic généré localement, par exemple syslog distant et des pings initiés par l'opérateur.

      Adresses IP secondaires

      Saisissez l'adresse IP secondaire. Pour entrer plusieurs adresses IP, utilisez une liste séparée par des virgules.

      Longueur préfixe sous-réseau

      Entrez le masque de sous-réseau de l'interface.

    3. Spécifiez les options suivantes pour l'interface.
      Option Description
      Adresses MAC

      Facultative. Vous pouvez entrer une adresse MAC pour chaque interface.

      Si vous modifiez l'adresse MAC à l'aide d'un appel API ultérieurement, vous devez redéployer le dispositif Edge après la modification de l'adresse MAC.

      MTU

      La valeur par défaut pour la liaison montante et l'interface interne est 1 500. Pour l'interface de jonction, la valeur par défaut est 1 600. Vous pouvez modifier la valeur par défaut, si nécessaire. Pour les sous-interfaces sur la jonction, la valeur par défaut est 1 500. Assurez-vous que la valeur de MTU de l'interface de jonction est égale ou supérieure à la valeur de MTU de la sous-interface.
      ARP de proxy

      Sélectionnez cette option si vous voulez que la passerelle ESG réponde aux demandes ARP destinées aux autres machines virtuelles.

      Cette option est utile notamment lorsque vous disposez du même sous-réseau de part et d'autre d'une connexion WAN.

      Envoyer ICMP Redirection Sélectionnez cette option si vous voulez que la passerelle ESG achemine des informations de routage aux hôtes.
      Inverser le filtre des chemins

      Cette option est activée par défaut. Lorsqu'elle est activée, elle vérifie l'accessibilité de l'adresse source dans les paquets transférés.

      En mode activé, le paquet doit être reçu sur l'interface que le routeur peut utiliser pour transférer le paquet de retour.

      En mode Loose, l'adresse source doit apparaître sur la table de routage.

      Paramètres de clôture

      Configurez des paramètres de délimitation si vous souhaitez réutiliser des adresses IP et MAC dans différents environnements délimités.

      Par exemple, sur une plate-forme de gestion de Cloud (CMP), la délimitation vous permet d'exécuter plusieurs instances de Cloud simultanément avec les mêmes adresses IP et MAC isolées ou « délimitées ».

      Le tableau suivant montre un exemple de deux interfaces NSX Edge. L'interface de liaison montante joint la passerelle ESG à l'environnement extérieur au moyen d'un groupe de ports de liaison montante sur un commutateur vSphere Distributed Switch. L'interface interne joint la passerelle ESG à un commutateur de transit logique auquel un routeur logique distribué est également associé.
      Tableau 1. Exemple : interfaces de NSX Edge
      vNIC n° Nom Adresse IP Longueur préfixe sous-réseau Connecté à
      0 Liaison montante 192.168.100.30 24 Mgmt_VDS-HQ_Uplink
      1 Interne 192.168.10.1* 29 transit-switch
      Important : NSX 6.4.4 et une version antérieure prend en charge la multidiffusion sur une interface de liaison montante unique de la passerelle ESG. À partir de NSX 6.4.5, la multidiffusion est prise en charge sur un maximum de deux interfaces de liaison montante de la passerelle ESG. Dans un scénario de déploiement de plusieurs instances de vCenter, si un dispositif NSX Edge est à la version 6.4.4 ou à une version antérieure, vous ne pouvez activer la multidiffusion que sur une seule interface de liaison montante. Pour activer la multidiffusion sur deux interfaces de liaison montante, vous devez mettre à niveau le dispositif Edge vers 6.4.5 ou vers une version ultérieure.
  7. Configurez les paramètres de la passerelle par défaut.
    Par exemple :
    Option Valeur
    vNIC Liaison montante
    Adresse IP de la passerelle 192.168.100.2
    MTU 1 500
    Note : Vous pouvez modifier la valeur de MTU, mais elle ne peut pas être supérieure à la valeur de MTU configurée sur l'interface.
  8. Configurez la stratégie de pare-feu par défaut.
    Attention : Si vous ne configurez pas la stratégie de pare-feu, la stratégie par défaut est définie pour refuser l'ensemble du trafic. Toutefois, le pare-feu est activé sur la passerelle ESG pendant le déploiement, par défaut.
  9. Configurez la journalisation de la passerelle ESG et les paramètres HA.
    1. Activez ou désactivez la journalisation sur le dispositif NSX Edge Appliance.

      Par défaut, les journaux sont activés sur tous les nouveaux dispositifs NSX Edge. Le niveau de journalisation par défaut est Infos. Si des journaux sont stockés localement sur la passerelle ESG, la journalisation peut générer un volume trop important de journaux, ce qui a une incidence sur les performances de votre dispositif NSX Edge. Pour cette raison, vous devez de préférence configurer des serveurs Syslog distants et transférer tous les journaux à un collecteur centralisé à des fins d'analyse et de surveillance.

    2. Si vous avez activé la haute disponibilité, configurez les paramètres HA suivants.
      Option Description
      vNIC

      Sélectionnez l'interface interne pour laquelle vous voulez configurer des paramètres HA. Par défaut, HA sélectionne automatiquement une interface interne et attribue automatiquement des adresses IP de liens locaux.

      Si vous sélectionnez TOUTES pour l'interface, mais qu'aucune interface interne n'est configurée, l'interface utilisateur affiche une erreur. Deux dispositifs Edge sont créés, mais du fait qu'aucune interface interne n'est configurée, le nouveau dispositif NSX Edge reste en veille et HA est désactivée. Une fois une interface interne configurée, HA est activée sur le dispositif NSX Edge.

      Déclarer un temps mort

      Entrez la période, exprimée en secondes, au cours de laquelle si le dispositif de sauvegarde ne reçoit pas de signal de pulsation du dispositif principal, ce dernier est considéré comme étant inactif et le dispositif de sauvegarde prend le relais.

      L'intervalle par défaut est de 15 secondes.

      Adresses IP de gestion

      Facultatif : vous pouvez entrer deux adresses IP de gestion au format CIDR pour remplacer les adresses IP de liens locaux attribuées aux machines virtuelles HA.

      Assurez-vous que les adresses IP de gestion ne chevauchent pas les adresses IP utilisées pour toute autre interface et n'interfèrent pas avec le routage du trafic. N'utilisez pas l'une des adresses IP de votre réseau, même si ce réseau n'est pas directement rattaché au dispositif.

      Les adresses IP de gestion doivent se trouver dans le même sous-réseau L2 et doivent pouvoir communiquer entre elles.

  10. Passez en revue tous les paramètres de la passerelle ESG avant de déployer le dispositif.

Résultats

Une fois la passerelle ESG déployée, accédez à la vue Hôtes et clusters et ouvrez la console du dispositif virtuel NSX Edge. Dans la console, assurez-vous de pouvoir exécuter une commande ping sur les interfaces connectées.

Que faire ensuite

Lorsque vous installez un dispositif NSX Edge Appliance, NSX permet le démarrage/arrêt automatique des VM sur l'hôte si vSphere HA est désactivé sur le cluster. Si les VM du dispositif sont par la suite migrées vers d'autres hôtes du cluster, le mécanisme de démarrage/arrêt automatique des VM peut ne pas être activé sur ces nouveaux hôtes. C'est la raison pour laquelle, lorsque vous installez des dispositifs NSX Edge sur des clusters où vSphere HA est désactivé, vous devez de préférence vérifier tous les hôtes du cluster pour vous assurer que le démarrage/arrêt automatique des machines virtuelles est activé. Dans Administration d'une machine virtuelle vSphere, consultez la section « Modifier les paramètres de démarrage et d'arrêt d'une machine virtuelle ».

Vous pouvez à présent configurer le routage afin d'autoriser la connectivité entre des périphériques externes et vos machines virtuelles.