Edge Services Gateway

Edge Services Gateway vous donne accès à tous les services NSX Edge tels que le pare-feu, NAT, DHCP, VPN, l'équilibrage de charge et la haute disponibilité. Vous pouvez installer plusieurs dispositifs virtuels de passerelle ESG dans un centre de données. Chaque dispositif virtuel ESG peut comporter un total de dix interfaces réseau de liaison montante et internes. Avec une jonction, une passerelle ESG peut comporter jusqu'à 200 sous-interfaces. Les interfaces internes se connectent à des groupes de ports sécurisés et font office de passerelle pour toutes les machines virtuelles protégées du groupe de ports. Le sous-réseau attribué à l'interface interne peut être un espace IP routé publiquement ou un espace privé NAT/routé défini par la RFC 1918. Les règles de pare-feu et les autres services NSX Edge sont appliqués au trafic entre les interfaces.

Les interfaces de liaison montante des passerelles ESG se connectent à des groupes de ports qui ont accès à un réseau d'entreprise partagé ou à un service fournissant un accès à la mise en réseau de la couche. Il est possible de configurer plusieurs adresses IP externes pour l'équilibreur de charge, le réseau privé virtuel (VPN) de site à site et les services de traduction des adresses réseau (NAT).

Routeur logique distribué

Le routeur logique distribué fournit un routage distribué horizontal avec un espace d'adressage IP de locataire et une isolation du chemin de données. Les machines ou les charges de travail virtuelles qui se trouvent sur​le même hôte sur différents sous-réseaux peuvent communiquer entre elles sans avoir à traverser une interface de routage traditionnelle.

Un routeur logique peut disposer de huit interfaces de liaison montante et jusqu'à un millier d'interfaces internes. Une interface de liaison montante sur un routeur distribué logique établit généralement une liaison homologue avec une interface ESG, avec un commutateur de transit logique de niveau 2 intervenant entre le routeur distribué logique et la passerelle ESG. Une interface interne sur un routeur distribué logique établit une liaison homologue avec une machine virtuelle hébergée sur un hyperviseur ESXi avec un commutateur logique intervenant entre la machine virtuelle et le routeur distribué logique.

Le routeur distribué logique possède deux composants principaux :

• Le plan de contrôle de routage est fourni par le dispositif virtuel du routeur distribué logique (aussi appelé machine virtuelle de contrôle). Cette machine virtuelle prend en charge les protocoles de routage dynamique (BGP et OSPF), échange des mises à jour de routage avec le périphérique de saut de couche 3 suivant (généralement la passerelle Edge Services Gateway) et communique avec NSX Manager et le cluster NSX Controller. La haute disponibilité pour le dispositif virtuel de routeur distribué logique est prise en charge au moyen d'une configuration en veille active : une paire de machines virtuelles fonctionnant en modes actif/veille est fournie lorsque vous créez le routeur distribué logique avec HA activé.
• Au niveau du plan de données, les modules de noyau de routeur distribué logique (VIB) sont installés sur des hôtes ESXi faisant partie du domaine NSX. Les modules de noyau sont similaires aux cartes de ligne dans un châssis modulaire prenant en charge le routage de couche 3. Les modules de noyau ont une base d'informations de routage (RIB), aussi appelée table de routage, envoyée depuis le cluster de controller. Au niveau du plan de données, les fonctionnalités de recherche de route et de recherche d'entrée ARP sont exécutées par les modules de noyau. Les modules de noyau sont équipés d'interfaces logiques (appelées LIF) établissant la connexion avec les différents commutateurs logiques et tout groupe de ports sauvegardés sur VLAN. Une adresse IP, représentant la passerelle IP par défaut pour le segment logique L2 auquel il se connecte, et une adresse vMAC sont attribuées à chaque LIF. L'adresse IP de chaque LIF est unique, alors que la même adresse vMAC est attribuée à tous les LIF définis.

1. Une instance de routeur logique distribué est créée à partir de l'interface utilisateur de NSX Manager (ou au moyen d'appels d'API) et le routage est activé, à l'aide d'OSPF ou de BGP.

2. NSX Controller utilise le plan de contrôle avec les hôtes ESXi pour envoyer la nouvelle configuration de routeur logique distribué, y compris les LIF et leurs adresses IP et vMAC associées.
3. Considérant qu'un protocole de routage est aussi activé sur le périphérique de tronçon suivant (un NSX Edge [ESG] dans cet exemple), l'homologation OSPF ou BGP est établie entre l'ESG et la machine virtuelle de contrôle du routeur logique distribué. L'ESG et le routeur de logique distribué peuvent échanger des informations de routage :
   • La machine virtuelle de contrôle du routeur logique distribué peut être configurée pour redistribuer dans OSPF les préfixes IP pour tous les réseaux logiques connectés (172.16.10.0/24 et 172.16.20.0/24 dans cet exemple). Cela entraîne l'envoi des annonces de routes au NSX Edge. Notez que pour ces préfixes le prochain saut n'est pas l'adresse IP attribuée à la machine virtuelle de contrôle (192.168.10.3), mais l'adresse IP identifiant le composant du plan de données du routeur logique distribué (192.168.10.2). La première est appelée « adresse de protocole » du routeur logique distribué, alors que la seconde correspond à « l'adresse de transfert ».
   • NSX Edge envoie les préfixes à la machine virtuelle de contrôle pour atteindre les réseaux IP du réseau externe. Dans la plupart des situations, il est probable qu'une seule route par défaut soit envoyée à NSX Edge, car elle représente le seul point de sortie vers l'infrastructure de réseau physique.
4. La machine virtuelle de contrôle de routeur logique distribué envoie les routes IP communiquées par NSX Edge au cluster de contrôleur.
5. Le cluster de contrôleur est responsable de la distribution aux hyperviseurs des routes communiquées par la machine virtuelle de contrôle de routeur logique distribué. Chaque nœud de contrôleur du cluster se charge de distribuer les informations pour une instance de routeur logique spécifique. Dans un déploiement comprenant plusieurs instances de routeur logique, la charge est répartie entre les nœuds de contrôleur. Une instance de routeur logique séparée est généralement associée à chaque locataire déployé.
6. Les modules de noyau de routage DLR de l'hôte gèrent le trafic du chemin de données pour communiquer avec le réseau externe au moyen de NSX Edge.