Le sous-système du routage NSX est activé par plusieurs composants.
- NSX Manager
- Cluster de contrôleurs
- Modules hôtes ESXi (noyau et UWA)
- VM de contrôle du DLR
- Passerelles ESG
NSX Manager
NSX Manager fournit les fonctions suivantes applicables au routage NSX :
- Agit en tant que plan de gestion centralisé, en fournissant le point d'accès API unifié pour toutes les opérations de gestion de NSX
- Installe le module de noyau de routage distribué et des agents UWA (User World Agent) sur les hôtes afin de les préparer pour les fonctions de NSX
- Crée/détruit des DLR et des LIF du DLR
- Déploie/supprime une VM de contrôle du DLR et une passerelle ESG via vCenter
- Configure le cluster de contrôleurs via une API REST et les hôtes via un bus de messages :
- Fournit des agents de plan de contrôle d'hôte avec les adresses IP des contrôleurs
- Génère et distribue aux hôtes et aux contrôleurs les certificats pour des communications de plan de contrôle sécurisées
- Configure des passerelles ESG et des VM de contrôle du DLR via le bus de messages
- Notez que des passerelles ESG peuvent être déployées sur des hôtes non préparés, auquel cas VIX sera utilisé à la place du bus de messages
Cluster de contrôleurs
Le routage distribué NSX requiert des contrôleurs, mis en cluster pour la mise à l'échelle et la disponibilité, qui fournissent les fonctions suivantes :
- Prennent en charge VXLAN et le plan de contrôle de routage distribué
- Fournissent une interface de ligne de commande pour les statistiques et les états d'exécution
- Choisissent un nœud de contrôleur maître pour chaque instance du DLR
- Le nœud maître reçoit des informations de routage depuis la VM de contrôle du DLR et les distribue aux hôtes
- Envoie la table des LIF aux hôtes
- Conserve une trace de l'hôte sur lequel réside la VM de contrôle du DLR
- Sélectionne une instance désignée pour les LIF VLAN et communique ces informations aux hôtes ; surveille l'hôte de la DI via des conservations de connexion active du plan de contrôle (la durée d'expiration est de 30 secondes et la durée de détection peut être comprise entre 20 et 40 secondes), envoie aux hôtes une mise à jour si l'hôte de la DI sélectionné disparaît
Modules hôtes ESXi
Le routage NSX utilise directement deux agents UWA (User World Agent) et un module de noyau de routage et repose également sur le module de noyau de VXLAN pour la connectivité VXLAN.
Voici un résumé de ce que chaque composant effectue :
- L'agent de plan de contrôle (netcpa) est un client TCP (SSL) qui communique avec le contrôleur à l'aide du protocole de plan de contrôle. Il peut se connecter à plusieurs contrôleurs. netcpa communique avec le client de bus de messages (vsfwd) pour récupérer les informations liées au plan de contrôle depuis NSX Manager.
- Conditionnement et déploiement de netcpa :
- L'agent est conditionné dans le VIB de VXLAN (bundle d'installation de vSphere)
- Installé par NSX Manager via EAM (ESX Agency Manager) lors de la préparation de l'hôte
- Est exécuté en tant que démon de service sur netcpa ESXi
- Peut être démarré/arrêté/interrogé via son script de démarrage /etc/init.d/netcpad
- Peut être redémarré à distance via l'interface utilisateur de Networking and Security Installation -> Préparation de l'hôte -> Statut de l'installation, sur des hôtes individuels ou sur un cluster complet
- Le module de noyau du DLR (vdrb) s'intègre à DVS pour activer le transfert L3
- Configuré par netcpa
- Installé dans le cadre du déploiement du VIB de VXLAN
- Se connecte au DVS via la jonction spéciale appelée « vdrPort », qui prend en charge des VLAN et des VXLAN
- Conserve des informations sur des instances du DLR, avec par instance :
- Tables des LIF et des itinéraires
- Cache ARP de l'hôte local
- Le client de bus de messages (vsfwd) est utilisé par netcpa, des passerelles ESG et des VM de contrôle du DLR pour communiquer avec NSX Manager
- vsfwd obtient l'adresse IP de NSX Manager depuis /UserVars/RmqIpAddress définie par vCenter via vpxa/hosd et se connecte au serveur de bus de messages à l'aide des informations d'identification par hôte stockées dans d'autres variables /UserVars/Rmq*
- netcpa exécuté sur un hôte ESXi repose sur vsfwd pour réaliser les actions suivantes :
- Obtenir la clé privée et le certificat SSL du plan de contrôle de l'hôte depuis NSX Manager. Ils sont ensuite stockés dans /etc/vmware/ssl/rui-for-netcpa.*
- Obtenir des adresses IP et des empreintes numériques SSL de contrôleurs depuis NSX Manager. Elles sont ensuite stockées dans /etc/vmware/netcpa/config-by-vsm.xml.
- Créer et supprimer des instances du DLR sur son hôte sur ordre de NSX Manager
- Conditionnement et déploiement
- Comme netcpa, cela fait partie du VIB de VXLAN
- Est exécuté en tant que démon de service sur vsfwd ESXi
- Peut être démarré/arrêté/interrogé via son script de démarrage /etc/init.d/ vShield-Stateful-Firewall
- Les passerelles ESG et les VM de contrôle du DLR utilisent le canal VMCI vers vsfwd pour recevoir la configuration de NSX Manager
VM de contrôle du DLR et passerelles ESG
- La VM de contrôle du DLR est un « processeur d'itinéraires » pour son instance du DLR
- Contient une interface « espace réservé » ou « vNIC réelle » pour chaque LIF du DLR, ainsi qu'une configuration IP
- Peut exécuter l'un des deux protocoles de routage dynamique disponibles (BGP ou OSPF) et/ou utiliser des itinéraires statiques
- Requiert au moins une LIF « Liaison montante » pour pouvoir exécuter OSPF ou BGP
- Calcule la table de transfert à partir des sous-réseaux connectés directement (LIF), des itinéraires statiques et dynamiques, et les envoie via son lien VMCI vers netcpa au contrôleur maître de l'instance du DLR
- Prend en charge HA dans une configuration de paire de VM Active/En veille
- La passerelle ESG est un routeur indépendant dans une VM
- Complètement indépendant du sous-système de routage du DLR NSX (aucune intégration du plan de contrôle NSX)
- En général utilisé en tant que passerelle en amont pour un ou plusieurs DLR
- Prend en charge plusieurs protocoles de routage dynamique exécutés simultanément