NSX Edge peut être installé en utilisant ISO, OVA/OVF ou le démarrage PXE. Quelle que soit la méthode d'installation, assurez-vous que la mise en réseau de l'hôte est préparée avant d'installer NSX Edge.

Vue générale de NSX Edge dans une zone de transport

Les nœuds NSX Edge sont des dispositifs de service avec des pools de capacité, dédiés aux services réseau en cours d'exécution qui ne peuvent pas être distribués aux hyperviseurs. Les nœuds Edge peuvent être considérés comme des conteneurs vides lorsqu'ils sont déployés pour la première fois.

Chiffre 1. Présentation générale de NSX Edge

Un nœud NSX Edge est le dispositif qui fournit des cartes réseau physiques pour se connecter à l'infrastructure physique. Ces fonctionnalités incluent :

  • Connectivité à l'infrastructure physique

  • NAT

  • Serveur DHCP

  • Proxy de métadonnées

  • Edge Firewall

Lorsque l'un de ces services est configuré ou qu'une liaison montante est définie sur le routeur logique pour se connecter à l'infrastructure physique, un SR est instancié sur le nœud NSX Edge. Le nœud NSX Edge est également un nœud de transport comme les nœuds de calcul dans NSX-T Data Center et similaire au nœud de calcul que NSX Edge peut connecter à plusieurs zones de transport : un pour la superposition et l'autre pour l'homologation nord-sud avec des périphériques externes. Il existe deux zones de transport sur NSX Edge :

Zone de transport de superposition : tout le trafic provenant d'une VM participant au domaine NSX-T Data Center peut nécessiter une accessibilité à des périphériques ou des réseaux externes. Cela est généralement décrit comme un trafic externe nord-sud. Le nœud NSX Edge est responsable de la décapsulation du trafic de superposition reçu depuis les nœuds de calcul, ainsi que de l'encapsulation du trafic envoyé aux nœuds de calcul.

Zone de transport VLAN : en plus de la fonction d'encapsulation ou de décapsulation du trafic, les nœuds NSX Edge ont également besoin d'une zone de transport VLAN pour fournir une connectivité de liaison montante à l'infrastructure physique.

Par défaut, les liens entre le SR et le DR utilisent le sous-réseau 169.254.0.0/28. Ces liens de transit intra-routeur sont créés automatiquement lorsque vous déployez un routeur logique de niveau 0 ou de niveau 1. Vous n'avez pas besoin de configurer ou de modifier la configuration du lien sauf si le sous-réseau 169.254.0.0/28 est déjà utilisé dans votre déploiement. Sur un routeur logique de niveau 1, le SR est présent uniquement si vous sélectionnez un dispositif NSX Edge lors de la création du routeur logique de niveau 1.

L'espace d'adressage par défaut attribué aux connexions de niveau 0 à niveau 1 est l'espace 100.64.0.0/10. Chaque connexion homologue de niveau 0 à niveau 1 reçoit un sous-réseau /31 dans l'espace d'adressage 100.64.0.0/10. Ce lien est créé automatiquement lorsque vous créez un routeur de niveau 1 et que vous le connectez à un routeur de niveau 0. Vous n'avez pas besoin de configurer ou de modifier les interfaces sur ce lien sauf si le sous-réseau 100.64.0.0/10 est déjà utilisé dans votre déploiement.

Chaque déploiement NSX-T Data Center comporte un cluster de plan de gestion (MP) et un cluster de plan de contrôle (CCP). Le MP et le CCP transfèrent les configurations vers le plan de contrôle local (LCP) de chaque zone de transport. Lorsqu'un hôte ou un dispositif NSX Edge rejoint le plan de gestion, l'agent du plan de gestion (MPA) établit la connectivité avec l'hôte ou le dispositif NSX Edge, et ce dernier NSX Edge devient un nœud d'infrastructure NSX-T Data Center. Lorsque le nœud d'infrastructure est ensuite ajouté en tant que nœud de transport, la connectivité LCP est établie avec l'hôte ou le dispositif NSX Edge.

Le schéma Présentation générale de NSX Edge montre un exemple de deux cartes réseau physiques (pNIC1 et pNIC2) qui sont liées pour fournir une haute disponibilité. Le chemin des données gère les cartes réseau physiques. Elles peuvent servir soit de liaisons montantes VLAN vers un réseau externe, soit de liens de point de terminaison de tunnel vers des réseaux de machines virtuelles internes gérés par NSX-T Data Center.

Il est recommandé d'allouer au moins deux liens physiques à chaque dispositif NSX Edge qui est déployé en tant que VM. Vous pouvez éventuellement faire chevaucher les groupes de ports sur la même pNIC en utilisant différents ID de VLAN. Le premier lien réseau trouvé est utilisé pour la gestion. Par exemple, sur une VM NSX Edge, le premier lien trouvé pourrait être vnic1.

Pour une installation bare metal, le premier lien trouvé pourrait être eth0 ou em0. Les liens restants sont utilisés pour les liaisons montantes et les tunnels. Par exemple, l'un d'eux pourrait être destiné à un point de terminaison de tunnel utilisé par les VM gérées par NSX-T Data Center. L'autre pourrait être destiné à une liaison montante TOR NSX Edge dirigée vers l'extérieur.

Vous pouvez afficher les informations de lien physique de NSX Edge, vous connecter à l'interface de ligne de commande en tant qu'administrateur et exécuter les commandes get interfaces et get physical-ports. Dans l'API, vous pouvez utiliser l'appel d'API GET fabric/nodes/<edge-node-id>/network/interfaces.

Que vous installiez NSX Edge sur un système nu ou en tant que machine virtuelle, vous disposez de plusieurs options pour la configuration réseau, en fonction de votre déploiement.

Zones de transport et N-VDS

Les zones de transport contrôlent l'accessibilité des réseaux de couche 2 dans NSX-T Data Center. Un N-VDS est un commutateur logiciel qui est créé sur un nœud de transport. Le composant principal impliqué dans le plan de données des nœuds de transport est le N-VDS. Le N-VDS transfère le trafic entre les composants exécutés sur le nœud de transport par exemple, entre des machines virtuelles ou entre des composants internes et le réseau physique. Dans ce dernier cas, le N-VDS doit posséder une ou plusieurs interfaces physiques (pNIC) sur le nœud de transport. Comme avec les autres commutateurs virtuels, un N-VDS ne peut pas partager une interface physique avec un autre N-VDS. Il peut coexister avec un autre N-VDS lors de l'utilisation d'un ensemble distinct de pNIC.

Il existe deux types de zones de transport :

  • Superposition pour la tunnellisation NSX-T Data Center interne entre les nœuds de transport.

  • VLAN pour les liaisons montantes externes à NSX-T Data Center.

Cette opération se justifie si vous souhaitez que chaque dispositif NSX Edge n'ait qu'un seul N-VDS. Il est également possible d'intégrer NSX Edge à plusieurs zones de transport VLAN, à raison d'une pour chaque liaison montante.

Le choix de conception le plus courant consiste à définir trois zones de transport : une superposition et deux zones de transport VLAN pour les liaisons montantes redondantes.

Pour plus d'informations sur les zones de transport, reportez-vous à À propos des zones de transport.

Mise en réseau NSX Edge de dispositifs virtuels/machines virtuelles

Une VM NSX Edge dispose de quatre interfaces internes : eth0, fp-eth0, fp-eth1 et fp-eth2. Eth0 est réservé à la gestion et les autres interfaces sont attribuées au chemin d'accès rapide DPDK. Ces interfaces sont allouées pour des liaisons montantes vers des commutateurs ToR et pour la tunnellisation de superposition NSX-T Data Center. L'attribution d'interface est flexible pour la liaison montante ou la superposition. Par exemple, fp-eth0 peut être attribué pour le trafic de superposition avec fp-eth1, fp-eth2 ou les deux pour le trafic de liaison montante.

Sur le commutateur distribué vSphere ou le commutateur standard vSphere, vous devez allouer au moins deux vmnic au dispositif NSX Edge pour la redondance.

Dans l'exemple de topologie physique suivant, eth0 est utilisé pour le réseau de gestion, fp-eth0 est utilisé pour le trafic de superposition NSX-T Data Center, fp-eth1 est utilisé pour la liaison montante VLAN et fp-eth2 n'est pas utilisé. Si fp-eth2 n'est pas utilisé, vous devez le déconnecter.

Chiffre 2. Configuration de lien suggérée pour la mise en réseau de machines virtuelles NSX Edge

Le dispositif NSX Edge représenté dans cet exemple appartient à deux zones de transport (une superposition et un réseau local virtuel) et possède donc deux N-VDS, un pour le tunnel et l'autre pour le trafic de liaison montante.

Cette capture d'écran montre les groupes de ports de machine virtuelle, nsx-tunnel et vlan-uplink.

Pendant le déploiement, vous devez spécifier les noms de réseau correspondant aux noms configurés sur vos groupes de ports de machine virtuelle. Ainsi, pour faire correspondre les groupes de ports de machine virtuelle dans notre exemple, les paramètres ovftool du réseau peuvent être les suivants si vous utilisez la commande ovftool pour déployer NSX Edge :

--net:"Network 0-Mgmt" --net:"Network 1-nsx-tunnel" --net:"Network 2=vlan-uplink"

L'exemple illustré ici utilise les noms de groupe de ports de machine virtuelle Mgmt, nsx-tunnel et vlan-uplink. Vous pouvez utiliser n'importe quel nom pour vos groupes de ports de machine virtuelle.

Par exemple, sur un vSwitch standard, vous configurez les ports de jonction comme suit : Hôte > Configuration > Mise en réseau > Ajouter une mise en réseau > Machine virtuelle > ID VLAN Tous (4095).

La VM NSX Edge peut être installée sur un commutateur distribué vSphere ou sur des commutateurs standard vSphere.

Une machine virtuelle NSX Edge peut être installée sur un hôte NSX-T Data Center préparé et configurée comme un nœud de transport. Il existe deux types de déploiement :

  • Une machine virtuelle NSX Edge peut être déployée à l'aide de groupes de ports VSS/VDS où VSS/VDS consomment des pNIC(s) distincts sur l'hôte. Le nœud de transport d'hôte consomme une ou des pNIC distinctes pour l'instance de N-VDS installée sur l'hôte. L'instance de N-VDS du nœud de transport d'hôte coexiste avec VSS ou VDS, les deux consommant des pNIC distinctes. Le TEP (point de terminaison de tunnel) de l'hôte et le TEP de NSX Edge peuvent se trouver dans le même sous-réseau ou des sous-réseaux distincts.

  • Une machine virtuelle NSX Edge peut être déployée à l'aide de commutateurs logiques soutenus par VLAN sur le N-VDS du nœud de transport d'hôte. Le TEP de l'hôte et le TEP de NSX Edge doivent se trouver dans des sous-réseaux distincts.

Plusieurs VM NSX Edge peuvent être installées sur un hôte unique, en utilisant les mêmes groupes de ports de gestion, VLAN et de superposition.

Pour une VM NSX Edge déployée sur un hôte ESXi disposant de vSphere et non de N-VDS, vous devez procéder comme suit :

  • Activez la fausse transmission pour le serveur DHCP en cours d'exécution sur ce dispositif NSX Edge.

  • Activez le mode promiscuité pour que la VM NSX Edge reçoive des paquets de monodiffusion inconnus, l'apprentissage MAC étant désactivé par défaut. Cela n'est pas nécessaire pour vDS 6.6 ou version ultérieure, l'apprentissage MAC étant activé par défaut.

Mise en réseau de NSX Edge sur un système nu

Le dispositif NSX Edge bare metal NSX-T Data Center s'exécute sur un serveur physique et est installé à l'aide d'un fichier ISO ou d'un démarrage PXE. Le dispositif NSX Edge bare metal est recommandé pour les environnements de production où des services comme NAT, pare-feu et équilibrage de charge sont nécessaires en plus du transfert de monodiffusion de couche 3. Un dispositif NSX Edge bare metal diffère du format de la VM NSX Edge en termes de performances. Il fournit une convergence quasi instantanée, un basculement plus rapide et un débit plus élevé.

Lorsqu'un nœud NSX Edge bare metal est installé, une interface dédiée est conservée pour la gestion. Si la redondance est souhaitée, deux cartes réseau peuvent être utilisées pour la haute disponibilité du plan de gestion. Ces interfaces de gestion peuvent également être 1G.

Le nœud NSX Edge bare metal prend en charge un maximum de 8 cartes réseau physiques pour le trafic de superposition et le trafic de liaison montante vers les commutateurs ToR (Top-of-Rack). Pour chacune de ces 8 cartes réseau physiques sur le serveur, une interface interne est créée en respectant le schéma de dénomination « fp-ethX ». Ces interfaces internes sont attribuées au chemin d'accès rapide DPDK. L'attribution d'interfaces fp-eth pour la connectivité de superposition ou de liaison montante est entièrement flexible.

Dans l'exemple de topologie physique suivant, fp-eth0 et fp-eth1 sont liés et utilisés pour le tunnel de superposition NSX-T Data Center. fp-eth2 et fp-eth3 sont utilisés en tant que liaisons montantes VLAN redondantes vers des appareils TOR.

Chiffre 3. Configuration de lien suggérée pour la mise en réseau de NSX Edge sur système nu