Dans un environnement NSX-T Data Center, seuls les dispositifs NSX Manager qui ont déployé la machine virtuelle NSX Edge, peuvent l'utiliser pour le routage et la communication inter-TEP. Aucune des autres instances de NSX Manager enregistrées sur le même dispositif vCenter Server ne peut l'utiliser pour le routage et la communication inter-TEP. Les autres instances de NSX Manager prennent en compte la machine virtuelle NSX Edge comme une machine virtuelle standard. Ce scénario peut entraîner des problèmes de performances du trafic sur la machine virtuelle NSX Edge.

Problème

Dans un scénario à plusieurs instances de NSX-T Data Center, vous disposez de la configuration suivante :
  • NSX Manager-1 et NSX Manager-2 sont enregistrés sur le même dispositif vCenter Server (gestionnaire de calcul).
  • NSX Manager-1 a déployé la machine virtuelle NSX Edge.
  • NSX Manager-2 a préparé l'hôte ESXi.
  • À compter de vSphere Web Client, vous effectuez une migration vMotion de la machine virtuelle NSX Edge vers un hôte ESXi préparé par NSX Manager-2. NSX Manager-2 n'a pas déployé la machine virtuelle NSX Edge.
  • NSX Manager-1 ne reconnaît pas NSX Edge comme une machine virtuelle d'inventaire. Par conséquent, NSX Manager-1 ne lui applique aucune règle DFW.

Après le déplacement de la machine virtuelle NSX Edge vers le nouvel hôte ESXi :

  • NSX Manager-2 classe NSX Edge en tant que machine virtuelle standard et non en tant que machine virtuelle NSX Edge. Si des règles DFW sont configurées, NSX Manager-2 applique des règles DFW sur la machine virtuelle NSX Edge.

    Voici un exemple de résultat :

    https://<NSX Manager-2>/api/v1/fabric/virtual-machines
{
            “host_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
            “source”: {
                “target_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                “target_display_name”: “10.172.17.133”,
                “target_type”: “HostNode”,
                “is_valid”: true
            },
           …..
            “type”: “REGULAR”,
            “guest_info”: {
                “os_name”: “Ubuntu Linux (64-bit)“,
                “computer_name”: “vm”
            },
            “resource_type”: “VirtualMachine”,
            “display_name”: “mgr2_edge1",
            “_last_sync_time”: 1663802733277
        },

Cause

La liste d'exclusion NSX Manager-2 ne filtre pas la machine virtuelle NSX Edge. Elle est considérée comme une machine virtuelle standard et non comme une machine virtuelle NSX Edge. Par conséquent, les règles DFW ou toutes les règles de pare-feu tierces configurées pour les charges de travail sont également appliquées à la machine virtuelle NSX Edge. Ce scénario peut entraîner une interruption du trafic.

Solution

  1. Connectez-vous au site vCenter Server, https://vCenter-Server-IP.
  2. Comme NSX Manager-2 considère la machine virtuelle NSX Edge comme une machine virtuelle standard, créez un groupe NS « VM Edge-Depuis-Autres-Gestionnaires » et ajoutez les machines virtuelles Edge au groupe NS.
  3. Pour identifier les machines virtuelles Edge de NSX Manager-1 qui doivent être ajoutées aux listes d'exclusion sur NSX Manager-2, procédez comme suit :
    1. Utilisez display_name que vous obtenez après l'appel de l'API suivante, https://<NSX Manager-1>/api/v1/transport-nodes?node_types=EdgeNode.
    2. Faites correspondre le nom avec display_name dans la réponse de l'API de NSX Manager-2, https://<NSX Manager-2>/api/v1/fabric/virtual-machines.
  4. Ajoutez le groupe NS « VM-Edge-Depuis-Autres-Gestionnaires » à la liste d'exclusion DFW et aux listes d'exclusions SI sur NSX Manager-2.
  5. Vérifiez et excluez la VM NSX Edge des pare-feu tiers.
  6. Si l'ID de machines virtuelles Edge change, mettez à jour le groupe NS.
  7. Avant de supprimer la machine virtuelle Edge, supprimez l'entrée des listes d'exclusion.
    Note : La communication TEP sur la machine virtuelle NSX Edge n'est pas prise en charge sur NSX Manager-2.