Pour l'introspection réseau est-ouest, créez un segment de service et une zone de transport de superposition. Cependant, vous pouvez sauvegarder tous les autres segments ou commutateurs logiques sur une zone de transport VLAN.

L'introspection réseau est-ouest est appliquée à l'intégralité d'un déploiement de NSX. Vous pouvez déployer le service au niveau du cluster ou par hôte.

Plusieurs méthodes de déploiement sont prises en charge. L'une d'elles est le déploiement basé sur l'hôte. Le type de déploiement décide où les machines virtuelles de service s'exécutent pour un service particulier. Cependant, quel que soit le type de déploiement, toutes les charges de travail d'introspection réseau horizontales peuvent accéder aux machines virtuelles de service. Par exemple, une charge de travail s'exécutant sur le cluster A peut utiliser une machine virtuelle de service exécutée sur le cluster B s'il n'y a pas de meilleure alternative. Par conséquent, la sélection d'un déploiement basé sur un cluster ne limite pas l'introspection réseau est-ouest à ce cluster.

Même si vous prévoyez un déploiement à l'aide de segments basés sur VLAN uniquement, le trafic est-ouest passe par des zones de transport de superposition et des segments supportés par la superposition. L'introspection réseau est-ouest est appliquée à tous les segments de la topologie, qu'ils reposent sur une superposition ou sur des zones de transport VLAN.

Conditions requises pour l'introspection réseau est-ouest

  • Trafic IPv4 uniquement.
  • Assurez-vous que les nœuds de transport qui hébergent les machines virtuelles invitées et les machines virtuelles de service sont configurés avec une zone de transport de superposition. Une zone de transport de superposition est requise pour utiliser l'introspection réseau est-ouest sur tous les nœuds de transport du système.
  • Créez un segment de service basé sur la superposition qui sera utilisé par le service d'introspection réseau est-ouest.

  • Tous les segments doivent être sauvegardés par le même commutateur hôte sur chaque hôte.

  • Si une machine virtuelle invitée exécutée sur un hôte ESXi est connectée à un segment VLAN, mais que cet hôte ESXi n'est pas configuré sur une zone de transport de superposition, le trafic destiné à une machine virtuelle de service est interrompu. Une telle configuration peut également entraîner l'acheminement du trafic vers un trou noir.

Déplacement vMotion des VM invitées

Lors d'un déplacement vMotion, la machine virtuelle invitée peut être migrée vers un autre hôte uniquement si l'hôte de destination est configuré avec une zone de transport de superposition et qu'il existe un seul commutateur d'hôte. Cependant, s'il n'y a pas de zone de transport de superposition dans laquelle le segment de service est créé ou si plusieurs commutateurs d'hôte sont configurés, la carte réseau virtuelle de la machine virtuelle invitée passe à l'état déconnecté même après le déplacement avec vMotion.

Migration par vMotion des VM de services

  • Déploiements de SVM basés sur un hôte : NSX ne prend pas en charge la migration par vMotion des VM de service (SVM) qui sont déployées sur des hôtes individuels.

  • Déploiements de SVM basés sur un cluster : même si NSX autorise la migration par vMotion des SVM dans un déploiement de SVM basé sur un cluster, il ne la lance pas pour éviter la perte de trafic.

Environnements non pris en charge

  • Trafic IPv6.
  • Quelques nœuds de transport sont configurés pour la zone de transport VLAN, tandis que les hôtes restants sont configurés pour les zones de transport VLAN et GENEVE (superposition). Assurez-vous que tous les nœuds de transport sont configurés pour les zones de transport VLAN et GENEVE (superposition).
  • Le trafic sortant d'une carte réseau virtuelle de VM invitée transporte la balise VLAN .1q.
  • VM invitées sauvegardées sur un port de jonction (qui peut transporter plusieurs VLAN à partir d'une VM invitée).
  • Toute topologie impliquant plusieurs commutateurs hôtes ne prend pas en charge l'introspection réseau horizontale.

Un segment reposant sur la superposition (reposant sur GENEVE) est provisionné pour une utilisation interne par l'introspection réseau est-ouest. Dans l'interface utilisateur de NSX Manager, accédez à Sécurité → Paramètres d'introspection du réseau → Segment de service.

Classes de trafic prises en charge

  • Monodiffusion L3 (IPv4)
  • Multidiffusion L3 (IPv4)
  • Diffusion L3 (IPv4)
  • L3 (non-IP) (par exemple, trafic GRE et IPsec)