Non esistono vincoli specifici per la configurazione del bridging in un Edge bare metal. Tuttavia, se si prevede di eseguire un bridge in una macchina virtuale di NSX Edge, utilizzare questa sezione per comprendere la configurazione specifica da eseguire nell'infrastruttura di vSphere.

Lo scenario di esempio include due macchine virtuali, VM1 e VM2, nel nodo di trasporto ESXi 1 collegato a un segmento di overlay S. Le macchine virtuali possono comunicare al livello 2 con l'host fisico sul lato destro del diagramma grazie a un bridge la cui istanza è stata creata nella macchina virtuale dell'Edge in esecuzione nell'host ESXi 2. Il TEP (endpoint del tunnel) in ESXi 1 incapsula il traffico da VM1/VM2 e lo inoltra al TEP della macchina virtuale dell'Edge. Il bridge annulla quindi l'incapsulamento del traffico e lo invia contrassegnato con ID VLAN 10 nell'uplink VLAN. Il traffico viene quindi commutato nell'host fisico.
Figura 1. Bridging della macchina virtuale dell'Edge
Mostra la connettività della macchina virtuale dell'Edge utilizzando il bridging di livello 2

Come è possibile vedere nel diagramma, l'uplink VLAN del bridge è collegato alla porta p, che è collegata al gruppo di porte distribuito dvpg1. Questa porta p inserisce traffico in dvpg1 con gli indirizzi MAC di origine mac1 e mac2 delle macchine virtuali VM1 e VM2. La porta p deve anche accettare il traffico con gli indirizzi MAC di destinazione mac1 e mac2 in modo che l'host fisico possa raggiungere VM1 e VM2. Quando un bridge è in esecuzione nella macchina virtuale dell'Edge, la porta di questa macchina virtuale dell'Edge si comporta in modo non standard per quanto riguarda l'infrastruttura di commutazione di vSphere. Ciò significa che dvpg1 richiederà alcune configurazioni aggiuntive per la macchina virtuale dell'Edge. Nella sezione seguente sono elencate le diverse opzioni in base all'ambiente in uso.

Opzione 1: la macchina virtuale Edge si trova in un gruppo di porte VSS

Utilizzare questa opzione quando la macchina virtuale dell'Edge è connessa a un VSS (vSphere Standard Switch). È necessario abilitare la modalità promiscua e la trasmissione contraffatta.

  • Impostare la modalità promiscua nel gruppo di porte.
  • Consentire la trasmissione contraffatta nel gruppo di porte.
  • Eseguire il comando seguente per abilitare il filtro inverso nell'host ESXi in cui è in esecuzione la macchina virtuale dell'Edge:
    esxcli system settings advanced set -o /Net/ReversePathFwdCheckPromisc -i 1
    Quindi, disabilitare e abilitare la modalità promiscua nel gruppo di porte con i passaggi seguenti:
    • Modificare le impostazioni del gruppo di porte.
    • Disabilitare la modalità promiscua e salvare le impostazioni.
    • Modificare nuovamente le impostazioni del gruppo di porte.
    • Abilitare la modalità promiscua e salvare le impostazioni.
  • Non esistono altri gruppi di porte in modalità promiscua nello stesso host che condividono lo stesso set di VLAN.
  • Evitare di eseguire altre macchine virtuali collegate al gruppo di porte in modalità promiscua nello stesso host, perché il traffico viene replicato in tutte le macchine virtuali e influisce sulle prestazioni.

Opzione 2a: la macchina virtuale Edge si trova in un gruppo di porte VDS 6.6.0 (o versione successiva)

Utilizzare questa opzione quando la macchina virtuale Edge è connessa a un VDS (vSphere Distributed Switch). È necessario che sia in esecuzione ESXi 6.7 o versione successiva e VDS 6.6.0 o versione successiva.

  • Abilitare l'acquisizione MAC con l'opzione "Consenti flooding unicast" nel gruppo di porte distribuito.

    A partire da vSphere 8.0, è possibile abilitare l'opzione dell'interfaccia utente Acquisizione MAC nella configurazione del gruppo di porte distribuito. Per le versioni precedenti, è necessario utilizzare l'API VIM DVSMacLearningPolicy e impostare allowUnicastFlooding su true.

Opzione 2b: la macchina virtuale Edge si trova in un gruppo di porte VDS 6.5.0 (o versione successiva)

Utilizzare questa opzione quando la macchina virtuale Edge è connessa a un VDS (vSphere Distributed Switch). Abilitare la modalità promiscua e la trasmissione contraffatta.

  • Impostare la modalità promiscua nel gruppo di porte distribuito.
  • Consentire la trasmissione contraffatta nel gruppo di porte distribuito.
  • Eseguire il comando seguente per abilitare il filtro inverso nell'host ESXi in cui è in esecuzione la macchina virtuale dell'Edge:
    esxcli system settings advanced set -o /Net/ReversePathFwdCheckPromisc -i 1
    Quindi, disabilitare e abilitare la modalità promiscua nel gruppo di porte distribuito con i passaggi seguenti:
    • Modificare le impostazioni del gruppo di porte distribuito.
    • Disabilitare la modalità promiscua e salvare le impostazioni.
    • Modificare nuovamente le impostazioni del gruppo di porte distribuito.
    • Abilitare la modalità promiscua e salvare le impostazioni.
  • Fare in modo che non esistano altri gruppi di porte distribuiti in modalità promiscua nello stesso host che condividono lo stesso set di VLAN.
  • Evitare di eseguire altre macchine virtuali collegate al gruppo di porte distribuito in modalità promiscua nello stesso host, perché il traffico viene replicato in tutte le macchine virtuali e influisce sulle prestazioni.

Opzione 3: la macchina virtuale dell'Edge è connessa a un segmento di NSX

Se l'Edge viene distribuito in un host in cui è installato NSX, può connettersi a un segmento della VLAN e utilizzare Acquisizione MAC, ovvero l'opzione di configurazione preferita.

  • Creare un nuovo profilo del segmento Rilevamento MAC passando a Rete > Segmenti > Profili.
    • Fare clic su Aggiungi profilo segmento > Rilevamento MAC.
    • Abilitare Acquisizione MAC. In questo modo verrà abilitata anche l'opzione Flooding unicast sconosciuto. Mantenere l'opzione di flooding abilitata per fare in modo che il bridging funzioni in tutti gli scenari.
    • Fare clic su Salva.
  • Modificare il segmento utilizzato dall'Edge passando a Rete > Segmenti.
    • Fare clic sull'icona del menu (3 punti) e selezionare Modifica.
    • Espandere la sezione Profili segmento, quindi impostare il profilo Rilevamento MAC su quello creato in precedenza.
Nota: Se si esegue il bridging di un segmento alla VLAN 0 e si utilizza un router distribuito in questo segmento, è possibile che il gateway non instradi il traffico della VLAN 0 quando si utilizza l'acquisizione MAC. In questo scenario, evitare l'opzione 3. Evitare l'opzione 2a se la macchina virtuale dell'Edge è collegata al gruppo di porte distribuito di un VDS preparato per NSX for vSphere.