Il traffico scorre sui gateway stateful di livello 0 e di livello 1 configurati in modalità HA attivo-attivo.
Flusso di traffico sud-nord
- In base a un hash deterministico, un pacchetto in arrivo da una macchina virtuale in direzione sud viene inviato dal backplane dell'Edge-2.
- L'Edge-2 determina che l'Edge-4 sta gestendo attivamente i flussi di traffico e inoltra il flusso in uscita tramite le interfacce esterne (che fanno parte del gruppo di interfacce).
- Viene eseguito un hash IP in base all'IP di destinazione del server esterno e il traffico viene inviato dall'Edge-2 all'Edge-4. Il pacchetto viene ulteriormente inoltrato al router del servizio (SR) del gateway di livello 0 dove SNAT modifica l'indirizzo IP di origine nell'indirizzo IP convertito.
- Dopo che il flusso raggiunge l'SR di livello 0 dell'Edge-4, la porta shadow inoltra il traffico NAT all'interfaccia di uplink e quindi lo invia al router fisico.
- Se l'SR di livello 0 nell'Edge-4 non riesce, NSX invia il traffico al relativo nodo di backup nel cluster secondario, ovvero l'Edge-3, dove SNAT modifica l'indirizzo IP di origine nell'indirizzo IP convertito. L'interfaccia di backup nell'Edge-1 acquisisce l'IP del backplane e l'IP di uplink del gateway di livello 0 prima di iniziare a elaborare il traffico. A livello operativo, l'interfaccia di backup sull'Edge-3 è Attiva e l'interfaccia shadow sull'Edge-4 è Inattiva.
- Tutti i flussi di traffico elaborati dalle regole del firewall e NAT vengono sincronizzati nell'SR di livello 0 nell'Edge-3.
- Quando l'Edge-4 torna attivo, il flusso viene risincronizzato con l'Edge-4. Quando la porta shadow torna attiva, NSX vi invia il traffico.
Flusso di traffico nord-sud
- Un pacchetto proveniente da una macchina virtuale in direzione nord viene sottoposto a hash dal router fisico utilizzando il proprio algoritmo di hash per inviare il pacchetto all'Edge-3 in base a una scelta di routing ECMP. Il gateway di livello 0 è in esecuzione nell'Edge-3.
- L'Edge-3 determina che l'Edge-4 sta gestendo attivamente il flusso del traffico e lo inoltra all'Edge-4. Il flusso viene gestito dall'interfaccia di shadow dell'Edge-4.
- Viene eseguito un hash IP in base all'IP di origine del server esterno, il traffico viene inviato dall'SR di livello 0 dell'Edge-3 all'SR di livello 0 dell'Edge-4, in cui è abilitato NAT. L'IP di origine viene modificato nell'indirizzo IP convertito.
- Il pacchetto viene inviato dall'SR di livello 0 dell'Edge-4 al DR di livello 0 dell'Edge 4 e quindi al gateway di livello 1, raggiungendo infine la macchina virtuale di destinazione.
- Se il router del servizio di livello 0 sull'Edge-4 non riesce, NSX invia il traffico al relativo nodo peer (cluster secondario 2), ovvero l'Edge-3. Il NAT abilitato nell'Edge-3 modifica l'indirizzo IP di origine nell'indirizzo IP convertito.
- Prima di iniziare l'elaborazione del traffico, la porta shadow di backup nell'Edge-3 gestisce il flusso del traffico. A questo punto, a livello operativo, la porta shadow di backup sull'Edge-3 è Attiva e la porta shadow sull'Edge-4 è Inattiva.
- Tutti i flussi di traffico elaborati dalle regole del firewall e NAT vengono sincronizzati nell'SR di livello 0 nell'Edge-3.
- Quando l'Edge-4 torna attivo, il flusso viene nuovamente sincronizzato. La porta shadow sull'Edge-4 ridiventa attiva e il traffico viene inviato a tale porta.
Errore del cluster secondario
Se entrambi i nodi di un cluster secondario diventano inattivi, il cluster secondario diventa inattivo.
- I flussi esistenti vengono interrotti causando la perdita di traffico.
- I nuovi flussi vengono inviati all'altro cluster secondario.
- Quando il cluster secondario non riuscito torna di nuovo attivo, i flussi tornano al cluster secondario originale.
Se un cluster secondario diventa inattivo per qualsiasi motivo, subentra l'altro cluster secondario nel cluster.
Errore di un nodo singolo
In caso di errore di un nodo Edge , si verificano i seguenti eventi:
- I link dell'interfaccia del nodo Edge non riescono.
- La porta shadow nel nodo Edge non riuscito passa allo stato Inattivo.
- Subentra la porta di backup del nodo peer nel cluster secondario.
- Gli stati del firewall e del NAT vengono sincronizzati nel nodo dell'Edge peer.
- La porta di backup nel nodo peer fornisce connettività ai nuovi flussi di traffico.
- Quando i link dell'interfaccia del nodo non riuscito vengono ripristinati, gli stati del firewall e del NAT vengono risincronizzati con la porta shadow nel nodo attivo.
- NSX rinvia i flussi di traffico al nodo originale.