Problemi di prestazioni del traffico relativi alle macchine virtuali NSX Edge in un ambiente con più NSX

In un ambiente con più NSX, solo l'NSX Manager che ha distribuito la macchina virtuale NSX Edge può utilizzarla per il routing e la comunicazione tra TEP. Nessuno degli altri NSX Manager registrati nello stesso VMware vCenter può utilizzarla per il routing e la comunicazione tra TEP. Le altre istanze di NSX Manager considerano la macchina virtuale NSX Edge come una macchina virtuale normale. Questo scenario può causare problemi relativi alle prestazioni del traffico nella macchina virtuale NSX Edge.

Problema

In uno scenario con più NSX, è presente la configurazione seguente:

NSX Manager-1 e NSX Manager-2 vengono registrati nello stesso VMware vCenter (gestore delle risorse di elaborazione).
NSX Manager-1 ha distribuito la macchina virtuale NSX Edge.
NSX Manager-2 ha preparato l'host ESXi.
In vSphere Web Client si esegue il vMotion della macchina virtuale NSX Edge in un host ESXi preparato da NSX Manager-2. NSX Manager-2 non ha distribuito la macchina virtuale NSX Edge.
NSX Manager-1 non riconosce NSX Edge come macchina virtuale dell'inventario. Pertanto, NSX Manager-1 non applica alcuna regola DFW in tale macchina virtuale.

Dopo aver spostato la macchina virtuale NSX Edge nel nuovo host ESXi:

NSX Manager-2 considera NSX Edge come macchina virtuale normale e non come macchina virtuale NSX Edge. Se sono configurate regole DFW, NSX Manager-2 applica tutte le regole DFW nella macchina virtuale NSX Edge.

Vedere un output di esempio,

https://<NSX Manager-2>/api/v1/fabric/virtual-machines
{
            “host_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
            “source”: {
                “target_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                “target_display_name”: “10.172.17.133”,
                “target_type”: “HostNode”,
                “is_valid”: true
            },
           …..
            “type”: “REGULAR”,
            “guest_info”: {
                “os_name”: “Ubuntu Linux (64-bit)“,
                “computer_name”: “vm”
            },
            “resource_type”: “VirtualMachine”,
            “display_name”: “mgr2_edge1",
            “_last_sync_time”: 1663802733277
        },

Causa

Poiché l'elenco di esclusione di NSX Manager-2 non esclude la macchina virtuale NSX Edge, viene considerata come macchina virtuale normale e non come macchina virtuale NSX Edge. Pertanto, anche le regole DFW o eventuali regole del firewall di terze parti configurate per i carichi di lavoro vengono applicate alla macchina virtuale NSX Edge. Questo scenario può causare l'interruzione del traffico.

Soluzione

Accedere al VMware vCenter, https://vCenter-Server-IP.
Poiché NSX Manager-2 considera la macchina virtuale NSX Edge come una macchina virtuale normale, creare un gruppo NS "Edge-VMs-From-Other-Managers" e aggiungere le macchine virtuali Edge al gruppo NS.
Per identificare le macchine virtuali Edge di NSX Manager-1 che devono essere aggiunte agli elenchi di esclusione in NSX Manager-2, eseguire i passaggi seguenti:
1. Utilizzare il valore di display_name che si ottiene dopo aver chiamato l'API seguente, https://<NSX Manager-1>/api/v1/transport-nodes?node_types=EdgeNode.
2. Associare il nome a display_name nella risposta dell'API da NSX Manager-2, https://<NSX Manager-2>/api/v1/fabric/virtual-machines.
Aggiungere il gruppo NS "Edge-VMs-From-Other-Managers" all'elenco di esclusione di DFW e agli elenchi di esclusione di SI in NSX Manager-2.
Verificare ed escludere la macchina virtuale NSX Edge dai firewall di terze parti.
Se l'ID della macchina virtuale Edge viene modificato, aggiornare il gruppo NS.
Prima di eliminare la macchina virtuale Edge, rimuovere la voce dagli elenchi di esclusione.

Nota: La comunicazione tra TEP nella macchina virtuale NSX Edge non è supportata in NSX Manager-2.