È innanzitutto necessario configurare l'infrastruttura e quindi configurare l'ambiente per la sicurezza del gateway.

1. Distribuire il nodo di trasporto NSX Edge

È innanzitutto necessario distribuire il nodo di trasporto NSX Edge.

Prerequisiti

È stata effettuata la distribuzione di NSX Manager e la configurazione delle licenze valide.

Procedura

  1. Dal browser, accedere con privilegi di amministratore a un NSX Manager all'indirizzo https://<nsx-manager-ip-address> o https://<nsx-manager-fqdn>.
  2. Selezionare Sistema > Infrastruttura > Nodi > Nodi di trasporto Edge > Aggiungi nodo Edge.

    Aggiungi nodo di trasporto edge

  3. Digitare un nome per l'NSX Edge.
  4. Digitare il nome host o il nome di dominio completo nel formato subdomain.example.com.
  5. Selezionare il fattore di forma per l'appliance della macchina virtuale NSX Edge.
  6. Per personalizzare la CPU e la memoria allocate a un'appliance della macchina virtuale NSX Edge, modificare i parametri seguenti. Per ottenere prestazioni ottimali, all'appliance della macchina virtuale NSX Edge deve tuttavia essere assegnato il 100% delle risorse disponibili.
    Attenzione: Se si personalizzano le risorse allocate alla macchina virtuale NSX Edge, reimpostare successivamente la prenotazione su 100% per ottenere prestazioni ottimali.
    Opzione Descrizione
    Prenotazione memoria (%)

    La percentuale di prenotazione è relativa al valore predefinito nel fattore di forma.

    100 indica che il 100% della memoria è prenotata per la macchina virtuale NSX Edge.
    Se si immette 50, significa che il 50% della memoria allocata è riservata al nodo di trasporto dell'Edge.
    Nota: Se si desidera utilizzare le interfacce del percorso dati della macchina virtuale NSX Edge in modalità UPT, riservare il 100% della memoria allocata per il nodo di trasporto NSX Edge.
    Priorità prenotazione CPU Selezionare il numero di condivisioni da allocare a una macchina virtuale NSX Edge rispetto alle altre macchine virtuali che si contendono le risorse condivise.
    Le seguenti condivisioni sono per una macchina virtuale NSX Edge con fattore di forma medio:
    • Bassa - 2.000 condivisioni
    • Normale - 4.000 condivisioni
    • Alta - 8.000 condivisioni
    • Molto alta - 10.000 condivisioni
    Prenotazione CPU (MHz)
    Attenzione: A meno che non sia necessario un controllo granulare sulle prenotazioni della CPU, non utilizzare questo campo. Modificare invece le prenotazioni della CPU dal campo Priorità prenotazione CPU.

    Il valore massimo della prenotazione della CPU non deve superare il numero di vCPU moltiplicato per la velocità di funzionamento normale della CPU del core della CPU fisica.

    Se il valore di MHz immesso supera la capacità CPU massima dei core della CPU fisica, è possibile che la macchina virtuale NSX Edge non si avvii anche se l'allocazione è stata accettata.

    Si consideri ad esempio un sistema con due CPU Intel Xeon E5-2630. Ogni CPU contiene dieci core in esecuzione a 2,20 GHz. L'allocazione massima della CPU per una macchina virtuale configurata con due vCPU è 2 x 2200 MHz = 4400 MHz. Se la prenotazione della CPU viene impostata su 8000 MHz, la riconfigurazione della macchina virtuale viene completata correttamente, ma non è possibile attivare la macchina virtuale.
  7. Nella finestra Credenziali immettere i dettagli seguenti.
    • Specificare la CLI e le password root per l'NSX Edge. Le password devono essere conformi alle limitazioni di complessità delle password.
      • Almeno 12 caratteri
      • Almeno una lettera minuscola
      • Almeno una lettera maiuscola
      • Almeno una cifra
      • Almeno un carattere speciale
      • Almeno cinque caratteri diversi
      • Nessuna parola del dizionario
      • Nessun palindromo
      • Non è consentita una sequenza che includa più di quattro caratteri monotonici
    • Per abilitare SSH per un amministratore, attivare o disattivare il pulsante Consenti accesso SSH.
    • Per abilitare SSH per un utente root, attivare o disattivare il pulsante Consenti accesso SSH di root.
    • Immettere le credenziali per il ruolo Audit. Se non si immettono le credenziali nella sezione Credenziali audit, il ruolo audit rimane disabilitato.
      Nota: Dopo aver distribuito il nodo di NSX Edge, non è possibile modificare l'impostazione SSH per un utente root impostato durante la distribuzione. Ad esempio, non è possibile abilitare SSH per un utente root se è stato disabilitato durante la distribuzione.
  8. Immettere i dettagli di NSX Edge.
    Opzione Descrizione
    Gestore risorse di elaborazione Selezionare il gestore delle risorse di elaborazione dal menu a discesa.

    Il gestore delle risorse di elaborazione è l'istanza di registrata nel piano di gestione.

    Cluster Dal menu a discesa scegliere il cluster a cui l'NSX Edge verrà unito.
    Pool di risorse o host Dal menu a discesa assegnare un pool di risorse o un host specifico per l'NSX Edge.
    Datastore Dal menu a discesa selezionare un datastore per i file dell'NSX Edge.
  9. Immettere i dettagli dell'interfaccia di gestione di NSX Edge.
    Opzione Descrizione
    Assegnazione IP di gestione

    Specifica la versione dell'IP utilizzata per l'indirizzo IP assegnato al nodo NSX Edge necessario per comunicare con NSX Manager e NSX Controller.

    Selezionare Solo IPv4 o IPv4 e IPv6.

    • Se si seleziona Solo IPv4, selezionare DHCP o IP Statico.

      Se si seleziona Statico, immettere i valori per:
      • IP di gestione: immettere l'indirizzo IP di NSX Edge nella notazione CIDR.
      • Gateway predefinito: immettere l'indirizzo IP del gateway di NSX Edge.
    • Se si seleziona IPv4 e IPv6, immettere i valori per:
      • IP di gestione: immettere l'indirizzo IP di NSX Edge nella notazione CIDR.
      • Gateway predefinito: immettere l'indirizzo IP del gateway di NSX Edge.
    Interfaccia di gestione Dal menu a discesa, selezionare l'interfaccia che si connette alla rete di gestione di NSX Edge. Questa interfaccia deve essere raggiungibile da NSX Manager o deve trovarsi nella stessa interfaccia di gestione di NSX Manager e NSX Controller.

    L'interfaccia di gestione di NSX Edge stabilisce la comunicazione con l'interfaccia di gestione di NSX Manager.

    L'interfaccia di gestione di NSX Edge è connessa a gruppi di porte o segmenti distribuiti.
    Cerca nomi di dominio Immettere i nomi dei domini nel formato "esempio.com" o immettere un indirizzo IP.
    Server DNS Immettere l'indirizzo IP del server DNS.
    Server NTP Immettere l'indirizzo IP o il nome di dominio completo del server NTP.

    Abilita modalità UPT per interfaccia percorso dati

    		 Abilitare la modalità UPT (Uniform PassThrough) nelle interfacce del percorso dati NSX Edge per disporre dell'accesso I/O diretto o del passthrough alla scheda di rete virtuale. Migliora le prestazioni complessive del nodo NSX Edge.
    Prima di abilitare questo campo, assicurarsi quanto segue:
    • La versione dell'hardware NSX Edge deve essere 20 o vmx-20 o successiva. Le versioni hardware precedenti non supportano la modalità UPT.
    • La versione dell'host ESXi deve essere 8.0 o successiva.
    Attenzione: Per rendere effettive le impostazioni di UPT nelle schede di rete virtuali della macchina virtuale NSX Edge, NSX Manager mette la macchina virtuale NSX Edge in modalità di manutenzione, la disattiva e la riaccende.
  10. Immettere le informazioni di N-VDS.

    Prima di configurare le vNIC dei nodi NSX Edge, tenere presenti questi punti:

    Un commutatore N-VDS è ospitato nella macchina virtuale del nodo Edge con quattro vNIC del percorso rapido e una vNIC di gestione.

    • Una vNIC è dedicata al traffico di gestione.
    • Una vNIC è dedicata al traffico overlay (interfaccia Fastpath DPDK fp-eth0).
    • Due vNIC sono dedicate al traffico esterno (interfacce Fastpath DPDK fp-eth1, fp-eth2).
    Opzione Descrizione
    Nome commutatore Edge Immettere un nome per il commutatore o mantenere il nome predefinito.
    Zona di trasporto Selezionare le zone di trasporto a cui questo nodo di trasporto appartiene. Un nodo di trasporto di NSX Edge appartiene ad almeno due zone di trasporto, un overlay per la connettività di NSX e una VLAN per la connettività uplink.
    Nota: I nodi NSX Edge supportano più tunnel di overlay (multi-TEP) quando vengono soddisfatti i seguenti prerequisiti:
    • La configurazione di TEP può essere eseguita solo in un N-VDS.
    • Tutti i TEP devono utilizzare la stessa VLAN di trasporto per il traffico overlay.
    • Tutti gli IP del TEP devono trovarsi nella stessa subnet e utilizzare lo stesso gateway predefinito.
    Profilo uplink Selezionare il profilo uplink dal menu a discesa. Gli uplink disponibili dipendono dalla configurazione nel profilo di uplink selezionato.
    Nota: I nodi NSX Edge supportano i profili uplink solo con il criterio di raggruppamento di failover (con un singolo uplink attivo e nessuno standby) e il criterio di raggruppamento dell'origine del bilanciamento del carico (con più uplink attivi).
    Tipo di indirizzo IP (TEP) Selezionare la versione di IP da utilizzare per l'endpoint tunnel (TEP). Le opzioni sono IPv4 e IPv6.
    Importante: Assicurarsi che la modalità di inoltro del nodo di trasporto e il tipo di indirizzo IP TEP siano uguali. Ad esempio, se la modalità di inoltro del nodo di trasporto è impostata su IPv6, impostare il tipo di indirizzo IP TEP su IPv6. Se sono diversi, potrebbe verificarsi una perdita di traffico.
    Assegnazione IPv4 (TEP)

    Questo campo viene visualizzato quando Tipo di indirizzo IP (TEP) è impostato su IPv4.

    Scegliere la modalità di assegnazione degli indirizzi IPv4 al commutatore NSX Edge configurato. Viene utilizzato come endpoint del tunnel di NSX Edge. Le opzioni sono:

    • Usa pool di IP: selezionare il pool IPv4.
    • Usa elenco IPv4 statici: specificare i campi seguenti:
      • Elenco IP statici: immettere un elenco di indirizzi IPv4 separati da virgole per l'utilizzo da parte di NSX Edge.
      • Gateway IPv4: immettere il gateway predefinito del TEP utilizzato per instradare i pacchetti verso un altro TEP in un'altra rete. Ad esempio, il TEP di ESXi si trova in 20.20.20.0/24, mentre i TEP di NSX Edge si trovano in 10.10.10.0/24, quindi viene utilizzato il gateway predefinito per instradare i pacchetti tra queste reti.
      • Subnet mask IPv4: immettere la subnet mask della rete TEP utilizzata in NSX Edge.
    Assegnazione IPv6 (TEP)

    Questo campo viene visualizzato quando Tipo di indirizzo IP (TEP) è impostato su IPv6.

    Scegliere la modalità di assegnazione degli indirizzi IPv6 al commutatore NSX Edge configurato. Viene utilizzato come endpoint del tunnel di NSX Edge. Le opzioni sono:

    • Usa pool di IP: selezionare il pool IPv4.
    • Usa elenco IPv6 statici: specificare i campi seguenti:
      • Elenco IP statici: immettere un elenco di indirizzi IPv4 separati da virgole per l'utilizzo da parte di NSX Edge.
      • Gateway IPv6: immettere il gateway predefinito del TEP utilizzato per instradare i pacchetti verso un altro TEP in un'altra rete.
      • Subnet mask IPv6: immettere la subnet mask della rete TEP utilizzata in NSX Edge.
    Interfacce Fastpath DPDK/NIC virtuali

    Mappare gli uplink alle interfacce Fastpath DPDK.

    A partire da NSX versione 2.5, è consigliabile utilizzare la modalità di distribuzione di N-VDS singolo sia per la macchina virtuale bare metal sia per la macchina virtuale NSX Edge. Vedere .

    A partire da NSX 4.0.1, è possibile mappare gli uplink alle interfacce Fastpath DPDK supportate da DVPG, commutatori logici VLAN o segmenti abilitati per SmartNIC. Il prerequisito è l'abilitazione della modalità UPT nelle schede di rete virtuali della macchina virtuale NSX Edge. La modalità UPT richiede che almeno un'interfaccia DPDK sia supportata da un hardware abilitato per SmartNIC, noto anche come reti supportate da DPU (unità di elaborazione dati).

    Nota: Se il profilo di uplink applicato al nodo NSX Edge utilizza un criterio di raggruppamento denominato, assicurarsi che venga soddisfatta la condizione seguente:
    • Tutti gli uplink nel criterio di raggruppamento predefinito devono essere mappati alle interfacce della rete fisica corrispondente nella macchina virtuale dell'Edge affinché il traffico passi attraverso un commutatore logico che utilizza i criteri di raggruppamento denominato. Vedere .

    È possibile configurare al massimo quattro interfacce del percorso dati univoco come uplink in una macchina virtuale NSX Edge.

    Quando si mappano gli uplink alle interfacce Fastpath DPDK, se NSX Edge non visualizza tutte le interfacce disponibili (quattro in totale), significa che l'interfaccia aggiuntiva non è ancora stata aggiunta alla macchina virtuale NSX Edge oppure che il profilo di uplink ha un numero inferiore di uplink.

    Per le macchine virtuali NSX Edge aggiornate da una versione precedente di NSX alla versione 3.2.1 o successiva, chiamare l'API di ridistribuzione per ridistribuire la macchina virtuale NSX Edge. Chiamare l'API di ridistribuzione assicura che la macchina virtuale NSX Edge distribuita riconosca tutte le interfacce del percorso dati disponibili nell'interfaccia utente di NSX Manager. Assicurarsi che il Profilo uplink sia configurato correttamente per l'utilizzo di una NIC aggiuntiva del percorso dati.

    Per ulteriori informazioni sulla configurazione delle interfacce Fastpath DPDK di NSX Edge, vedere .

    • Per gli NSX Edge distribuiti automaticamente (nodi Edge distribuiti dall'API o dall'interfaccia utente di NSX Manager), chiamare l'API di ridistribuzione. L'API seguente è obsoleta.
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • Per gli Edge distribuiti manualmente (Edge distribuiti utilizzando il file OVA/OVF dall'interfaccia utente o dall'API di VMware vCenter), distribuire una nuova macchina virtuale NSX Edge. Assicurarsi che tutte le personalizzazioni vmx della macchina virtuale NSX Edge precedente vengano eseguite anche per la nuova macchina virtuale NSX Edge.

    L'esecuzione di vMotion in una macchina virtuale NSX Edge può causare l'esaurimento delle risorse di ESXi da un pool di buffer condiviso se si creano macchine virtuali di grandi dimensioni con più vNIC che utilizzano buffer di anello di grandi dimensioni. Per aumentare la profondità del buffer condiviso, modificare il parametro ShareCOSBufSize in ESXi. Per configurare le dimensioni del buffer, vedere https://kb.vmware.com/s/article/76387.
    Nota:
    • Il profilo LLDP non è supportato in nell'appliance della macchina virtuale NSX Edge.
    • Le interfacce di uplink vengono visualizzate come Interfacce Fastpath DPDK se NSX Edge viene installato utilizzando NSX Manager o in un server bare metal.
    • Le interfacce di uplink vengono visualizzate come NIC virtuali se NSX Edge viene installato manualmente utilizzando vCenter Server.
  11. Visualizzare lo stato della connessione nella pagina Nodi di trasporto.
    Dopo aver aggiunto il NSX Edge come nodo di trasporto, nella pagina Nodi di trasporto Edge lo stato della configurazione verrà visualizzato come Operazione eseguita e lo stato del nodo come Attivo entro circa 10-12 minuti.

1.1: Provisioning del cluster di NSX Edge

Per garantire l'alta disponibilità, è necessario disporre di due nodi Edge in un cluster Edge.

Procedura

  1. Aggiungere il cluster Edge. Passare a Sistema > Infrastruttura > Nodi > Cluster Edge e fare clic su Aggiungi cluster Edge.
  2. Nella casella di testo Nome immettere il nome del cluster Edge. Ad esempio, Edge-cluster-1.
  3. Spostare il nodo Edge creato (Edge-1) da Disponibile alla finestra Selezionato e fare clic su Aggiungi.

2. Creare un gateway di livello 0 o di livello 1.

In base al caso d'uso, creare un gateway di livello 1 o 0.

Procedura

  1. Per aggiungere un gateway:
    • Per aggiungere un gateway di livello 0: dall'interfaccia utente di NSX Manager fare clic su Rete > Gateway di livello 0 > Aggiungi gateway > Livello 0.

      Aggiunta di un gateway di livello 0

    • Per aggiungere un gateway di livello 1: dall'interfaccia utente di NSX Manager , fare clic su Rete > Gateway di livello 1 > Aggiungi gateway > Livello 1.
  2. Specificare le informazioni seguenti.
    Nome Immettere il nome per il gateway. Ad esempio, T0-gateway-1.
    Cluster Edge Selezionare il cluster edge creato. Ad esempio, Edge-cluster-1.
  3. Fare clic su Salva.

    Per ulteriori dettagli, vedere Guida all'amministrazione di NSX.

3. Creazione di interfacce nel gateway di livello 0 o di livello 1

NSX gateway ha tipi di interfaccia diversi. In base alla topologia di rete, è possibile selezionare le interfacce necessarie per connettersi alla rete e fornire il firewalling per il traffico che passa attraverso il gateway.

Diagramma che illustra i diversi tipi di interfaccia per il gateway NSX.

Interfacce esterne di livello 0:

  • Si connette al router fisico per la connettività esterna
  • Questa interfaccia viene creata nei segmenti VLAN nel gateway di livello 0

Interfacce uplink di livello 1:

  • Si connette al livello 0
  • Il sistema crea questa interfaccia quando il livello 1 si connette al livello 0

Interfaccia del servizio:

  • Utilizzata per fornire servizi di NSX (GFW e altri) a carichi di lavoro VLAN non gestiti da NSX.
  • Si connette al segmento VLAN
  • Supportato sia su livello 0 che su livello 1

Interfaccia downlink:

  • Interfaccia del segmento di overlay nel gateway
  • Supportato sia su livello 0 che su livello 1
  • Nessun supporto GFW
Il firewall del gateway può essere utilizzato principalmente per due scenari in base al modo in cui i carichi di lavoro sono connessi alla rete:
  • Carichi di lavoro connessi alla VLAN
  • Segmenti di overlay di rete NSX connessi ai carichi di lavoro

Ciascuno di questi scenari segue passaggi leggermente diversi per creare le interfacce di rete, come descritto più avanti in questa sezione.

3.1: creazione dell'interfaccia del firewall del gateway NSX per i carichi di lavoro connessi alla VLAN

Per configurare l'ambiente, è necessario eseguire i passaggi seguenti.

  1. Creare un segmento VLAN in NSX.
    1. Nella NSX Manager, fare clic su Rete > Segmenti > Aggiungi segmento.
    2. Specificare le informazioni seguenti.
      Nome segmento Immettere il nome per il segmento. Ad esempio, VLAN-100.
      Zona di trasporto Selezionare la zona di trasporto predefinita per il traffico VLAN. Per esempio, nsx-vlan-transportzone.
      VLAN Immettere 100.
    3. Fare clic su Salva.
  2. Creare un'interfaccia o interfacce di servizio nel gateway di livello 0 o di livello 1.
    1. Nella NSX Manager, fare clic su Rete > Gateway di livello 1 Aggiungi gateway > Livello 1.
    2. Modificare il gateway creato. Ad esempio, T1-gateway-1.
    3. In Interfacce servizio, fare clic su Imposta.
    4. Fare clic su Aggiungi interfaccia.
    5. Specificare le informazioni seguenti.
      Nome Immettere il nome dell'interfaccia. Ad esempio, SI-VLAN-100.
      Indirizzo IP/Maschera Immettere un indirizzo IP. Ad esempio, 192.168.50.12/24.
      Connesso a (segmento) Selezionare il segmento configurato. Ad esempio,VLAN-100.
    6. Fare clic su Salva.

    Creare più interfacce di servizio in base ai requisiti di rete.

    In livello 0, è possibile creare un'interfaccia esterna o un'interfaccia del servizio in base ai requisiti di connettività. Se viene creata un'interfaccia esterna, è necessario creare un'interfaccia esterna per ogni Edge, che fa parte del cluster Edge.

    Come parte del flusso di lavoro, selezionare il nodo Edge per creare tale interfaccia, oltre ai parametri indicati.

Per ulteriori informazioni, vedere Guida all'amministrazione di NSX.

3.2: creazione dell'interfaccia del firewall del gateway NSX per i carichi di lavoro di overlay di rete

Eseguire i passaggi seguenti.
  1. Creazione di un gateway di livello 1.
    1. Fare clic su Rete > Gateway di livello 1 > Aggiungi gateway di livello 1.
    2. Immettere il nome per il gateway di livello 1. Per esempio, PROD-Livello 1.

      Aggiungi gateway di livello 1

    3. Selezionare il gateway di livello 0 per creare un uplink nel livello 1.
    4. Selezionare il cluster edge per l'implementazione dei servizi gateway.

      Dopo l'aggiunta del gateway di livello 1, aggiungere dati

    5. Fare clic su Salva.
  2. È inoltre consigliabile creare segmenti di overlay per connettere i carichi di lavoro. In questo modo viene creata un'interfaccia downlink nel gateway e vengono inoltre creati i segmenti di NSX disponibili nel ESXi per la connettività di rete con la macchina virtuale.
    1. Fare clic su Rete > Segmenti > NSX > Aggiungere segmento.

      Aggiungere segmento

    2. Specificare le informazioni seguenti.
      Nome Immettere il nome per il segmento. Per esempio, LS1.1.
      Connettività Selezionare il gateway di livello 1 configurato. Per esempio, T1-Tenant1.
      Zona di trasporto Selezionare la zona di trasporto predefinita per il traffico overlay. Per esempio, nsx-overlay-transportzone.
      Subnet Immettere la subnet richiesta. Ad esempio, 10.x.x.1/24.
    3. Fare clic su Salva.
  3. Verificare che il segmento di overlay configurato sia disponibile nel VMware vCenter. In VMware vCenter, passare a Host e Cluster, e convalidare le macchine virtuali create e connesse al segmento di overlay configurato.

Per ulteriori informazioni, vedere Guida all'installazione di NSX.