다중 NSX-T Data Center 환경에서는 NSX Edge VM을 배포한 NSX Manager만 라우팅 및 TEP 간 통신에 이 VM을 사용할 수 있습니다. 동일한 vCenter Server에 등록된 다른 NSX Manager는 라우팅 및 TEP 간 통신에 이 VM을 사용할 수 없습니다. 다른 NSX Manager 인스턴스는 NSX Edge VM을 일반 VM으로 간주합니다. 이 시나리오는 NSX Edge VM에서 트래픽 성능 문제를 일으킬 수 있습니다.

문제

다중 NSX-T Data Center 시나리오에서는 다음과 같은 구성이 사용됩니다.
  • NSX Manager-1 및 NSX Manager-2가 동일한 vCenter Server(계산 관리자)에 등록됩니다.
  • NSX Manager-1이 NSX Edge VM을 배포했습니다.
  • NSX Manager-2가 ESXi 호스트를 준비했습니다.
  • vSphere Web Client에서 NSX Edge-2로 준비된 ESXi 호스트로 NSX Manager VM의 vMotion을 수행합니다. NSX Manager-2가 NSX Edge VM을 배포하지 않았습니다.
  • NSX Manager-1이 NSX Edge를 인벤토리 VM으로 인식하지 않습니다. 따라서 NSX Manager-1이 DFW 규칙을 적용하지 않습니다.

NSX Edge VM을 새 ESXi 호스트로 이동한 후 다음을 수행합니다.

  • NSX Manager-2는 NSX EdgeNSX Edge VM이 아닌 일반 VM으로 분류합니다. 구성된 DFW 규칙이 있는 경우 NSX Manager-2는 NSX Edge VM에 DFW 규칙을 적용합니다.

    샘플 출력을 참조하십시오.

    https://<NSX Manager-2>/api/v1/fabric/virtual-machines
    {
                “host_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                “source”: {
                    “target_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”,
                    “target_display_name”: “10.172.17.133”,
                    “target_type”: “HostNode”,
                    “is_valid”: true
                },
               …..
                “type”: “REGULAR”,
                “guest_info”: {
                    “os_name”: “Ubuntu Linux (64-bit)“,
                    “computer_name”: “vm”
                },
                “resource_type”: “VirtualMachine”,
                “display_name”: “mgr2_edge1",
                “_last_sync_time”: 1663802733277
            },
    

원인

NSX Manager-2 제외 목록은 NSX Edge VM을 필터링하지 않으므로 NSX Edge VM이 아닌 일반 VM으로 간주됩니다. 따라서 워크로드에 대해 구성된 DFW 규칙 또는 타사 방화벽 규칙이 NSX Edge VM에도 적용됩니다. 이 시나리오를 수행하면 트래픽이 중단될 수 있습니다.

해결책

  1. vCenter Server(https://vCenter-Server-IP)에 로그인합니다.
  2. NSX Manager-2는 NSX Edge VM을 일반 VM으로 간주하므로 NS 그룹 “Edge-VMs-From-Other-Managers”를 생성하고 Edge VM을 NS 그룹에 추가합니다.
  3. NSX Manager-2의 제외 목록에 추가해야 하는 NSX Manager-1에서 Edge VM을 식별하려면 다음 단계를 수행합니다.
    1. 다음 API, https://<NSX Manager-1>/api/v1/transport-nodes?node_types=EdgeNode를 호출한 후 표시되는 display_name을 사용합니다.
    2. NSX Manager-2의 API 응답 https://<NSX Manager-2>/api/v1/fabric/virtual-machines에서 display_name과 일치하는 이름을 찾습니다.
  4. NS 그룹 "Edge-VMs-From-Other-Managers"를 NSX Manager-2의 DFW 제외 목록 및 SI 제외 목록에 추가합니다.
  5. 타사 방화벽에서 NSX Edge VM을 확인하고 제외합니다.
  6. Edge VM ID가 변경되면 NS 그룹을 업데이트합니다.
  7. Edge VM을 삭제하기 전에 제외 목록에서 항목을 제거합니다.
    참고: NSX Edge VM의 TEP 간 통신은 NSX Manager-2에서 지원되지 않습니다.