在多重 NSX 環境中,只有已部署 NSX Edge 虛擬機器的 NSX Manager 才能使用該虛擬機器進行路由和 TEP 間通訊。其他登錄到同一個 VMware vCenter 的 NSX Manager 都無法使用該虛擬機器進行路由和 TEP 間通訊。其他 NSX Manager 執行個體會將 NSX Edge 虛擬機器視為一般虛擬機器。此案例可能會導致 NSX Edge 虛擬機器發生流量效能問題。
問題
- NSX Manager-1 和 NSX Manager-2 登錄到同一個 VMware vCenter (計算管理程式)。
- NSX Manager-1 已部署 NSX Edge 虛擬機器。
- NSX Manager-2 已準備 ESXi 主機。
- 從 vSphere Web Client,您執行 vMotion 將 NSX Edge 虛擬機器移至由 NSX Manager-2 準備的 ESXi 主機。NSX Manager-2 未部署 NSX Edge 虛擬機器。
- NSX Manager-1 不會將 NSX Edge 視為詳細目錄虛擬機器。因此,NSX Manager-1 不會對此虛擬機器套用任何 DFW 規則。
將 NSX Edge 虛擬機器移至新的 ESXi 主機後:
- NSX Manager-2 會將 NSX Edge 分類為一般虛擬機器,而不是 NSX Edge 虛擬機器。如果已設定任何 DFW 規則,NSX Manager-2 會對 NSX Edge 虛擬機器套用任何 DFW 規則。
請查看範例輸出:
https://<NSX Manager-2>/api/v1/fabric/virtual-machines { “host_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”, “source”: { “target_id”: “59ac4c38-56b1-4b82-a131-dd9ad119f53d”, “target_display_name”: “10.172.17.133”, “target_type”: “HostNode”, “is_valid”: true }, ….. “type”: “REGULAR”, “guest_info”: { “os_name”: “Ubuntu Linux (64-bit)“, “computer_name”: “vm” }, “resource_type”: “VirtualMachine”, “display_name”: “mgr2_edge1", “_last_sync_time”: 1663802733277 },
原因
由於 NSX Manager-2 排除清單不會篩除 NSX Edge 虛擬機器,所以視為一般虛擬機器,而不是 NSX Edge 虛擬機器。因此,為工作負載設定的 DFW 規則或任何第三方防火牆規則也會套用至 NSX Edge 虛擬機器。此案例可能會導致流量中斷。
