為了進行東西向網路自我檢查,請建立一個服務區段和一個覆疊傳輸區域。不過,您可以支援 VLAN 傳輸區域上的其他所有區段或邏輯交換器。

東西向網路自我檢查會套用至整個 NSX 部署。您可以在叢集層級或在每台主機上部署服務。

支援多種部署方法。其中一種方法是以主機為基礎的部署。部署類型會決定要在何處執行特定服務的服務虛擬機器。但是,無論部署類型為何,所有東西向網路自我檢查工作負載都可以存取服務虛擬機器。例如,如果沒有其他更好的替代方案,在叢集 A 上執行的工作負載可以使用在叢集 B 上執行的服務虛擬機器。因此,選擇以叢集為基礎的部署時,並不會限定只會對該叢集執行東西向網路自我檢查。

即使您計劃使用僅支援 VLAN 的區段的部署,東西向流量仍會透過覆疊傳輸區域和支援覆疊的區段傳遞。東西向網路自我檢查會套用至拓撲中的所有區段,無論這些區段是由覆疊傳輸區域或是由 VLAN 傳輸區域提供支援。

東西向網路自我檢查的需求

  • 僅限 IPv4 流量。
  • 請確定主控客體虛擬機器和服務虛擬機器的傳輸節點已設定成使用覆疊傳輸區域。需要覆疊傳輸區域,才能在系統中的所有傳輸節點上使用東西向網路自我檢查。
  • 建立一個支援覆疊的服務區段,以供東西向網路自我檢查服務使用。

  • 所有區段都必須由每個主機上相同的主機交換器提供支援。

  • 如果在 ESXi 主機上執行的客體虛擬機器連線至 VLAN 區段,但沒有將該 ESXi 主機設定成使用覆疊傳輸區域,則送往服務虛擬機器的流量會中斷。此類組態還可能導致流量被路由至黑洞。

客體虛擬機器的 vMotion

在執行 vMotion 期間,只有在已為目的地主機設定覆疊傳輸區域,且只有單一主機交換器時,才能成功將客體虛擬機器移轉至另一台主機。但是,如果沒有在任何覆疊傳輸區域中建立服務區段,或者如果設定了多個主機交換器,即使在執行 vMotion 之後,客體虛擬機器的虛擬 NIC 也會進入已中斷連線狀態。

vMotion 服務虛擬機器

  • 以主機為基礎的 SVM 部署:NSX 不支援對部署於個別主機上的服務虛擬機器 (SVM) 執行 vMotion 作業。

  • 以叢集為基礎的 SVM 部署:即使 NSX 允許對以叢集為基礎的 SVM 部署中的 SVM 執行 vMotion 作業,也請勿對 SVM 起始 vMotion,以避免流量丟失。

不支援的環境

  • IPv6 流量。
  • 有少數的傳輸節點已設定成使用 VLAN 傳輸區域,而剩餘的主機則設定成使用 VLAN 和 GENEVE (覆疊) 傳輸區域。請確定所有傳輸節點都已設定成使用 VLAN 和 GENEVE (覆疊) 傳輸區域。
  • 離開客體虛擬機器虛擬 NIC 的流量帶有 .1q VLAN 標籤。
  • 主幹連接埠 (可承載來自客體虛擬機器的多個 VLAN) 支援的客體虛擬機器。
  • 涉及多個主機交換器的任何拓撲都不支援東西向網路自我檢查。

已佈建支援覆疊 (支援 GENEVE) 的區段,以供東西向網路自我檢查內部使用。在 NSX Manager UI 上,移至安全性 → 網路自我檢查設定 → 服務區段

服務區段

NSX 僅支援在建立服務區段的 VDS 交換器上執行服務插入原則。它不允許將服務插入原則套用到通過其他任何在同一主機上設定的 VDS 交換器的流量。

若要使服務插入依設計運作,請停用所有區段、虛擬機器、容器或與不支援服務區段的 VDS 交換器相關的任何其他物件上的服務插入。因為服務插入原則將不會套用至叫用這些物件的流量。

但是,您可以呼叫 API 或從 UI 使用排除清單來選擇性停用 SI。如果針對指定的連接埠停用服務插入,該連接埠可以連線至支援服務區段的 VDS 或主機上的任何其他 VDS 交換器,而不會造成任何功能損失或引起問題。每當服務插入套用至由不支援服務區段的 VDS 交換器所支援的介面上的流量,NSX 會發出警示,顯示服務插入無法正確重新導向流量。

支援的流量類別

  • L3 (IPv4) 單點傳播
  • L3 (IPv4) 多點傳播
  • L3 (IPv4) 廣播
  • L3 (非 IP) (例如,GRE 和 IPSec 流量)