您必須先設定基礎架構,然後再為閘道安全性設定環境。

1. 部署 NSX Edge 傳輸節點

您必須先部署 NSX Edge 傳輸節點。

必要條件

您已部署 NSX Manager,並設定了有效的授權。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager (網址為 https://<nsx-manager-ip-address> 或 https://<nsx-manager-fqdn>)。
  2. 選取系統 > 網狀架構 > 節點 > Edge 傳輸節點 > 新增 Edge 節點

    新增 Edge 傳輸節點

  3. 輸入 NSX Edge 的名稱。
  4. subdomain.example.com 格式輸入主機名稱或 FQDN。
  5. 選取 NSX Edge 虛擬機器應用裝置的機器尺寸。
  6. 若要自訂配置給 NSX Edge 虛擬機器應用裝置的 CPU 和記憶體,請調整下列參數。但是,若要獲得最佳效能,必須為 NSX Edge 虛擬機器應用裝置指派 100% 的可用資源。
    注意: 如果您自訂的是配置給 NSX Edge 虛擬機器的資源,請稍後將保留重新設為 100%,以獲得最大效能。
    選項 說明
    記憶體保留 (%)

    保留百分比是相對於機器尺寸中預先定義的值。

    100 表示為 NSX Edge 虛擬機器保留了 100% 的記憶體。
    如果輸入 50,則表示所配置記憶體中的 50% 已為 Edge 傳輸節點保留。
    備註: 如果您要在 UPT 模式下使用 NSX Edge 虛擬機器資料路徑介面,請保留 100% 的已配置記憶體給 NSX Edge 傳輸節點。
    CPU 保留優先順序 選取相對於爭用共用資源的其他虛擬機器,要配置給 NSX Edge 虛擬機器的共用數目。
    下列共用適用於中等機器尺寸的 NSX Edge 虛擬機器:
    • 低 - 2000 個共用
    • 一般 - 4000 個共用
    • 高 - 8000 個共用
    • 超高 - 10000 個共用
    CPU 保留 (MHz)
    注意: 除非您需要精細控制 CPU 保留,否則請勿使用此欄位。而是改為從 CPU 保留優先順序欄位變更 CPU 保留。

    最大 CPU 保留值不得超過 vCPU 數目乘以實體 CPU 核心的一般 CPU 運作速率。

    如果輸入的 MHz 值超過實體 CPU 核心的最大 CPU 容量,即使已接受配置,NSX Edge 虛擬機器也可能無法啟動。

    例如,假設系統具有兩個 Intel Xeon E5-2630 CPU。每個 CPU 包含 10 個核心,以 2.20 GHz 執行。設定了兩個 vCPU 的虛擬機器的 CPU 配置上限為 2 x 2200 MHz = 4400 MHz。如果將 CPU 保留指定為 8000 MHz,則虛擬機器的重新設定會成功完成。但虛擬機器的電源無法開啟。
  7. 在 [認證] 視窗中,輸入下列詳細資料。
    • 指定 NSX Edge 的 CLI 和 root 密碼。密碼必須符合密碼強度限制。
      • 至少 12 個字元
      • 至少 1 個小寫字母
      • 至少 1 個大寫字母
      • 至少 1 個數字
      • 至少 1 個特殊字元
      • 至少 5 個不同字元
      • 無字典字組
      • 無回文
      • 不允許使用四個以上單純字元序列
    • 若要為管理員啟用 SSH,請切換 允許 SSH 登入按鈕。
    • 若要為 root 使用者啟用 SSH,請切換允許 Root SSH 登入按鈕。
    • 輸入 Audit 角色的認證。如果您未在 Audit 認證區段中輸入認證,則 audit 角色會保持停用。
      備註: 部署 NSX Edge 節點後,您無法變更部署期間為 root 使用者設定的 SSH 設定。例如,如果您在部署期間停用了 SSH,則無法為 root 使用者啟用 SSH。
  8. 輸入 NSX Edge 詳細資料。
    選項 說明
    計算管理程式 從下拉式功能表中選取 [計算管理程式]。

    計算管理程式是在管理平面中登錄的 。

    叢集 從下拉式功能表中指定 NSX Edge 將要加入的叢集。
    資源集區或主機 從下拉式功能表中指派 NSX Edge 的資源集區或特定主機。
    資料存放區 從下拉式功能表中選取 NSX Edge 檔案的資料存放區。
  9. 輸入 NSX Edge 管理介面詳細資料。
    選項 說明
    管理 IP 指派

    這將指定用於分配給 NSX Edge 節點的 IP 位址的 IP 版本,與 NSX ManagerNSX Controller 通訊時需要使用該 IP 位址。

    選取僅限 IPv4IPv4 和 IPv6

    • 如果選取僅限 IPv4,請選取 DHCP靜態 IP

      如果您選取 靜態,請輸入下列項目的值:
      • 管理 IP:以 CIDR 標記法輸入 NSX Edge 的 IP 位址。
      • 預設閘道:輸入 NSX Edge 的閘道 IP 位址。
    • 如果您選取 IPv4 和 IPv6,請輸入下列項目的值:
      • 管理 IP:以 CIDR 標記法輸入 NSX Edge 的 IP 位址。
      • 預設閘道:輸入 NSX Edge 的閘道 IP 位址。
    管理介面 從下拉式功能表中,選取連線至 NSX Edge 管理網路的介面。此介面必須可從 NSX Manager 連線,或必須位於與 NSX ManagerNSX Controller 相同的管理介面中。

    NSX Edge 管理介面會建立與 NSX Manager 管理介面之間的通訊。

    NSX Edge 管理介面連線到分散式連接埠群組或區段。
    搜尋網域名稱 以「example.com」格式輸入網域名稱或輸入 IP 位址。
    DNS 伺服器 輸入 DNS 伺服器的 IP 位址。
    NTP 伺服器 輸入 NTP 伺服器的 IP 位址或 FQDN。

    啟用資料路徑介面的 UPT 模式

    		 NSX Edge 資料路徑介面上啟用「統一傳遞 (UPT)」模式,以便對虛擬網路介面卡進行直接 I/O 存取或傳遞。這可改善 NSX Edge 節點的整體效能。
    啟用此欄位之前,請確定:
    • NSX Edge 硬體版本為 20 (或 vmx-20) 或更新版本。早期的硬體版本不支援 UPT 模式。
    • ESXi 主機必須是 8.0 版或更新版本。
    注意: 為了使 UPT 設定在 NSX Edge 虛擬機器的虛擬網路介面卡上生效, NSX Manager 會將 NSX Edge 虛擬機器置於維護模式,關閉其電源,然後重新開啟電源。
  10. 輸入 N-VDS 資訊。

    在設定 NSX Edge 節點的 vNIC 之前,請考慮以下幾點:

    N-VDS 交換器託管在 Edge 節點虛擬機器內,該虛擬機器具有四個快速路徑 vNIC 和一個管理 vNIC。

    • 一個 vNIC 專用於管理流量。
    • 一個 vNIC 專用於覆疊流量 (fp-eth0 DPDK 快速路徑介面)。
    • 兩個 vNIC 專用於外部流量 (fp-eth1、fp-eth2 DPDK 快速路徑介面)。
    選項 說明
    Edge 交換器名稱 輸入交換器的名稱或保留預設名稱。
    傳輸區域 選取此傳輸節點所屬的傳輸區域。一個 NSX Edge 傳輸節點至少會屬於兩個傳輸區域:NSX 連線的覆疊和上行連線的 VLAN。
    備註: 符合下列必要條件時, NSX Edge 節點支援多個覆疊通道 (多重 TEP):
    • TEP 組態必須僅在一個 N-VDS 上完成。
    • 所有 TEP 必須對覆疊流量使用相同的傳輸 VLAN。
    • 所有 TEP IP 必須位於相同的子網路中,並且使用相同的預設閘道。
    上行設定檔 從下拉式功能表中選取上行設定檔。可用的上行取決於所選上行設定檔中的組態。
    備註: NSX Edge 節點僅支援採用 [容錯移轉] 整併原則 (有單一個作用中上行,且無待命上行) 和 Loadbalancer 來源整併原則 (有多個作用中上行) 的上行設定檔。
    IP 位址類型 (TEP) 選取要用於通道端點 (TEP) 的 IP 版本。選項是 IPv4IPv6
    重要: 確保傳輸節點轉送模式和 TEP IP 位址類型相同。例如,如果傳輸節點轉送模式設定為 IPv6,請將 TEP IP 位址類型設定為 IPv6。如果這兩者不同,可能會導致流量遺失。
    IPv4 指派 (TEP)

    IP 位址類型 (TEP) 設定為 IPv4 時,將顯示此欄位。

    選擇如何將 IPv4 位址指派給已設定的 NSX Edge 交換器。這用作 NSX Edge 的通道端點。選項包括:

    • 使用 IP 集區:選取 IPv4 集區。
    • 使用靜態 IPv4 清單:指定以下欄位:
      • 靜態 IP 清單:輸入要供 NSX Edge 使用的 IPv4 位址逗號分隔清單。
      • IPv4 閘道:輸入 TEP 的預設閘道,用於將封包路由到另一個網路中的另一個 TEP。例如,ESXi TEP 位於 20.20.20.0/24 中,NSX Edge TEP 位於 10.10.10.0/24 中,則我們使用預設閘道在這些網路之間路由封包。
      • IPv4 子網路遮罩:輸入 NSX Edge 上使用的 TEP 網路的子網路遮罩。
    IPv6 指派 (TEP)

    IP 位址類型 (TEP) 設定為 IPv6 時,將顯示此欄位。

    選擇如何將 IPv6 位址指派給已設定的 NSX Edge 交換器。這用作 NSX Edge 的通道端點。選項包括:

    • 使用 IP 集區:選取 IPv4 集區。
    • 使用靜態 IPv6 清單:指定以下欄位:
      • 靜態 IP 清單:輸入要供 NSX Edge 使用的 IPv4 位址逗號分隔清單。
      • IPv6 閘道:輸入 TEP 的預設閘道,用於將封包路由到另一個網路中的另一個 TEP。
      • IPv6 子網路遮罩:輸入 NSX Edge 上使用的 TEP 網路的子網路遮罩。
    DPDK 快速路徑介面/虛擬 NIC

    將上行對應至 DPDK 快速路徑介面。

    NSX 2.5 版開始,建議將單一 N-VDS 部署模式同時用於裸機和 NSX Edge 虛擬機器。請參閱

    NSX 4.0.1 開始,您可以將上行對應至已啟用 smartNIC 的 DVPG、VLAN 邏輯交換器或區段所支援的 DPDK 快速路徑介面。必要條件是在 NSX Edge 虛擬機器的虛擬網路介面卡上啟用 UPT 模式。UPT 模式會要求至少有一個 DPDK 介面受啟用 smartNIC 的硬體 (也稱為支援資料處理器 (DPU) 的網路) 支援。

    備註: 如果套用至 NSX Edge 節點的上行設定檔使用具名整併原則,請確定符合下列條件:
    • 預設整併原則中的所有上行必須對應到 Edge 虛擬機器上的實體網路介面,流量才能流經使用具名整併原則的邏輯交換器。請參閱

    在一個 NSX Edge 虛擬機器上,您最多可將四個唯一的資料路徑介面設定成上行。

    在將上行對應至「DPDK 快速路徑介面」時,如果 NSX Edge 未顯示所有可用的介面 (總共四個),則表示尚未在 NSX Edge 虛擬機器中新增額外介面,或者上行設定檔中的上行數目較少。

    對於從 NSX 舊版升級到 3.2.1 或更新版本的 NSX Edge 虛擬機器,請叫用重新部署 API 呼叫,以重新部署 NSX Edge 虛擬機器。叫用重新部署 API,可確保所部署的 NSX Edge 虛擬機器能夠辨識 NSX Manager UI 中的所有可用資料路徑介面。請確定上行設定檔已正確設定為使用額外的資料路徑 NIC。

    如需設定 NSX Edge DPDK 快速路徑介面的詳細資訊,請參閱

    • 對於自動部署的 NSX Edge (透過 NSX Manager UI 或 API 部署的 Edge 節點),請呼叫重新部署 API。以下 API 已棄用。
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • 對於手動部署的 Edge (從 VMware vCenter UI 或 API 使用 OVA/OVF 檔案來部署的 Edge),請部署新的 NSX Edge 虛擬機器。請確定也已針對該新的 NSX Edge 虛擬機器,執行舊 NSX Edge 虛擬機器的所有 vmx 自訂。

    如果您建立大型虛擬機器,且其具有多個 vNIC 且使用大型循環緩衝區,則在 NSX Edge 虛擬機器上執行 vMotion,可能導致 ESXi 耗盡共用緩衝集區中的資源。若要增加共用緩衝區的深度,請在 ESXi 中修改 ShareCOSBufSize 參數。若要設定緩衝區大小,請參閱https://kb.vmware.com/s/article/76387
    備註:
    • NSX Edge 虛擬機器應用裝置不支援 LLDP 設定檔。
    • 如果使用 NSX Manager 安裝 NSX Edge,或是在裸機伺服器上,則上行介面會顯示為 DPDK 快速路徑介面
    • 如果使用 vCenter Server 手動安裝 NSX Edge,則上行介面會顯示為虛擬 NIC
  11. 傳輸節點頁面上檢視連線狀態。
    NSX Edge 新增為傳輸節點後, Edge 傳輸節點頁面會在大約 10 到 12 分鐘後,將組態狀態顯示為 成功,將節點狀態顯示為 開啟

1.1:佈建 NSX Edge 叢集

為了實現高可用性,Edge 叢集中應有兩個 Edge 節點。

程序

  1. 新增 Edge 叢集。請移至系統 > 網狀架構 > 節點 > Edge 叢集,然後按一下新增 Edge 叢集
  2. 名稱文字框中,輸入 Edge 叢集的名稱。例如 Edge-cluster-1
  3. 將建立的 Edge 節點 (Edge-1) 從可用移至已選取視窗,然後按一下新增

2. 建立第 0 層或第 1 層閘道

根據您的使用案例,建立第 1 層或第 0 層閘道。

程序

  1. 新增閘道:
    • 新增第 0 層閘道:在 NSX Manager UI 中,按一下網路 > 第 0 層閘道 > 新增閘道 > 第 0 層

      新增第 0 層閘道

    • 新增第 1 層閘道:在 NSX Manager UI 中,按一下網路 > 第 1 層閘道 > 新增閘道 > 第 1 層
  2. 請提供下列資訊。
    名稱 輸入閘道的名稱。例如 T0-gateway-1
    Edge 叢集 選取所建立的 Edge 叢集。例如 Edge-cluster-1
  3. 按一下儲存

    如需進一步的詳細資料,請參閱NSX 管理指南

3. 在第 0 層或第 1 層閘道上建立介面

NSX 閘道具有不同的介面類型。根據網路拓撲,您可以選取必要的介面來連接至網路,並為流經閘道的流量提供防火牆保護。

此圖顯示 NSX 閘道的不同介面類型。

第 0 層外部介面:

  • 連接到實體路由器以進行外部連線
  • 您可以在第 0 層閘道上的 VLAN 區段上建立此介面

第 1 層上行介面:

  • 連接到第 0 層
  • 在第 1 層連接到第 0 層時,系統會建立此介面

服務介面:

  • 用來提供 NSX 服務 (GFW 及其他) 給非 NSX 管理的 VLAN 工作負載
  • 連接到 VLAN 區段
  • 第 0 層和第 1 層上均受支援

下行介面:

  • 閘道上的覆疊區段介面
  • 第 0 層和第 1 層上均受支援
  • 不支援 GFW
閘道防火牆主要用於以下兩種案例,具體取決於工作負載如何連接到網路:
  • VLAN 連接的工作負載
  • NSX 網路覆疊區段連接的工作負載

這每一個案例都會遵循略有不同的步驟,來建立網路介面,如本節後續所述。

3.1:為 VLAN 連接的工作負載建立 NSX 閘道防火牆介面

您必須執行以下步驟來設定環境。

  1. NSX 中建立 VLAN 區段。
    1. NSX Manager 中,按一下網路 > 區段 > 新增區段
    2. 請提供下列資訊。
      區段名稱 輸入區段的名稱。例如 VLAN-100
      傳輸區域 為 VLAN 流量選取預設傳輸區域。例如 nsx-vlan-transportzone
      VLAN 輸入 100
    3. 按一下儲存
  2. 在第 0 層或第 1 層閘道上建立服務介面。
    1. NSX Manager 中,按一下網路 > 第 1 層閘道新增閘道 > 第 1 層
    2. 編輯所建立的閘道。例如 T1-gateway-1
    3. 服務介面之下,按一下設定
    4. 按一下新增介面
    5. 請提供下列資訊。
      名稱 輸入介面的名稱。例如 SI-VLAN-100
      IP 位址/遮罩 輸入 IP 位址。例如 192.168.50.12/24
      已連線至 (區段) 選取所設定的區段。例如 VLAN-100
    6. 按一下儲存

    根據網路需求,建立更多服務介面。

    在第 0 層上,您可以選擇根據連線需求,來建立外部介面或服務介面。如果建立外部介面,則需要為屬於 Edge 叢集的每個 Edge,建立一個外部介面。

    在工作流程中,除了所提及的參數外,還請選取要建立該介面的 Edge 節點。

如需詳細資訊,請參閱NSX 管理指南

3.2:為網路覆疊工作負載建立 NSX 閘道防火牆介面

執行下列步驟。
  1. 建立第 1 層閘道。
    1. 按一下網路 > 第 1 層閘道 > 新增第 1 層閘道
    2. 輸入第 1 層閘道的名稱。例如 PROD-Tier1

      新增第 1 層閘道

    3. 選取第 0 層閘道,以在第 1 層上建立上行。
    4. 選取用來實作閘道服務的 Edge 叢集。

      新增第 1 層閘道後,新增資料

    5. 按一下儲存
  2. 此外,您還應建立一個覆疊區段以連接工作負載。這會在閘道上建立一個下行介面,且讓 NSX 區段在 ESXi 上可供使用,以便與虛擬機器建立網路連線。
    1. 按一下網路 > 區段 > NSX > 新增區段

      新增區段

    2. 請提供下列資訊。
      名稱 輸入區段的名稱。例如 LS1.1
      連線 選取所設定的第 1 層閘道。例如 T1-Tenant1
      傳輸區域 選取覆疊流量的預設傳輸區域。例如 nsx-vlan-transportzone
      子網路 輸入必要的子網路。例如 10.x.x.1/24
    3. 按一下儲存
  3. 驗證所設定的覆疊區段在 VMware vCenter 中是可用的。在 VMware vCenter 中,移至主機和叢集,然後驗證所建立並連接至所設定之覆疊區段的虛擬機器。

如需詳細資訊,請參閱NSX 安裝指南