Introdução ao VMware NSX (10 de 17)

29 de dezembro de 2015

NSX Edge

O componente NSX Edge pode ser instalado de duas formas:

  • NSX Edge Services Gateway: oferece acesso a serviços de borda como firewall, load balancing, NAT, VPN, DHCP e alta disponibilidade. Múltiplos Services Gateways podem ser instalados em um mesmo data center, cada um podendo ter 10 interfaces internas ou de uplink. As interfaces internas conectam-se a portgroups protegidos fornecendo serviço de gateway para as redes isoladas. As interfaces de uplink conectam-se a portgroups que fornecem acesso a recursos de rede compartilhados ou a redes de acesso.
  • Distributed Logical Router: oferece roteamento distribuído leste-oeste com isolamento de endereçamento IP e de caminho por cliente (tenant). Máquinas virtuais em um mesmo host mas em subnets diferentes podem se comunicar diretamente sem passar por um roteador tradicional (físico). Um roteador lógico pode ter até 8 interfaces de uplink e 1000 interfaces internas e fornece somente serviços de bridging e roteamento.

NSX Edge como Distributed Logical Router

O Distributed Logical Router oferece roteamento entre redes virtuais sem deixar o “espaço virtual”, ou seja, sem necessidade de que a comunicação entre os servidores contidos em redes virtuais precisem atravessar um roteador tradicional (físico).

Um DRL trabalha com o plano de dados de camada 3 distribuído nos hypervisors e o plano de controle de camada 3 formado por uma máquina virtual (Logical Router Control VM) e pelas controllers NSX.

O DLR suporta protocolos de roteamento dinâmico como OSPF e BGP. Configurações de alta disponibilidade são suportadas no modelo ativo/standby.

As interfaces do DLR são chamadas de LIFs (Logical Interfaces). A configuração das LIFs são distribuídas para todos os hosts e cada LIF mantém uma tabela ARP.

Os endereços MAC são divididos em:

  • vMAC: é o endereço MAC da LIF. É o mesmo entre todos os hosts ESXi e nunca é visto pela rede física, somente pelas máquinas virtuais contidas na rede isolada.
  • pMAC: é o endereço MAC do uplink através do qual o tráfego flui para a rede física. Esse é o endereço visto pela rede física.

Os próximos passos demonstram a instalação de um NSX Edge como Distributed Logical Router (DRL), partindo da topologia do artigo anterior onde foram criadas 3 sub-redes de serviços (web, app e data base). O DLR irá fornecer o primeiro nó de roteamento entre essas 3 sub-redes, conforme a figura a seguir:

0074_NSX_Distributed_Logical_Router

O primeiro passo é fazer a implementação da VM de controle do Logical Router. Através do vSphere Client, clicar em Networking & Security -> NSX Edges e clicar no botão + para adicionar um novo Edge:

0075_NSX_Distributed_Logical_Router

Escolher Logical Distributed Router, preencher nome, hostname e descrição e o cliente (tentant) para o qual o DLR será instalado (no caso do laboratório, Default) e clicar em Next:

0076_NSX_Distributed_Logical_Router

NOTA: nesse momento, não será habilitada a funcionalidade de HA (High Availability).

Escolher uma senha de no mínimo 12 caracteres contendo letras maiúsculas, minúsculas e números e, no mínimo, um caractere especial. Como se trata de um laboratório, o acesso SSH será habilitado.

0077_NSX_Distributed_Logical_Router

Escolher o datacenter e o resource pool onde será feita a instalação da máquina virtual de controle do roteador lógico (DLR):

0078_NSX_Distributed_Logical_Router

0079_NSX_Distributed_Logical_Router

0080_NSX_Distributed_Logical_Router

Escolher a rede para conectar a interface de gerência. No laboratório, essa rede está denominada como Servidores e é a mesma rede usada para a gerência do NSX Manager instalado em artigo anterior dessa série (rede 10.102.3.0/24). Nesse momento, não será atribuído IP à interface de gerenciamento para evitar perda da conectividade do laboratório quando da configuração do roteamento dinâmico em um próximo artigo. Posteriormente essa rede deverá ser filtrada com um prefixo na configuração de roteamento dinâmico:

0081_NSX_Distributed_Logical_Router

Tela mostrando a escolha do portgroup “Servidores” para conexão da interface de gerência:

0082_NSX_Distributed_Logical_Router

Tela mostrando a configuração final da interface de gerência (conectada ao portgroup Servidores e sem configuração de IP).

0083_NSX_Distributed_Logical_Router

Nessa mesma tela, clicar no botão + na parte inferior relacionada à configuração das interfaces para adicionar nova interface (as interfaces a serem adicionadas serão mostradas nas figuras subsequentes):

0084_NSX_Distributed_Logical_Router

Selecionar a guia Logical Switch e marcar Transit-Network-01 (essas redes foram criadas no artigo anterior de configuração do switch lógico):

0085_NSX_Distributed_Logical_Router

Criar um nome (no lab, Uplink) e selecionar o tipo Uplink uma vez que trata-se da rede de trânsito da topologia. Essa rede será futuramente conectada a um Edge Gateway. Clicar no botão + para configurar o IP da interface:

0086_NSX_Distributed_Logical_Router

Configurar o IP 192.168.0.2/29 conforme topologia mostrada no início desse artigo:

0087_NSX_Distributed_Logical_Router

A tela a seguir mostra a interface com a configuração até o momento:

0088_NSX_Distributed_Logical_Router

Criar as próximas três interfaces (web-tier, app-tier e db-tier) utilizando o mesmo método anterior e o endereçamento mostrado na figura abaixo. Após finalizar a criação das interfaces, clicar em Next para passar para a próxima etapa de configuração do DLR:

0089_NSX_Distributed_Logical_Router

Como a configuração de HA não foi habilitada no início da configuração, não há nada para fazer no passo demonstrado na figura abaixo (O HA pode ser habilitado após a instalação do DLR). Clicar em Next:

0090_NSX_Distributed_Logical_Router

A última tela mostra um resumo das configurações escolhidas. Clicar em Finish para realizar a instalação do DLR:

0091_NSX_Distributed_Logical_Router

Após alguns minutos a máquina virtual de controle do DLR é instalada. A próxima imagem mostra a VM de controle do DLR no vCenter:

0092_NSX_Distributed_Logical_Router

Na UI do NSX no vSphere Web Client, é possível acessar o novo DLR instalado na seção NSX Edges:

0093_NSX_Distributed_Logical_Router

Clicar no DLR recém criado, selecionar a aba Manage -> Routing e clicar em Edit para adicionar um Default Gateway:

0094_NSX_Distributed_Logical_Router

Escolher a interface Uplink e configurar o endereço IP 192.168.0.1 (esse será o Edge Gateway que será instalado em um artigo posterior dessa série). Por enquanto, o DLR não será conectado a nada, portanto não haverá conectividade externa para as máquinas virtuais das sub-redes configuradas:

0095_NSX_Distributed_Logical_Router

Clicar no botão Publish Changes:

0096_NSX_Distributed_Logical_Router

Com a instalação do DLR realizada nesse laboratório, agora é possivel executar o comando ping entre os servidores das diferentes sub-redes. No laboratório, os servidores possuem o seguinte endereçamento IP:

  • Web-01: 192.168.10.11
  • Web-01: 192.168.10.12
  • App-01: 192.168.20.11
  • DB-01: 192.168.30.11

Observar que os servidores web, app e db podem pingar uns aos outros:

0097_NSX_Distributed_Logical_Router

O próximo artigo dessa série demonstra algumas funcionalidades de segurança que podem ser implementadas através do componente de firewall distribuído.

Para acessar o próximo artigo da série, clique no link Distributed Firewall.

Para acessar o índice dessa série de artigos clique em Introdução ao NSX – Índice.

Referências

Este artigo utiliza como referências testes realizados no laboratório do Agility Tech Center e os seguintes documentos da VMware:

  • NSX Installation and Upgrade Guide (NSX 6.0 for vSphere)
  • NSX Administration Guide (NSX 6.0 for vSphere)
  • VMware NSX Network Virtualization Design Guide

Posts relacionados