Introdução ao VMware NSX (12 de 17)

29 de dezembro de 2015

NSX Edge

Relembrando a teoria comentada no artigo 10 dessa série, o componente NSX Edge pode ser instalado de duas formas:

  • NSX Edge Services Gateway: oferece acesso a serviços de borda como firewall, load balancing, NAT, VPN, DHCP e alta disponibilidade. Múltiplos Services Gateways podem ser instalados em um mesmo data center, cada um podendo ter 10 interfaces internas ou de uplink. As interfaces internas conectam-se a portgroups protegidos fornecendo serviço de gateway para as redes isoladas. As interfaces de uplink conectam-se a portgroups que fornecem acesso a recursos de rede compartilhados ou a redes de acesso.
  • Distributed Logical Router: oferece roteamento distribuído leste-oeste com isolamento de endereçamento IP e de caminho por cliente (tenant). Máquinas virtuais em um mesmo host mas em subnets diferentes podem se comunicar diretamente sem passar por um roteador tradicional (físico). Um roteador lógico pode ter até 8 interfaces de uplink e 1000 interfaces internas e fornece somente serviços de bridging e roteamento.

NSX Edge como Services Gateway

O objetivo deste artigo é demonstrar a implementação do NSX Edge como Services Gateway, evoluindo a topologia do laboratório para inserir um dispositivo de perímetro que conectará as redes virtuais isoladas à rede externa do laboratório (rede física).

Para simplicidade do laboratório, a rede externa usada para conexão será a mesma rede de gerência utilizada para os dispositivos do NSX (rede 10.102.3.0/24). Essa configuração não reflete as melhores práticas de uma topologia de rede, onde a gerência deveria permancer segregada.

A topologia utilizada para implementação do gateway de perímetro é refletida pela figura abaixo:

0103_NSX_Services_Gateway

NOTA: o roteador de conexão às redes externas é um roteador físico que conecta o laboratório virtual.

Para adicionar um Services Gateway, através do vSphere Web Client clicar em Networking & Security -> NSX Edges e depois no botão + para adicionar um novo dispositivo de borda:

0104_NSX_Services_Gateway

Selecionar Edge Services Gateway, colocar um nome (no lab Perimeter Gateway). Não será habilitada a alta disponibilidade no laboratório. O tenant escolhido é o Default:

0105_NSX_Services_Gateway

Inserir a senha com no mínimo 12 caracteres entre maiúsculas, minúsculas, números e pelo menos 1 caractere especial. Para o laboratório, o ssh será habilitado:

0106_NSX_Services_Gateway

Escolher o Datacenter, formato Large, Enable auto rule generation habilitado e clicar no botão + para adicionar as configurações do novo dispositivo:

0107_NSX_Services_Gateway

Selecionar o cluster e o datastore para instalação do Services Gateway (os outros parâmetros são opcionais):

0108_NSX_Services_Gateway

A figura abaixo mostra o resumo das configurações para implementação. Clicar em Next:

0109_NSX_Services_Gateway

Clicar no botão + para adicionar as interfaces:

0110_NSX_Services_Gateway

Essa interface fará o uplink para as redes externas (selecionar o tipo Uplink)e clicar em Change para selecionar a rede de conexão:

0112_NSX_Services_Gateway

Selecionar a rede de conexão externa (no caso do laboratório dVportgroup Servidores):

0111_NSX_Services_Gateway

Clicar no botão + para adicionar um endereço IP para a interface (no lab 10.102.3.41/24) e clicar em OK:

0113_NSX_Services_Gateway

Clicar para adicionar outra interface para conexão à rede de trânsito virtualizada (Transit-Network-01) que se conectará ao Distributed Logical Router configurado em artigo anterior dessa série. As três próximas imagens mostram a configuração dessa interface:

0115_NSX_Services_Gateway

O switch de conexão para essa interface será o switch lógico Transit-Network-01 (criado anteriormente):

0114_NSX_Services_Gateway

O IP dessa interface será 192.168.0.1/29:

0116_NSX_Services_Gateway

Resumo da tela de criação da segunda interface do Services Gateway. Clicar em OK:

0117_NSX_Services_Gateway

Clicar em Next:

0118_NSX_Services_Gateway

Marcar a caixa Configure Default Gateway (o roteamento para a rede externa está sendo feito de forma estática), selecionar a vNIC Uplink, inserir o IP do Gateway 10.102.3.1 e manter a MTU em 1500:

0119_NSX_Services_Gateway

Por enquanto, a política padrão do firewall será mantida em Accept. Como o HA não foi habilitado no início da configuração, seus parâmetros aparecem em cinza nessa tela. É possível habilitar o HA após a instalação do componente.

0120_NSX_Services_Gateway

Na tela de resumo, conferir as configurações, clicar em Finish e aguardar a instalação do novo dispositivo de perímetro:

0121_NSX_Services_Gateway

O próximo artigo dessa série irá demonstrar uma configuração de roteamento dinâmico utilizando OSPF entre o DLR e o Services Gateway.

Para acessar o próximo artigo da série, clique no link Configuração de Roteamento Dinâmico OSPF no NSX.

Para acessar o índice dessa série de artigos clique em Introdução ao NSX – Índice.

Referências

Este artigo utiliza como referências testes realizados no laboratório do Agility Tech Center e os seguintes documentos da VMware:

  • NSX Installation and Upgrade Guide (NSX 6.0 for vSphere)
  • NSX Administration Guide (NSX 6.0 for vSphere)
  • VMware NSX Network Virtualization Design Guide

 

 

 

Posts relacionados