网络虚拟化NSX学习笔记

网络虚拟化NSX学习
第一章VMware NSX 6.2简介
1.1 数据中心演化趋势
软件定义数据中心SDDC(私有云)
1、演化趋势
1)Apple Store式的IT服务
2)期望自服务:web界面,选择服务,点击使用,即可完成业务的自动化部署和上线
3)不希望应用部署和研发环境部署时,挨个IT团队打电话,调用资源;上线时间长

2、当前挑战
1)响应慢
2)业务故障恢复慢
3)应用多样化,系统间集成复杂
4)设备多种多样
5)云部署成功率低
6)分离烟囱式基础架构
7)预算一直在减少,资源有限
8)隐私泄露和安全问题
9)用户期望和现实差距大
3、带来的问题
1)每次上线新的应用或者研发环境,挨个部门打电话沟通,手动部署计算资源,存储和网络
2)尤其网络:需要逐步配置交换机、路由器,L2、L3、防火墙策略、负载均衡策略
3)应用上线慢,无法满足业务部门的需求
4)需要全新的基础架构,Software defined data center:SDDC
4、SDDC
1)软件定义数据中心
A.对整个数据中心进行虚拟化-敏捷、高效、安全
B.包括:计算虚拟化(vsphere)、存储虚拟化、网络虚拟化
2)网络虚拟化是SDDC的核心和关键
A.实现网络虚拟化,才能实现网络自动化
B.才能实现数据中心云部署
1.2 传统数据中心的网络问题
1、网络设计面临的问题

2、网络安全面临的挑战

3、传统数据中心难以实现内内部网路欧分段
1)性价比:难以在数据中心内每个机架的置顶交换机上每个物理端口部署一个物理防火墙或者每个虚拟机里面部署一个虚拟防火墙;成本高
2)运维管理难以实现:云计算环境下,VM创建、迁移以及销毁操作频率高,物理防火墙安全策略手动更改,跟不上步调
3)物理架构难以应对VM的vmtion带来的安全隐患,一旦一个VM被攻破,vmtion后,安全威胁可能在整个L2层面扩散。物理架构无能为力。
4)传统网络设计以及安全架构,难以同时具备2层网络灵活性、3层网络扩展性、实现“零信任”、网络敏捷部署以及自动化。
4、网络虚拟化(SDN)通过虚拟化整个网络架构、通过安全虚拟化实现真正的数据中心内部微分段,这些都通过软件灵活部署。
1.3 VMware NSX 6.2简介
1、网络虚拟化与NSX
1)当前数据中心基础上实现:物理网络、物理存储、物理计算资源
2)唯一要求:物理交换机上的MTU ≥1600字节,现在基本所有硬件都支持
3)全分布式虚拟网络服务:分布式交换机、路由器、防火墙、负载均衡设备;分不到每个hypervisor kernel内核。
4)内核分布式部署:支持高性能、低CPU占用率的二层交换服务;实现内核级的状态化防火墙服务;每个hypervisor实现20 GBPS的流量吞吐;超过8万个并行连接。
5)实现容器与容器之间的完全隔离,以及容器与物理网络的完全隔离;容器可以具备完全重叠的IP地址。

6)全分布式防火墙:集中策略部署和管控、分布式防火墙使用

2、什么是VMware NSX 6.2?
1)VMware NSX是专为软件定义的数据中心构建的网络虚拟化平台。

2)NSX将通常由硬件处理的网络连接和安全功能直接嵌入hypervisor中。正如10年前的服务器虚拟化一样,NSX网络虚拟化平台从根本上转变了数据中心的网运维模式,正在帮助数以千计的客户充分发挥软件定义数据中心的潜能。
3)NSX在软件中再现整个网络链接环境。它提供一套完整的逻辑网络链接元素和服务,其中保罗逻辑交换、路由、防火墙、负载均衡、VPN、服务质量和监控。对于虚拟网络。可以独立于底层硬件以编程的方式对其进行调配和管理。
3、NSX由哪些功能?
1)将网络连接功能转移到软件上
2)助无缝移动工作负载:只需短短几分钟,NSX便可以在数据中心之间移动虚拟机及其相关联的所有网络和安全策略。它支持双活数据中心和即时灾难恢复功能,可以避免运行中的应用中断。
3)缩短网络调配时间:NSX将在软件中调配整个网络的时间从数周缩短到数秒。它从底层物理网络抽象化虚拟网络,以实现基于任意网络硬件运行的灵活性。通过自动化,运维效率得到了提高,网络运营商便能够更快地完成部署并提高敏捷性。
4)实现网络微分段:借助与虚拟机相关联的精细化自动化策略,NSX可以帮助数据中心确保内部安全。它的微分段功能可大幅度降低威胁在数据中心内横向扩散的可能。通过网络微分段功能的实现,NSX为数据中心提供了本质山更加卓越的安全模型。
5)与第三方产品集成:NSX提供的平台可将行业领先的网络连接和安全解决方案引入软件定义数据中心。利用与NSX平台的紧密集成,第三方产品不仅可以根据需要自动部署,而且还可以适时做出调整,以适应数据中心内不断变化的情况。
1.4 NSX的主要使用场景
1、NSX主要应用的场景

2、虚拟网络资源自助服务

3、NSX安全微分段使用场景

4、NSX与第三方产品集成举例
1)与palo alto的安全防火墙集成
2)Panoroma向NSX manager注册后,自动实现,在每个NSX主机分发panoroma 的VM,不需手动分发

3)实现自动导流,将需要流经防火墙进行策略处理的流量,导流到每个主机的本地panoroma的VM,不需要去往物理防火墙

4)实现全分布式5-7层的防火墙解决方案
1.5 NSX版本与许可

1.6 MSX 6.2中引进的新功能
1、跨vCenter 的网络和安全
1)NSX vSphere 6.2支持跨vCenter的NSX环境:可以跨越多个vCenter部署逻辑交换机(LS)、分布式逻辑路由器(DLR)和distributed Firewall(DFW),为工作负载(虚拟机)分布于多个vCenter或多个物理位置的应用程序提供逻辑网络连接和安全服务。
2)多个vCenter使用一致的防火墙策略:现可将NSX中的防火墙规则区域标记为“通用”,在多个NSX manager之间复制这些区域中定义的规则。
3)通过DFW实现跨越vCenter vMtion:在“通用”区域中定义策略的虚拟机可以跨越不同的vCenter的主机进行迁移,并实施一致的安全策略。
4)通用security group:现可在通用规则中使用基于IP地址、IP集、Mac地址和Mac集的NSX 6.2 security group,在多个NSX manager之间同步组和组成员资格。这可提高多个NSX manager之间对象组定义的一致性,并实施一致的策略。
5)通用逻辑交换机(ULS):在NSX 6.2中,允许跨多个vCenter创建逻辑交换机,从而使网络管理员能够为应用程序或者租户创建连续的L2域。
6)通用分布式逻辑路由器(UDLR):在NSX 6.2中,允许用户跨越多个vCenter创建分布式逻辑路由器。
2、操作和故障排除增强功能
1)新的跟踪流故障排除工具:跟踪流是一个故障排除工具,可帮助确定是虚拟网络存在的问题还是物理网络存在的问题。它可以从源到目标跟踪数据包,有助于观察该数据包如何在虚拟网络中的各网络功能之间传递。
2)中央CLI:中央CLI缩短了分布式网络功能的故障排除时间。可以从NSX Manager命令行运行命令,并从控制器、主机和NSX Manager检索信息。
3)显示通道的运行状况:NSX 6.2.0增加了监控通信通道运行状况的功能。通过NSX Manager UI可以查看NSX Manager和防火墙代理之间、NSX Manager和控制层面代理之间以及主机和NSX Controller之间的通道运行状况。
4)独立edge L2 VPN客户端CLI:在NSX 6.2之前,独立NSX edge L2 VPN客户端只能通过OVF参数进行配置。增加了特定于独立NSX edge的命令后,可以通过命令行界面进行配置。
3、逻辑网络连接和路由
1)L2桥接与分布式逻辑路由器的互操作性:通过VMware NSX for vSphere 6.2,L2桥接现在可以加入分布式逻辑路由。
2)增强了ESG DHCP服务器对中继DHCP请求支持。
3)能够在VXLAN上保留VLAN标记。
4)重新分发筛选器的精确匹配:重新分发筛选器具有与ACL相同的匹配算法,因此默认执行精确的前缀匹配(除非使用了Le或ge选项)。
5)支持静态路由管理距离。
6)分布式逻辑路由器(DLR)强制同步可避免DLR之间的东西向路由流量出现数据丢失。南北向和桥接可能继续中断。
7)查看HA对中的活动edge:在NSX 6.2 web client中,可以查明HA对中的NSX edge appliance处理活动状态还是备用状态。
4、网络连接和edge服务
1)DLR管理接口已重命名为HA接口。这样做旨在强调,此接口提供HA传送,此接口上的流量中断会导致出现不一致(split-brain)的情况。
2)改进了负载平衡器运行状况监控:提供细粒度运行状况监控,可报告有关故障信息,跟踪上次运行状况检查和状态更改以及报告故障原因。
3)支持VIP和池端口范围:可为需要使用端口范围的应用程序提供负载平衡器支持。
4)增加了最大虚拟IP地址(VIP)数量:支持VIP数量增加到1024。
5、安全服务增强功能
1)虚拟机的新IP地址发现机制:根据虚拟机名称或其他基于vCenter的属性授权实施安全策略时,要求NSX知晓虚拟机的IP地址。
2)在NSX 6.1及更早版本中,每个虚拟机的IP地址发现要求虚拟机上存在VMware Tools(VMTools)或需要对虚拟机IP地址进行手动授权。
3)NSX 6.2提供了一个使用DHCP侦听或ARP侦听发现虚拟机IP地址的选项。通过这些新的发现机制,NSX能够对为安装VMware Tools的虚拟机强制实施基于IP地址的安全规则。
6、解决方案互操作性
1)支持vSphere 6.0 Pllatfoem Services Controller拓扑:除已支持的嵌入式PSC配置,NSX现在还支持外部Platform Services Controller(PSC)。
2)支持适用于NSX的vRealize Ochestrator插件1.0.2:为支持NSX 6.2版本,vRealize Automation (vRA)中引入了NSX-vRO插件v1.0.2。
1.7 NSX 针对灾备解决方案的提升
1、当前数据中心常用灾备解决方案

2、存在的问题
1)通过备份主数据中心的数据存储到备数据中心实现
2)当主数据中心故障之后,VM在备数据中心恢复的时候,由于更换了地理位置,一般是不通的地址分布;因此恢复的时候,需要改变VM的IP地址、网关、防火墙策略等等。
3)如果是内嵌IP地址,例如Apache,MySQL。会带来额外的复杂性,RTO的时间恢复时间长
3、NSX带来的改变

1)SRM(site recovery manager)+NSX+跨vCenter的集成,实现灾备的一体化解决方案;包括灾备的计算部分、存储部分和网络部分。
2)通过SRM实现VM的计算部分的灾备:包括创建protection group/vm恢复计划/failover/failback/failtest等。
3)SRM通过第三方存储厂商集成,实现存储部分的灾备;例如EMC等。
4)NSX与SRM集成,将VM在主数据中心的所有的网络、安全服务等,例如二层的逻辑交换,三层的网关,分布式防火墙服务自动化延伸和同步到其他备用数据中心。
5)当VM从备用数据中心恢复上线的时候,可以接入到完全相同的二层交换机,完全相同的网关,使用完全相同的防火墙策略服务。
6)减少整个恢复过程中的RTO时间80%以上。

第二章 VMware 6.2组件概述
2.1 NSX组件概述
1、IT 组织已经从服务器虚拟化中明显获益。服务器整合降低了物理复杂性,提高了运营效率,并且能够动态地重新调整基础资源的用途,使其以最佳方式快速满足日益动态化的业务应用需求。
2、VMware 的软件定义数据中心(SDDC)架构正将虚拟化技术延展至整个物理数据中心基础架构。VMwareNSX®网络虚拟化平台是SDDC架构中的一一个重要产品。
1)使用NSX可以实现网络虚拟化,与服务器虚拟化的工作原理(通过编程方式对基于软件的虚拟机(VM)执行创建、生成快照、删除和还原操作)大致相同,NSX网络虚拟化也是通过编程方式对基于软件的虚拟网络执行创建、生成快照、删除和还原操作。
2)这使得联网方式发生了彻底变革,不仅使数据中心管理人员能够将敏捷性和经济性提高若干数量级,而且还能极大地简化基础物理网络的运营模式。
3)NSX能够部署在任何IP网络上,包括现有的传统网络模型以及任何供应商提供的新–代体系结构 ,它为提供了一个彻底无中断的解决方案。
4)事实上,使用NSX,只需要利用现有的物理网络基础架构即可部署软件定义的数据中心。

3、上图对计算和网络虚拟化进行了类比。
1)通过服务器虚拟化,软件抽象层(服务器虚拟机管理程序)可在软件中重现人们所熟悉的x86物理服务器属性(例如CPU、内存、磁盘、网卡),从而可通过编程方式来任意组合这些属性,只需短短数秒,即可生成台独一无二的虚拟机。
2)通过网络虚拟化,与网络虚拟机管理程序等效的功能可在软件中重现第2层到第7层的一整套网络服务(例如,交换、路由、访问控制、防火墙、Qo5和负载平衡)。因此,可通过编程方式任意组合这些服务,只需短短数秒,即可生成独一无二的独立虚拟网络。
3)通过网络虚拟化,带来了类似于服务器虚拟化的优势。
A、例如,就像虚拟机独立于基础x86平台并允许IT将物理主机视为计算容量池一样,虚拟网络也独立于基础IP网络硬件并允许IT将物理网络视为可以按需使用和调整用途的传输容量池。
B、与传统架构不同的是,无需重新配置基础物理硬件或拓扑,即可通过编程方式置备、更改、存储、删除和还原虚拟网络。
C、与企业从熟悉的服务器和存储虚拟化解决方案获得的功能和优势相匹配,这一革命性的联网方式可发挥软件定义数据中心的全部潜能。
4、可通过vSphere Web Client、命令行界面(CLI)和REST API配置NSX。
2.2 NSX 组件架构概述
1、整体概览
1)逻辑网络:数据平面以及往上都是逻辑网络,下面是物理网络设备。

2.3 数据层面
1、NSX数据层面由NSX vSwitch组成,在vSphere Distributed Switch VDS)基础上增加了支持服务的组件。
1)NSX内核模块、用户空间代理、配置文件和安装脚本均打包为VIB,并在虚拟机管理程序内核内运行,以提供诸如分布式路由和逻辑防火墙的服务,并启用VXLAN桥接功能。
2、NSX vSwitch (基于vDS )可对物理网络进行抽象化处理并在虚拟机管理程序中提供访问级别的交换。它是网络虚拟化的核心,因为它可实现独立于物理构造的逻辑网络(如VLAN)。vSwitch的些优势包括:
1)利用协议(如VXLAN)和集中式网络配置支持覆盖网络。覆盖网络可实现以下功能:
A、减少了VLAN ID在物理网络中的使用。
B、在现有物理基础架构的现有IP网络上创建一一个三加的灵活逻辑晨2 (L2),而无需重新设计任何数据中心网络。
C、置备通信(东西向和南北向),同时保持租户之间的隔离状态。
D、应用程序工作负载和虚拟机独立于覆盖网络,就像连接到物理L2网络一样。
2)有利于实现虚拟机管理程序的大规模扩展。
3)端口镜像、NetFlow/IPFIX。配置备份和还原网络运行状况检查、QoS和LACP等多种功能构成了一个完整的工具包。可以在虚拟网络内执行流员管理、监控和故际排除等操作。
3、逻辑路由器L2可以将逻辑网络空间(VXLAN)与物理网络(VLAN)桥接。
4、网关设备通常是NSX Edge虚拟设备。
1)NSX Edge提供L2、L3、外围防火墙、负载平衡以及SSL VPN和DHCP等其他服务。
2.4 控制层面
1、NSX控制层面在NSX Controller群集中运行。NSX Controller是个高级分布式状态管理系统,它提供了控制层面功能以实现NSX逻辑交换和路由功能。
2、对于网络内的所有逻辑交换机而言,它是中央控制点,负责维护所有主机、逻辑交换机(VXLAN)和分布式逻辑路由器的相关信息。
3、控制器群集负责管理主机的分布式交互和路由模块。控制器中没有任何数据层面的流量通过。控制器节点部署在包含三个成员的群集中,以实现高可用性和可扩展性。控制器节点的任何故障都不会影啊数据层面的流量。
4、NSX Controller通过将网络信息分发到主机来进行工作。为实现高度弹性,NSX Controller进行了群集化以实现横向扩展和HA。NSX Controller必须部害在一 节点群集中。三个虚拟设备将提供、维护并更新在NSX域中工作的所有网络的状态。NSX Manager用于部署NSX Controller节点。
5、三个NSX Controller节点形成一个控制器群集。控制器群集需要达到仲裁数(也称为多数)。以避免出现“裂脑情况”。部署三个控制器节点可在其中一个NSX Controller节点出现故障时确保数据冗余。
6、一个控制器群集具有多个角色,包括:
1)API提供程序
2)持久服务器
3)交换机管理
4)逻辑管理
5)目录服务器
7、每个角色都具有一个主控制器节点。如果某个角色的主控制器节点失败,则群集会从可用的NSXController节点中为该角色选择一个新的主节点。该角色新的主NSX Controller节点将在其余NSXControiler节点之中重新分配丢失的部分工作。
2.5 管理层面
1、NSX管理层面由NSX Manager构建,是NSX的集中式网络管理组件。该层面提供单个配置点和RESTAPI入口点。
2、NSX Manager可作为虚拟设备安装在vCenter Server环境中的任意ESX主机上。
1)NSX Manager和vCenter是一对一的关系。
2)NSX Manager的每个实例对应于一个yCenter Server。在跨vCenter NSX环境中,中况也是这样。
3、在跨vCenter NSX环境中同时存在一个主NSXManager和一个或多个铺助NSX Manager。
1)主NSX Manager用于创建和管理通用逻辑交换机、通用逻辑(分布式)路由器和通用防火墙规则。
2)辅助NSX Manager用于管理特定NSX Manager的本地网络服务。
3)在一个跨vCenter NSX环境中,主NSX Manager最多可关联七个辅助NSX Manager。
2.6 消费平台
1、NSX的消费使用可通过vSphere Web Client中的NSX Manager用户界面查看。通常,最终用户将网络虚拟化与其云1理平台相融合,以部署应用。
2、NSX通过REST API提供丰富的集成功能,几乎可集成到任何CMP中(Cloud Management Platform)。
3、还可通过VMware vCloud Automation Center、vCloud Director和带有适用于NSX的Neutron插件的OpenStack获得开箱即用的集成功能。
2.7 NSX Edge
1、可以安装NSX Edge作为Edge服务网关(ESG)或分布式逻辑路由器(DLR)。 每个主机上的Edge设备数量(包括ESG和DLR )限制为250个。

2、Edge服务网关
1)通过ESG,可以访问所有NSX Edge服务,例如防火墙、NAT. DHCP、VPN、 负载平衡和高可用性。
A、每个ESG虚拟设备总共可以拥有十个上行链路和内部网络接口。借助中继,一个ESG最多可以拥有200个子接口。
B、内部接口连接至安全的端口组,并充当端组中所有受保护虚拟机的网关。分配给内部接口的子网可以是公开路由的IP空间,也可以是采用NAI的专用空间。
C、对网络接口之间的流量会实施防火墙规则和其他NSX Edge服务。
2) ESG的上行链路接口连接至上行链路端口组,后者可以访问共企业网络或提供访问层网络连接功能的服
务。
A.可以为负载平衡器、点对点VPN和NAT服务配置多个外部IP地址。

3、分布式逻辑路由器
1)DLR提供东西向分布式路由,可实现租户IP地址空间和数据路径隔离。
A、位于不同子网中同一 台主机上的虚拟机或工作负载可以彼此通信 ,而无需遍历传统的路由接口。
2)逻辑路由器可以有八个上行链路接口和多达一 千个内部接口。
A、DLR上的上行链路接口通常与ESG建立对等关系,DLR与ESG之间存在第2层逻辑转换交换机。
B、DLR上的内部接口与ESX管理程序上托管的虚拟机建立对等关系,虚拟机与DLR之间存在逻辑交换机。
3)DLR有两个主要组件:
A、DLR控制层面由DLR虚拟设备提供(也称为控制虚拟机) :
a.此虚拟机支持动态路由协议(BGP和OSPF),与一个第3层跃点设备(通常为Edge服务网关)交换路由更新 ,并与NSX Manager 和NSX Controller群集进行通信。
b.通过活动-待机配就支持DLR虚拟设备的高可用性:当创建启用了HA的DLR时,系统将提供一对在活动/待机模式下运行的虚拟机。
B、在数据层面级别,属于NSX域中的ESXi主机上安装有DLR内核模块(VIB)。
a.内核模块类似于支持第3层路由的模块化机架中的线路卡。
b.内核模块具有通过控制器群集推送的路由信息库(RIB) (也称为路由表)。路由查找ARP条目查找的数据层面功能均由内核模块执行。
c.内核模块配有逻辑接口(称为LIF ),可连接到不同的逻辑交换机以及任意VLAN支持的端口。
d.每个LIF都分配有一个IP地址(代表其所连接的逻留L2分段的默认IP网关)和一个vMAC地址、IP地址对每个LIF而言是唯一的,而为所有已定义的LIF分配的vMAC都相同。
4、逻辑路由组件

1) DLR实例已利用OSPF或BGP从NSX Manager UI(或通过API调用)创建,并且路由已启用。
2) NSX Controller利用控制层面和ESXi主机推送新的DLR配置(包括LIF及其关联的IP和vMAC地址)。
3)如果假定在下一个跃点设备(在本例中为NSX Edge [ESG])上也启用路由协议,则会在ESG与DLR控制虚拟机之间建立OSPF或BGP对等互连。ESG和DLR就可以交换路由信息。
A、DLR控制虚拟机可以配置为将所有已连接逻辑网络的IP前缀(在本例中为172.16.10.0/24和172.16.20.0/24 )重新分布到OSPF中,结果是其将这些路由播发推送到NSX Edge中。
a.注意,这些前缀的下一跃点不是分配给控制虚拟机的IP地址(192.168.10.3),而是标识DLR的数据层而组件的IP地址(192.168.10.2)。
b.前者称为DLR“协议地”,而后者是“转发地址”。
B、NSX Edge将前缀推送到控制虚拟机,以访问外部网络中的IP网络。在大多教情况下NSX Edge很有可能发送一个默认路由,因为该路由代表面向物理网络以础架构的单个退出点。 
4)DLR控制虚拟机将从NSX Edge获知的IP路由推送到控制器群集中。
5)控制器群集负责在虚以化管理程序之间分发从DLR控制虚拟机获知的路由。
6)主机上的DLR路由内核模块处理数据路径流量,以通过NSX Edge与外部网络通信。
2.8 NSX Services
1、NSX各组件协同工作以提供以下功能性服务。
2、逻辑交换机
1)云部署或虚批数据中心具有跨多个租戸的多狆座用程序。
A、出于安全故障隔离和避免IP地址重叠等目的,这些应用程序和租户需要相互隔离。
B、NSX允午创建多个逻辑交换机,毎一个交换机都是一个逻辑广播域。
C、应用程序虚拟机可以按逻辑有线连接到逻辑交换机。
D、这可以在仍提供物理网络广插域(VLAN)的所有特性的同时保证部署的灵活性和速度。而不出现物理第2层散乱或生成树问题。
2)逻辑交换机是分布式的,可以跨越vCenter中的所有主机(成跨vCenter NSX环境中的所有主机)。
A、这样,虚拟机可以在数据中心内移动(Motion),而不会受到物理第2层(VLAN)边界的限制。
B、物理基础架构不受MAC/FIB表限制的约束,因为逻辑交换机以软件形式包含广播域。
3、逻辑路由器
1)动态路由可在第2层广插域之间提供必需的转发信息,从而帮助减小第2层厂插域的大小,提高网络效率,改进网络的可扩展性。
A、NSX还将此信息扩展到工作负载所在的位置,用于东西向路由,这样,虚拟机之间就可以直接进行通信,无需花费额外的成本和时间来扩展跃点。
B、同时,NSX逻辑路由器也提供南北向连接,从而使租户可以访问公用网络。
4、逻辑防火墙
1)逻辑防火墙为动态虚拟数据中心提供安全机制。
A、逻辑防火墙的Distributed Firewall组件允许基于以下各项对虚拟机之类的虚拟数据中心实体进行分段:虚拟机名称和属性、用户标识、vCenter对象(如数据中心)、主机以及传统的网络连接属性(如IP地址、VLAN等)。
B、Edge防火墙组件可帮助实现关键外围安全需求,例如,基于IP/VLAN构造建立DMZ。在多租户虚拟数据中心内让租户彼此隔离。
2)流量监控功能会显示在应用程序协议级别的虚拟机之间的网络活动。可以使用此信息审核网络流量、定义和细化防火墙策略以及识别对网络的威胁。
5、逻辑虚拟专用网(VPN)
1)SSLVPN-Plus 允许远程用户访问专用的企业应用程序。
2)IPSec VPN可以在NSX Edge实例与具有NSX或第三方硬件路由器/VPN网关的远程站点之河提供点对点接。
3)L2 VPN让虚拟机在跨地域界限时不但可以维持网络连接,而且可以保持IP地址不变。从而可以扩展数据中心。
6、逻辑负载平衡
1)NSX Edge负载平衡器在配置为负载平衡池成员的多个目标之间分配指向同一虚拟IP地址的客户端连接。
2)它将入站服务请求均匀分布在多 个服务器中,从方式 上确保负载分配对用户透明。
3)这样负载平衡有助于实现最佳的资源利用率,最大程度地提高吞吐量和减少响应时间,并避免过载。
7、服务编排
1)服务编排有助于置备网络和安全服务井将其分配给虚拟基础架构中的应用程序。
2)可以将这些服务映射到安全组量这些服务即会通过安全策略应用到安全组中的虚拟机。
8、NSX可扩展性
1)第三方解决方案提供商可以将其解决方案与NSX平台集成,从而使客户获得VMware产品和合作伙伴解决方案之间的集成体验。
2)数据中心操作员可以在独立于底层网络拓扑或组件的情况下,于数秒内置备复杂的多层虚拟网络。

第三章 安装准备工作
3.1 NSX的系统要求
1、在安装或开级NSX之前,请考虑网络配置和资源。
1)可以在每个vCenter Server中安装一个NSX Manager,在每个ESX(主机上安装 一个Guest introspetion和数据安全实例,并在每个数据中心安装多个NSX Edge实例。
2、硬件要求
1)作为般准则,如果NSX受管环境包含超过256个管理程序,建议将NSX Manager资源增加到8个VCPU和24GB RAM。

3、软件
1)VMware vCenter Server 5.5U3以及以上。
2)VMware vCenter Server 6.0U2以及以上。
3)跨vCenter NSX需要使用VMwarevCenter Server 6.x。
4)注意,要让NSX Manager加入路VCenter NSX部署,需要满足以下条件:

4、客户端和用户访问权限
1)如果按名称将ESXi主机添加到vsphere清单中,调确保正向和反向名称解析正常工作。否则,NSX Manager将无法解析IP地址。
2)添加和打开虚拟机电源的权限。
3)访问存储虚拟机文件的数据存储的权限,以及将文件复制到该数据存储的帐户权限。
4)从NSX Manager中,确保可以从要部器的ESXi主机、vCenter Server和NSX设备中访问端口443。要使用该端口在ESXi主机上下载OVE文件以进行部署。
3.2 NSX所需的端口和协议
1、以下端口必须处于打开状态才能使NSX正常工作。

2、在6.2.3之前的NSX中,新安装的默认VTEP端口为8472。
3、从NSX6.2.3开始,新安装的默认VTEP端口为4789.默认情况下,从以前版本的NSX升级到NSX 6.2.3的NSX部署继续使用相同的端口。此外,还可以配置自定义端口。
3.3 NSX和VDS。
1、在NSX域中,NSX vSwitch是在服务器管理程序中运行以在服务器与物理网络之间形成软件抽象层的软件。
2、NSX Switch 基于vSphere Distributed Switch (VDS)用于提供主机连接到柜项式 (ToR)物理交换机的上行链路。作为最佳实践,VMware建议在安装NSX for vSphere之前规划并准备vSphere Distributed Switch。
3、一个主机可以连接到多个VDS,一个VDS可以跨多个群集中的多个主机。对于将参与NSX的每个主机群集,该群集中的所有主机都必须连接到一一个通用VDS。
4、例如,假如行个包含Host1和Host2的群里。Host1连接到VDS1和VDS2。 Host2连接到VDS1和VDS3,为NSX准备集群时,只能将与群集中的VDS1相关联,如果向该群集中添加另一个主机(Host3)且Host3未连接到VDS1,则配置无效,而且Host3将天法用于NSX功能。
5、通常,为了简化部置,主机的每个群集仅与一个VDS相关联,即使些VDS跨多个群集亦如此。例如,假设vCenter包含以下主机群集:
1)应用程序层主机的计算群集A。
2)Web层主机的计算群集B。
3)管理和Edge主机的管理和Edge群集。
4)下面的屏幕截国显示这些群集在vCenter中的显示方式。

6、对于此类群集设计,可能具有两个分别名为Compute, VDS和Mgmt _VDS的VDS。Compute. VDS跨两个计算群集,而Mgmt VDS仅与管理和Edge群集关联。
7、每个VDS都包含需要承载的不同流量类型的分布式端口组。典型流量类型包括管理、存储和vMotion。上行链路和访问端口通常也为必需项。正常情况下,每个VDS.上会针对每种流量创建一个端口组。
8、例如,下面的屏幕截图显示这些Distributed Switch和端口在vCenter中的显示方式。

9、或者,每个端口组也可以用一个VLAN ID进行配置。以下列表显示VLAN如何与分布式端口组关联以不同流量类型之间提供逻辑隔离的示例:

10、DVUplinks端口组是在创建VDS时自动创建的VLAN中继。作为-个中继端口,它发送和接收标记的帧。默认情况下,它将携带所有VLAN ID (0-4094)。这意味着带有任何VLAN ID的流量均可通过与DVUplink插槽关联的vmnic网络适配器,并由管理程序主机进行筛选,因为Distributed Switch确定了应接收流量的端口组。

11、如果现有vCenter环境不包含Distributed Switch,而是包含标准vSwitch,则可以将主机迁移至Distributed Switch。
3.4使用VDS
1、本例展示了:
1)如何创建新的vSphere Distributed Switch (VDS)。
2)如何针对管理、存储和vMotion流量类型添加端口组。
3)如何将标准vSwitch上的主机迁移至新的Distributed Switch。
2、实验:使用vSphere Distributed Switch。
3.5 NSX安装流程和示例拓扑。
1、NSX安装流程包括部署多个虚拟设备,完成一些ESX主机准备,并进行一些配置以便所有物理和虚拟设备能够相互通信。

1)此流程首先应部署NSX Manager OVF/OVA模板,确保NSX Manager完全连接到它将管理的ESX主机的管理接口。
2)接下来,需要通过注册流程将NSX Manager与一一个vCenter实例彼此链接。然后,就可以部署NSX Controller群集了。
3)与NSX Manager一样, NSX Controller在ESX主机上作为虚拟设备运行。下一步是为NSX准备ESX主机,需要在主机上安装多个VIB。这些VIB支持第2层VXLAN功能、分布式路由和Distributed Firewall。
4)配置VXLAN、指定虚拟网络接口(NI)范围并创建传输区域之后,就可以开始构建自己的NSX覆盖拓扑。
3、接下来按照这个过程创建一-个示例NSX覆盖拓扑。
1)示例覆盖拓扑有一个NSX逻辑分布式路由器(有时被称为DLR)。一个Edge服务网关(ESG)和一个连接两个NSX路由设备的NSX逻辑转换交换机。
2)示例拓扑还包括底层元素,其中包括两个示例虚拟机。这两个虚拟机均分别连接到一个独立的NSX逻辑交换机,允许通过NSX逻辑路由器(DLR)进行连接。

3.6 跨vCenter安装NSX。
1、增强链接模式
1)vSphere 6.0引入了增强型链接模式,它使用一个或多个Platform Services Controller链接多个vCenter Server系
统。
2)这使可以查看和搜索vSphere Web Client内所有已链接的vCenter Server系统的清单。
3)在跨vCenter NSX环境中,增强型链接模式允许从一个vSphere Web Client管理所有NSX Manager。
2、组合使用跨vCenter NSX和增强链接模式。
1)在跨vCenter NSX中,有一一个主NSX Manager和多个辅助NSX Manager。它们中的每个NSX Manager都链接到独立的vCenter Server。在主NSX Manager上,可以创建能够从辅助NSX Manager查看的通用NSX组件(例如交换机和路由器)。
2)当使用增强型链接模式部署每个vCenter Server时,可从-个vCenter Server (有时称为-一个窗口)查看和管理所有vCenter Server。
3)因此,当对vCenter组合使用跨vCenter NSX与增强型链接模式时,可以从任何链接的vCenter Server查看和管理任意NSX Manager以及所有通用NSX组件。
3、在不启用增强型链接模式的情况下使用跨vCenter NSX。
1)对于跨vCenter NSX ,增强型链接模式并不是必要条件或要求。如果不启用增强型链接模式,仍可以创建跨vCenter的通用传输区域、通用交换机、通用路由器和通用防火墙规则。但是,在不启用增强型链接模式的情况下,必须登录到各个vCenter Server,才能访问每个NSX Manager实例。
3.7 实验环境

第四章 安装NSX Manager
4.1 关于NSX Manager
1、NSX Manager提供用于创建、配置和监控NSX组件(如控制器、逻辑交换机和Edge服务网关等)的图形用户界面(GUD)和REST API。
1)NSX Manager是NSX的集中式网络管理组件,可提供聚合的系统视图。
2)NSX Manager可作为虚拟设备安装在vCenter环境中的任意ESX主机上。
2、NSX Manager虚拟机打包为OVA文件,允许使用vSphere Web Client将NSX Manager导入数据存储和虚拟机清单。
3、为了实现高可用性, VMware建议在配置了HA和DRS的群集中部署NSX Manager。或者,也可以在其他不与NSX Manager进行互操作的vCenter中安装NSX Manager.-一个 NSX Manager服务于个vCenter Server环境。
4、在跨vCenter NSX安装中,确保每个NSX Manager都有一一个唯一-的UUID。
1)从OVA文件部署的NSX Manager实例均有唯一的UUID。
2)模板部署的NSX Manager (如同将虚拟机转换为模板)将与用于创建模板的原始NSX Manager具有相同的UUID。并且这两个NSX Manager不能在同一个跨vCenter NSX安装中使用。
3)换言之,对于每个N|SX Manager ,应按照本过程所述重新安装-一个新设备。
5、 NSX Manager虚拟机安装将包含VMware Tools. 请勿尝试NSX Manager上升级或安装VMware Tools。

4.2 先决条件
1、安装NSX Manager前,确保所需端口处于打开状态。请参见NSX所需的端口和协议。
2、确保数据存储已配置且可在目标ESX主机上访问。建议使用共享存储。HA需要使用共享存储,以便可以在原始主机出现故障的情况下在其他主机上重新启动NSX Manager设备。
3、确保知道NSX Manager将使用的IP地址和网关、DNS 服务器IP地址、域搜索列表和NTP服务器IP地址。
1)IP:10.0.0.50
2)网关:10.0.0.1
3)DNS服务器:10.0.0.30
4)NTP:10.0.0.30
4、准备NSX Manager将在其上通信的管理流量分布式端口组。NSX Manager管理接口、vCenter Server和ESXi主机管理接口必须可由NSX Guest Introspection实例访问。
5、必须安装客户端集成插件。“部署 OVF模板”向导在Firefox Web浏览器中性能最佳。在Chrome Web浏览器中运行时,有时会显示-条有关安装客户端集成插件的错误消息,即使已成功安装该插件也会显示此消息。安装客户端集成插件:
1)打开Web浏览器,然后键入vSphere Web Client的URL。
2)在vSphere Web Client登录页面底部,单击”下载客户端集成插件”。
3)如果客户端集成插件已安装在系统上,则不会看到该插件的下载链接。如果卸载客户端集成插件,则该插件的下载链接将显示在vSphere Web Client登录页面上。
4.3 安装NSX Manager 虚拟设备
1、获取安装文件
1)版本: nsx manager 6.2.3
2)链接: htp://pan.baidu.com/s/1skWgpy9密码: 68ni
3) 邮件地址: [email protected]
4) 实验:安装NSX Manager虚拟设备

第五章 向NSX Manager注册vCenter
5.1 注册前须知
1、NSX Manager和vCenter是一对一的关系。NSX Manager的每个实例对应于-个vCenterServer。即使使用NSX跨vCenter功能亦如此。
2、一个vCenter只能注册一个NSX Manager。更改vCenter注册可能会因为更改不能正确传达给所有受影响的vCenter和NSX Manager而导致出现问题。
3、例如,假设NSX Manager和vCenter具有以下初始配置:
1) NSX1 —> VC1
2) NSX2 —> VC2
4、如果更改了NSX1上的配置而使其vCenter变为VC2,将出现以下情况:
1)NSX1 正确报告其vCenter为WC2。
2)VC2正确报告其NSX Manager为NSX1。
3)VC1错误报告其NSX Manager为NSX1。
4)NSX2 错误报告其vCenter为VC2。
5、换句话说,如果已向vCenter注册了某个NSX Manager ,然后又向该vCenter注册了另一个NSX Manager ,则该vCenter会自动移除它与第一个NSX Manager的连接,并连接到新的NSX Manager。但是,当登录第一个NSX Manager时,它仍然会报告为连接到该vCenter。
6、要防止出现此问题,从VC1中移除NSX Manager插件,然后再向VC2注册该插件。

5.2 注册vCenter Server
1、先决条件
1)NSX 管理服务必须正在运行。
2)必须拥有具有管理员角色的vCenter Server用户帐户才能将NSX Manager与vCenter Server进行同步。
2、实验:向NSX Manager注册vCenter Server。

第六章 配置Single Sign On
6.1 关于SSO
1、SSO可提高vSphere和NSX的安全性,它允许各个组件通过安全的令牌交换机制彼此进行通信,而不要求每个组件单独对用户进行身份验证。
2、可以在NSX Manager.上配置Lookup Service ,并提供SSO管理员凭据以便以SSO用户的身份注册NSX Management Service。
3、将Single Sign On (SSO)服务与NSX集成在一起可提高vCenter用户进行用户身份验证的安全性,并使NSX可以通过诸如AD、NIS 和LDAP等其他标识服务对用户进行身份验证。
4、SSO用户的NSX缓存组信息。对组成员资格进行的更改最多将花费60分钟的时间从标识提供程序(例如Active Directory )传播到NSX。

6.2 配置SSO
1、小先决条件
1)要在NSX Manager.上使用SSO ,必须拥有vCenter Server 5.5或更高版本,并且必须在vCenter Server上安装Single Sign On (SSO)身份验证服务。
2)必须指定NTP服务器,以使sSO服务器上的时间与NSX Manager .上的时间保持同步。
2、实验:配置SSO。

6.3 制定syslog服务器
1、如果指定了syslog服务器,则NSX Manager会将所有审核日志和系统事件发送至syslog服务器。
2、syslog 数据有助于进行故障排除以及查安装和配置期间记录的数据。
3、NSX Edge支持两个syslog服务器。NSX Manager和NSX Controller支持-个syslog服务器。
4、实验:指定syslog服务器。
6.4 安装NSX许可证
1、安装完NSX Manager后,可以使用vSphere Web Client安装和分配NSX for vSphere许可证。
2、从NSX 6.2.3开始,安装后的默认许可证是NSX for vShield Endpoint。该许可证允许使用NSX部署和管理vShield Endpoint以仅提供防病毒卸载功能,并具有硬实施功能以限制使用VXLAN、防火墙和Edge服务(通过阻止主机准备和NSX Edge创建)。
3、如果需要使用其他NSX功能(包括逻辑交换机、逻辑路由器、Distributed Firewall或NSX Edge),您必须购买NSX许可证以使用这些功能,或者申请评估许可证以短期评估这些功能。
4、实验:安装NSX许可证。

第七章 部署NSX Controller群集
7.1 部署NSX Controller 群集-1
1、NSX Controller是一个高级分布式状态管理系统,它提供了控制层面功能以实现NSX逻辑交换和路由功能。
1)它充当网络内所有逻辑交换机的中央控制点,并维护所有主机、逻辑交换机(VXLAN)和分布式逻辑路由器的相关信息。
2)如果计划部署分布式逻辑路由器或单播或混合模式下的VXLAN ,则需要控制器。
2、无论NSX部署的大小如何, VMware都要求每个NSX Controller群集包含3三个控制器节点。其他的控制器节点数量不受支持。
3、先决条件
1)在部署NSX Controller之前,必须部署NSX Manager设备并向NSX Manager注册vCenter。
2)确定控制器群集的IP池设置,包括网关和IP地址范围。DNS设置是可选设置。NSX Controller IP网络必须具有与NSX Manager以及ESXi主机上的管理接口的连接。
3) IP地址配置:10.0.0.201,10.0.0.202,10.0.0.203。
4)网关配置:10.0.0.1。
4、实验:部署NSX Controller群集。
1)必须具有三个控制器。建议配置DRS反关联性规则以防止控制器位于相同的主机上。
7.2 部署NSX Controller 群集-2。
7.3 从防火墙保护中排除虚拟机
1、可以从NSX Distributed Firewall 保护中排除一组虚拟机。
2、NSX Manager. NSX Controller和NSX Edge虚拟机将自动从NSX Distributed Firewall保护中排除。此外, VMware建议将以下服务虚拟机放在“排除列表”中以允许流量自由流动。
1)vCenter Server,可以将其移至受Firewall 保护的群集中,但其必须已存在于排除列表中,以避免出现连接问题。
2)合作伙伴服务虚拟机。
3)要求杂乱模式的虚拟机。如果这些虚拟机受NSX Distributed Firewall保护,则其性能可能会受到不利影响。
4)基于Windows的vCenter所使用的SQL Server。
5) vCenter Web Server (如果正在单独运行)。
3、实验:从防火墙保护中排除虚拟机。
1)如果虚拟机具有多个虚拟网卡,则它们都将从保护中排除。
2)如果在把虚拟机添加到“排除列表"之后向虚拟机添加虚拟网卡,则会在新添加的虚拟网卡上自动部署防火墙。
3)为了从防火墙保护中排除这些虚拟网卡,必须从“排除列表"中移除该虚拟机,然后将虚拟机重新添加到”排除列表”中。
4)替代解决办法是重启虚拟机(关闭电源后再打开电源),但第-种方案导致的中断比较少。

第八章 NSX准备主机群集
8.1 关于准备群集
1、主机准备是NSX Manager中执行的一个流程,即
1)在vCenter群集成员的ESXi主机上安装NSX内核模块。
2)构建NSX控制层面和管理层面架构。
3)封装在VIB文件中的NSX内核模块在管理程序内核中运行,并提供分布式路由、Distributed Firewall等服务以及VXLAN桥接功能。
2、要准备进行网络虚拟化的环境,必须在所需的每个vCenter server的每个群集上安装网络基础架构组件。
1)这是在群集中的所有主机上部署所需软件。
2)将新主机添加到此群集时,所需软件将自动安装在新添加的主机上。
3、先决条件
  1)向NSX Manager注册vCenter并部署NSX Controller。
2)确认DNS反向查找在查询NSX Manager的IP地址时返回完全限定域名。例如:
IC:\Users\Administrator> nslookup 192.168.110.42
Server: localhostAddress: 127.0.0.1
Name:  nsxmgr-l-01a.corp.local
Address: 192.168.110.42
3)确认主机可以解析vCenter Server的DNS名称。
4)确认主机可以通过端口80连接到vCenter Server。
5)确认vCenter Server和ESXi主机上的网络时间已同步。
6)对于将参与NSX的每个主机群集,确认该群集中的主机都均已连接到一个通用VDS。
7)如果环境中具有vSphere Update Manager (VUM) ,必须在准备进行网络虛拟化的群集之前将其禁用。
8)开始NSX主机准备流程之前,务必要确保群集处于已解决状态一这意 味看群集的操作(Actions)列表中不显示解决(Resolve)选项。

8.2 准备主机群集
1、实验:准备群集
1)计算群集(也被称为“有效负载群集” )是使用应用程序虚拟机( Web.数据库等)的群集,需要进行准备。
2)NSX Manager、NSX Controller和包含Edge设备的群集,需要进行准备。
3)如果NSX Manager. NSX Controller位于一个群集 ,而Edge设备位于另一-个群集,需要对这两个群集进行准备。
4)准备好的群集中将安装VIB并注册到所有主机(命令):esx-vsip。esx-vxlan。
A、esxcli software vib list | grep esx。
5)如果将主机添加到准备好的群集, NSX VIB会自动安装在该主机上。

第九章 向准备好的集群添加和一处主机
10.1向准备好的集群添加主机
1、实验:向准备好的集群添加主机
1)将主机作为独立主机添加到vCenter Server。
2)将主机添加到vSphere Distributed Switch ,后者需已映射至该主机要加入的群集。
3)该群集中的所有主机都必须位于NSX正利用的vSphere Distributed Switch中。
4)将主机置于维护模式。
5)将主机添加到群集。
6)由于这是已准备好的群集,新添加的主机将会自动安装需要的软件。
7)使主机脱离维护模式。
8)DRS 会在该主机上放置虚拟机以确保平衡。
9.2从准备好的群集中移除主机。
1、移除步骤
1)将主机置于维护模式,并等待DRS撤出主机,或者通过vMotion手动迁移主机中正在运行的虚拟机。
2)机从已准备就绪的群集移至末准备就绪的群集,或者将其设置为任意群集外部的独立主机,从而移除主机。
3)NSX 从主机中卸载网络虚拟化组件和服务虚拟机。
4)要使更改生效,请移动或停止所有虚拟机,将主机置于维护模式,然后重新引导主机。
5)或者,可以将重新弓|导操作推迟至维护时段。
2、NSX VIB将从主机中移除。要进行验证,请运行SSH命令以连接到主机,然后运行esxcli software vib list | grep esx命令。请确保以下VIB不在主机上:
1)esx-vsip
2)esx-vxlan
3、可以通过运行以下命令手动移除VIB:
1)esxcli software vib remove --vibname=esx-vxlan
2)Esxcli software vib remove --vibname=esx-vsip
第十章 配置VXLAN传输参数
10.1关于VXLAN传输参数
1、关于VXLAN网络
1) VXLAN 网络可用于主机之间的第2层逻辑交换,可能跨越多个基础第3层域。
2)在每个群集的基础上配置VXLAN ,在该配置中可将要加入NSX的每个群集映射到vSphere Distributed Switch (VDS)。
3)将群集映射到Distributed Switch时,将为逻辑交换机启用该群集中的每个主机。此处所选设置将用于创建VMkernel接口。
2、如果需要进行逻辑路由和交换:
1)则主机上安装有NSX VIB的所有群集还应配置VXLAN传输参数。
2)如果计划仅部署Distributed Firewall ,则无需配置VXLAN传输参数。
3、先决条件
1)群集中的所有主机都必须连接到通用VDS。
2)必须安装NSX Manager。
3)必须安装NSX Controller,除非使用的是控制层面的多播复制模式。
4)计划网卡绑定策略。网卡绑定策略决定VDS的负载平衡和故障切换设置。
5)请勿混用VDS 上不同端口组的不同成组策略。
A、如果这些不同的成组策略共享上行链路,通信将会中断。
B、如果存在逻辑路由器,将出现路由问题。此类配置不受支持,应避免使用。
6)基于IP哈希的成组( EtherChannel. LACPv1或LACPv2 )的最佳做法是使用组中VDS上的所有上行链路,并且不采用该VDS,上包含不同成组策略的端口组。
A、VTEP是在外部IP标头中使用的源和目标IP地址,可唯一标识发出和终止VXLAN帧封装的ESX主机。
B、可以使用DHCP或手动为VTEP IP地址配置的IP池。
C、如果要将特定IP地址分配给VTEP,可以使用在DHCP服务器中将MAC地址映射到特定IP地址的DHCP固定地址或预留。
D、者使用IP池,然后手动在管理>网络>虚拟交换机(Manage > Networking > Virtual Switches)中编辑分配给vmknnel的VTEP IP地址上。
8)VTEP 具有关联的VLAN ID。但是,可以为VTEP指定VLANID= 0,这意味着将不标记帧。
9)对于为相同VDS成员的群集, VTEP的VLAN ID和网卡绑定必须相同。
10)最佳做法是在针对VXLAN为群集做好准备之前导出VDS配置。
10.2配置VXLAN传输参数
1、实验:配置VXLAN传输参数
1)172.16.100.10-172.16.100.200/24 172.16.100.1 VLAN:100
2)172.16.200.10-172.16.200.200/24 172.16.200.1 VLAN:200
10.3 分配ID池和多波地址范围
1、VXLAN 分段构建于VXLAN隧道端点(VTEP)之间。
1)ESX主机是一个典型的VTEP示例。
2)每个VXLAN隧道都具有一个分段ID。
3)必须为每个NSX Manager指定一个分段ID池来隔离网络流量。
4)如果的环境中未部署NSX Controller,则还必须添加一一个多播地址范围,以便将流量分散到网络中并避免单个多播地址过载。
2、先决条件
1)在确定每个分段ID池的大小时,需要知晓,分段ID池范围控制可以创建的逻辑交换机的数量。
2)单个NSX Manager和vCenter环境中会自动实施非重叠VNI。本地VNI范围不可重叠。
3、多播地址范围。
1)如果任一传输区域将使用多播或混合复制模式,请添加一个多插地址或一系列多插地址。
2)如果具有多个多播地址,则可将流量分散到网络中,防止单个多播地址超载,并能更好地包含BUM复制。
3)如果VXLAN多播和混合复制模式配置正确且运行正常,则只会将多播流量的副本传送给已发送IGMP加入消息的主机。否则,物理网络会把所有多播流量泛洪到同一广播域中的所有主机。要避免此类泛洪,必须:
A、确保为基础物理交换机配置的MTU大于或等于1600。
B、确保基础物理交换机配置正确,在承载VTEP流量的网络分段中启用了IGMP侦听和IGMP查询器功能。
C、确保为传输区域配置了建议的多播地址范围。建议的多播地址范围从239.0.1.0/24开始,并排除239.128.0.0/24。
4、 实验:分配分段ID池和多插地址范围。

第十一章 添加传输区域
11.1 关于传输区域
1、传输区域控制逻辑交换机可以延伸到的主机。
1)它可以跨越一一个或多个vSphere群集。
2)传输区域确定了哪些群集可以参与使用特定网络,进而确定了哪些虚拟机可以参与使用该网络。
2、NSX环境可以根据需要包含-一个或多个传输区域。
1)一个主机群集可以属于多个传输区域。
2)一个逻辑交换机只能属于一个传输区域。
3)一个传输区域可以包含多个逻辑交换机。
3、NSX不允许连接位于不同传输区域的虚拟机。
1)逻辑交换机的跨度仅限于一个传输区域,因此不同传输区域中的虚拟机不能位于同一-第2层网络。
2)分布式逻辑路由器无法连接到位于不同传输区域的逻辑交换机。连接第一个逻辑交换机后,只能在同一传输区域中选择其他逻辑交换机。
3)同样, Edge服务网关(ESG)只能访问一个传输区域中的逻辑交换机。
4、以下准则旨在帮助设计传输区域:
1)如果某个群集需要第3层连接,则该群集必须位于同时包含Edge群集(即,具有分布式逻辑路由器和Edge服务网关等第3层Edge设备的群集)的传输区域中。
2)假设有两个群集,一个用于 Web服务,另-一个用于应用程序服务。要在这两个群集中的虚拟机之间建立VXLAN连接,这两个群集必须包含在传输区域中。
3)vSphere Distributed Switch的跨度应与传输区域跨度相匹配。在多群集VDS配置中创建传输区域时,确保选定VDS中的所有群集都包含在传输区域中。这可确保DLR在提供了VDS dvPortgroup的所有群集上都可用。
4)下图显示了一个与VDS边界正确对齐的传输区域。

5、如果不遵循此最佳做法,请记住:
1)如果VDS跨越多个主机群集,且传输区域只包含其中-一个(或部分)群集,则该传输区域中包含的任何逻辑交换机都可以访问VDS跨越的所有群集中的虚拟机。
2)换句话说,传输区域将无法将逻辑交换机跨度限制为部分群集。如果稍后将此逻辑交换机连接到DLR ,则必须确保仅在传输区域中包含的群集上创建路由器实例,以避免出现任何第3层问题。
3)例如,当传输区域与VDS边界不对应时,逻辑交换机( 5001.5002 和5003)的范围和这些逻辑交换机连接到的DLR实例将被拆散,从而导致群集Comp A中的虚拟机无法访问DLR逻辑接口(UF)。

11.2 添加传输区域
1、实验:添加传输区域

第十三章 添加逻辑交换机
12.1 关于逻辑交换机
1、NSX 逻辑交换机可在完全脱离基础硬件的虚拟环境中再现交换功能(单播、多播和广播)。
1)逻辑交换机在提供可连接虚拟机的网络连接方式上类似于VLAN。
2)如果将这些虚拟机连接到同一逻辑交换机,它们就可以通过VXLAN相互通信。
3)每个逻辑交换机都有一个类似VLAN ID的分段ID。
4)但与VLAN ID不同的是,分段ID的数量可能多达1600万个。
2、添加逻辑交换机时,务必记住正在构建的特定拓扑。
1)例如,以下简单拓扑显示了两个连接到一一个分布式逻辑路由器(DLR)的逻辑交换机。
2)在此图中,每个逻辑交换机都连接到-一个虚拟机。
3)两个虚拟机可以位于不同主机群集或同-主机群集中的不同主机或同一主机上。

3、先决条件
1)必须配置vSphere Distributed Switch。
2)必须安装NSX Manager,
3)必须部署控制器。
4)必须为NSX准备主机群集。
5)必须配置VXLAN。
6)必须配置分段ID池。
7)必须创建传输区域。
12.2 添加逻辑交换机
1、实验:添加逻辑交换机
1) esxcli network vswitch dvs vmware vxlan list
2)启用MAC校准会在每个虚拟网卡上构建一个VLAN/MAC对校准表。
3)创建的每个逻辑交换机都将从分段ID池收到一个ID ,且将创建一个虚拟线路。虚拟线路是在每个vSphere Distributed Switch, 上创建的dvPortgroup。
4)虚拟线路描述符包含逻辑交换机的名称和分段ID.
5)请注意,在两个vSphere Distributed Switch (Compute_VDS和Mgmt,VDS)上都会创建虚拟线路。这是因为这两个vSphere Distributed Switch都是与Web和应用程序逻辑交换机关联的传输区域的成员。

第十三章 添加分布式逻辑路由器
13.1 关于分布式逻辑路由器
1、分布式逻辑路由器(DLR)是一一个包含控制层面和数据层面的虚拟设备。
1)控制层面用于管理路由,而数据层面则从内部模块分发到各个Esxi主机。
2) DLR 控制层面功能依靠NSX Controller群集将路由更新推送到内核模块。
2、先决条件
1)如果缺少NSX Controller,逻辑路由器便无法将路由信息分发给主机。逻辑路由器依靠NSX Controller来运行。在创建或更改逻辑路由器配置之前,确保控制器群集已启动且可用。
2)如果逻辑路由器将连接到VLAN dvPortgroup ,请确保已安装逻辑路由器设备的所有ESXi主机都可以在UDP端口6999上相互访问。以便基于逻辑路由器VLAN的ARP代理能够正常工作。

2)逻辑路由器接口和桥接接口无法连接到VLAN ID设置为0的dvPortgroup.
4)如果两个网络位于同一vSphere Distributed Switch中,则不应在两个具有相同VLAN ID的不同分布式端口组(dvPortgroup)上创建逻辑路由器接口。
5)如果两个网络位于不同的vSphere Distributed Switch中,但这两个vSphere Distributed Switch共享相同的主机,则不应在两个具有相同VLAN ID的不同dvPortgroup上创建逻辑路由器接口。
6)与NSX版本6.0和6.1不同, NSX版本6.2允许将逻辑路由器路由的逻辑接口(LIF)连接到桥接至VLAN的VXLAN。
13.2 添加分布式逻辑路由器
1、实验:添加分布式逻辑路由器
2、查看配置结果
1)通过SSH登录到NSX Manager:查路由器和主机信息。
A、列出所有逻辑路由器实例信息:
show logical-router list all
B、列出已从控制器群集收到逻辑路由器的路由信息的主机: 
show logical-router list dlr edge-1 host
C、列出由逻辑路由器传送给主机的路由表信息
show logical-router host host 25 dlr edge-1 rout
D、从其中某个主机的角度,列出有关路由器的其他信息,哪个控制器正在与该主机进行通信
show logical-router host host-25 dlr edge-1 verbose
2)通过SSH登录到控制器,并运行一下命令显示控制器获知VNI、VTEP状态信息。
 Show control-cluster logical-switches vni 5000
Show control-cluster logical-switches vni 5001
show control-cluster logical-switches mac-table 5000
show control-cluster logical-switches mac-table 5001
3)检查路由器的路由信息
A、显示连接到此控制器的逻辑路由器的列表:
show control-cluster logical-routers instance all
B、显示控制器从NSX Manager获知的UF
show control-cluster logical-routers interface-summary 0x1388
C、显示由逻辑路由器的虚拟设备(也称为控制虚拟机)发送到此控制器的路由表
show control-cluster logical-routers routes 0x1388

第十四章 添加Edge服务网关
14.1 关于Edge服务网关
1、可以在一个数据中心中安装多个NSX Edge服务网关虚拟设备。
1)每个NSX Edge虚拟设备总共可以有十个上行链路和内部网络接口。
2)内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关。
3)分配给内部接口的子网可以是公开路由的IP地址空间,或者是采用NAT/路由的RFC 1918专用空间。
5)ESG 的上行链路接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层网络连接功能的服务。
2、ESG上的接口类型(内部和上行链路)支持的功能。
1)DHCP:上行链路接口不支持。
2)DNS转发器:上行链路接口不支持。
3)HA:上行链路接口不支持,至少需要一个内部接口。
4)SSLVPN:侦听器IP必须属于,上行链路接口。
5)IPSec VPN:本地站点IP必须属于.上行链路接口。
6)L2 VPN :仅可延伸内部网络。
7)可以为负载平衡、点对点VPN和NAT服务配置多个外部IP地址。
4、下图显示了一个拓扑示例,其中ESG的上行链路接口通过vSphere Distributed Switch连接到物理基础架构,ESG的内部接口通过NSX逻辑转换交换机连接到NSX逻辑路由器。

14.2 添加Edge服务网关
1、实验:添加Edge服务网关

第三十五章 配置OSPF
15.1 在逻辑(分布式)路由器上配置OSPF
1、在逻辑路由器上配置OSPF可以启用逻辑路由器之间的虚拟机连接,以及从逻辑路由器到Edge服务网关(ESG)的虚拟机连接。
2、OSPF 路由策略用于在成本相同的路由之间动态进行流量负载平衡。
3、一个OSPF网络分为多个路由区域,以优化流量并限制路由表的大小
1)区域是具有相同区域标识的OSPF网络、路由器和链路的逻辑集合。
2)区域由区域ID进行标识。
4、实验:在逻辑(分布式)路由器上配置OSPF
15.2 在Edge服务网关上配置OSPF
1、在Edge服务网关(ESG)上配置OSPF可以使ESG获知和播发路由。
1)OSPF 在ESG上最常见的应用是在位于ESG与逻辑(分布式)路由器之间的链接上。
2)这样ESG即可获知连接到逻辑路由器的逻辑接口(LIFS)。
3)此目标可以借助OSPF、IS-IS、BGP或静态路由来实现。
2、实验:在Edge服务网关上配置OSPF。
1)OSPF在ESG。上最常见的应用是在位于ESG与逻辑(分布式)路由器之间的链接上。
2)这样ESG即可获知连接到逻辑路由器的逻辑接口(LIFS)。
3)此目标可以借助OSPF、IS-IS、BGP或静态路由来实现。
2、实验:在Edge服务网关上配置OSPF

第十六章 卸载NSX组件
16.1 卸载NSX Edge服务网关或分布式逻辑路由器
1、不要从vCenter中直接移除NSX设备。应始终使用vSphere Web Client的“网络和安全”选项卡管理和移除NSX设备。
2、实验:卸载NSX Edge服务网关或分布式逻辑路由器
3、实验:卸载逻辑交换机
16.2 从NSX Controller故障恢复
1、当出现NSX Controller故障时,可能仍有两个控制器正在工作。此时保持着群集多数,并且控制层面仍继续正常工作。尽管如此,也必须将三个控制器全部删除并添加新的控制器,以便维护完全正常工作的E节点群集。
2、实验:从NSX Controller故障恢复
1)新虚拟机或已执行vMotion操作的虚拟机将遇到网络问题,直至部署了新的控制器并且同步已完成为止。
2)更新控制器状态将当前VXLAN和分布式逻辑路由器配置(包括跨VC NSX部署中的通用对象)从NSX Manager推送到控制器群集。

16.3 安全移除NSX安装
1、完全卸载NSX会移除主机VIB、NSX Manager控制器、所有VXLAN配置、逻辑交换机、逻辑路由器、NSX防火墙和vCenter NSX插件。请务必对群集中的所有主机遵循以下步骤。
2、不要从vCenter中直接移除NSX设备。应始终使用vSphere Web Client的“网络和安全"选项卡管理和移除NSX设备。
3、移除步骤
1)从传输区域中移除群集。
2)删除传输区域  
3)取消在群集上配置VXLAN。
4)通过卸载NSX VIB取消主机准备。
5)重新引导主机。
6)从磁盘中删除NSX Manager设备和所有NSX Controller设备虚拟机。
7)移除所有遗留的VTEP vmkernel接口。
8)移除遗留的所有用于VTEP的dvPortgroup。
9)重新引鼻主机。
10)移除vCenter的NSX Manager插件
11)删除NSX的vSphere Web Client目录,然后重新启动Web Client服务

你可能感兴趣的:(网络,交换机,分布式)