NSX-T部署系列–逻辑部分
欢迎关注LLYCLOUD VCTSC,好文不断
##VMware NSX-T Data Center 3.0.0 & 2.5.1 free download
步骤13 –创建T1(Tier-1)网关
如果您已成功执行了所有步骤1 -这个12 NSX-T系列的安装 - 恭喜!您现在已经完成了所有组件的设置,即NSX-T管理群集,主机和边缘传输节点。值得赞扬的是,您花费宝贵的时间来使NSX-T Datacenter变得肮脏!从这里开始,我们将进入第二阶段, 重点是构建逻辑网络拓扑,这是我在第0步-高级设计中提到的。
在上一步中,讨论了边缘集群,其比例限制,以及如何配置一个一步一步的指示。该博客开始第二阶段, 即构建逻辑网络拓扑和本NSX-T安装系列的 “步骤13” ,其中将讨论T1(Tier-1)网关,其注意事项,SR(服务路由器),DR(分布式路由器) ,然后逐步说明如何创建一个。
讨论
下图突出显示了此步骤重点关注的“路由设计”的逻辑实体:
Tier-1 网关执行一线逻辑路由器的功能。它具有下行链路连接以分段和上行链路连接(自动竖线)至第0层网关。第1层网关的自动管道支持路由公告,静态和递归静态路由。
NSX-T v2.4引入了很多更改,其中之一是新的UI,即引入了“简化UI”(也称为策略UI)和“高级UI”(也称为Manager UI)。如果您熟悉NSX-T的早期版本(v2.3及更高版本),则在新的“简化UI”中,“第1层路由器”现在称为“第1层网关”,但称为“高级用户界面”中的第1层逻辑路由器。
背景:每个逻辑路由器都包含一个服务路由器(SR)和一个分布式路由器(DR)。DR分布在属于同一传输区域的所有传输节点上,而SR在Edge设备上集中实例化。对于无法分发的服务(例如,物理连接,NAT,DHCP,负载均衡器等),需要SR实例。
- 当网段连接到提供东西方路由的第1层网关时,将在传输节点上实例化第1层网关的DR组件。
- 当为第1层网关的SR组件配置有DNAT,Edge防火墙或负载平衡器时,在边缘节点上实例化该组件。
- 通过“层间” LS /段(VNI 65549)使用100.64子网(保留)自动将T1 SR连接到T0 DR
- 通过“转接段” LS /段(VNI 69639)使用169.254子网(保留)将DR自动映射到SR
1层网关注意事项:
- 进出另一层1逻辑路由器的流量按以下顺序处理:首先是DNAT,然后是Edge防火墙,然后是负载均衡器。
- 第1层逻辑路由器中的流量首先通过DNAT处理,然后再通过负载平衡器处理;跳过边缘防火墙处理。
- 如果Tier-1网关仅用于东西方路由,则不应将其连接到Tier-0路由器,否则将通过Edge节点传输流量。
- Tier-1网关不具备通过Tier-0路由器完成的提供物理连接的功能(将在[步骤17 –创建T0(Tier-0)网关active-active]和配置BGP中进行讨论)
- 负载平衡器仅在第1层路由器上受支持
如果您想进一步深入研究NSX-T路由,请参阅Amit Aneja的此博客。
开始部署
1.单击网络->第1层网关->添加第1层网关
2.将名称指定为“ T1-GW-A-11”,并将所有其他设置保留为默认设置,单击“保存”:
注意:目前,我们尚未将1层网关链接到0层网关。它将在步骤19中链接–将T1(Tier-1)网关连接到T0(Tier-0)网关。
3.当询问是否继续配置Tier-1网关时,单击“否”:
确认状态,当第1层网关准备就绪时,它应该显示“ Up”:
这样就完成了成功创建NSX-T Tier-1网关的简短步骤。
步骤14 –创建覆盖段
此NSX-T安装系列的步骤1至12 重点介绍了NSX-T数据中心组件(即NSX-T管理群集,主机和边缘传输节点)的设置。从步骤13开始,重点转移到构建我在步骤0 –高级设计中提到的逻辑网络拓扑。
在前面的步骤,所讨论的T1(第1层)网关,其考虑,SR(服务路由器),DR(分布式路由器),其次是关于如何创建一个一步一步的说明。该博客是第二阶段的一部分, 即构建逻辑网络拓扑和NSX-T安装系列的 “第14步” ,在此我们将讨论重叠网段以及有关如何配置网段的分步说明。
Segment执行逻辑开关的功能,并连接到网关和VM。像第1层网关一样,细分具有不同的命名参考:简化UI(策略UI)中的“细分”和高级UI(经理UI)中的逻辑开关。
根据“传输区域”(在创建段时选择),将实例化vLAN或重叠段。
注意:以增强数据路径模式配置的N-VDS交换机支持IP发现,SpoofGuard和IPFIX配置文件。
开始部署
1.单击网络->细分->添加细分:
2.将名称指定为Web-A-11,将上行链路指定为T1-GW-A-11(在上一步中创建),选择传输区域为TZ-STD-OVERLAY-11(在步骤– 6中创建),然后单击“设置子网”:
3.单击添加子网->将网关指定为21.0.0.1/24,然后单击“添加”:
4.单击“应用”:
5.单击保存:
6.在提示您继续配置网段时,单击“否”:
7.确认显示为“ Up”的状态,如以下屏幕截图所示:
遵循相同的步骤来创建APP-A-11和DB-A-11,如下面的屏幕截图所示:
您还可以登录到vCenter以可视化刚刚创建的段:
这样就完成了成功创建覆盖段的步骤。
步骤15(选项1)–将VM从vDS迁移到N-VDS
此NSX-T安装系列的步骤1至12 重点介绍了NSX-T数据中心组件(即NSX-T管理群集,主机和边缘传输节点)的设置。从第13步开始,重点转移到构建逻辑网络拓扑,我在第0步–高级设计中提到过。
有多种方法可以将VM从vDS迁移到N-VDS,我将讨论以下两个选项:
- 步骤15(选项1)–将VM从vDS迁移到N-VDS – 此博客\
- 步骤15(选项2)–从vDS到N-VDS的批量VM迁移
开始部署
1.登录到vCenter并编辑要迁移的VM(在我的情况下为“ DB-11”)的设置:
2.单击网络适配器->“浏览…”:
3.单击“ DB-A-11”(在上一步中创建),然后单击“确定”:
4.再次单击“确定”:
请遵循相同的步骤,以获取环境中可能拥有的其余VM(例如Web-11,Web-12,App-11),或者如果要进行批量VM迁移,请参阅步骤15(选项2)–从vDS进行批量VM迁移到N-VDS。
(可选)您也可以开始连续ping,以在迁移之前和之后验证VM之间的连接。在我的情况下,App-11 VM已经在N-VDS上,而Web-11和Web-12已经在vDS上,所以我从以下位置开始ping:
- Web-11至Web-12
- Web-12至App-11
- 从App-11到Web-11
注意:以上不是证明虚拟机在迁移过程中是否失去连接的“可用性”测试。这是为了验证正在运行的3层VM之间的东西方通信,确认路由在T1-GW-A-11上工作(在步骤-13中配置)。
- Web-11至Web-12:无ping丢失
- 从Web-12到App-11:成功迁移后Pings开始工作
- App-11到Web-11:成功迁移后Pings开始工作
如前所述,到目前为止,我们仅设置了东西方通信。对于南北通信,我们将需要在步骤17中讨论和创建的Tier-0网关[-创建T0(Tier-0)网关active-active]和Configure BGP。
至此,成功完成了将VM从vDS迁移到N-VDS的步骤。
步骤15(选项2)–从vDS到N-VDS的批量VM迁移
此NSX-T安装系列的步骤1至12 重点介绍了NSX-T数据中心组件(即NSX-T管理群集,主机和边缘传输节点)的设置。从第13步开始,重点转移到构建逻辑网络拓扑,我在第0步–高级设计中提到过。
有多种方法可以将VM从vDS迁移到N-VDS,我将讨论以下两个选项:
- 步骤15(选项1)–将VM从vDS迁移到N-VDS
- 步骤15(选项2)–从vDS到N-VDS的批量VM迁移– 此博客\
开始部署
1.登录到vCenter,单击Networking->右键单击Portgroup(已连接VM的端口组),然后单击“将VM迁移到另一个网络”:
2.单击“浏览…”:
3.选择细分为Web-A-11,然后单击确定:
4.单击下一步:
5.选择要迁移的虚拟机,然后单击下一步:
6.(可选)在此阶段,您可以开始连续ping,以在迁移后验证VM之间的连接。在我的情况下,App-11 VM已经在N-VDS上,因此我从以下位置开始ping:
- Web-11至Web-12
- Web-12至App-11
- 从App-11到Web-11
7.最后单击完成:
监视您之前开始的连续ping:
注意:以上不是证明虚拟机在迁移过程中是否失去连接的“可用性”测试。这是为了验证正在运行的3层VM之间的东西方通信,确认路由在T1-GW-A-11上工作(在步骤-13中配置)。
- Web-11至Web-12:无ping丢失
- 从Web-12到App-11:成功迁移后Pings开始工作
- App-11到Web-11:成功迁移后Pings开始工作
如前所述,到目前为止,我们仅设置了东西方通信。对于南北通信,我们将需要在步骤17中讨论和创建的Tier-0网关[–创建T0(Tier-0)网关active-active]和配置BGP
至此,成功完成了将虚拟机从vDS迁移到N-VDS的步骤。
步骤16 –创建VLAN段
此NSX-T安装系列的步骤1至12 重点介绍了NSX-T数据中心组件(即NSX-T管理群集,主机和边缘传输节点)的设置。从第13步开始,重点转移到构建逻辑网络拓扑,我在第0步–高级设计中提到过。
我们在第14步中创建了Overlay段,只是为了刷新您的记忆,我已经复制/粘贴了该步骤中的代码段,以快速了解Segments:
Segments执行逻辑开关的功能,并连接到网关和VM。像第1层网关一样,细分具有不同的命名参考:简化UI(策略UI)中的“细分”和高级UI(经理UI)中的逻辑开关。*
根据“传输区域”(在创建段时选择),将实例化vLAN或重叠段。
*注意:以增强数据路径模式配置的N-VDS交换机支持IP发现,SpoofGuard和IPFIX配置文件。*
开始部署
1.单击网络->细分->添加细分:
2.将名称指定为ToR-A-11,将传输区域选择为TZ-STD-VLAN-TOR-A-11(在步骤6中创建),指定vLAN(如果有),然后单击保存:
3.在提示您继续配置网段时,单击“否”:
再次遵循相同的步骤,使用传输区作为TZ-STD-VLAN-TOR-A-12 (在步骤6中创建)创建ToR-A-12网段,如以下屏幕截图所示:
与在步骤14中创建的覆盖分段不同,vCenter N-VDS上的可视化不会发生变化,因为此步骤中使用的VLAN传输区域仅由边缘传输节点使用。
这样就完成了成功创建VLAN段的步骤。
步骤17 –创建T0(Tier-0)网关[active-active]并配置BGP
Tier-0 Gateway执行第0层逻辑路由器的功能。它具有到第1层网关的下行链路连接(自动插入)(在步骤13中创建)和到物理网络的上行链路连接。
NSX-T v2.4引入了很多更改,其中之一是新的UI,即引入了“简化UI”(也称为策略UI)和“高级UI”(也称为Manager UI)。如果您熟悉NSX-T的早期版本(v2.3及更低版本),则在新的“简化UI”中,“ Tier-0路由器”现在称为“ Tier-0网关”。 “高级UI”中的“第0层逻辑路由器”。
背景:每个逻辑路由器都包含一个服务路由器(SR)和一个分布式路由器(DR)。DR分布在属于同一传输区域的所有传输节点上,而SR在Edge设备上集中实例化。对于无法分发的服务(例如,物理连接,NAT,DHCP,负载均衡器等),需要SR实例。
- 当T1-Gateway连接到它时,将在所有传输节点上实例化Tier-0网关的DR组件。
- 当需要物理路由,DNAT,边缘防火墙等服务时,在边缘节点上实例化了Tier-0网关的SR组件。
- 通过“层间” LS /段(VNI 65549)使用100.64子网(保留)自动将T1 SR连接到T0 DR
- 通过“转接段” LS /段(VNI 69639)使用169.254子网(保留)将DR自动映射到SR
0层网关注意事项:
每个边缘节点仅支持一(1)个Tier-0网关或逻辑路由器
Tier-0网关的高可用性(HA)可以是主动-主动(ECMP)或主动-备用
双活(ECMP)模式不支持有状态服务,例如NAT,防火墙,VPN等
创建网关后,无法更改HA模式
从v2.5开始,可以使用主用备用服务器上的HA VIP
如果配置了路由重新分配,则只能使用两组源,即0层子网和发布的1层子网。
开始部署
1.单击网络->第0层网关->添加第0层网关
2.指定名称为T0-GW-A-11,选择“ Active-Active”作为Ha模式,选择Edge Cluster作为ESG-Cluster-A-11(在步骤12中创建),然后单击SAVE:
3.当要求继续配置Tier-1网关时,单击“是”:
4.单击“接口”,然后单击“设置”:
5.单击“添加接口”
6.指定名称为Uplink-ToR-A-11,IP,连接到网段名称为ToR-A-11(在上一步中创建),边缘节点名称为ESG-NSXt-A-11(在步骤10中部署),点击“保存”。再次单击“添加接口”:
7.这次将名称指定为Uplink-ToR-A-12,IP,将连接到网段的名称指定为ToR-A-12(在上一步中创建),将边缘节点指定为“ ESG-NSXt-A-12”(部署在步骤10),点击“保存”:
8.两个界面现在都应列出并显示状态“ Up”:
9.单击BGP,将本地AS号指定为65111,单击“保存”:
10.单击BGO邻居旁边的“设置”:
11.单击“添加BGP NEIGHBOURS”:
12.指定ToR(物理交换机)接口的IP地址,远程AS编号,单击“保存”。再次单击“添加BGP NEIGHBOURS”:
13.指定第二个邻居接口,远程AS编号,单击“保存”:
14.确认状态为“ Up”,单击“ CLOSE”:
15.单击“关闭编辑”:
确认显示为“ Up”的状态,如以下屏幕截图所示:
至此,完成了创建T1(Tier-0)网关,成功配置BGP及其邻居的步骤。
注意:此NSX-T安装系列的范围仅是为此“ Active-Active” Tier-0网关的每个边缘节点配置一(1)个接口。
默认情况下,Tier-0尝试在所有可用的外部(上行)接口上建立BGP邻居。但是,如果您有两(2)个ToR物理交换机,并且希望每个边缘节点有两个接口,则需要映射BGP邻居以使用通过“高级UI”完成的特定上行链路(外部)接口,具体请参见本系列的下一个博客步骤18 – T0(Tier-0)网关:将BGP邻居映射到特定的上行链路接口。
步骤18 – T0(Tier-0)网关:将BGP邻居映射到特定的上行链路接口
讨论
“为什么”执行此步骤?
默认情况下,Tier-0尝试在所有可用的外部(上行链路)接口上建立BGP邻居。如果您有两(2)个ToR物理交换机,并且希望每个边缘节点有两个接口,则需要映射BGP邻居以使用通过“高级UI”完成的特定上行链路(外部)接口。
注意: NSX-T v2.4引入了许多更改,其中之一是新UI,即引入了“简化UI”(也称为策略UI)和“高级UI”(也称为Manager UI)。如果您熟悉NSX-T的早期版本(v2.3及更低版本),则在新的“简化UI”中,“ Tier-0路由器”现在称为“ Tier-0网关”。 “高级UI”中的“第0层逻辑路由器”。
开始部署
1.单击“高级网络和安全性”->网络->路由器->单击T0网关,即T0-GW-A-11(在上一步中创建)->路由-> BGP:
2.单击用户->选择第一个邻居IP,即192.168.110.1->单击“编辑”:
3.单击本地地址->取消选中“所有上行链路”->从下拉菜单中选择上行链路:
4.选择适当的上行链路,即192.168.110.3(Uplink-ToR-A-11),然后单击“保存”:
5.按照相同的步骤将第二个邻居192.168.120.1映射到192.168.120.3(Uplink-ToR-A-12):
让我们通过命令行验证BGP邻居的建立:
1.以“ admin”身份登录到一个边缘节点
2.运行以下命令以列出所有逻辑路由器:
get logical-router |
标识T0-GW-A-11服务路由器的VRF编号,在我的情况下为“ 2”
3.运行命令vrf
vrf 2 |
4.接下来运行以下命令以显示所有bgp邻居的摘要:
get bgp neighbor summary |
注意: BGP邻居192.168.110.1状态显示已建立
5.要列出所有学习的路由,请运行以下命令:
get route bgp |
6.现在,输出将显示从BGP邻居192.168.110.1获知的默认路由
在第二个边缘节点上执行相同的步骤,如下面的屏幕快照所示:
至此,完成了将BGP邻居映射到特定上行链路并成功通过命令行验证配置的步骤。
步骤19 –将T1(Tier-1)网关连接到T0(Tier-0)网关
开始部署
1.通过“ admin”凭据登录两个边缘节点,并运行下图中以黄色突出显示的命令,以列出T0(Tier-0)网关可以看到的所有路由:
2.转到NSX-T Manager UI,单击网络-> Tier-1网关->单击三个点:
3.单击编辑:
4.从下拉菜单中选择T0(Tier-0)网关,展开路由广告->启用“所有连接的网段和服务端口”,然后单击“保存”和“关闭编辑”:
5.返回到边缘节点,运行与以前相同的命令(在下图中以黄色突出显示):
注意:这两个新的DR实例和新的学习路由。
至此,完成了将T1(Tier-1)网关连接到T0(Tier-0)网关并通过命令行验证学习到的路由的步骤。
步骤20:在T0(Tier-0)网关上配置路由分配
开始部署
1.通过“ admin”凭据登录两个边缘节点,并运行下图中以黄色突出显示的命令:
注意: get bgp neighbor 192.168.110.1 advertised-routes仅显示默认路由,没有覆盖段子网。
2.转到NSX-T Manager用户界面,单击网络-> Tier-0网关->单击三个点(并编辑),展开“路由重新分配”,然后单击“设置”:
3.选中第0层子网下“静态路由”,“连接的接口和网段”旁边的框;在“广告的1级子网”下的“连接的子网”中,单击“应用”:
4.单击保存并关闭编辑:
好的,现在让我们验证配置:
1.返回到边缘节点,运行与以前相同的命令(下图中以黄色突出显示):
注意: get bgp neighbor 192.168.110.1 advertised-routes显示所有覆盖段子网。
2.从物理网络(连接到ToR交换机)上的“外部客户端”(如下图所示)ping到覆盖VM:
3.如果收到响应,则确认入口连接,即外部客户端到覆盖虚拟机:
4.您还可以确认出口连接,即将VM覆盖到外部客户端:
到此结束第二阶段的最后一步。
恭喜你!您现在已经成功完成了NSX-T安装系列。
