Desplegar Edge VM en NSX-T

Los nodos de NSX-T Edge se utilizan para servicios de puerta de enlace y seguridad que no se pueden ejecutar en los enrutadores distribuidos que utiliza NSX-T. Estos nodos de borde hacen cosas como enrutamiento Norte / Sur, balanceo de carga, DHCP, VPN, NAT, etc.

Si desea usar enrutadores de Tier 0 o Tier 1, necesitará tener al menos 1 nodo de Edge implementado. Estos nodos de borde proporcionan un lugar para ejecutar servicios como las rutas Tier 0. Cuando implementa un Edge por primera vez, es como una coraza vacía de una máquina virtual hasta que se agregan los servicios, en si el Edge VM es solo un pool de recursos para estos Tier routers que se irán agregando.

En mi laboratorio, estoy implementando los nodos de Edge en un clúster compartido por recursos de NSX, esto se le conoce como “Fully collapse topology”. Estoy utilizando el mismo TEP VLAN para los ESXis. En mi caso, esto es posible por la versión de NSX que estoy corriendo 3.1.3, antes de 3.1, se debe usar una VLAN para los TEPs de los ESXi y otra para el Edge VM.

VMware recomienda un clúster dedicado para estos recursos, ya que el tráfico generalmente se canaliza a través de estas instancias y pueden convertirse en un punto de acceso a la red.

Honestamente, entender la funcionalidad de red del Edge VM fue un poco complejo, gracias un post de NSX Edge Networking Setup y tras la conversación con un par de compañeros de VMware, me ayudó a interpretar correctamente y poder implementarlo en mi lab

Antes de realizar la implementación, revisemos este diagrama lógico para el Edge VM. Creo que la primera confusión acá es que función tiene Edge VM en red de Overlay, al final la función del Edge VM es servir de punto adicional de este red y poder extenderla, cumpliendo así una función similar a la del ESXi con respecto al tráfico.

Una interfaz del Edge VM estará en la red TEP para participar en el Overlay. Luego, la siguiente interfaz de máquina virtual que se conecta a una zona de transporte de VLAN que será el grupo de puertos creado en mi conmutador virtual de host Edge ESXi. Está segunda interfaz es la que podría por ejemplo tener un vecino de BGP para intercambio de rutas.

Para entender la red del Edge VM, usaré un diagrama para analizarlo de manera fácil.

Cuando se instala NSX Edge como VM, se crean interfaces internas, llamadas fp-ethX, donde X es 0, 1, 2 y 3. Estas interfaces se asignan para vínculos superiores a conmutadores para parte superior del rack (TOR) y para la tunelización Overlay.

Cuando cree el nodo de transporte de NSX Edge, puede seleccionar interfaces fp-ethX para asociarlas a los vínculos superiores (uplinks) y al túnel Overlay.

En el vSphere Distributed Switch o vSphere Standard Switch, debe asignar al menos dos vmnics al NSX Edge: uno para la administración de NSX Edge y otro para vínculos uplink y túneles.

En la siguiente topología física de ejemplo, fp-eth0 se utiliza para el tráfico de túnel Overlay, que transporta la dirección IP de TEP. fp-eth1 se utiliza para el vínculo superior de la puerta de enlace de Tier 0 que admite el tráfico de norte a sur. fp-eth2 no se utiliza porque la topología solo consta de puertas de enlace. Puede utilizar fp-eth2 si se configura un puente de capa 2. Se asigna eth0/vNIC1 a la red de administración.

El NSX Edge que se muestra en este ejemplo pertenece a dos zonas de transporte (una de Overlay y otra de VLAN) y, por lo tanto, tiene dos N-VDS, uno para el túnel y otro para el tráfico de enlaces ascendentes.

Esta captura de pantalla muestra los grupos de puertos de máquinas virtuales, el túnel de NSX y el vínculo superior de VLAN.

El ejemplo mostrado aquí utiliza los nombres de grupos de puertos de VM Mgmt, nsx-tunnel y vlan-uplink. Puede utilizar el nombre que quiera para sus grupos de puertos de VM.

Los grupos de puertos de VM de vínculos superiores y túnel configurados para el NSX Edge no tienen que asociarse a puertos VMkernel ni a direcciones IP proporcionadas. Esto se debe a que solo se utilizan en la Capa 2. Si su implementación utiliza DHCP para proporcionar una dirección a la interfaz de administración, asegúrese de que solo se asigne la NIC a la red de administración.

La VM de NSX Edge puede instalarse en un host preparado para NSX-T Data Center y configurado como un nodo de transporte. Existen dos tipos de implementación:

  • La VM de NSX Edge puede implementarse mediante grupos de puertos VSS/VDS donde VSS/VDS consumen pNIC independiente en el host. El nodo de transporte del host consume pNIC independientes para los N-VDS instalados en el host. El N-VDS del nodo de transporte del host coexiste con un VSS o VDS, que consumen ambos pNIC independientes. El TEP (endpoint de túnel) del host y el TEP de NSX Edge pueden estar en la misma subred o en subredes diferentes.
  • La VM de NSX Edge puede implementarse mediante conmutadores lógicos respaldados por VLAN en el N-VDS del nodo de transporte del host. El TEP del host y el TEP de NSX Edge pueden encontrarse en la misma VLAN o subred.

Mi laboratorio es sencillo, el Edge VM solo tiene un uplink, hay otras maneras de hacerlo para tener redundancia.

Despliegue:

Para implementar el primer nodo de borde, vamos a NSX Manager en System –> Fabric –> Nodes -> Edge Transport Nodes. Click the + ADD EDGE VM.

Asigne un nombre, un FQDN y una descripción al Edge VM antes de seleccionar un tamaño. El tamaño es de vital importancia para un entorno de producción. Tiene impactos en la cantidad de balanceadores de carga que se pueden aprovisionar, entre otras cosas. Se debe consultar la documentación de VMware para determinar el tamaño correcto de acuerdo a la carga de trabajo. Yo usaré la opción “Small” para el lab.

Siguiente, completar la información de contraseñas y usuarios.

A continuación, seleccione el administrador de cómputo (vCenter), el clúster, el grupo de recursos y el almacén de datos para el nodo de borde en el que se implementará.

En el cuadro de configuración de configuración del nodo, asigne a la máquina virtual una dirección IP en una red de administración. Esto NO está en el plano de datos, sino más bien una forma de comunicarse con el nodo de borde. Coloqué esta máquina virtual en uno de mis grupos de puertos de administración existentes en mi vCenter, el PortGroup se llama Management-PG y no tiene VLAN tag, está conectado a mi red física.

La última pantalla es donde realmente ocurre la configuración. Aquí es donde creamos conmutadores virtuales en Edge VM y los conectamos (a través de enlaces ascendentes) a un Nic físico. En mi caso voy a usar uno solo, todo mi tráfico esta marcado por VLANs y conectado a Trunk en vCenter. Estos conmutadores no estarán visibles en la vista de hosts ESXi, porque existen dentro de la máquina virtual Edge.

Este conmutador tendrá tráfico de red Overlay que pertenece a la red TEP junto con nuestros hosts ESXi en nuestro clúster de carga de trabajo, y tráfico de VLAN que es cómo se comunica la VM en la red física.

Mi N-VDS se llama vDS-Infra, seleccioné ambas zonas transporte, VLAN y Overlay, esto también se puede hacer de manera individual, un N-VDS por zona de transporte.

Selecciono el uplink profile, yo cree anteriormente este perfil, esta marcado con la VLAN 15, es la VLAN de mis TEPs en cual están los ESXis.

Se elije el pool IP o DHCP.

¿Dónde realmente se hace el mapping de la interface hacia vCenter? Seleccionamos “Select Interface” y elejimos el PortGroup de vCenter a utilizar. > Save, en mi caso, esta es la PortGroup donde están los TEPs de los ESXis, es un Trunk. > Finish.

Ahora, esperamos que se complete el proceso de despliegue.

Una vez completado el proceso, se ve algo así:

Confirmo conectividad en mi router, encargo del enrutamiento mi laboratorio, incluyendo los TEPs.

Crear un clúster para los Edges

Los nodos perimetrales pueden (y en los entornos de producción deben) implementarse en pares. Los grupos de nodos Edge se pueden agrupar en un clúster Edge. En mi caso solo usaré uno.

Agregue su nuevo nodo perimetral a un clúster perimetral navegando a System –> Fabric –> Nodes –> Edge Transport Zones. Click the + ADD button para crear el clúster.

Conclusión:

Entender como funciona la implementación del Edge VM fue de una de las partes más complejas de mi laboratorio. La clave es tener claro, que el Edge VM nos permite extender la red Overlay. Un interfaz para administración y la otra para los TEPs.

¿Ahora, cuál es el siguiente paso? Creación de Tier0 y Tier1 que estaré analizando en otro post.

Hasta la próxima!


Translate »