群集ldap安装
ldap安装 时间:2021-04-05 阅读:(
)
NSX安装指南Update12修改日期:2021年3月18日VMwareNSXDataCenterforvSphere6.
4您可以从VMware网站下载最新的技术文档:https://docs.
vmware.
com/cn/.
VMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com威睿信息技术(中国)有限公司北京办公室北京市朝阳区新源南路8号启皓北京东塔8层801www.
vmware.
com/cn上海办公室上海市淮海中路333号瑞安大厦804-809室www.
vmware.
com/cn广州办公室广州市天河路385号太古汇一座3502室www.
vmware.
com/cn版权所有2010-2021VMware,Inc.
保留所有权利.
版权和商标信息NSX安装指南VMware,Inc.
2目录NSX安装指南51NSXDataCenterforvSphere概述6NSXDataCenterforvSphere组件7数据层面8控制层面8管理层面9消费平台9NSXEdge10NSXServices122安装准备工作14NSXDataCenterforvSphere的系统要求14NSXDataCenterforvSphere所需的端口和协议16NSX和vSphereDistributedSwitch17示例:使用vSphereDistributedSwitch19了解复制模式25安装工作流程和示例拓扑27跨vCenterNSX和增强型链接模式283安装NSXManager虚拟设备304在NSXManager中注册vCenterServer345配置单点登录366为NSXManager配置syslog服务器387添加并分配许可证398部署NSXController群集419从防火墙保护中排除虚拟机4410为NSX准备主机群集4611向准备好的群集添加主机49VMware,Inc.
312从准备好的群集中移除主机5013配置VXLAN传输参数5114分配分段ID池和多播地址范围5415添加传输区域5616添加逻辑交换机6017添加分布式逻辑路由器6518添加Edge服务网关7619在逻辑(分布式)路由器上配置OSPF8420在Edge服务网关上配置OSPF8821在主机群集上安装GuestIntrospection9322卸载NSXDataCenterforvSphere组件96卸载GuestIntrospection模块96卸载NSXEdge服务网关或分布式逻辑路由器97卸载逻辑交换机97从主机群集中卸载NSX97安全移除NSX安装98NSX安装指南VMware,Inc.
4NSX安装指南NSX安装指南介绍了如何使用VMwareNSXManager用户界面、VMwarevSphereWebClient和VMwarevSphereClient配置、监控和维护VMwareNSXDataCenterforvSphere系统.
本文档中的信息包括分步配置说明以及建议的最佳做法.
重要事项NSXforvSphere现名为NSXDataCenterforvSphere.
目标读者本手册适用于要在VMwarevSphere环境中安装或使用NSXDataCenterforvSphere的用户.
本手册的目标读者为熟悉虚拟机技术和虚拟数据中心操作且经验丰富的系统管理员.
本手册假设用户熟悉vSphere,包括VMwareESXi、VMwarevCenterServer和vSphereWebClient.
任务说明本指南中的任务说明基于vSphereWebClient.
您也可以使用新的vSphereClient执行本指南中的部分任务.
新的vSphereClient用户界面术语、拓扑及工作流与vSphereWebClient的相同方面和元素保持高度一致.
注在NSX6.
4中,没有为vSphereClient实施vSphereWebClient的NSX插件的所有功能.
有关支持和不支持的功能的最新列表,请参见https://docs.
vmware.
com/cn/VMware-NSX-for-vSphere/6.
4/rn/nsx-vsphere-client-65-functionality-support.
html.
VMware技术出版物术语表VMware技术出版物提供了一个术语表,其中包含一些您可能不熟悉的术语.
有关VMware技术文档中使用的术语的定义,请访问http://www.
vmware.
com/support/pubs.
VMware,Inc.
5NSXDataCenterforvSphere概述1IT组织已经从服务器虚拟化中明显获益.
服务器整合降低了物理复杂性,提高了运营效率,并且能够动态地重新调整基础资源的用途,使其以最佳方式快速满足日益动态化的业务应用需求.
现在,VMware的软件定义数据中心(SDDC)架构正将虚拟化技术延展至整个物理数据中心基础架构.
NSXDataCenterforvSphere是SDDC架构中的关键产品.
使用NSXDataCenterforvSphere可以实现网络虚拟化,正如计算和存储虚拟化交付.
与服务器虚拟化以编程方式创建、删除和还原基于软件的虚拟机(VirtualMachine,VM)以及拍摄虚拟机快照的方式大致相同,NSXDataCenterforvSphere网络虚拟化也是以编程方式创建、删除和还原基于软件的虚拟网络以及拍摄虚拟网络快照.
这使得联网方式发生了变革,不仅使数据中心管理人员能够将敏捷性和经济性提高若干数量级,而且还能极大地简化底层物理网络的运营模式.
NSXDataCenterforvSphere能够部署在任何IP网络上,包括现有的传统网络模型以及任何供应商提供的新一代网络架构,它为您提供了一个无中断的解决方案.
事实上,使用NSXDataCenterforvSphere,您只需利用现有的物理网络基础架构即可部署软件定义的数据中心.
物理计算和内存应用程序x86环境服务器管理程序应用程序应用程序虚拟机虚拟机虚拟机要求:x86解耦物理网络工作负载L2、L3、L4-7网络服务网络虚拟化平台工作负载工作负载虚拟网络虚拟网络要求:IP传输虚拟网络上图对计算和网络虚拟化进行了类比.
通过服务器虚拟化,软件抽象层(服务器虚拟机管理程序)可在软件中重现人们所熟悉的x86物理服务器属性(例如CPU、内存、磁盘、网卡),从而可通过编程方式来任意组合这些属性,只需短短数秒,即可生成一台独一无二的虚拟机.
VMware,Inc.
6通过网络虚拟化,与网络虚拟机管理程序等效的功能可在软件中重现第2层到第7层的一整套网络服务(例如,交换、路由、访问控制、防火墙、QoS和负载平衡).
因此,可通过编程方式任意组合这些服务,只需短短数秒,即可生成独一无二的独立虚拟网络.
通过网络虚拟化,带来了类似于服务器虚拟化的优势.
例如,就像虚拟机独立于基础x86平台并允许IT将物理主机视为计算容量池一样,虚拟网络也独立于底层IP网络硬件并允许IT将物理网络视为可以按需使用和调整用途的传输容量池.
与传统架构不同的是,无需重新配置底层物理硬件或拓扑,即可通过编程方式置备、更改、存储、删除和还原虚拟网络.
与企业从熟悉的服务器和存储虚拟化解决方案获得的功能和优势相匹配,这一革命性的联网方式可发挥软件定义的数据中心的全部潜能.
可通过vSphereWebClient、命令行界面(Command-LineInterface,CLI)和RESTAPI配置NSXDataCenterforvSphere.
本章讨论了以下主题:nNSXDataCenterforvSphere组件nNSXEdgenNSXServicesNSXDataCenterforvSphere组件本节介绍了NSXDataCenterforvSphere解决方案的各个组件.
CMPNSXControllerNSXManager消费平台NSXEdge数据层面防火墙DLRVXLANVDSNSXvSwitch管理程序扩展模块+管理层面控制层面运行时状态NSX安装指南VMware,Inc.
7请注意,云管理平台(CloudManagementPlatform,CMP)不是NSXDataCenterforvSphere的组件,但NSXDataCenterforvSphere可提供通过RESTAPI与几乎所有CMP的集成,以及与VMwareCMP的即时可用集成.
数据层面数据层面由NSXVirtualSwitch组成,它基于vSphereDistributedSwitch(VDS)并包含额外的组件以启用服务.
内核模块、用户空间代理、配置文件和安装脚本均打包在VIB中,并在虚拟机管理程序内核中运行,以提供诸如分布式路由和逻辑防火墙等服务,并启用VXLAN桥接功能.
NSXVirtualSwitch(基于vDS)可对物理网络进行抽象化处理,并在虚拟机管理程序中提供访问级别的交换.
它是网络虚拟化的核心,因为它可实现独立于物理构造的逻辑网络(如VLAN).
vSwitch的一些优势包括:n利用协议(如VXLAN)和集中式网络配置支持覆盖网络.
覆盖网络可实现以下功能:n减少了VLANID在物理网络中的使用.
n在现有物理基础架构的现有IP网络上创建一个叠加的灵活逻辑层2(L2),而无需重新设计任何数据中心网络n置备通信(东西向和南北向),同时保持租户之间的隔离状态n应用程序工作负载和虚拟机独立于覆盖网络,就像连接到物理L2网络一样运行n有利于实现虚拟机管理程序的大规模扩展n端口镜像、NetFlow/IPFIX、配置备份和还原、网络运行状况检查、QoS和LACP等多种功能构成了一个完整的工具包,可以在虚拟网络内执行流量管理、监控和故障排除等操作.
逻辑路由器的L2可以将逻辑网络空间(VXLAN)与物理网络(VLAN)桥接.
网关设备通常是NSXEdge虚拟设备.
NSXEdge提供L2、L3、外围防火墙、负载平衡以及SSLVPN和DHCP等其他服务.
控制层面控制层面在NSXController群集中运行.
NSXController是一个高级分布式状态管理系统,它提供了控制层面功能以实现逻辑交换和路由功能.
对于网络内的所有逻辑交换机而言,它是中央控制点,负责维护所有主机、逻辑交换机(VXLAN)和分布式逻辑路由器的相关信息.
NSXController群集负责管理虚拟机管理程序中的分布式交换和路由模块.
控制器中没有任何数据层面的流量通过.
控制器节点部署在包含三个成员的群集中,以实现高可用性和可扩展性.
控制器节点的任何故障都不会影响数据层面的流量.
NSXController通过将网络信息分发到主机来进行工作.
为实现高度弹性,NSXController进行了群集化以实现横向扩展和HA.
NSXController群集必须包含三个节点.
三个虚拟设备将提供、维护并更新在NSX域中工作的所有网络的状态.
NSXManager用于部署NSXController节点.
NSX安装指南VMware,Inc.
8三个NSXController节点形成一个控制群集.
控制器群集需要达到仲裁数(也称为多数),以避免出现"脑裂情况".
在脑裂情况下,数据不一致性是由维护两个重叠的单独数据集引起的.
不一致性可能由错误状况和数据同步问题导致.
部署三个控制器节点可在其中一个NSXController节点出现故障时确保数据冗余.
一个控制器群集具有多个角色,包括:nAPI提供程序n持久服务器n交换机管理器n逻辑管理器n目录服务器每个角色都具有一个主控制器节点.
如果某个角色的主控制器节点失败,群集会从可用的NSXController节点中为该角色选择一个新的主节点.
该角色的新主NSXController节点将在其余NSXController节点之间重新分配丢失的部分工作.
NSXDataCenterforvSphere支持三种逻辑交换机控制层面模式:多播、单播和混合.
使用控制器群集管理基于VXLAN的逻辑交换机无需物理网络架构的多播支持.
您无需置备多播组IP地址,也不需要在物理交换机或路由器上启用PIM路由或IGMP侦听功能.
因此,单播模式和混合模式可以将NSX从物理网络脱离.
处于单播控制层面模式的VXLAN不需要物理网络支持多播以处理逻辑交换机中的广播、未知单播和多播(BUM)流量.
单播模式会在本地复制主机上所有BUM流量,且无需任何物理网络配置.
在混合模式中,一些BUM流量复制将卸载到第一个跃点物理交换机上以获得更好性能.
混合模式需要在第一个跃点交换机上进行IGMP侦听,并需要访问每个VTEP子网中的IGMP查询器.
管理层面管理层面由NSXManager构建,是NSXDataCenterforvSphere的集中式网络管理组件.
该层面提供单个配置点和RESTAPI入口点.
NSXManager作为虚拟设备安装在vCenterServer环境中的任何ESXi主机上.
NSXManager和vCenter具有一一对应关系.
NSXManager的每个实例对应于一个vCenterServer.
在跨vCenterNSX环境中,情况也是这样.
在跨vCenterNSX环境中,同时存在一个主NSXManager设备和一个或多个辅助NSXManager设备.
主NSXManager用于创建和管理通用逻辑交换机、通用逻辑(分布式)路由器和通用防火墙规则.
辅助NSXManager用于管理特定NSXManager的本地网络服务.
在一个跨vCenterNSX环境中,主NSXManager最多可关联七个辅助NSXManager.
消费平台NSXDataCenterforvSphere的消费情况可直接通过vSphereWebClient中的NSXManager用户界面查看.
通常,最终用户将网络虚拟化与其云管理平台相融合,以部署应用.
NSXDataCenterforvSphere通过RESTAPI提供丰富的集成功能,几乎可集成到任何CMP中.
也可以通过VMwarevRealizeAutomationCenter、vCloudDirector和具有Neutron插件的OpenStack获得即时可用的集成功能.
NSX安装指南VMware,Inc.
9NSXEdge可以安装NSXEdge作为Edge服务网关(ESG)或分布式逻辑路由器(DLR).
Edge服务网关通过ESG,您可以访问所有NSXEdge服务,例如防火墙、NAT、DHCP、VPN、负载平衡和高可用性.
您可以在一个数据中心中安装多个ESG虚拟设备.
每个ESG虚拟设备总共可以拥有十个上行链路和内部网络接口.
借助中继,一个ESG最多可以拥有200个子接口.
内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关.
分配给内部接口的子网可以是公开路由的IP空间,也可以是采用NAT/路由的RFC1918专用空间.
对网络接口之间的流量会实施防火墙规则和其他NSXEdge服务.
ESG的上行链路接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层网络连接功能的服务.
可以为负载平衡器、点对点VPN和NAT服务配置多个外部IP地址.
分布式逻辑路由器DLR提供东西向分布式路由,可实现租户IP地址空间和数据路径隔离.
位于不同子网中同一台主机上的虚拟机或工作负载可以彼此通信,而无需遍历传统的路由接口.
逻辑路由器可以有八个上行链路接口和多达一千个内部接口.
DLR上的上行链路接口通常与ESG建立对等关系,DLR与ESG之间存在第2层逻辑转换交换机.
DLR上的内部接口与ESXi管理程序上托管的虚拟机建立对等关系,虚拟机与DLR之间存在逻辑交换机.
DLR有两个主要组件:nDLR控制层面由DLR虚拟设备提供(也称为控制虚拟机):此虚拟机支持动态路由协议(BGP和OSPF),与下一个第3层跃点设备(通常为Edge服务网关)交换路由更新,并与NSXManager和NSXController群集进行通信.
通过活动-待机配置支持DLR虚拟设备的高可用性:当您创建启用了HA的DLR时,系统将提供一对在活动/待机模式下运行的虚拟机.
n在数据层面级别,属于NSX域中的ESXi主机上安装有DLR内核模块(VIB).
内核模块类似于支持第3层路由的模块化机架中的线路卡.
内核模块具有通过控制器群集推送的路由信息库(RIB)(也称为路由表).
路由查找、ARP条目查找的数据层面功能均由内核模块执行.
内核模块配有逻辑接口(称为LIF),可连接到不同的逻辑交换机以及任意VLAN支持的端口组.
每个LIF都分配有一个IP地址(代表其所连接的逻辑L2分段的默认IP网关)和一个vMAC地址.
IP地址对每个LIF而言是唯一的,而为所有已定义的LIF分配的vMAC都相同.
NSX安装指南VMware,Inc.
10图1-1.
逻辑路由组件VPNVPNSXManager125346NSXEdge(充当下一跃点路由器)192.
168.
100.
0/24外部网络控制器群集逻辑路由器设备vSphereDistributedSwitchOSPF、BGP控制对等Web虚拟机172.
16.
10.
11172.
16.
10.
1应用程序虚拟机172.
16.
20.
11172.
16.
20.
1逻辑路由器控制192.
168.
10.
1192.
168.
10.
2数据路径192.
168.
10.
31DLR实例已使用OSPF或BGP从NSXManagerUI(或通过API调用)创建,并且路由已启用.
2NSXController使用控制层面和ESXi主机推送新的DLR配置(包括LIF及其关联的IP和vMAC地址).
3如果假定在下一个跃点设备(在本例中为NSXEdge[ESG])上也启用路由协议,则会在ESG与DLR控制虚拟机之间建立OSPF或BGP对等互连.
ESG和DLR就可以交换路由信息:nDLR控制虚拟机可以配置为将所有已连接逻辑网络的IP前缀(在本例中为172.
16.
10.
0/24和172.
16.
20.
0/24)重新分发到OSPF中.
结果是其将这些路由播发推送到NSXEdge中.
注意,这些前缀的下一跃点不是分配给控制虚拟机的IP地址(192.
168.
10.
3),而是标识DLR的数据层面组件的IP地址(192.
168.
10.
2).
前者称为DLR"协议地址",而后者则为"转发地址".
nNSXEdge将前缀推送到控制虚拟机,以访问外部网络中的IP网络.
在大多数情况下,NSXEdge很有可能发送一个默认路由,因为该路由代表面向物理网络基础架构的单个退出点.
4DLR控制虚拟机将从NSXEdge获知的IP路由推送到控制器群集中.
5控制器群集负责在虚拟化管理程序之间分发从DLR控制虚拟机获知的路由.
群集中的每个控制器节点负责为特殊的逻辑路由器实例分发信息.
在部署了多个逻辑路由器实例的部署中,负载跨多个控制器节点分布.
单独的逻辑路由器实例通常与每个部署的租户关联.
NSX安装指南VMware,Inc.
116主机上的DLR路由内核模块处理数据路径流量,以通过NSXEdge与外部网络通信.
NSXServicesNSXDataCenterforvSphere各组件协同工作可提供以下功能性VMwareNSXServices.
逻辑交换机云部署或虚拟数据中心具有跨多个租户的多种应用程序.
出于安全、故障隔离和避免IP地址重叠等目的,这些应用程序和租户需要互相隔离.
NSXDataCenterforvSphere允许创建多个逻辑交换机,每一个交换机都是一个逻辑广播域.
应用程序或租户虚拟机可以按逻辑有线连接到逻辑交换机.
这可以在仍提供物理网络广播域(VLAN)的所有特性的同时保证部署的灵活性和速度,而不出现物理第2层散乱或生成树问题.
逻辑交换机是分布式的,可以跨越vCenter中的所有主机(或跨vCenterNSX环境中的所有主机).
这样,虚拟机可以在数据中心内移动(vMotion),而不会受到物理第2层(VLAN)边界的限制.
物理基础架构不受MAC/FIB表限制的约束,因为逻辑交换机以软件形式包含广播域.
逻辑路由器动态路由可在第2层广播域之间提供必需的转发信息,从而帮助减小第2层广播域的大小,提高网络效率,改进网络的可扩展性.
NSXDataCenterforvSphere还将此信息扩展到工作负载所在的位置,用于东西向路由.
这样,虚拟机之间就可以直接进行通信,无需花费额外的成本和时间来扩展跃点.
同时,逻辑路由器也提供南北向连接,从而使租户可以访问公用网络.
逻辑防火墙逻辑防火墙为动态虚拟数据中心提供安全机制.
逻辑防火墙的分布式防火墙组件允许您基于以下各项对虚拟机之类的虚拟数据中心实体进行分段:虚拟机名称和属性、用户标识、vCenter对象(如数据中心)、主机以及传统的网络连接属性(如IP地址、VLAN等).
Edge防火墙组件可帮助您实现关键外围安全需求,例如,基于IP/VLAN构造建立DMZ,在多租户虚拟数据中心内让租户彼此隔离.
流量监控功能会显示在应用程序协议级别的虚拟机之间的网络活动.
您可以使用此信息审核网络流量、定义和细化防火墙策略以及识别对网络的威胁.
逻辑虚拟专用网络(VPN)SSLVPN-Plus允许远程用户访问专用的企业应用程序.
IPSecVPN可以在NSXEdge实例与具有NSXDataCenterforvSphere或第三方供应商提供的硬件路由器/VPN网关的远程站点之间提供点对点连接.
L2VPN让虚拟机在跨地域界限时不但可以维持网络连接,而且可以保持IP地址不变,从而让您可以扩展数据中心.
逻辑负载平衡器NSXEdge负载平衡器在配置为负载平衡池成员的多个目标之间分配指向同一虚拟IP地址的客户端连接.
它将入站服务请求均匀分布在多个服务器中,从方式上确保负载分配对用户透明.
这样负载平衡有助于实现最佳的资源利用率,最大程度地提高吞吐量和减少响应时间,并避免过载.
NSX安装指南VMware,Inc.
12服务编排服务编排有助于置备网络和安全服务并将其分配给虚拟基础架构中的应用程序.
您可以将这些服务映射到安全组,这些服务即会通过安全策略应用到安全组中的虚拟机.
NSXDataCenterforvSphere可扩展性第三方解决方案提供商可以将其解决方案与NSXDataCenterforvSphere平台集成,从而使客户获得VMware产品和合作伙伴解决方案之间的集成体验.
数据中心操作员可以在独立于底层网络拓扑或组件的情况下,于数秒内置备复杂的多层虚拟网络.
NSX安装指南VMware,Inc.
13安装准备工作2本节介绍NSXDataCenterforvSphere的系统要求以及必须打开的端口.
本章讨论了以下主题:nNSXDataCenterforvSphere的系统要求nNSXDataCenterforvSphere所需的端口和协议nNSX和vSphereDistributedSwitchn示例:使用vSphereDistributedSwitchn了解复制模式n安装工作流程和示例拓扑n跨vCenterNSX和增强型链接模式NSXDataCenterforvSphere的系统要求在安装或升级NSXDataCenterforvSphere之前,请考虑您的网络配置和资源.
您可以在每个vCenterServer中安装一个NSXManager,在每个ESXi主机上安装一个GuestIntrospection实例,并在每个数据中心安装多个NSXEdge实例.
硬件下表列出了NSXDataCenterforvSphere设备的硬件要求.
表2-1.
设备的硬件要求设备内存vCPU磁盘空间NSXManager16GB(更大的部署为24GB)4对于中型部署:不要超过8个(6.
4.
0到6.
4.
6)不要超过32个(从6.
4.
7开始)60GBNSXController4GB428GBVMware,Inc.
14表2-1.
设备的硬件要求(续)设备内存vCPU磁盘空间NSXEdge(分布式逻辑路由器作为精简设备部署)精简:512MB中型:1GB大型:4GB(从6.
4.
9开始),2GB(6.
4.
0到6.
4.
8)超大型:8GB精简:1中型:2大型:4超大型:6精简、中型:1个640MB磁盘+1个512MB磁盘大型:1个640MB磁盘+2个512MB磁盘超大型:1个640MB磁盘+1个2GB磁盘+1个512MB磁盘GuestIntrospection2GB25GB(置备的空间为6.
26GB)作为一般准则,如果您的NSX受管环境包含超过256个Hypervisor,请将NSXManager资源增加到至少8个vCPU和24GBRAM.
不要超过32个vCPU.
有关最高配置的详细信息,请参见VMware最高配置工具的NSXDataCenterforvSphere部分.
记录的最高配置均假设NSXManager设备大小为中型.
有关特定规模的详细信息,请联系VMware支持人员.
有关为虚拟设备增加内存和vCPU分配的信息,请参见《vSphere虚拟机管理》中的"分配内存资源"和"更改虚拟CPU数目".
为GuestIntrospection设备置备的空间显示GuestIntrospection为6.
26GB.
这是因为在集群中的多个主机共享存储时,vSphereESXAgentManager创建服务虚拟机快照以创建快速克隆.
有关如何通过ESXAgentManager禁用该选项的详细信息,请参见《ESXAgentManager》文档.
网络延迟您应确保组件之间的网络延迟等于或短于所述的最长延迟.
表2-2.
组件之间的最长网络延迟组件最长延迟NSXManager和NSXController节点150毫秒RTTNSXManager和ESXi主机150毫秒RTTNSXManager和vCenterServer系统150毫秒RTTNSXManager和跨vCenterNSX环境中的NSXManager150毫秒RTTNSXController和ESXi主机150毫秒RTT软件有关互操作性的最新信息,请参见产品互操作性列表,网址为http://partnerweb.
vmware.
com/comp_guide/sim/interop_matrix.
php.
有关NSXDataCenterforvSphere、vCenterServer和ESXi的建议版本,请参见您将升级到的NSXDataCenterforvSphere版本的发行说明.
发行说明可在以下NSXDataCenterforvSphere文档站点中获取:https://docs.
vmware.
com/cn/VMware-NSX-for-vSphere/index.
html.
要让NSXManager加入跨vCenterNSX部署,需要满足以下条件:NSX安装指南VMware,Inc.
15组件版本NSXManager6.
2或更高版本NSXController6.
2或更高版本vCenterServer6.
0或更高版本ESXiESXi6.
0或更高版本为NSX6.
2或更高版本的VIB准备的主机集群要从单个vSphereWebClient管理跨vCenterNSX部署中的所有NSXManager,必须在增强型链接模式下连接vCenterServer.
请参见《vCenterServer和主机管理》中的"使用增强型链接模式".
要验证合作伙伴解决方案与NSX的兼容性,请参见《VMwareNetworkingandSecurity兼容性指南》,网址为http://www.
vmware.
com/resources/compatibility/search.
phpdeviceCategory=security.
客户端和用户访问权限要管理您的NSXDataCenterforvSphere环境,需要具备以下各项:n正向和反向名称解析.
如果您已按名称将ESXi主机添加到vSphere清单中,则需要具备此功能,否则,NSXManager将无法解析IP地址.
n添加虚拟机和打开虚拟机电源的权限.
n访问存储虚拟机文件的数据存储的权限,以及将文件复制到该数据存储的帐户权限.
n必须在Web浏览器上启用Cookie,才能访问NSXManager用户界面.
n必须在NSXManager与要部署的ESXi主机、vCenterServer和NSXDataCenterforvSphere设备之间打开端口443.
需要使用该端口在ESXi主机上下载OVF文件以进行部署.
n使用的vSphereClient或vSphereWebClient版本支持的Web浏览器.
请参见支持的Web浏览器列表,网址为https://docs.
vmware.
com/cn/VMware-NSX-Data-Center-for-vSphere/6.
4/rn/nsx-vsphere-client-65-functionality-support.
html.
请注意,NSX6.
4.
x不支持Windows32位和64位MicrosoftInternetExplorer浏览器.
n有关将vSphere6.
5上的vSphereClient(HTML5)与NSXDataCenterforvSphere6.
4配合使用的信息,请参见https://docs.
vmware.
com/cn/VMware-NSX-for-vSphere/6.
4/rn/nsx-vsphere-client-65-functionality-support.
html.
NSXDataCenterforvSphere所需的端口和协议NSXDataCenterforvSphere需要打开多个端口才能正常运行.
n如果您具有跨vCenterNSX环境,并且vCenterServer系统处于增强型链接模式,则每个NSXManager设备都必须与环境中的每个vCenterServer系统建立必要的连接.
在此模式下,您可以从任何vCenterServer系统管理任何NSXManager.
n从较低的NSX版本升级到版本6.
4.
x时,必须对GuestIntrospection和主机群集进行升级,这样才能成功创建和实施远程桌面会话主机(RemoteDesktopSessionHost,RDSH)策略.
NSX安装指南VMware,Inc.
16有关NSX6.
4.
0及更高版本中所有受支持端口和协议的列表,请参见https://ports.
vmware.
com/home/NSX-Data-Center-for-vSphere上的VMware端口和协议门户.
您可以使用该门户以CSV、Excel或PDF文件格式下载列表.
NSX和vSphereDistributedSwitch在NSX域中,VMwareNSXVirtualSwitch是在服务器管理程序中运行以在服务器与物理网络之间形成软件抽象层的软件.
NSXVirtualSwitch基于vSphereDistributedSwitch(VDS),用于提供主机连接到柜顶式(Top-of-Rack,ToR)物理交换机的上行链路.
作为一项最佳做法,VMware建议您在安装NSXDataCenterforvSphere之前规划并准备vSphereDistributedSwitch.
NSXServices在vSphere标准交换机上不受支持.
虚拟机工作负载必须连接到vSphereDistributedSwitch才能使用NSX服务和功能.
一个主机可以连接到多个VDS.
一个VDS可以跨多个群集中的多个主机.
对于将参与NSX部署的每个主机群集,该群集中的所有主机都必须连接到一个通用VDS.
例如,假如您有一个包含Host1和Host2的群集.
Host1连接到VDS1和VDS2.
Host2连接到VDS1和VDS3.
为NSX准备群集时,您只能将NSX与群集中的VDS1相关联.
如果向该群集添加另一个主机(Host3)且Host3未连接到VDS1,则配置无效,而且Host3将无法用于NSX功能.
通常,为了简化部署,主机的每个群集仅与一个VDS相关联,即使一些VDS跨多个群集亦如此.
例如,假设您的vCenter包含以下主机群集:n应用程序层主机的计算群集AnWeb层主机的计算群集Bn管理和Edge主机的管理和Edge群集下面的屏幕截图显示这些群集在vCenter中的显示方式.
对于此类群集设计,您可能具有两个分别名为Compute_VDS和Mgmt_VDS的VDS.
Compute_VDS跨两个计算群集,而Mgmt_VDS仅与管理和Edge群集关联.
每个VDS都包含需要承载的不同流量类型的分布式端口组.
典型流量类型包括管理、存储和vMotion.
上行链路和访问端口通常也为必需项.
正常情况下,每个VDS上会针对每种流量创建一个端口组.
例如,下面的屏幕截图显示这些DistributedSwitch和端口在vCenter中的显示方式.
NSX安装指南VMware,Inc.
17或者,每个端口组也可以用一个VLANID进行配置.
以下列表显示VLAN如何与分布式端口组关联以在不同流量类型之间提供逻辑隔离的示例:nCompute_VDS-Access---VLAN130nCompute_VDS-Mgmt---VLAN210nCompute_VDS-Storage---VLAN520nCompute_VDS-vMotion---VLAN530nMgmt_VDS-Uplink---VLAN100nMgmt_VDS-Mgmt---VLAN110nMgmt_VDS-Storage---VLAN420nMgmt_VDS-vMotion---VLAN430DVUplinks端口组是在创建VDS时自动创建的VLAN中继.
作为一个中继端口,它发送和接收标记的帧.
默认情况下,它将携带所有VLANID(0-4094).
这意味着带有任何VLANID的流量均可通过与DVUplink插槽关联的vmnic网络适配器,并由管理程序主机进行筛选,因为DistributedSwitch确定了应接收流量的端口组.
如果现有vCenter环境不包含vSphereDistributedSwitch,而是包含vSphere标准交换机,则可以将主机迁移至分布式交换机.
NSX安装指南VMware,Inc.
18示例:使用vSphereDistributedSwitch本例展示了如何创建新的vSphereDistributedSwitch(VDS);如何针对管理、存储和vMotion流量类型添加端口组;如何将标准vSwitch上的主机迁移至新的DistributedSwitch.
请注意,本例的目的仅为展示操作过程.
有关VDS物理和逻辑上行链路注意事项的详细信息,请参见《NSX网络虚拟化设计指南》,网址为https://communities.
vmware.
com/docs/DOC-27683.
前提条件本例假设要连接到vSphereDistributedSwitch的每个ESX主机至少具有一个到物理交换机的连接(一个vmnic上行链路).
此上行链路可用于DistributedSwitch和NSXVXLAN流量.
步骤1导航到一个数据中心.
a单击主页(Home)>网络(Networking).
b在导航器(Navigator)中,单击一个数据中心.
2右键单击数据中心,然后单击DistributedSwitch>新建DistributedSwitch(NewDistributedSwitch).
3根据将与交换机关联的主机群集为此交换机指定体现其意义的名称.
例如,如果一个DistributedSwitch将与一组数据中心管理主机相关联,您可以将该交换机命名为VDS_Mgmt.
4请至少提供一个该DistributedSwitch的上行链路,保持启用IO控制,并为默认端口组提供体现其意义的名称.
请注意,您不一定需要创建默认端口组,可在以后手动创建该端口组.
默认情况下,系统会创建四个上行链路.
调整上行链路数量以体现您的VDS设计.
所需的上行链路数通常等于分配给VDS的物理网卡数.
下面的屏幕截图显示管理主机群集上管理流量的示例设置.
默认端口组正是此交换机将包含的端口组之一.
创建交换机后,您将可以添加不同流量类型的端口组.
或者,在创建新VDS时,您也可以取消勾选创建默认端口组(Createadefaultportgroup)选项.
这种做法实际上可能是最佳实践;最好在创建端口组时明确.
NSX安装指南VMware,Inc.
195(可选)完成"新建DistributedSwitch"向导之后,编辑默认端口组的设置,以将其置于正确的管理流量VLAN中.
例如,如果您的主机管理接口在VLAN110中,则将默认端口组置于VLAN110中.
如果您的主机管理接口未在VLAN中,请跳过此步骤.
6完成"新建DistributedSwitch"向导之后,右键单击该DistributedSwitch,然后选择新建DistributedSwitch端口组(NewDistributedPortGroup).
为每种流量重复此步骤,确保提供体现每个端口组意义的名称,并确保根据您的部署的流量隔离要求配置正确的VLANID.
存储的示例组设置.
vMotion流量的示例组设置.
完成的DistributedSwitch和端口组如下所示.
NSX安装指南VMware,Inc.
207右键单击DistributedSwitch,选择添加和管理主机(AddandManageHosts),然后选择添加主机(AddHosts).
连接位于关联群集中的所有主机.
例如,如果该交换机用于管理主机,则选择位于管理群集中的所有主机.
8选择各选项以迁移物理适配器、VMkernel适配器和虚拟机网络连接.
9选择一个vmnic并单击分配上行链路(Assignuplink),将vmnic从标准vSwitch迁移至DistributedSwitch.
为连接到分布式vSwitch的每个主机重复此步骤.
例如,下面的屏幕截图显示两个配置了vmnic0上行链路的主机从各自的标准vSwitch迁移至分布式Mgmt_VDS-DVUplink端口组,该端口组是可带有任何VLANID的中继端口.
NSX安装指南VMware,Inc.
2110选择一个VMKernel网络适配器,然后单击分配端口组(Assignportgroup).
为连接到分布式vSwitch的所有主机上的所有网络适配器重复此步骤.
例如,下面的屏幕截图显示两个主机上的三个vmk网络适配器配置为从标准端口组迁移至新的分布式端口组.
11将主机上的任何虚拟机全部移至分布式端口组.
例如,下面的屏幕截图显示一个主机上的两个虚拟机配置为从标准端口组迁移至新的分布式端口组.
NSX安装指南VMware,Inc.
22结果此操作过程完成后,您可以在主机CLI中通过运行以下命令来验证结果:n~#esxclinetworkvswitchdvsvmwarelistMgmt_VDSName:Mgmt_VDSVDSID:8978265098bbf51e-a507b529ff86e2acClass:etherswitchNumPorts:1862UsedPorts:5ConfiguredPorts:512MTU:1600CDPStatus:listenBeaconTimeout:-1Uplinks:vmnic0VMwareBranded:trueDVPort:Client:vmnic0DVPortgroupID:dvportgroup-306InUse:truePortID:24Client:vmk0DVPortgroupID:dvportgroup-307InUse:truePortID:0Client:vmk2DVPortgroupID:dvportgroup-309InUse:truePortID:17Client:vmk1DVPortgroupID:dvportgroup-308InUse:truePortID:9NSX安装指南VMware,Inc.
23n~#esxclinetworkipinterfacelistvmk2Name:vmk2MACAddress:00:50:56:6f:2f:26Enabled:truePortset:DvsPortset-0Portgroup:N/ANetstackInstance:defaultTcpipStackVDSName:Mgmt_VDSVDSUUID:8978265098bbf51e-a507b529ff86e2acVDSPort:16VDSConnection:1235399406MTU:1500TSOMSS:65535PortID:50331650vmk0Name:vmk0MACAddress:54:9f:35:0b:dd:1aEnabled:truePortset:DvsPortset-0Portgroup:N/ANetstackInstance:defaultTcpipStackVDSName:Mgmt_VDSVDSUUID:8978265098bbf51e-a507b529ff86e2acVDSPort:2VDSConnection:1235725173MTU:1500TSOMSS:65535PortID:50331651vmk1Name:vmk1MACAddress:00:50:56:6e:a4:53Enabled:truePortset:DvsPortset-0Portgroup:N/ANetstackInstance:defaultTcpipStackVDSName:Mgmt_VDSVDSUUID:8978265098bbf51e-a507b529ff86e2acVDSPort:8VDSConnection:1236595869MTU:1500TSOMSS:65535PortID:50331652后续步骤为所有vSphereDistributedSwitch重复迁移流程.
NSX安装指南VMware,Inc.
24了解复制模式创建传输区域或逻辑交换机时,必须选择一种复制模式.
了解不同的模式可以帮助您确定哪种模式最适合您的环境.
为NSX准备的每个ESXi主机都配置了VXLAN隧道端点(VTEP).
每个VXLAN隧道端点具有一个IP地址.
这些IP地址可以位于同一子网中,也可以位于不同子网中.
在不同ESXi主机上的两个虚拟机直接通信时,将在两个VTEPIP地址之间传输单播封装流量,而无需进行泛洪.
不过,与任何第2层网络一样,有时来自某个虚拟机的流量必须进行泛洪操作,或者发送到属于同一逻辑交换机的所有其他虚拟机.
第2层广播、未知单播和多播流量统称为BUM流量.
必须将来自特定主机上的某个虚拟机的BUM流量复制到将虚拟机连接到同一个逻辑交换机的所有其他主机.
NSXDataCenterforvSphere支持三种不同的复制模式:n单播复制模式n多播复制模式n混合复制模式复制模式摘要表2-3.
复制模式摘要复制模式将BUM复制到同一子网上VTEP的方法将BUM复制到不同子网上VTEP的方法物理网络要求单播单播单播nVTEP子网之间的路由多播第2层多播第3层多播nVTEP子网之间的路由n第2层多播,IGMPn第3层多播,PIMn将多播组分配给逻辑交换机混合第2层多播单播nVTEP子网之间的路由n第2层多播,IGMP单播复制模式单播复制模式无需物理网络支持第2层或第3层多播来处理逻辑交换机内的BUM流量.
使用单播模式可以将逻辑交换机从物理网络中完全分离出来.
单播模式会将所有BUM流量复制到源主机本地,并通过单播数据包将这些BUM流量转发给远程主机.
在单播模式下,可以将所有VTEP放在一个子网中,也可以放在多个子网中.
一个子网的情况:当所有主机VTEP接口都属于一个子网时,源VTEP会将BUM流量转发给所有远程VTEP.
这种复制称为头端复制.
头端复制可能会导致不必要的主机开销和更高的带宽使用.
具体影响取决于BUM流量多少以及子网内的主机和VTEP数量.
NSX安装指南VMware,Inc.
25多个子网的情况:如果主机VTEP接口分布到多个IP子网,源主机将分两部分处理BUM流量.
源VTEP将BUM流量转发到同一子网中的每个VTEP(与一个子网的情况相同).
对于远程子网中的VTEP,源VTEP会将BUM流量转发给每个远程VTEP子网中的一个主机,并设置复制位以将此数据包标记为本地复制.
远程子网中的主机在收到此数据包并找到所设置的复制位后,会将数据包发送到其子网中逻辑交换机所在的所有其他VTEP.
因此,在具有许多VTEPIP子网的网络架构中,单播复制模式具有良好的可扩展性,因为负载在多个主机之间进行分发.
多播复制模式多播复制模式需要在物理基础架构中同时启用第3层和第2层多播.
要配置多播模式下,网络管理员需要将每个逻辑交换机与IP多播组关联起来.
对于在特定逻辑交换机上托管虚拟机的ESXi主机,其相关联的VTEP会使用IGMP加入多播组G.
路由器会跟踪IGMP联接情况并使用多播路由协议在IGMP联接之间创建多播分发树.
当主机将BUM流量复制到位于同一IP子网的VTEP时,它们使用第2层多播.
当主机将BUM流量复制到位于不同IP子网的VTEP时,它们使用第3层多播.
在这两种情况下,由物理基础架构来处理到远程VTEP的BUM流量复制.
尽管IP多播是一项众所周知的技术,但由于各种技术、运营或管理原因,在数据中心中部署IP多播通常被视为一大难题.
网络管理员必须密切关注物理基础架构支持的最大多播状态,以便在逻辑交换机与多播组之间启用一对一映射.
虚拟化的一个好处是,允许在不将其他状态公开到物理基础架构的情况下扩展虚拟基础架构.
将逻辑交换机映射到"物理"多播组会破坏此模型.
注在多播复制模式下,NSXController群集不用于逻辑交换.
混合复制模式混合模式是单播和多播复制模式的组合.
在混合复制模式中,主机VTEP使用第2层多播将BUM流量分发到位于同一子网的对等VTEP.
当主机VTEP将BUM流量复制到位于不同子网中的VTEP时,它们会以单播数据包形式将这些流量转发给每个VTEP子网中的一个主机.
然后,接收流量的主机使用第2层多播将数据包发送给子网中的其他VTEP.
在客户网络中,第2层多播比第3层多播更常用,因为第2层多播通常可以轻松部署.
将BUM流量复制到位于同一子网中的不同VTEP通常在物理网络中进行.
如果同一子网中有多个对等VTEP,则混合复制可以有效缓解源主机的BUM流量.
使用混合复制,您可以扩展至分段很少或不含分段的高密度环境.
NSX安装指南VMware,Inc.
26安装工作流程和示例拓扑NSXDataCenterforvSphere安装包括部署多个虚拟设备,准备一些ESXi主机,以及进行一些配置以使所有物理和虚拟设备能够相互通信.
VPNVP部署NSXManagerDFWDFWVXLAN路由ESXi主机在vCenter中注册部署NSXController配置逻辑网络,部署和配置NSXEdge网关并配置网络服务准备主机12345vCenterNSXManager该流程先部署NSXManagerOVF/OVA模板,并确保NSXManager完全连接到它将管理的ESXi主机的管理接口.
接下来,需要通过注册流程将NSXManager与一个vCenter实例彼此链接.
然后,就可以部署NSXController节点群集了.
与NSXManager一样,NSXController节点在ESXi主机上作为虚拟设备运行.
下一步是在ESXi主机上安装多个VIB,以便为NSX准备这些主机.
这些VIB支持第2层VXLAN功能、分布式路由和分布式防火墙.
配置VXLAN、指定虚拟网络接口(VirtualNetworkInterface,VNI)范围并创建传输区域之后,您就可以开始构建自己的NSXDataCenterforvSphere覆盖拓扑.
本安装向导详细介绍该流程中的每一步.
本向导不仅适用于所有NSXDataCenterforvSphere部署,而且还可指导您创建一个示例覆盖拓扑,您可以利用该示例拓扑进行练习、做为指导或参考.
示例覆盖有一个逻辑分布式路由器(有时被称为DLR)、一个Edge服务网关(EdgeServicesGateway,ESG)和一个连接两个路由设备的逻辑转换交换机.
示例拓扑还包括底层元素,其中包括两个示例虚拟机.
这两个虚拟机均分别连接到一个独立的逻辑交换机,允许通过逻辑路由器(DLR)进行连接.
NSX安装指南VMware,Inc.
27物理架构172.
16.
20.
10172.
16.
10.
10172.
16.
20.
1链路类型:内部172.
16.
10.
1链路类型:内部逻辑路由器应用程序逻辑交换机Web逻辑交换机应用程序虚拟机Web虚拟机192.
168.
10.
2链接类型:上行链路协议地址:192.
168.
10.
3转换逻辑交换机192.
168.
10.
1链路类型:内部Edge服务网关192.
168.
100.
3链路类型:上行链路192.
168.
100.
1vSphereDistributedSwitch跨vCenterNSX和增强型链接模式vSphere6.
0引入了增强型链接模式,它使用一个或多个PlatformServicesController链接多个vCenterServer系统.
这使您可以查看和搜索vSphereWebClient内所有已链接的vCenterServer系统的清单.
在跨vCenterNSX环境中,增强型链接模式允许您从一个vSphereWebClient管理所有NSXManager.
在存在多个vCenterServer的中型部署中,您可以对vCenter组合使用跨vCenterNSX和增强型链接模式.
这两项功能是互补的,但彼此又相互独立.
注从NSX6.
4.
7开始,vSphere7.
0将受支持.
在vSphere7.
0中,已移除外部PlatformServicesController(PSC).
所有PSC服务都将整合到vCenterServer7.
0中.
NSX安装指南VMware,Inc.
28组合使用跨vCenterNSX和增强型链接模式在跨vCenterNSX中,您有一个主NSXManager和多个辅助NSXManager.
它们中的每个NSXManager都链接到独立的vCenterServer.
在主NSXManager上,您可以创建能够从辅助NSXManager查看的通用NSX组件(例如交换机和路由器).
当使用增强型链接模式部署每个vCenterServer时,可从一个vCenterServer(有时称为单一窗口)查看和管理所有vCenterServer.
因此,当对vCenter组合使用跨vCenterNSX与增强型链接模式时,您可以从任何链接的vCenterServer查看和管理任意NSXManager以及所有通用NSX组件.
在不启用增强型链接模式的情况下使用跨vCenterNSX对于跨vCenterNSX,增强型链接模式并不是必要条件或要求.
如果不启用增强型链接模式,您仍可以创建跨vCenter的通用传输区域、通用交换机、通用路由器和通用防火墙规则.
但是,在不启用增强型链接模式的情况下,您必须登录到各个vCenterServer,才能访问每个NSXManager实例.
有关vSphere和增强型链接模式的详细信息如果您决定使用增强型链接模式,请参见《vSphere安装和设置指南》或《vSphere升级指南》以了解vSphere和增强型链接模式的最新要求.
NSX安装指南VMware,Inc.
29安装NSXManager虚拟设备3NSXManager作为虚拟设备安装在vCenter环境中的任何ESXi主机上.
NSXManager提供了图形用户界面(GraphicalUserInterface,GUI)和RESTAPI以创建、配置和监控NSX组件,例如,控制器、逻辑交换机和Edge服务网关.
NSXManager提供了聚合系统视图并且是NSXDataCenterforvSphere的集中式网络管理组件.
NSXManager虚拟机打包为OVA文件,允许您使用vSphereWebClient将NSXManager导入数据存储和虚拟机清单.
为实现高可用性,可在配置了HA和DRS的群集中部署NSXManager.
或者,您也可以在其他不与NSXManager进行互操作的vCenter中安装NSXManager.
一个NSXManager服务于一个vCenterServer环境.
在跨vCenterNSX安装中,确保每个NSXManager都有一个唯一的UUID.
从OVA文件部署的NSXManager实例均有唯一的UUID.
从模板部署的NSXManager(如将虚拟机转换为模板时)与用于创建模板的原始NSXManager具有相同的UUID.
换言之,对于每个NSXManager,您都应按照本过程所述安装一个新设备.
NSXManager虚拟机安装包含VMwareTools.
请勿尝试在NSXManager上升级或安装VMwareTools.
在安装期间,您可以选择加入NSXDataCenterforvSphere客户体验提升计划(CustomerExperienceImprovementProgram,CEIP).
有关该计划的详细信息(包括如何加入或退出该计划),请参见NSX管理指南中的"客户体验提升计划".
前提条件n从https://www.
vmware.
com/go/download-nsx下载相应版本的OVA文件.
n安装NSXManager前,确保所需端口处于打开状态.
请参见NSXDataCenterforvSphere所需的端口和协议.
n确保配置了一个数据存储,并且可以在目标ESXi主机上访问该数据存储.
建议使用共享存储.
HA需要使用共享存储,以便可以在原始主机出现故障的情况下在其他主机上重新启动NSXManager设备.
n确保知道NSXManager将使用的IP地址和网关、DNS服务器IP地址、域搜索列表和NTP服务器IP地址.
VMware,Inc.
30n确定NSXManager是只进行IPv4寻址或只进行IPv6寻址,还是具有双堆栈网络配置.
NSXManager的主机名由其他实体使用,因此必须将主机名映射到该网络中使用的DNS服务器中的正确IP地址.
n准备NSXManager将在其上通信的管理流量分布式端口组.
请参见示例:使用vSphereDistributedSwitch.
NSXManager管理接口、vCenterServer和ESXi主机管理接口必须可由GuestIntrospection实例访问.
n必须安装客户端集成插件.
"部署OVF模板"向导在FirefoxWeb浏览器中性能最佳.
在ChromeWeb浏览器中运行时,有时会显示一条有关安装客户端集成插件的错误消息,即使已成功安装该插件也会显示此消息.
安装客户端集成插件:a打开Web浏览器,然后输入vSphereWebClient的URL.
b在vSphereWebClient登录页面底部,单击"下载客户端集成插件".
如果您的系统上已安装客户端集成插件,则不会显示该下载插件链接.
如果卸载客户端集成插件,则该插件的下载链接将显示在vSphereWebClient登录页面上.
步骤1找到NSXManager开放虚拟化设备(OpenVirtualizationAppliance,OVA)文件.
将下载URL复制到计算机或下载OVA文件到计算机.
2登录到vSphereWebClient,然后导航到虚拟机和模板(VMsandTemplates).
3右键单击属于虚拟机的有效对象的任何清单对象,例如数据中心、文件夹、群集、资源池或主机,然后选择部署OVF模板(DeployOVFTemplate).
此时将打开部署OVF模板向导.
4在选择模板页面上,粘贴下载URL,或者单击浏览(Browse)以选择您计算机上的OVA或OVF模板.
确保您选择与OVF模板相关联的所有文件.
这包括.
ovf、.
vmdk等文件.
如果未选择所有的必需文件,则显示警告消息.
注如果安装失败并显示操作超时错误,请检查存储和网络设备是否出现任何连接问题.
在物理基础架构出现问题(例如,到存储设备的连接中断或物理网卡或交换机出现连接问题)时,将会出现该问题.
5在选择名称和文件夹页面上,为NSXManager虚拟设备输入唯一名称,然后选择一个部署位置.
虚拟设备的默认名称与所选的OVF或OVA模板的名称相同.
如果要更改默认名称,请选择在每个vCenterServer虚拟机文件夹中的唯一名称.
虚拟设备默认部署位置是在其中启动向导的清单对象.
6在选择资源页面上,选择要将NSXManager虚拟设备部署到的主机或群集.
例如,您可以在通常用于安装所有管理和Edge组件的管理群集中部署NSXManager虚拟设备.
7在查看详细信息页面上,验证OVF或OVA模板详细信息.
8接受VMware许可协议.
NSX安装指南VMware,Inc.
319在选择存储器页面上,定义在哪里以及如何存储已部署的OVF或OVA模板的文件.
a选择虚拟机虚拟磁盘的磁盘格式.
选项说明厚置备延迟置零以默认的厚格式创建虚拟磁盘.
创建虚拟磁盘时分配虚拟磁盘所需的空间.
创建时不会擦除物理设备上保留的数据,但是从虚拟机首次执行写入操作时会按需要将其置零.
厚置备置零一种厚虚拟磁盘类型,可支持群集功能,如FaultTolerance.
在创建时为虚拟磁盘分配所需的空间.
与平面格式相反,创建虚拟磁盘时,会将物理设备上保留的数据置零.
创建这种格式的磁盘所需的时间可能会比创建其他类型的磁盘所用时间长.
精简置备使用此格式可节省存储空间.
对于精简磁盘,可以根据输入的磁盘大小值置备磁盘所需的任意数据存储空间.
但是,精简磁盘开始时很小,只使用与初始操作所需的大小完全相同的数据存储空间.
有关vSphere中厚置备和精简置备存储模型的详细信息,请参见vSphere存储文档.
提示为获得最佳性能,应为NSXManager虚拟设备预留内存.
即使内存过量使用,内存预留也能保证主机为虚拟机预留的物理内存量下限.
将预留内存设置为可确保NSXManager足以高效运行的内存级别.
b选择虚拟机存储策略.
只有在目标资源上启用存储策略后,此选项才可用.
c(可选)单击显示StorageDRS群集中的数据存储(ShowdatastoresfromStorageDRSclusters)复选框,可以为该虚拟设备的初始放置选择StorageDRS群集中的单个数据存储.
d选择用于存储已部署OVF或OVA模板的数据存储.
配置文件和虚拟磁盘文件存储在数据存储中.
选择大小足以存储该虚拟设备及其所有关联的虚拟磁盘文件的数据存储.
10在选择网络页面上,选择源网络,然后将其映射到目标网络.
例如,您可以将源网络映射到为管理流量准备的分布式端口组.
"源网络"列列出了在OVF或OVA模板中定义的所有网络.
11在自定义模板页面上,指定可用于自定义该NSXManager虚拟设备部署属性的CLI管理员用户密码和CLI特权模式密码.
12在即将完成页面上,检查页面并单击完成(Finish).
结果打开NSXManager控制台以跟踪引导过程.
在完成NSXManager引导后,登录到CLI并运行showinterface命令以确认IP地址已按预期应用.
nsxmgr1>showinterfaceInterfacemgmtisup,lineprotocolisupindex3metric1mtu1500NSX安装指南VMware,Inc.
32HWaddr:00:50:56:8e:c7:fainet192.
168.
110.
42/24broadcast192.
168.
110.
255inet6fe80::250:56ff:fe8e:c7fa/64Full-duplex,0Mb/sinputpackets1370858,bytes389455808,dropped50,multicastpackets0inputerrors0,length0,overrun0,CRC0,frame0,fifo0,missed0outputpackets1309779,bytes2205704550,dropped0outputerrors0,aborted0,carrier0,fifo0,heartbeat0,window0collisions0确保NSXManager可以对其默认网关、其NTP服务器、vCenterServer和它将管理的所有管理程序主机上的管理接口的IP地址执行ping操作.
打开Web浏览器并导航到NSXManagerIP地址或主机名,以连接到NSXManager设备GUI.
在使用安装期间设置的密码以admin身份登录后,请从"主页"中单击查看摘要(ViewSummary)并确保以下服务正在运行:nvPostgresnRabbitMQnNSX管理服务后续步骤在NSXManager中注册vCenterServer.
NSX安装指南VMware,Inc.
33在NSXManager中注册vCenterServer4NSXManager和vCenterServer具有一一对应关系.
每个NSXManager实例具有一个vCenterServer,即使是在跨vCenterNSX环境中也是如此.
只能在vCenterServer系统中注册一个NSXManager.
不支持更改已配置的NSXManager的vCenter注册.
如果要更改现有NSXManager的vCenter注册,您必须先移除所有NSXDataCenterforvSphere配置,然后从vCenterServer系统中移除NSXManager插件.
有关说明,请参见安全移除NSX安装.
或者,您可以部署新的NSXManager设备以在新的vCenterServer系统中进行注册.
如果需要,您可以更改用于在NSXManager中注册的vCenterServer用户帐户.
用于注册的vCenterServer用户帐户必须是vCenterSingleSign-On管理员组的成员.
前提条件nNSX管理服务必须正在运行.
在NSXManagerWeb界面(https://)中,单击主页(Home)>查看摘要(ViewSummary)以查看服务状态.
n您必须使用作为vCenterSingleSign-On管理员组成员的vCenterServer用户帐户将NSXManager与vCenterServer系统进行同步.
如果帐户密码包含非ASCII字符,您必须先更改该密码,然后再将NSXManager与vCenterServer系统进行同步.
不要使用root帐户.
请参见《PlatformServicesController管理》文档中的"管理vCenterSingleSign-On用户和组",了解有关如何添加用户的信息.
n确认正向和反向名称解析工作正常并且以下系统可解析彼此的DNS名称:nNSXManager设备nvCenterServer系统nPlatformServicesController系统nESXi主机步骤1登录到NSXManager虚拟设备.
在Web浏览器中,导航到NSXManager设备GUI(网址为https://或https://),然后以管理员身份或使用具有企业管理员角色的帐户登录.
VMware,Inc.
342从主页中,单击管理vCenter注册(ManagevCenterRegistration).
3编辑vCenterServer元素以指向vCenterServer系统的IP地址或主机名,并输入vCenterServer系统的用户名和密码.
4检查证书指纹是否与vCenterServer系统的证书匹配.
如果在vCenterServer系统上安装了CA签名证书,您将获得该CA签名证书的指纹.
否则,您将获得自签名证书.
5不要选中修改插件脚本下载位置(Modifypluginscriptdownloadlocation),除非NSXManager位于屏蔽设备类型的防火墙后面.
此选项可允许您输入NSXManager的备用IP地址.
不建议将NSXManager置于此类型防火墙的保护之下.
6确认vCenterServer系统状态为已连接(Connected).
7如果vSphereWebClient已打开,请注销并使用用于在vCenterServer中注册NSXManager的帐户重新登录.
如果未注销并重新登录,则vSphereWebClient不会在主页(Home)选项卡上显示网络和安全(Networking&Security)图标.
单击网络和安全(Networking&Security)图标,并确认您可以看到新部署的NSXManager.
后续步骤安装NSXManager之后立即计划备份NSXManager数据.
请参阅《NSX管理指南》中的"NSX备份和还原".
如果您拥有NSXDataCenterforvSphere合作伙伴解决方案,请参考合作伙伴文档以了解在NSXManager中注册合作伙伴控制台的相关信息.
现在即可安装和配置NSXDataCenterforvSphere组件.
NSX安装指南VMware,Inc.
35配置单点登录5SSO可提高vSphere和NSXDataCenterforvSphere的安全性,它允许各个组件通过安全的令牌交换机制彼此进行通信,而不要求每个组件单独对用户进行身份验证.
可以在NSXManager上配置LookupService,并提供SSO管理员凭据以便以SSO用户的身份注册NSXManagementService.
将单点登录(SSO)服务与NSXDataCenterforvSphere集成在一起,不仅可提高vCenter用户进行用户身份验证的安全性,而且能够使NSXDataCenterforvSphere通过其他身份服务(如AD、NIS和LDAP等)对用户进行身份验证.
借助SSO,NSXDataCenterforvSphere可支持通过RESTAPI调用使用受信任源的已验证安全断言标记语言(SecurityAssertionMarkupLanguage,SAML)令牌来进行身份验证.
NSXManager还可以获取身份验证SAML令牌供其他VMware解决方案使用.
NSXDataCenterforvSphere会缓存SSO用户的组信息.
对组成员资格的更改最多需要60分钟才能从身份提供程序(例如ActiveDirectory)传播到NSXDataCenterforvSphere.
前提条件n要在NSXManager上使用SSO,必须拥有vCenterServer6.
0或更高版本,并且在vCenterServer上安装了单点登录(SSO)身份验证服务.
请注意,这是针对嵌入式SSO.
您的部署可能使用外部集中式SSO服务器.
有关vSphere提供的SSO服务的信息,请参见《PlatformServicesController管理》文档.
重要事项必须将NSXManager设备配置为使用相关联的vCenterServer系统上所用的同一SSO配置.
n必须指定NTP服务器,以便SSO服务器时间和NSXManager时间保持同步.
例如:VMware,Inc.
36步骤1登录到NSXManager虚拟设备.
在Web浏览器中,导航到NSXManager设备GUI(网址为https://或https://),然后以管理员身份或使用具有企业管理员角色的帐户登录.
2登录到NSXManager虚拟设备.
3从主页中,单击管理设备设置(ManageApplianceSettings)>NSX管理服务(NSXManagementService).
4在LookupServiceURL部分单击编辑(Edit).
5输入装有LookupService的主机的名称或IP地址.
6输入端口号.
如果您使用的是vSphere6.
0或更高版本,请输入端口443.
系统将根据指定的主机和端口显示LookupServiceURL.
7输入SSO管理员用户名和密码,然后单击确定(OK).
将显示SSO服务器的证书指纹.
8检查证书指纹是否与SSO服务器的证书匹配.
如果在CA服务器上安装了CA签名证书,您将获得该CA签名证书的指纹.
否则,您将获得自签名证书.
9确认LookupService状态为已连接(Connected).
后续步骤请参见NSX管理指南中的"将角色分配给vCenter用户".
NSX安装指南VMware,Inc.
37为NSXManager配置syslog服务器6如果指定了syslog服务器,则NSXManager将所有审核日志和系统事件发送到syslog服务器.
NSXManager支持五个syslog服务器.
syslog数据有助于进行故障排除以及查看安装和配置期间记录的数据.
步骤1登录到NSXManager虚拟设备.
在Web浏览器中,导航到NSXManager设备GUI(网址为https://或https://),然后以管理员身份或使用具有企业管理员角色的帐户登录.
2从主页中,单击管理设备设置(ManageApplianceSettings)>常规(General).
3单击Syslog服务器(SyslogServer)旁边的编辑(Edit).
4指定syslog服务器的IP地址或主机名、端口和协议.
例如:5单击确定(OK).
结果此时会启用NSXManager远程日志记录,并将在您的syslog服务器中存储日志.
如果您配置了多个syslog服务器,日志会存储在所有配置的syslog服务器中.
后续步骤有关API的详细信息,请参阅NSXAPI指南.
VMware,Inc.
38添加并分配许可证7您可以使用vSphereWebClient添加并分配许可证.
从NSX6.
4.
0开始,您必须是LicenseService.
Administrators组的成员才能管理许可证.
安装后的默认许可证是NSXforvShieldEndpoint.
该许可证允许使用NSX部署和管理vShieldEndpoint以仅提供防病毒卸载功能,并具有硬实施功能以限制使用VXLAN、防火墙和Edge服务(通过阻止主机准备和NSXEdge创建).
要使用其他功能(包括逻辑交换机、逻辑路由器、分布式防火墙或NSXEdge),您必须购买许可证才能使用这些功能,或者申请评估许可证以短期评估这些功能.
nNSXforvSphereStandard版、Advanced版和Enterprise版许可证密钥在NSX6.
2.
2及更高版本中有效.
nNSXDataCenterStandard版、Professional版、Advanced版、EnterprisePlus版和RemoteOfficeBranchOffice版许可证密钥在NSX6.
4.
1及更高版本中有效.
有关NSXDataCenter、NSX和NSXforvShieldEndpoint许可版本及相关功能的详细信息,请参见https://kb.
vmware.
com/kb/2145269.
有关VMware产品许可的详细信息,请参见http://www.
vmware.
com/files/pdf/vmware-product-guide.
pdf.
有关在vSphere中管理许可证的详细信息,请参见适用于您的vSphere版本的《vCenterServer和主机管理》文档.
前提条件确认所有管理许可证的vCenter用户均位于LicenseService.
Administrators组中.
如果具有多个使用相同PlatformServicesController的vCenterServer系统,并在这些vCenterServer中注册多个NSXManager,您必须将NSXManager设备的许可证合并为一个许可证.
有关详细信息,请参见https://kb.
vmware.
com/s/article/53750.
有关合并许可证的信息,请参见https://kb.
vmware.
com/s/article/2006973.
步骤1登录到vSphereWebClient.
2单击系统管理(Administration),然后单击许可证(Licenses).
3单击资产(Assets)选项卡,然后单击解决方案(Solutions)选项卡.
VMware,Inc.
394在"解决方案"列表中,选择NSXforvSphere.
从所有操作(AllActions)下拉菜单中,选择分配许可证.
.
.
(Assignlicense.
.
.
).
5单击添加(Add)()图标.
输入许可证密钥,然后单击下一步(Next).
添加许可证名称,然后单击下一步(Next).
单击完成(Finish)以添加许可证.
6选择新许可证.
7(可选)单击View功能(ViewFeatures)图标以查看使用该许可证启用的功能.
8单击确定(OK)以将新许可证分配给NSX.
NSX安装指南VMware,Inc.
40部署NSXController群集8NSXController是一个高级分布式状态管理系统,它提供了控制层面功能以实现NSX逻辑交换和路由功能.
它充当网络内所有逻辑交换机的中央控制点,并维护所有主机、逻辑交换机(VXLAN)和分布式逻辑路由器的相关信息.
如果您计划部署1)分布式逻辑路由器或2)单播或混合模式下的VXLAN,则需要控制器.
无论NSXDataCenterforvSphere部署规模如何,都请在每个NSXController群集中创建三个NSXController节点.
其他的控制器节点数量不受支持.
群集要求每个控制器的磁盘存储系统的峰值写入延迟少于300ms,平均写入延迟少于100ms.
如果存储系统不满足这些要求,则群集可能变得不稳定,并且导致系统停机.
小心当控制器状态为正在部署(Deploying)时,请勿在您的环境中添加或修改逻辑交换机或分布式路由.
另外,不要继续进行主机准备过程.
在向控制器群集添加新的控制器后,所有控制器都将在短时间(不超过5分钟)内处于非活动状态.
在此停机期间,任何与控制器相关的操作(例如,主机准备)都可能导致出现意外结果.
即使主机准备可能看上去成功完成,但SSL证书可能无法正确建立,因此会导致VXLAN网络中出现问题.
从NSXDataCenterforvSphere6.
4.
2开始,您可以为NSXController群集配置DNS、NTP和syslog服务器.
相同的设置将应用于群集中的所有NSXController节点.
您可以在NSXController节点部署之前或者部署之后的任何时间配置这些设置.
有关详细信息,请参见NSX管理指南中的"为NSXController群集配置DNS、NTP和Syslog".
重要事项如果在配置无效(例如,无法访问NTP服务器)的情况下部署控制器,则控制器节点部署将失败.
确认并更正该配置,然后再次部署控制器节点.
NSXController群集DNS设置将覆盖控制器IP池上配置的任何DNS设置.
前提条件n确认NSXManager设备已经部署,并且已在vCenterServer系统中注册.
n确定控制器群集的IP池设置,包括网关和IP地址范围.
DNS设置是可选设置.
NSXControllerIP网络必须连接到NSXManager和ESXi主机上的管理接口.
步骤1登录到vSphereWebClient.
VMware,Inc.
412导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>管理(Management)>NSXController节点(NSXControllerNodes).
3在NSXDataCenterforvSphere6.
4.
2及更高版本中,从NSXManager下拉菜单中选择相应的NSXManager.
注在NSXDataCenterforvSphere6.
4.
1及更低版本中,单击添加(Add)后选择NSXManager.
4单击添加(Add).
5输入适用于您环境的NSXController设置.
例如,添加具有以下设置的控制器:字段示例值NSXManager192.
168.
110.
42名称controller-1数据中心数据中心站点A群集/资源池管理和Edge群集数据存储ds-site-a-nfs01主机esxmgt-01a.
corp.
local文件夹NSXControllers已连接到vds-mgt_ManagementIP池controller-pool将NSXController节点连接到不基于VXLAN并通过IPv4连接到NSXManager、其他控制器和主机的vSphere标准交换机或vSphereDistributedSwitch端口组.
6如果尚未为控制器群集配置IP池,请单击创建新IP池(CreateNewIPPool)或新增IP池(NewIPPool)以立即配置一个IP池.
如果需要,单个控制器可以位于单独的IP子网中.
例如,添加具有以下设置的IP池:字段示例值名称controller-pool网关192.
168.
110.
1前缀长度24静态IP池192.
168.
110.
31-192.
168.
110.
357输入控制器的密码,然后再次输入.
注密码中不得包含用户名作为子字符串.
任何字符不得连续重复三次或以上.
NSX安装指南VMware,Inc.
42该密码必须至少为12个字符,并且必须遵循以下四个规则中的三个:n至少一个大写字母n至少一个小写字母n至少一个数字n至少一个特殊字符8在完全部署第一个控制器后,再额外部署两个控制器.
必须具有三个控制器.
配置DRS反关联性规则以防止控制器位于相同的主机上.
结果在成功部署后,控制器将处于已连接(Connected)状态并显示绿色对勾.
如果部署失败,请参见NSX故障排除指南中的"NSXController部署问题".
在NSXController节点部署期间,将在部署控制器节点的主机上启用自动虚拟机启动/关机.
如果控制器节点虚拟机后来被迁移到其他主机,则新的主机可能不会启用自动虚拟机启动/关机.
因此,请检查群集中的所有主机,确保启用了自动虚拟机启动/关机.
请参见《vSphere虚拟机管理》文档中的"编辑虚拟机启动和关闭设置".
示例NSX安装指南VMware,Inc.
43从防火墙保护中排除虚拟机9可以从分布式防火墙保护中排除一组虚拟机.
NSXManager、NSXController和NSXEdge虚拟机将自动从分布式防火墙保护中排除.
此外,将以下服务虚拟机放在"排除列表"中可允许流量自由流动.
nvCenterServer.
可以将其移至受Firewall保护的群集中,但其必须已存在于排除列表中,以避免出现连接问题.
注在将允许任何流量的默认规则从允许更改为阻止之前,请务必将vCenterServer添加到排除列表中.
如果不执行该操作,在创建"拒绝全部"规则(或将默认规则修改为阻止操作)后,将会导致vCenterServer访问被阻止.
如果发生这种情况,请使用API将默认规则从拒绝更改为允许.
例如,使用GET/api/4.
0/firewall/globalroot-0/config检索当前配置,然后使用PUT/api/4.
0/firewall/globalroot-0/config更改相关配置.
有关详细信息,请参见NSXAPI指南中的"使用分布式防火墙配置".
n合作伙伴服务虚拟机.
n要求杂乱模式的虚拟机.
如果这些虚拟机受分布式防火墙保护,其性能可能会受到不利影响.
n基于Windows的vCenter所使用的SQLServer.
nvCenterWebServer(如果正在单独运行).
步骤1导航到"排除列表"设置.
u在NSX6.
4.
1和更高版本中,导航到网络和安全(Networking&Security)>安全性(Security)>防火墙设置(FirewallSettings)>排除列表(ExclusionList).
u在NSX6.
4.
0中,导航到网络和安全(Networking&Security)>安全性(Security)>防火墙(Firewall)>排除列表(ExclusionList).
2单击添加(Add).
3将要排除的虚拟机移到选定的对象中.
4单击确定(OK).
VMware,Inc.
44结果如果虚拟机具有多个虚拟网卡,则它们都将从保护中排除.
如果在把虚拟机添加到"排除列表"之后向虚拟机添加虚拟网卡,则会在新添加的虚拟网卡上自动部署防火墙.
要从防火墙保护中排除新的虚拟网卡,必须从"排除列表"中移除该虚拟机,然后将虚拟机重新添加到"排除列表"中.
替代解决办法是重启虚拟机(关闭电源后再打开电源),但第一种方案导致的中断比较少.
NSX安装指南VMware,Inc.
45为NSX准备主机群集10主机准备是NSXManager执行的一个流程,即1)在vCenter群集成员的ESXi主机上安装内核模块,以及2)构建控制层面和管理层面结构.
封装在VIB文件中的NSXDataCenterforvSphere内核模块在管理程序内核中运行,并提供分布式路由、分布式防火墙等服务以及VXLAN桥接功能.
要准备您的环境以进行网络虚拟化,必须根据需要在每个vCenterServer的每个群集级别安装网络基础架构组件.
这是在群集中的所有主机上部署所需软件.
将新主机添加到此群集时,所需软件将自动安装在新添加的主机上.
如果在无状态模式下使用ESXi(意味着ESXi在重新引导期间不会主动保留其状态),您必须手动下载NSXDataCenterforvSphereVIB并让它们成为主机映像的一部分.
NSXDataCenterforvSphereVIB的下载路径详见以下页面:https:///bin/vdn/nwfabric.
properties.
对于每个版本的NSXDataCenterforvSphere,下载路径可以会有变化.
请务必查看https:///bin/vdn/nwfabric.
properties页面以获取相应的VIB.
有关详细信息,请参见位于https://kb.
vmware.
com/s/article/2092871的VMware知识库文章《通过自动部署来部署VMwareNSXforvSphere6.
x》(DeployingVMwareNSXforvSphere6.
xthroughAutoDeploy).
前提条件n在NSXManager中注册vCenterServer并部署NSXController群集.
n确认在使用NSXManager的IP地址进行查询时,反向DNS查找返回完全限定域名.
n确认主机可以解析vCenterServer的DNS名称.
n确认主机可以通过端口80连接到vCenterServer.
n确认vCenterServer和ESXi主机上的网络时间已同步.
n对于将加入NSX的每个主机群集,确认该群集中的所有主机连接到一个通用vSphereDistributedSwitch(VDS).
例如,假定您具有一个包含Host1和Host2的群集.
Host1连接到VDS1和VDS2.
Host2连接到VDS1和VDS3.
为NSX准备群集时,您只能将NSX与群集中的VDS1相关联.
如果向该群集添加另一个主机(Host3)且Host3未连接到VDS1,则配置无效,而且Host3将无法用于NSX功能.
n如果您的环境中具有vSphereUpdateManager(VUM),您必须在准备进行网络虚拟化的群集之前将其禁用.
有关验证是否启用了VUM以及在必要时如何禁用VUM的信息,请参见http://kb.
vmware.
com/kb/2053782.
VMware,Inc.
46n如果您的网络包含vSphere7.
0或更高版本,请确认vCenter群集未使用vSphereLifecycleManager(vLCM)映像来管理ESXi主机生命周期操作.
在使用vLCM映像的vCenter群集上不允许准备主机.
要验证是否在群集中使用vLCM映像来管理主机,请登录到vSphereClient并转到主机和群集.
在导航窗格中,单击群集,然后导航到更新>映像.
如果群集中未使用vLCM映像,您一定会看到设置映像按钮.
如果群集中使用了vLCM映像,则可以查看映像详细信息,如ESXi版本、供应商加载项、映像合规性详细信息等.
如果vCenter群集中未添加任何主机,并且已安装NSX,则仍可以将空群集配置为使用vLCM映像.
但是,随后在将主机添加到此群集,并为NSX准备主机时,主机准备将失败.
此行为是一个已知问题.
因此,您必须避免在安装了NSX的空vCenter群集上使用vLCM映像.
n从版本6.
4.
2开始,在具有使用ixgbe驱动程序的物理网卡的主机上安装NSXDataCenterforvSphere时,默认情况下ixgbe驱动程序上不启用接收方调整(ReceiveSideScaling,RSS)功能.
您必须先手动启用主机上的RSS功能,然后才能安装NSXDataCenter.
请确保只在具有使用ixgbe驱动程序的物理网卡的主机上启用RSS.
有关启用RSS的详细步骤,请参见VMware知识库文章:https://kb.
vmware.
com/s/article/2034676.
此知识库文章介绍了提高VXLAN数据包吞吐量的建议RSS设置.
n在开始执行主机准备过程之前,请务必确保在群集的操作(Actions)列表中未显示解决(Resolve)选项(或灰显).
n解决(Resolve)选项有时会在群集中的一个或多个主机必须重新引导时显示.
但解决(Resolve)选项多数会在存在必须要解决的错误状态时显示.
单击未就绪(NotReady)进行链接以查看错误.
如果可以,请清除错误状态.
如果无法清除群集上的错误状态,可以采用一种解决办法,即将主机移至新群集或其他群集并删除旧群集.
如果解决(Resolve)选项无法修复该问题,请参阅NSX故障排除指南.
要查看解决(Resolve)选项解决的问题列表,请参阅NSX日志记录和系统事件.
步骤1登录到vSphereWebClient.
2导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>主机准备(HostPreparation).
3对于需要使用NSXDataCenterforvSphere交换、路由和防火墙的所有群集,选择群集,然后单击操作(Actions)>安装(Install).
计算群集(也被称为"有效负载群集")是使用应用程序虚拟机(Web、数据库等)的群集.
如果一个计算群集具有NSXDataCenterforvSphere交换、路由或防火墙功能,必须在该计算群集上安装NSXDataCenterforvSphere.
在共享的"管理和Edge"群集中,NSXManager和NSXController虚拟机共享一个具有Edge设备的群集,如分布式逻辑路由器(DLR)和Edge服务网关(ESG).
在这种情况下,您必须在共享群集上安装NSX.
NSX安装指南VMware,Inc.
47相反,如果管理和Edge分别具有一个专用的非共享群集(建议在生产环境中使用),请在Edge群集上安装NSX,但在管理群集上不安装NSX.
注正在进行安装时,不要部署、升级或卸载任何服务或组件.
4监控安装,直到NSX安装(NSXInstallation)或安装状态(InstallationStatus)列显示绿色对勾.
如果该列显示未就绪(NotReady),请单击操作(Actions)>解决(Resolve).
单击解决(Resolve)可能导致主机重新引导.
如果安装仍失败,请单击未就绪(NotReady).
此时会显示所有错误.
执行所需操作,然后重新单击解决办法(Resolve).
在安装完成后,NSX安装(NSXInstallation)或安装状态(InstallationStatus)列显示安装的NSX版本和内部版本,并且防火墙(Firewall)列显示已启用(Enabled).
这两列均有一个绿色对勾.
如果在NSX安装(NSXInstallation)或安装状态(InstallationStatus)列中看到"解决",请单击"解决",然后刷新浏览器窗口.
小心在包含vSphere7.
0或更高版本的网络中,为NSX准备主机群集后,将无法在vCenter群集上使用vLCM映像.
如果尝试在vCenter群集上使用vLCM映像,则vSphereClient中会显示警告消息,告知您主机上存在独立的VIB.
结果将在准备的群集内的所有主机中安装并注册VIB.
要进行验证,请通过SSH连接到每个主机,然后运行esxclisoftwareviblist命令并检查相关的VIB.
除了显示VIB之外,此命令还可显示已安装VIB的版本.
[root@host:~]esxclisoftwareviblist|grepnsxesx-nsxv6.
0.
0-0.
0.
XXXXXXXVMwareVMwareCertified2018-01-16如果将主机添加到准备好的群集,NSXDataCenterforvSphereVIB会自动安装在该主机上.
如果将主机移至未准备好的群集,将从该主机中自动卸载NSXDataCenterforvSphereVIB.
NSX安装指南VMware,Inc.
48向准备好的群集添加主机11本部分介绍如何向为网络虚拟化准备的群集添加主机.
步骤1将主机作为独立主机添加到vCenterServer.
请参阅《ESXi和vCenterServer文档》.
2将主机添加到vSphereDistributedSwitch,后者需已映射至该主机要加入的群集.
该群集中的所有主机都必须位于NSXDataCenterforvSphere正利用的vSphereDistributedSwitch中.
3右键单击目标主机,然后选择维护模式(MaintenanceMode)>进入维护模式(EnterMaintenanceMode).
4将目标主机拖放到为NSX准备的已启用的现有群集中.
由于这是已准备好的群集,新添加的主机将会自动安装需要的软件.
5右键单击主机,然后选择维护模式(MaintenanceMode)>退出维护模式(ExitMaintenanceMode).
DRS会在该主机上放置虚拟机以确保平衡.
VMware,Inc.
49从准备好的群集中移除主机12本节介绍如何从为网络虚拟化准备的群集中移除主机.
例如,如果您决定不让主机加入NSX,可能需要移除该主机.
重要事项如果主机具有NSX6.
3.
0或更高版本以及ESXi6.
0或更高版本,则不需要重新引导主机即可卸载VIB.
在较低版本的NSX和ESXi中,需要重新引导才能完成VIB卸载.
在NSX6.
4.
0及更高版本中,vxlan.
zip文件包含单个VIB文件VMware_bootbank_esx-nsxv.
vib.
例如,在ESXi6.
5中,VIB文件的名称可能类似于VMware_bootbank_esx-nsxv_6.
5.
0-0.
0.
13168956.
vib.
要从NSX就绪的群集中移除主机,必须确保主机上不存在此VIB文件.
步骤1将主机置于维护模式,并等待DRS撤出主机,或者通过vMotion手动迁移主机中正在运行的虚拟机.
2将主机从已准备就绪的群集移至未准备就绪的群集,或者将其设置为任意群集外部的独立主机,从而移除主机NSXDataCenterforvSphere将从主机中卸载网络虚拟化组件和服务虚拟机.
3确认VIB卸载已完成.
a检查vSphereWebClient中的"近期任务"窗格.
b在主机准备(HostPreparation)选项卡中,查看从中移除了主机的群集的安装状态,确定它是否具有绿色对勾.
如果安装状态为正在安装,则表明卸载仍在进行.
4卸载完成后,从维护模式中移除主机.
结果此时会从主机中移除NSXDataCenterforvSphereVIB.
要进行验证,请运行SSH命令以连接到主机,然后运行esxclisoftwareviblist|grepesx命令.
请确保主机上不存在esx-nsxvVIB.
如果VIB仍位于主机上,您可以查看日志,以确定自动执行的VIB移除操作失效的原因.
您可以通过运行以下命令来手动移除VIB:esxclisoftwarevibremove--vibname=esx-nsxv.
VMware,Inc.
50配置VXLAN传输参数13VXLAN网络可用于主机之间的第2层逻辑交换,可能跨越多个底层第3层域.
您需要在每个群集上配置VXLAN,在该配置中将要加入NSX的每个群集映射到vSphereDistributedSwitch(VDS).
将群集映射到DistributedSwitch时,将为逻辑交换机启用该群集中的每个主机.
此处所选设置将用于创建VMkernel接口.
如果需要进行逻辑路由和交换,主机上安装有NSXDataCenterforvSphereVIB的所有群集还应配置VXLAN传输参数.
如果计划仅部署分布式防火墙,则无需配置VXLAN传输参数.
在配置VXLAN网络时,您必须提供vSphereDistributedSwitch、VLANID、MTU大小、IP寻址机制(DHCP或IP池)和网卡绑定策略.
每个交换机的MTU都必须设置为1550或更高值.
默认情况下,该值设置为1600.
如果vSphereDistributedSwitchMTU大于VXLANMTU,则不会下调vSphereDistributedSwitchMTU.
如果该值设置较低,将会对其进行调整以匹配VXLANMTU.
例如,如果vSphereDistributedSwitchMTU设置为2000,并且您接受默认VXLANMTU值1600,则不会对vSphereDistributedSwitchMTU进行更改.
如果vSphereDistributedSwitchMTU是1500,并且VXLANMTU是1600,vSphereDistributedSwitchMTU将更改为1600.
VTEP具有关联的VLANID.
但是,您可以为VTEP指定VLANID=0,这意味着将不标记帧.
您可能需要在管理群集和计算群集中使用不同的IP地址设置.
这取决于物理网络的设计方式,而在小型部署中,很可能不是这种情况.
前提条件n群集中的所有主机必须连接到一个通用vSphereDistributedSwitch.
n必须安装NSXManager.
n必须安装NSXController群集,除非您为控制层面使用的是多播复制模式.
n计划您的网卡绑定策略.
您的网卡绑定策略确定vSphereDistributedSwitch的负载平衡和故障切换设置.
不要在vSphereDistributedSwitch上的不同端口组中混用不同的绑定策略,有些端口组使用以太网通道、LACPv1或LACPv2,而其他端口组使用不同的绑定策略.
如果这些不同的绑定策略共享上行链路,通信将会中断.
如果存在逻辑路由器,将出现路由问题.
此类配置不受支持,您应避免使用.
VMware,Inc.
51基于IP哈希的绑定(以太网通道、LACPv1或LACPv2)的最佳做法是在组中使用vSphereDistributedSwitch上的所有上行链路,而不是在该vSphereDistributedSwitch上的端口组中使用不同的绑定策略.
有关详细信息和进一步指导,请参见《NSX网络虚拟化设计指南》,网址为https://communities.
vmware.
com/docs/DOC-27683.
n为VXLAN隧道终端(VTEP)计划IP寻址方案.
VTEP是在外部IP标头中使用的源和目标IP地址,可唯一标识发出和终止VXLAN帧封装的ESX主机.
您可以使用DHCP或手动为VTEPIP地址配置的IP池.
如果要将特定的IP地址分配给一个VTEP,您可以1)使用将MAC地址映射到DHCP服务器中的特定IP地址的DHCP固定地址或预留,或者2)使用一个IP池,然后在主机和群集(HostsandClusters)>选择主机(selecthost)>配置(Configure)>网络(Networking)>虚拟交换机(VirtualSwitches)中手动编辑分配给vmknic的VTEPIP地址.
注如果您手动编辑IP地址,请确保IP地址与原始IP池范围不相似.
例如:n对于为相同VDS成员的群集,VTEP的VLANID和网卡绑定必须相同.
n最佳做法是,在为VXLAN准备群集之前导出vSphereDistributedSwitch配置.
请参见http://kb.
vmware.
com/kb/2034602.
步骤1登录到vSphereWebClient.
2导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>主机准备(HostPreparation).
3选择没有配置VXLAN的群集.
n在NSX6.
4.
1和更高版本中,在左侧窗格中单击该群集,然后在右侧窗格中的VXLAN旁边单击未配置(NotConfigured).
n在NSX6.
4.
0中,在VXLAN列中单击未配置(NotConfigured).
NSX安装指南VMware,Inc.
524设置逻辑网络.
这包括选择vSphereDistributedSwitch、VLANID、MTU大小、IP寻址机制和网卡绑定策略.
例如,下表显示了您可以在配置VXLAN网络对话框中为一个管理群集指定的示例配置值,该群集由VLAN150支持并使用故障切换网卡绑定策略.
在该UI中,VTEP的数量不可编辑.
VTEP数量已设置为匹配正在准备的vSphereDistributedSwitch上的dvUplink数量.
字段示例值交换机Mgmt_VDSVLAN150MTU1600VMKNICIP寻址使用IP池VMKNIC绑定策略故障切换VTEP1下表显示了您可以在添加静态IP池对话框中指定的IP池地址设置.
对于计算群集,您可能需要指定不同的IP地址设置(例如,为VLAN250指定192.
168.
250.
0/24).
这取决于物理网络的设计方式,而在小型部署中,很可能不是这种情况.
字段示例值名称mgmt-edge-ip-pool网关192.
168.
150.
1前缀长度24主DNS192.
168.
110.
10DNS后缀corp.
local静态IP池182.
168.
150.
1-192.
168.
150.
100结果配置VXLAN将导致在指定的vSphereDistributedSwitch中创建新的分布式端口组.
例如:有关排除VXLAN故障的详细信息,请参阅NSX故障排除指南.
NSX安装指南VMware,Inc.
53分配分段ID池和多播地址范围14VXLAN分段构建于VXLAN隧道端点(VTEP)之间.
虚拟化管理程序主机是一个典型的VTEP示例.
每个VXLAN隧道都具有一个分段ID.
必须为每个NSXManager指定一个分段ID池来隔离网络流量.
如果您的环境中未部署NSXController,则还必须添加一个多播地址范围以帮助将流量分散到网络中,从而避免单个多播地址过载.
在确定每个分段ID池的大小时,请注意分段ID范围控制可创建的逻辑交换机数.
选择1600万潜在VNI的小型子集.
不要在单个vCenter中配置超过10,000个VNI,因为vCenter将dvPortgroup数限制为10,000个.
如果VXLAN位于其他NSXDataCenterforvSphere部署中,请考虑哪些VNI已在使用并避免重叠VNI.
单个NSXManager和vCenter环境中会自动实施非重叠VNI.
本地VNI范围不会发生重叠.
不过,请务必确保VNI在单独的NSXDataCenterforvSphere部署中不会发生重叠.
非重叠VNI对跟踪很有用,并且有助于确保您的部署已针对跨vCenter环境做好了准备.
如果任何传输区域使用多播或混合复制模式,您必须添加一个多播地址或一定范围的多播地址.
如果具有多个多播地址,则可将流量分散到网络中,防止单个多播地址超载,并能更好地包含BUM复制.
请勿使用239.
0.
0.
0/24或239.
128.
0.
0/24作为多播地址范围,因为这些网络用于本地子网控制,这意味着物理交换机会使所有使用这些地址的流量泛洪.
有关不可用多播地址的详细信息,请参见https://tools.
ietf.
org/html/draft-ietf-mboned-ipv4-mcast-unusable-01.
如果VXLAN多播和混合复制模式配置正确且运行正常,则只会将多播流量的副本传送给已发送IGMP加入消息的主机.
否则,物理网络会把所有多播流量泛洪到同一广播域中的所有主机.
要避免此类泛洪,必须:n确保为底层物理交换机配置的MTU大于或等于1600.
n确保底层物理交换机配置正确,在承载VTEP流量的网络分段中启用了IGMP侦听和IGMP查询器功能.
n确保为传输区域配置了建议的多播地址范围.
建议的多播地址范围从239.
0.
1.
0/24开始,并排除239.
128.
0.
0/24.
您可以从vSphereWebClient中配置单个分段ID范围以及单个多播地址或多播地址范围.
如果要配置多个分段ID范围或多个多播地址值,您可以使用API执行该操作.
请参阅《NSXAPI指南》以了解详细信息.
VMware,Inc.
54步骤1登录到vSphereWebClient.
2导航到"逻辑网络设置".
u在NSX6.
4.
1和更高版本中,导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>逻辑网络设置(LogicalNetworkSettings).
u在NSX6.
4.
0中,导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>逻辑网络准备(LogicalNetworkPreparation).
3导航到分段ID池设置.
n在NSX6.
4.
1和更高版本中,单击VXLAN设置(VXLANSettings),然后单击"分段ID"旁边的编辑(Edit).
n在NSX6.
4.
0中,单击分段ID(SegmentID)>编辑(Edit).
4输入一个分段ID范围,例如,5000-5999.
5(可选)如果任何传输区域使用多播或混合复制模式,您必须添加一个多播地址或一定范围的多播地址.
a选择或启用启用多播寻址(EnableMulticastaddressing)功能.
b输入一个多播地址或多播地址范围.
结果配置逻辑交换机时,每个逻辑交换机都会接收来自该池的分段ID.
NSX安装指南VMware,Inc.
55添加传输区域15传输区域控制逻辑交换机可以延伸到的主机.
它可以跨越一个或多个vSphere群集.
传输区域确定了哪些群集可以参与使用特定网络,进而确定了哪些虚拟机可以参与使用该网络.
根据您的要求,NSXDataCenterforvSphere环境可能包含一个或多个传输区域.
一个主机群集可以属于多个传输区域.
一个逻辑交换机只能属于一个传输区域.
NSXDataCenterforvSphere不允许连接位于不同传输区域的虚拟机.
逻辑交换机的跨度仅限于一个传输区域,因此不同传输区域中的虚拟机不能位于同一第2层网络.
分布式逻辑路由器无法连接到位于不同传输区域的逻辑交换机.
连接第一个逻辑交换机后,只能在同一传输区域中选择其他逻辑交换机.
以下准则旨在帮助您设计传输区域:n如果某个群集需要第3层连接,则该群集必须位于同时包含Edge群集(即,具有分布式逻辑路由器和Edge服务网关等第3层Edge设备的群集)的传输区域中.
n假设您有两个群集,一个用于Web服务,另一个用于应用程序服务.
要在这两个群集中的虚拟机之间建立VXLAN连接,这两个群集必须包含在传输区域中.
n请记住,传输区域中所有逻辑交换机都将对传输区域中群集内的所有虚拟机可用并可见.
如果某个群集包含安全环境,您可能不希望使其可用于其他群集中的虚拟机.
相反,您可以将安全群集放置在更为孤立的传输区域中.
nvSphereDistributedSwitch(VDS或DVS)的跨度应与传输区域跨度相匹配.
在多群集VDS配置中创建传输区域时,确保选定VDS中的所有群集都包含在传输区域中.
这可确保DLR在提供了VDSdvPortgroup的所有群集上都可用.
下图显示了一个与VDS边界正确对齐的传输区域.
VMware,Inc.
56[群集:CompA]VTEP:192.
168.
250.
51esxcomp-01aVTEP:192.
168.
250.
52esxcomp-02aVTEP:192.
168.
250.
53esxcomp-01bVTEP:192.
168.
250.
54esxcomp-02bVTEP:192.
168150.
52esx-01aVTEP:192.
168.
150.
51esx-02a500150025003[DVS:Compute_DVS][群集:CompB][传输区域:Global-Transport-Zone][群集:Mgmt/Edge][DVS:Mgmt_Edge_DVS]web1app1web2LBdb1如果您不遵循此最佳做法,请记住,如果VDS跨越多个主机群集,且传输区域只包含其中一个(或部分)群集,则该传输区域中包含的任何逻辑交换机都可以访问VDS跨越的所有群集中的虚拟机.
换句话说,传输区域将无法将逻辑交换机跨度限制为部分群集.
如果稍后将此逻辑交换机连接到DLR,则必须确保仅在传输区域中包含的群集上创建路由器实例,以避免出现任何第3层问题.
例如,当传输区域与VDS边界不对应时,逻辑交换机(5001、5002和5003)的范围和这些逻辑交换机连接到的DLR实例将被拆散,从而导致群集CompA中的虚拟机无法访问DLR逻辑接口(LIF).
NSX安装指南VMware,Inc.
57缺少DLR!
缺少DLR!
[群集:CompA][TZ/DVS未对齐]VTEP:192.
168.
250.
51esxcomp-01aVTEP:192.
168.
250.
52esxcomp-02aVTEP:192.
168.
250.
53esxcomp-01bVTEP:192.
168.
250.
54esxcomp-02bVTEP:192.
168150.
52esx-01aVTEP:192.
168.
150.
51esx-02a500150025003[DVS:Compute_DVS][群集:CompB][传输区域:Global-Transport-Zone][群集:Mgmt/Edge][DVS:Mgmt_Edge_DVS]web1app1web2LBdb1有关复制模式的详细信息,请参见了解复制模式.
步骤1登录到vSphereWebClient.
2导航到"逻辑网络设置".
u在NSX6.
4.
1和更高版本中,导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>逻辑网络设置(LogicalNetworkSettings).
u在NSX6.
4.
0中,导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>逻辑网络准备(LogicalNetworkPreparation).
3单击传输区域(TransportZones),然后单击添加(Add).
4在"新建传输区域"对话框中,键入传输区域的名称和可选描述.
5根据您的环境中是否有控制器节点或是否要使用多播地址,选择控制层面模式.
n多播(Multicast):物理网络中的多播IP地址用于控制层面.
仅在您从较旧的VXLAN部署升级时才推荐使用该模式.
在物理网络中需要PIM/IGMP.
n单播(Unicast):控制层面由NSXController处理.
所有单播流量都利用优化的头端复制.
不需要任何多播IP地址或特殊的网络配置.
n混合(Hybrid):将本地流量复制卸载到物理网络(L2多播).
这在第一个跃点交换机上需要IGMP侦听,并且需要在每个VTEP子网中访问IGMP查询器,但是不需要PIM.
第一个跃点交换机将处理该子网的流量复制.
NSX安装指南VMware,Inc.
586选择要添加到传输区域的群集.
后续步骤您已经拥有传输区域,现在可以添加逻辑交换机了.
NSX安装指南VMware,Inc.
59添加逻辑交换机16NSXDataCenterforvSphere逻辑交换机可在完全脱离底层硬件的虚拟环境中再现交换功能(单播、多播和广播).
逻辑交换机在提供可连接虚拟机的网络连接方式上类似于VLAN.
如果将这些虚拟机连接到同一逻辑交换机,它们就可以通过VXLAN相互通信.
每个逻辑交换机都有一个类似VLANID的分段ID.
但与VLANID不同的是,分段ID的数量可能多达1600万个.
添加逻辑交换机时,务必记住您正在构建的特定拓扑.
例如,以下简单拓扑显示了两个连接到一个分布式逻辑路由器(DLR)的逻辑交换机.
在此图中,每个逻辑交换机都连接到一个虚拟机.
两个虚拟机可以位于不同主机群集或同一主机群集中的不同主机或同一主机上.
如果DLR未将这些虚拟机分离开来,则虚拟机上配置的底层IP地址可能位于同一子网中.
如果DLR将这些虚拟机分离开来,则虚拟机上的IP地址必须位于不同子网中(如示例中所示).
172.
16.
20.
10172.
16.
10.
10172.
16.
20.
1172.
16.
10.
1逻辑路由器App逻辑交换机Web逻辑交换机App虚拟机Web虚拟机在创建逻辑交换机时,除了选择传输区域和复制模式以外,您还会配置两个选项:IP发现和MAC学习.
IP发现最大限度减少各个VXLAN分段中(即,连接到同一逻辑交换机的虚拟机之间)的ARP流量泛洪.
默认情况下,将启用IP发现.
MAC学习在每个vNIC上构建一个VLAN/MAC对学习表.
此表会作为dvfilter数据的一部分进行保存.
在进行vMotion的过程中,dvfilter会在新位置保存并存储该表.
然后,交换机会针对表中的所有VLAN/MAC条目发出RARP.
如果正在使用中继VLAN的虚拟网卡,您可能希望启用MAC学习.
VMware,Inc.
60前提条件n必须配置vSphereDistributedSwitch.
n必须安装NSXManager.
n必须部署控制器.
n必须为NSX准备主机群集.
n必须配置VXLAN.
n必须配置分段ID池.
n必须创建传输区域.
步骤1登录到vSphereWebClient.
2导航到主页(Home)>网络和安全(Networking&Security)>逻辑交换机(LogicalSwitches).
3单击添加(Add)或新建逻辑交换机(NewLogicalSwitch)()图标.
4键入逻辑交换机的名称和可选描述.
5选择要在其中创建逻辑交换机的传输区域.
默认情况下,逻辑交换机从传输区域继承控制层面复制模式.
6(可选)覆盖传输区域确定的复制模式.
您可以将其更改为其他可用模式之一.
可用模式包括单播、混合和多播.
如果您创建的逻辑交换机在它必须传输的BUM流量方面具有明显不同的特性,您可能希望覆盖单个逻辑交换机继承的传输区域控制层面复制模式.
在这种情况下,您可以创建一个使用单播模式的传输区域,并对此单个逻辑交换机使用混合或多播模式.
7(可选)启用IP发现以启用ARP抑制功能.
8(可选)启用MAC学习.
9将一个虚拟机连接到逻辑交换机,方法是:选择该交换机并单击添加虚拟机(AddVirtualMachine)(或)图标.
10选择一个或多个虚拟机,然后将其从"可用对象"移到"选定的对象"中.
11单击下一步(Next),然后为每个虚拟机选择一个vNIC.
单击完成(Finish).
结果您创建的每个逻辑交换机都将从分段ID池收到一个ID,且将创建一个虚拟线路.
虚拟线路是在每个vSphereDistributedSwitch上创建的dvPortgroup.
虚拟线路描述符包含逻辑交换机的名称和分段ID.
分配的分段ID将显示在以下位置中:在主页(Home)>网络和安全(Networking&Security)>逻辑交换机(LogicalSwitches)中.
在主页>网络(Home>Networking)中:NSX安装指南VMware,Inc.
61请注意,在两个vSphereDistributedSwitch(Compute_VDS和Mgmt_VDS)上都会创建虚拟线路.
这是因为这两个vSphereDistributedSwitch都是与Web和应用程序逻辑交换机关联的传输区域的成员.
在主页>主机和群集>虚拟机>摘要(Home>HostsandClusters>VM>Summary)中:NSX安装指南VMware,Inc.
62在运行连接到逻辑交换机的虚拟机的主机上,进行登录并执行以下命令,以查看逻辑VXLAN配置和状态信息.
n显示主机特定的VXLAN详细信息.
~#esxclinetworkvswitchdvsvmwarevxlanlistVDSIDVDSNameMTUSegmentIDGatewayIPGatewayMACNetworkCountVmknicCount88eb0e5096af1df1-36fec1efa1515149Compute_VDS1600192.
168.
250.
0192.
168.
250.
1ff:ff:ff:ff:ff:ff01注如果esxclinetworkvswitchdvsvmwarevxlan命令生成"未知命令或命名空间(Unknowncommandornamespace)"错误消息,请在主机上运行/etc/init.
d/hostdrestart命令,然后重试.
"VDS名称"显示主机连接到的vSphereDistributedSwitch.
"分段ID"是VXLAN使用的IP网络.
"网关IP"是VXLAN使用的网关IP地址.
网关MAC地址保持为ff:ff:ff:ff:ff:ff.
"网络计数"保持为0,除非DLR连接到逻辑交换机.
Vmknic计数应与连接到逻辑交换机的虚拟机数相匹配.
n测试IPVTEP接口连接,并确认MTU已增加,可支持VXLAN封装.
对vmknic接口IP地址执行ping操作.
要在vSphereWebClient中查找vmknic接口的IP地址,请执行以下步骤:a单击一个主机.
b导航到配置(Configure)>网络(Networking)>虚拟交换机(VirtualSwitches).
c选择相应的vSphereDistributedSwitch.
d在分布式交换机的示意图中,查看VXLAN和VMkernel端口设置.
-d标记用于设置IPv4数据包上的不分段(DF)位.
-s标记用于设置数据包大小.
root@esxcomp-02a~#vmkping++netstack=vxlan-d-s1570192.
168.
250.
100PING192.
168.
250.
100(192.
168.
250.
100):1570databytes1578bytesfrom192.
168.
250.
100:icmp_seq=0ttl=64time=1.
294ms1578bytesfrom192.
168.
250.
100:icmp_seq=1ttl=64time=0.
686ms1578bytesfrom192.
168.
250.
100:icmp_seq=2ttl=64time=0.
758ms---192.
168.
250.
100pingstatistics---3packetstransmitted,3packetsreceived,0%packetlossround-tripmin/avg/max=0.
686/0.
913/1.
294ms~#root@esxcomp-01a~#vmkping++netstack=vxlan-d-s1570192.
168.
250.
101PING192.
168.
250.
101(192.
168.
250.
101):1570databytesNSX安装指南VMware,Inc.
631578bytesfrom192.
168.
250.
101:icmp_seq=0ttl=64time=0.
065ms1578bytesfrom192.
168.
250.
101:icmp_seq=1ttl=64time=0.
118ms---192.
168.
250.
101pingstatistics---2packetstransmitted,2packetsreceived,0%packetlossround-tripmin/avg/max=0.
065/0.
091/0.
118ms后续步骤创建一个逻辑(分布式)路由器并将其连接到逻辑交换机,以启用连接到不同逻辑交换机的虚拟机之间的连接.
NSX安装指南VMware,Inc.
64添加分布式逻辑路由器17分布式逻辑路由器(DLR)是一个包含控制层面和数据层面的虚拟设备,控制层面用于管理路由,而数据层面则从内部模块分发到各个虚拟机管理程序主机.
DLR控制层面功能依靠NSXController群集将路由更新推送到内核模块.
注从NSXDataCenter6.
4.
4开始,在vSphereWebClient中,术语"逻辑路由器"将替换为"分布式逻辑路由器".
在此文档中,这两个术语可互换使用;但它们指代同一个对象.
在部署新的逻辑路由器时,请考虑以下事项:nNSXDataCenterforvSphere6.
2及更高版本允许将逻辑路由器路由的逻辑接口(LIF)连接到VLAN桥接的VXLAN.
n逻辑路由器接口和桥接接口无法连接到VLANID设置为0的dvPortgroup.
n给定的逻辑路由器实例无法连接到位于不同传输区域的逻辑交换机.
此操作旨在确保所有逻辑交换机和逻辑路由器实例相对应.
n如果逻辑路由器已连接到跨多个vSphereDistributedSwitch(VDS)的逻辑交换机,则该逻辑路由器将无法连接到支持VLAN的端口组.
这是为了确保逻辑路由器实例与主机中的逻辑交换机dvPortgroup正确对齐.
n如果两个网络位于同一vSphereDistributedSwitch中,则不能在两个具有相同VLANID的不同分布式端口组(dvPortgroup)上创建逻辑路由器接口.
n如果两个网络位于不同的vSphereDistributedSwitch中,但这两个vSphereDistributedSwitch共享相同的主机,则不应在两个具有相同VLANID的不同dvPortgroup上创建逻辑路由器接口.
换句话说,如果两个dvPortgroup位于两个不同的vSphereDistributedSwitch中,且这两个vSphereDistributedSwitch不共享主机,则可以在两个具有相同VLANID的不同网络上创建逻辑路由器接口.
n如果配置了VXLAN,则必须将逻辑路由器接口连接到配置了VXLAN的vSphereDistributedSwitch上的分布式端口组.
请不要将逻辑路由器接口连接到其他vSphereDistributedSwitch上的端口组.
以下列表介绍了逻辑路由器上的接口类型(上行链路和内部)支持的功能:n动态路由协议(BGP和OSPF)仅在上行链路接口上受支持.
n防火墙规则仅在上行链路接口上适用,且限制为控制和管理传至Edge虚拟设备的流量.
VMware,Inc.
65n有关DLR管理接口的详细信息,请参见知识库文章《管理接口指南:DLR控制虚拟机-NSX》,网址为http://kb.
vmware.
com/kb/2122060.
注意vSphereFaultTolerance不适用于逻辑路由器控制虚拟机.
前提条件n必须为您分配了企业管理员或NSX管理员角色.
n即使不打算创建逻辑交换机,也必须创建本地分段ID池.
n在创建或更改逻辑路由器配置之前,请确保控制器群集已启动且可用.
如果缺少NSXController,逻辑路由器便无法将路由信息分发给主机.
逻辑路由器依靠NSXController来运行,而Edge服务网关(ESG)不会这样.
n如果逻辑路由器将连接到VLANdvPortgroup,请确保已安装逻辑路由器设备的所有管理程序主机都可以在UDP端口6999上相互访问.
要使基于逻辑路由器VLAN的ARP代理能够正常工作,需要在此端口上通信.
n确定在何处部署逻辑路由器设备.
n目标主机必须属于与连接到新逻辑路由器接口的逻辑交换机相同的传输区域.
n如果在ECMP设置中使用ESG,应避免将逻辑路由器设备放在与它的一个或多个上游ESG相同的主机上.
可以使用DRS反关联性规则强制采用该做法,从而降低主机故障对逻辑路由器转发的影响.
如果您具有一个单独的或处于HA模式下的上游ESG,则此准则不适用.
有关详细信息,请参见《NSX网络虚拟化设计指南》,网址为https://communities.
vmware.
com/docs/DOC-27683.
n确认已为NSXDataCenterforvSphere准备好安装逻辑路由器设备的主机群集.
请参见NSX安装指南中的"为NSX准备主机群集".
步骤1在vSphereWebClient中,导航到主页(Home)>网络和安全(Networking&Security)>NSXEdge(NSXEdges).
2单击添加(Add),然后单击逻辑路由器(LogicalRouter).
3输入逻辑路由器的名称、说明和其他详细信息.
选项说明名称输入要在vCenter清单中显示的逻辑路由器名称.
确保该名称在单个租户的所有逻辑路由器中是唯一的.
主机名可选.
输入要在CLI中为逻辑路由器显示的主机名.
如果未输入主机名,则在CLI中显示自动创建的EdgeID.
说明可选.
输入逻辑路由器说明.
NSX安装指南VMware,Inc.
66选项说明部署Edge设备默认情况下,将选择该选项.
Edge设备(也称为逻辑路由器虚拟设备)是动态路由和逻辑路由器设备的防火墙所必需的,适用于逻辑路由器ping、SSH访问和动态路由流量.
如果您仅需要使用静态路由,并且不希望部署Edge设备,请取消选择该选项.
无法在创建逻辑路由器之后向其添加Edge设备.
高可用性可选.
默认情况下,将禁用HA.
可以选择该选项以在逻辑路由器上启用并配置HA.
如果您打算执行动态路由,则需要使用HA.
HA日志记录可选.
默认情况下,将禁用HA日志记录.
如果启用了日志记录,默认日志级别将设置为"信息".
如有必要,您可以更改该设置.
4指定逻辑路由器的CLI设置和其他设置.
选项说明用户名输入要用于登录到EdgeCLI的用户名.
密码输入至少为12个字符的密码,并且它必须符合以下规则:n不能超过255个字符n至少一个大写字母和一个小写字母n至少一个数字n至少一个特殊字符n不能包含用户名以作为子字符串n不能将一个字符连续重复3次或以上.
确认密码重新输入密码以进行确认.
SSH访问可选.
默认情况下,将禁用SSH访问.
如果未启用SSH,则仍可通过打开虚拟设备控制台来访问逻辑路由器.
启用SSH会导致SSH进程在逻辑路由器上运行.
您必须手动调整逻辑路由器防火墙配置,才能允许对逻辑路由器的协议地址进行SSH访问.
协议地址会在逻辑路由器上配置动态路由时进行配置.
FIPS模式可选.
默认情况下,将禁用FIPS模式.
在启用FIPS模式时,与NSXEdge之间的任何安全通信将使用FIPS允许的加密算法或协议.
Edge控制级别日志记录可选.
默认情况下,日志级别为"信息".
5配置NSXEdge设备部署.
u如果未选择部署Edge设备(DeployEdgeAppliance),您无法添加设备.
单击下一步(Next)继续配置.
u如果您选择了部署Edge设备(DeployEdgeAppliance),请输入逻辑路由器虚拟设备的设置.
例如:选项值群集/资源池管理和Edge数据存储ds-1NSX安装指南VMware,Inc.
67选项值主机esxmgt-01a.
corp.
local资源预留系统管理有关资源预留的详细信息,请参见《NSX管理指南》中的"管理NSXEdge设备资源预留".
6配置HA接口连接以及可选的IP地址.
如果您选择了部署Edge设备(DeployEdgeAppliance),则必须将HA接口连接到分布式端口组或逻辑交换机.
如果您仅将该接口作为HA接口,请使用逻辑交换机.
将从链路本地范围169.
254.
0.
0/16中分配一个/30子网,用于为两个NSXEdge设备分别提供一个IP地址.
(可选)如果要使用该接口连接到NSXEdge,您可以为HA接口指定一个额外的IP地址和前缀.
注在NSXDataCenterforvSphere6.
2之前,HA接口称为管理接口.
对于任何与HA接口不在同一IP子网上的位置,无法通过SSH方式连接HA接口.
无法配置将HA接口排除在外的静态路由,这意味着RPF将丢弃入站流量.
不过,理论上可以禁用RPF,但该操作不利于实现高可用性.
对于SSH访问,您也可以使用逻辑路由器的协议地址,这是以后在配置动态路由时配置的.
在NSXDataCenterforvSphere6.
2及更高版本中,自动从路由重新分发中排除逻辑路由器的HA接口.
例如,下表显示一个示例HA接口配置,其中,HA接口连接到管理dvPortgroup.
选项说明已连接到Mgmt_VDS-MgmtIP地址192.
168.
110.
60*子网前缀长度24NSX安装指南VMware,Inc.
687配置NSXEdge的接口.
a指定名称、类型和其他基本接口详细信息.
选项说明名称输入接口的名称.
类型选择"内部"或"上行链路".
内部接口用于连接到允许虚拟机到虚拟机(有时称为东西向)通信的交换机.
内部接口将在逻辑路由器虚拟设备上作为伪虚拟网卡进行创建.
上行链路接口用于南北向通信,它们是在逻辑路由器虚拟设备上作为vNIC创建的.
逻辑路由器上行链路接口可能会连接到Edge服务网关或第三方路由器虚拟机.
您必须至少有一个上行链路接口才能进行动态路由.
已连接到选择要将该接口连接到的分布式虚拟端口组或逻辑交换机.
b配置接口的子网.
选项说明主IP地址在逻辑路由器上,仅支持IPv4寻址.
您在此处输入的接口配置可在以后进行修改.
可以在部署逻辑路由器后添加、移除和修改接口.
子网前缀长度输入接口的子网掩码.
c(可选)如有必要,请编辑默认MTU值.
上行链路接口和内部接口的默认值均为1500.
下表显示包含两个内部接口(应用程序和Web)和一个上行链路接口(到ESG)的示例.
表17-1.
示例:NSXEdge接口名称IP地址子网前缀长度已连接到应用程序172.
16.
20.
1*24应用程序Web172.
16.
10.
1*24Web到ESG192.
168.
10.
2*29转换8配置默认网关设置.
例如:选项值vNIC上行链路网关IP192.
168.
10.
1MTU15009确保连接到逻辑交换机的虚拟机的默认网关都正确设置为逻辑路由器接口IP地址.
NSX安装指南VMware,Inc.
69结果在以下示例拓扑中,应用程序虚拟机的默认网关为172.
16.
20.
1.
Web虚拟机的默认网关为172.
16.
10.
1.
确保这些虚拟机可以相互ping其默认网关.
172.
16.
20.
10172.
16.
10.
10172.
16.
20.
1172.
16.
10.
1逻辑路由器App逻辑交换机Web逻辑交换机App虚拟机Web虚拟机使用SSH或控制台连接到NSXManager,并运行以下命令:n列出所有逻辑路由器实例信息.
nsxmgr-l-01a>showlogical-routerlistallEdge-idVdrNameVdrid#Lifsedge-1default+edge-10x000013883n列出已从控制器群集收到逻辑路由器的路由信息的主机.
nsxmgr-l-01a>showlogical-routerlistdlredge-1hostIDHostNamehost-25192.
168.
210.
52host-26192.
168.
210.
53host-24192.
168.
110.
53输出包括配置为传输区域的成员的所有主机群集中的所有主机,该传输区域拥有连接到指定逻辑路由器(本示例中为edge-1)的逻辑交换机.
n列出由逻辑路由器传送给主机的路由表信息.
所有主机间的路由表条目应一致.
nsx-mgr-l-01a>showlogical-routerhosthost-25dlredge-1routeVDRdefault+edge-1RouteTableLegend:[U:Up],[G:Gateway],[C:Connected],[I:Interface]Legend:[H:Host],[F:SoftFlush][!
:Reject][E:ECMP]DestinationGenMaskGatewayFlagsRefOriginUpTimeInterface0.
0.
0.
00.
0.
0.
0192.
168.
10.
1UG1AUTO4101138800000002NSX安装指南VMware,Inc.
70172.
16.
10.
0255.
255.
255.
00.
0.
0.
0UCI1MANUAL1019513880000000b172.
16.
20.
0255.
255.
255.
00.
0.
0.
0UCI1MANUAL1019613880000000a192.
168.
10.
0255.
255.
255.
2480.
0.
0.
0UCI1MANUAL10196138800000002192.
168.
100.
0255.
255.
255.
0192.
168.
10.
1UG1AUTO3802138800000002n从其中某个主机的角度,列出有关路由器的其他信息.
此输出有助于了解哪个控制器正在与该主机进行通信.
nsx-mgr-l-01a>showlogical-routerhosthost-25dlredge-1verboseVDRInstanceInformation:VdrName:default+edge-1VdrId:0x00001388NumberofLifs:3NumberofRoutes:5State:EnabledControllerIP:192.
168.
110.
203ControlPlaneIP:192.
168.
210.
52ControlPlaneActive:YesNumuniquenexthops:1GenerationNumber:0EdgeActive:No在showlogical-routerhosthost-25dlredge-1verbose命令的输出中,检查"控制器IP"字段.
通过SSH登录到控制器,并运行以下命令以显示控制器获知的VNI、VTEP、MAC和ARP表状态信息.
n192.
168.
110.
202#showcontrol-clusterlogical-switchesvni5000VNIControllerBUM-ReplicationARP-ProxyConnections5000192.
168.
110.
201EnabledEnabled0VNI5000的输出显示零个连接,并将控制器192.
168.
110.
201列为VNI5000的所有者.
登录到此控制器,以收集VNI5000的更多信息.
192.
168.
110.
201#showcontrol-clusterlogical-switchesvni5000VNIControllerBUM-ReplicationARP-ProxyConnections5000192.
168.
110.
201EnabledEnabled3192.
168.
110.
201上的输出显示三个连接.
检查其他VNI.
192.
168.
110.
201#showcontrol-clusterlogical-switchesvni5001VNIControllerBUM-ReplicationARP-ProxyConnections5001192.
168.
110.
201EnabledEnabled3192.
168.
110.
201#showcontrol-clusterlogical-switchesvni5002VNIControllerBUM-ReplicationARP-ProxyConnections5002192.
168.
110.
201EnabledEnabled3NSX安装指南VMware,Inc.
71由于192.
168.
110.
201拥有全部三个VNI连接,我们预期会在另一个控制器192.
168.
110.
203上看到零个连接.
192.
168.
110.
203#showcontrol-clusterlogical-switchesvni5000VNIControllerBUM-ReplicationARP-ProxyConnections5000192.
168.
110.
201EnabledEnabled0n在检查MAC和ARP表之前,从一个虚拟机ping到另一个虚拟机.
从应用程序虚拟机到Web虚拟机:vmware@app-vm$ping172.
16.
10.
10PING172.
16.
10.
10(172.
16.
10.
10)56(84)bytesofdata.
64bytesfrom172.
16.
10.
10:icmp_req=1ttl=64time=2.
605ms64bytesfrom172.
16.
10.
10:icmp_req=2ttl=64time=1.
490ms64bytesfrom172.
16.
10.
10:icmp_req=3ttl=64time=2.
422ms检查MAC表.
192.
168.
110.
201#showcontrol-clusterlogical-switchesmac-table5000VNIMACVTEP-IPConnection-ID500000:50:56:a6:23:ae192.
168.
250.
527192.
168.
110.
201#showcontrol-clusterlogical-switchesmac-table5001VNIMACVTEP-IPConnection-ID500100:50:56:a6:8d:72192.
168.
250.
5123检查ARP表.
192.
168.
110.
201#showcontrol-clusterlogical-switchesarp-table5000VNIIPMACConnection-ID5000172.
16.
20.
1000:50:56:a6:23:ae7192.
168.
110.
201#showcontrol-clusterlogical-switchesarp-table5001VNIIPMACConnection-ID5001172.
16.
10.
1000:50:56:a6:8d:7223检查逻辑路由器信息.
每个逻辑路由器实例都由某个控制器节点提供服务.
showcontrol-clusterlogical-routers命令的instance子命令显示连接到此控制器的逻辑路由器列表.
interface-summary子命令显示控制器从NSXManager获知的LIF.
此信息将发送到由传输区域管理的主机群集中的主机.
NSX安装指南VMware,Inc.
72routes子命令显示由逻辑路由器的虚拟设备(也称为控制虚拟机)发送到此控制器的路由表.
与ESXi主机上不同,此路由表不包括直接连接的子网,因为此信息由LIF配置提供.
ESXi主机上的路由信息包括直接连接的子网,因为在这种情况下,它是一个由ESXi主机的数据路径使用的转发表.
n列出连接到该控制器的所有逻辑路由器.
controller#showcontrol-clusterlogical-routersinstanceallLR-IdLR-NameUniversalService-ControllerEgress-Locale0x1388default+edge-1false192.
168.
110.
201local记下LR-Id并用于以下命令.
ncontroller#showcontrol-clusterlogical-routersinterface-summary0x1388InterfaceTypeIdIP[]13880000000bvxlan0x1389172.
16.
10.
1/2413880000000avxlan0x1388172.
16.
20.
1/24138800000002vxlan0x138a192.
168.
10.
2/29ncontroller#showcontrol-clusterlogical-routersroutes0x1388DestinationNext-Hop[]PreferenceLocale-IdSource192.
168.
100.
0/24192.
168.
10.
111000000000-0000-0000-0000-000000000000CONTROL_VM0.
0.
0.
0/0192.
168.
10.
1000000000-0000-0000-0000-000000000000CONTROL_VM[root@comp02a:~]esxcfg-route-lVMkernelRoutes:NetworkNetmaskGatewayInterface10.
20.
20.
0255.
255.
255.
0LocalSubnetvmk1192.
168.
210.
0255.
255.
255.
0LocalSubnetvmk0default0.
0.
0.
0192.
168.
210.
1vmk0n显示控制器与特定VNI之间的连接.
192.
168.
110.
203#showcontrol-clusterlogical-switchesconnection-table5000Host-IPPortID192.
168.
110.
53261674192.
168.
210.
52276455192.
168.
210.
53408956192.
168.
110.
202#showcontrol-clusterlogical-switchesconnection-table5001Host-IPPortID192.
168.
110.
53261674192.
168.
210.
52276455192.
168.
210.
53408956这些主机IP地址是vmk0接口,而非VTEP.
ESXi主机与控制器之间的连接将在管理网络上创建.
此处的端口号是主机与控制器建立连接时由ESXi主机IP堆栈分配的极短TCP端口.
NSX安装指南VMware,Inc.
73n在主机上,可以查看与端口号匹配的控制器网络连接.
[root@192.
168.
110.
53:~]#esxclinetworkipconnectionlist|grep26167tcp00192.
168.
110.
53:26167192.
168.
110.
101:1234ESTABLISHED96416newrenonetcpa-workern显示主机上的活动VNI.
观察各主机间输出的不同之处.
并非所有主机上的所有VNI都处于活动状态.
如果主机的某个虚拟机已连接到逻辑交换机,则该主机上的VNI处于活动状态.
[root@192.
168.
210.
52:~]#esxclinetworkvswitchdvsvmwarevxlannetworklist--vds-nameCompute_VDSVXLANIDMulticastIPControlPlaneControllerConnectionPortCountMACEntryCountARPEntryCountVTEPCount5000N/A(headendreplication)Enabled(multicastproxy,ARPproxy)192.
168.
110.
203(up)10005001N/A(headendreplication)Enabled(multicastproxy,ARPproxy)192.
168.
110.
202(up)1000注要在vSphere6.
0及更高版本中启用vxlan命名空间,请运行/etc/init.
d/hostdrestart命令.
对于处于混合模式或单播模式的逻辑交换机,esxclinetworkvswitchdvsvmwarevxlannetworklist--vds-name命令包含以下输出:n将启用控制层面.
n将列出多播代理和ARP代理.
将列出AARP代理,即使已禁用IP发现.
n将列出有效的控制器IP地址并建立连接.
n如果将逻辑路由器连接到ESXi主机,则端口计数至少为1,即使主机上没有任何虚拟机连接到逻辑交换机.
此端口为vdrPort,是连接到ESXi主机上逻辑路由器内核模块的特殊dvPort.
n首先从虚拟机ping到不同子网上的另一个虚拟机,然后显示MAC表.
请注意,内部MAC是虚拟机条目,而外部MAC和外部IP是指VTEP.
~#esxclinetworkvswitchdvsvmwarevxlannetworkmaclist--vds-name=Compute_VDS--vxlan-id=5000InnerMACOuterMACOuterIPFlags00:50:56:a6:23:ae00:50:56:6a:65:c2192.
168.
250.
5200000111~#esxclinetworkvswitchdvsvmwarevxlannetworkmaclist--vds-name=Compute_VDS--vxlan-id=5001InnerMACOuterMACOuterIPFlags02:50:56:56:44:5200:50:56:6a:65:c2192.
168.
250.
520000010100:50:56:f0:d7:e400:50:56:6a:65:c2192.
168.
250.
5200000111NSX安装指南VMware,Inc.
74后续步骤如果在群集上禁用了vSphereHA,在安装NSXEdge设备时,NSX将在主机上启用自动虚拟机启动/关闭.
如果以后将设备虚拟机迁移到群集中的其他主机,新主机可能不会启用自动虚拟机启动/关闭.
因此,在已禁用vSphereHA的群集上安装NSXEdge设备时,您必须最好检查群集中的所有主机以确保启用了自动虚拟机启动/关闭.
请参见《vSphere虚拟机管理》中的"编辑虚拟机启动和关闭设置".
部署逻辑路由器后,双击逻辑路由器ID以配置其他设置,如接口、路由、防火墙、桥接和DHCP中继.
NSX安装指南VMware,Inc.
75添加Edge服务网关18您可以在一个数据中心中安装多个NSXEdge服务网关虚拟设备.
每个NSXEdge设备总共可以有十个上行链路和内部网络接口.
内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关.
分配给内部接口的子网可以是公开路由的IP地址空间,或者是采用NAT/路由的RFC1918专用空间.
会对接口之间的流量实施防火墙规则和其他NSXEdge服务.
ESG的上行链路接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层网络连接功能的服务.
以下列表介绍了ESG上的接口类型(内部和上行链路)支持的功能.
nDHCP:在上行链路接口上不支持.
请参见此项目符号列表后的备注.
nDNS转发器:在上行链路接口上不支持.
nHA:在上行链路接口上不支持,需要使用至少一个内部接口.
nSSLVPN:侦听器IP必须属于一个上行链路接口.
nIPsecVPN:本地站点IP必须属于一个上行链路接口.
nL2VPN:仅可延伸内部网络.
注在设计上,NSXEdge的内部接口支持DHCP服务.
但是,在某些情况下,您可以选择在Edge的上行链路接口上配置DHCP,但不配置任何内部接口.
在这种情况下,Edge可以侦听上行链路接口上的DHCP客户端请求,并向DHCP客户端动态分配IP地址.
以后,如果在同一Edge上配置内部接口,DHCP服务就会停止工作,因为Edge开始侦听内部接口上的DHCP客户端请求.
下图显示了一个示例拓扑.
Edge服务网关上行链路接口通过vSphereDistributedSwitch连接到物理基础架构.
Edge服务网关内部接口通过逻辑转换交换机连接到逻辑路由器.
VMware,Inc.
76物理架构172.
16.
20.
10172.
16.
10.
10172.
16.
20.
1链路类型:内部172.
16.
10.
1链路类型:内部逻辑路由器应用程序逻辑交换机Web逻辑交换机应用程序虚拟机Web虚拟机192.
168.
10.
2链接类型:上行链路协议地址:192.
168.
10.
3转换逻辑交换机192.
168.
10.
1链路类型:内部Edge服务网关192.
168.
100.
3链路类型:上行链路192.
168.
100.
1vSphereDistributedSwitch您可以为负载平衡、站点到站点VPN和NAT服务配置多个外部IP地址.
NSXEdge支持两个虚拟机以实现高可用性,这两个虚拟机都保持最新的用户配置.
如果主虚拟机上出现检测信号故障,则辅助虚拟机状态将变为活动.
因此,在网络上始终有一个NSXEdge虚拟机处于活动状态.
NSXEdge为备用设备复制主设备的配置.
两个虚拟机都在vCenter上部署,与您配置的设备处于同一资源池和数据存储中.
系统会为NSXEdgeHA中的HA虚拟机分配本地链路IP地址,以便它们彼此进行通信.
前提条件n必须为您分配了企业管理员或NSX管理员角色.
n确认资源池具有足够的容量以部署Edge服务网关(ESG)虚拟设备.
有关每种设备大小所需的资源,请参见NSXDataCenterforvSphere的系统要求.
NSX安装指南VMware,Inc.
77n确认为NSX准备了将在其中安装NSXEdge设备的主机群集.
请参见NSX安装指南中的"为NSX准备主机群集".
n确定是否要启用DRS.
如果创建一个Edge服务网关并启用HA和DRS,则会创建DRS反关联性规则以防止将设备部署在同一主机上.
如果在创建设备时未启用DRS,则不会创建相应规则,可以将设备部署在同一主机上或移到同一主机.
步骤1登录到vSphereWebClient,然后导航到主页(Home)>网络和安全(Networking&Security)>NSXEdge(NSXEdges).
2单击添加(Add),然后单击Edge服务网关(EdgeServicesGateway).
3输入ESG的名称、说明和其他详细信息.
选项说明名称输入要在vCenter清单中显示的ESG名称.
确保该名称在单个租户的所有ESG中是唯一的.
主机名可选.
输入要在CLI中为该ESG显示的主机名.
如果未输入主机名,则在CLI中显示自动创建的EdgeID.
说明可选.
输入ESG说明.
部署NSXEdge可选.
可以选择该选项以创建NSXEdge设备虚拟机.
如果未选择该选项,在部署虚拟机后,ESG才会运行.
高可用性可选.
可以选择该选项以在ESG上启用并配置高可用性.
n如果需要在ESG上运行有状态服务(例如,负载平衡器、NAT、DHCP等),则可以在Edge上启用HA.
当活动Edge发生故障时,HA可帮助最大限度地减少到备用Edge的故障切换时间.
启用HA会在群集中的其他主机上部署独立的Edge.
因此,您必须确保环境中有足够的资源.
n如果未在ESG上运行有状态服务,并且您的ESG仅用于南北向路由,则建议启用ECMP.
ECMP使用动态路由协议了解通往最终目的地的下一跃点,并在故障期间收敛.
ECMP配置可通过在多条路径上对流量进行负载平衡来大幅增加带宽,并为失败的路径提供容错.
在此配置中,数据层面中断仅限于流量的一部分.
您还可以选择在每个ESG上启用HA以便提供更快的故障切换,而不依赖于vSphereHA.
在ECMP配置中,您必须确保环境中有足够的资源.
您可以在执行全局路由配置时在Edge上启用ECMP,但不能在网络中部署Edge时启用ECMP.
NSX安装指南VMware,Inc.
784指定ESG的CLI设置和其他设置.
选项说明用户名输入要用于登录到EdgeCLI的用户名.
密码输入至少为12个字符的密码,并且它必须符合以下规则:n不能超过255个字符n至少一个大写字母和一个小写字母n至少一个数字n至少一个特殊字符n不能包含用户名以作为子字符串n不能将一个字符连续重复3次或以上.
确认密码重新输入密码以进行确认.
SSH访问可选.
启用对Edge的SSH访问.
默认情况下,将禁用SSH访问.
通常,建议使用SSH访问以进行故障排除.
FIPS模式可选.
默认情况下,将禁用FIPS模式.
在启用FIPS模式时,与NSXEdge之间的任何安全通信将使用FIPS允许的加密算法或协议.
自动规则生成可选.
默认情况下,将启用该选项.
该选项允许自动创建防火墙规则、NAT和路由配置,它们控制某些NSXEdge服务的流量,包括负载平衡和VPN.
如果禁用自动规则生成,您必须手动添加这些规则和配置.
自动规则生成不会为数据通道流量创建规则.
Edge控制级别日志记录可选.
默认情况下,日志级别为"信息".
NSX安装指南VMware,Inc.
795配置NSXEdge设备部署.
a根据您的环境,选择设备大小.
设备大小说明精简仅适用于实验室或PoC环境.
中型提供的CPU、内存和磁盘空间量高于"精简",并且支持的并发SSLVPN-Plus用户数更多.
大型在需要较高吞吐量和连接速率时适用.
超大型适合具有负载平衡器以及数百万个并发会话的环境.
有关每种设备大小所需的资源,请参见NSXDataCenterforvSphere的系统要求.
b添加NSXEdge设备,并指定用于虚拟机部署的资源详细信息.
例如:选项值群集/资源池管理和Edge数据存储ds-1主机esxmgt-01a.
corp.
local资源预留系统管理有关资源预留的详细信息,请参见《NSX管理指南》中的"管理NSXEdge设备资源预留".
如果已启用HA,您可以添加两个设备.
如果添加单个设备,NSXEdge将为备用设备复制其配置.
要使HA正常工作,必须将两个设备部署在共享数据存储上.
NSX安装指南VMware,Inc.
806配置ESG的接口.
a指定名称、类型和其他基本接口详细信息.
选项说明名称输入接口的名称.
类型选择"内部"或"上行链路".
要使高可用性正常工作,Edge设备必须至少具有一个内部接口.
已连接到选择要将该接口连接到的端口组或逻辑交换机.
b配置接口的子网.
选项说明主IP地址在ESG上,支持IPv4地址和IPv6地址.
接口可以具有一个主IP地址、多个辅助IP地址以及多个重叠子网.
如果为接口输入多个IP地址,则可以选择主IP地址.
每个接口仅允许具有一个主IP地址,Edge将主IP地址作为本地生成的流量的源地址,例如,远程syslog和操作员启动的ping.
辅助IP地址输入辅助IP地址.
要输入多个IP地址,请使用逗号分隔列表.
子网前缀长度输入接口的子网掩码.
c为接口指定以下选项.
选项说明MAC地址可选.
您可以输入每个接口的MAC地址.
如果以后使用API调用更改MAC地址,您必须在更改MAC地址后重新部署Edge.
MTU上行链路接口和内部接口的默认值均为1500.
对于中继接口,默认值为1600.
如有必要,您可以修改默认值.
对于中继上的子接口,默认值为1500.
确保中继接口的MTU必须大于或等于子接口的MTU.
代理ARP如果希望ESG响应面向其他虚拟机的ARP请求,请选择该选项.
例如,当在WAN连接的两端具有相同子网时,该选项会非常有用.
发送ICMP重定向如果您希望ESG将路由信息传输到主机,请选择该选项.
反向路径筛选器默认情况下,该选项设置为"已启用".
如果启用,它验证是否可以访问转发的数据包中的源地址.
在启用模式下,必须在路由器可用于转发返回数据包的接口上接收数据包.
在宽松模式下,源地址必须显示在路由表中.
防护参数如果要在不同的受防护环境之间重用IP和MAC地址,请配置防护参数.
例如,在云管理平台(CMP)中,防护功能允许同时运行多个具有相同的隔离或"防护"IP和MAC地址的云实例.
下表显示包含两个NSXEdge接口的示例.
上行链路接口通过vSphereDistributedSwitch上的上行链路端口组将ESG连接到外界.
内部接口将ESG连接到一个逻辑转换交换机,还会将一个分布式逻辑路由器连接到该交换机.
NSX安装指南VMware,Inc.
81表18-1.
示例:NSXEdge接口vNIC#名称IP地址子网前缀长度已连接到0上行链路192.
168.
100.
3024Mgmt_VDS-HQ_Uplink1内部192.
168.
10.
1*29transit-switch重要事项NSX6.
4.
4和更低版本在ESG的单个上行链路接口上支持多播.
从NSX6.
4.
5开始,最多可在ESG的两个上行链路接口上支持多播.
在多vCenter部署场景中,如果NSXEdge版本为6.
4.
4或更低版本,您只能在一个上行链路接口上启用多播.
要在两个上行链路接口上启用多播,必须将Edge升级到6.
4.
5或更高版本.
7配置默认网关设置.
例如:选项值vNIC上行链路网关IP192.
168.
100.
2MTU1500注您可以编辑MTU值,但其不能超过接口上配置的MTU值.
8配置默认防火墙策略.
小心如果您未配置防火墙策略,则默认策略将设置为拒绝所有流量.
但是,部署期间会在ESG上默认启用防火墙.
NSX安装指南VMware,Inc.
829配置ESG日志记录和HA参数.
a在NSXEdge设备上启用或禁用日志记录.
默认情况下,将在所有新的NSXEdge设备上启用日志.
默认日志记录级别为"信息".
如果将日志存储在ESG本地,日志记录可能会生成过多日志并影响NSXEdge性能.
因此,您必须最好配置远程syslog服务器,并将所有日志转发到集中式收集器以进行分析和监控.
b如果已启用高可用性,请配置以下HA参数.
选项说明vNIC选择要配置HA参数的内部接口.
默认情况下,HA会自动选择内部接口,并自动分配本地链接IP地址.
如果为接口选择"任意",但未配置任何内部接口,则UI会显示错误.
将创建两个Edge设备,但由于未配置任何内部接口,新的NSXEdge将保持备用状态且会禁用HA.
在配置内部接口后,将在NSXEdge设备上启用HA.
声明失效时间以秒为单位输入时间段,如果备用设备在该时间段内未从主设备收到检测信号,则将主设备视为处于不活动状态,并且备用设备接替主设备的工作.
默认时间间隔为15秒.
管理IP可选:可以采用CIDR格式输入两个管理IP地址,以替代分配给HA虚拟机的本地链路IP地址.
确保管理IP地址不与用于任何其他接口的IP地址重叠,并且不干扰流量路由.
不要使用在网络上其他位置使用的IP地址,即使该网络未直接连接到设备.
管理IP地址必须在同一L2/子网中,并且必须能够彼此通信.
10在部署设备之前,检查所有ESG设置.
结果在部署ESG后,转到"主机和群集"视图,并打开NSXEdge虚拟设备的控制台.
从控制台中,确保可以ping已连接的接口.
后续步骤如果在群集上禁用了vSphereHA,在安装NSXEdge设备时,NSX将在主机上启用自动虚拟机启动/关闭.
如果以后将设备虚拟机迁移到群集中的其他主机,新主机可能不会启用自动虚拟机启动/关闭.
因此,在已禁用vSphereHA的群集上安装NSXEdge设备时,您必须最好检查群集中的所有主机以确保启用了自动虚拟机启动/关闭.
请参见《vSphere虚拟机管理》中的"编辑虚拟机启动和关闭设置".
现在,便可配置路由以允许外部设备到虚拟机的连接.
NSX安装指南VMware,Inc.
83在逻辑(分布式)路由器上配置OSPF19在逻辑路由器上配置OSPF可以启用逻辑路由器之间的虚拟机连接,以及从逻辑路由器到Edge服务网关(ESG)的虚拟机连接.
OSPF路由策略用于在成本相同的路由之间动态进行流量负载平衡.
一个OSPF网络分为多个路由区域,以优化流量并限制路由表的大小.
区域是具有相同区域标识的OSPF网络、路由器和链路的逻辑集合.
区域由区域ID进行标识.
前提条件必须如在逻辑(分布式)路由器上配置的OSPF所示配置路由器ID.
启用路由器ID后,该文本框默认填充逻辑路由器的上行链路接口.
步骤1登录到vSphereWebClient.
2单击网络和安全(Networking&Security)>NSXEdge(NSXEdges).
3双击逻辑路由器.
4单击管理(Manage)>路由(Routing)>OSPF.
5启用OSPF.
a单击OSPF配置(OSPFConfiguration)旁边的编辑(Edit),然后单击启用OSPF(EnableOSPF)b在转发地址(ForwardingAddress)中,键入主机中路由器数据路径模块用来转发数据路径数据包的IP地址.
c在协议地址(ProtocolAddress)中,键入与转发地址(ForwardingAddress)位于同一个子网中的唯一IP地址.
协议地址由协议使用,以与对等方相邻.
d(可选)启用平滑重启(GracefulRestart),确保在重新启动OSPF服务期间不会中断数据包转发.
6配置OSPF区域.
a(可选)删除默认配置的次末节区域(NSSA)51.
b在区域定义(AreaDefinitions)中,单击添加(Add).
VMware,Inc.
84c键入区域ID.
NSXEdge支持十进制数字形式的区域ID.
有效值为0–4294967295.
d在类型(Type)中,选择正常(Normal)或NSSA.
NSSA会阻止AS外部链接状态通告(LSA)涌入NSSA.
它们依赖于到外部目标的默认路由.
因此,必须将NSSA放在OSPF路由域的边缘.
NSSA可将外部路由导入到OSPF路由域中,从而为未包含在OSPF路由域中的小型路由域提供传输服务.
7(可选)选择身份验证(Authentication)的类型.
OSPF在区域级执行身份验证.
该区域内的所有路由器都必须配置相同的身份验证和对应的密码.
要使MD5身份验证生效,接收和传输路由器必须具有相同的MD5密钥.
a无(None):不需要身份验证(默认值).
b密码(Password):在此身份验证方法中,传输的数据包中包括密码.
cMD5:此身份验证方法使用MD5(消息摘要类型5)加密.
传输的数据包中包括MD5校验和.
d对于密码(Password)或MD5类型的身份验证,键入密码或MD5密钥.
重要事项n如果为NSXEdge配置了HA,启用了OSPF正常重新启动并使用MD5进行身份验证,则OSPF无法正常重新启动.
只有在OSPF帮助程序节点上的宽限期到期后,才会形成邻接.
n在启用FIPS模式时,无法配置MD5身份验证.
nNSXDataCenterforvSphere始终使用密钥ID值1.
对于任何设备,如果不受与Edge服务网关或逻辑分布式路由器建立对等关系的NSXDataCenterforvSphere管理,则在使用MD5身份验证时,必须配置为使用密钥ID值1.
否则,将无法建立OSPF会话.
8映射区域的接口.
a在接口映射的区域(AreatoInterfaceMapping)中,单击添加(Add)以映射属于OSPF区域的接口.
b选择要映射的接口及其要映射到的OSPF区域.
9(可选)编辑默认OSPF设置.
在大多数情况下,建议保留默认OSPF设置.
如果不更改设置,确保OSPF对等方使用相同的设置.
a通信时间间隔(HelloInterval)显示在接口上发送的两个通信数据包之间的默认时间间隔.
b失效时间间隔(DeadInterval)显示默认时间间隔,在该时间间隔内,路由器必须在声明邻居已关闭之前至少从该邻居接收到一个通信数据包.
c优先级(Priority)显示接口的默认优先级.
优先级最高的接口是指定的路由器.
d接口的成本(Cost)显示通过该接口发送数据包所需的默认开销.
接口的成本与该接口的带宽成反比.
带宽越宽,成本越低.
10单击发布更改(PublishChanges).
NSX安装指南VMware,Inc.
85示例:在逻辑(分布式)路由器上配置的OSPF使用OSPF的一个简单NSX应用场景是当逻辑路由器(DLR)和Edge服务网关(ESG)是OSPF邻居时,如下图所示.
图19-1.
NSXDataCenterforvSphere拓扑172.
16.
20.
10172.
16.
10.
10172.
16.
20.
1链路类型:内部172.
16.
10.
1链路类型:内部逻辑路由器应用程序逻辑交换机Web逻辑交换机应用程序虚拟机Web虚拟机192.
168.
10.
2链接类型:上行链路协议地址:192.
168.
10.
3转换逻辑交换机192.
168.
10.
1链路类型:内部Edge服务网关在全局配置页面上,配置设置如下所示:n网关IP(GatewayIP):192.
168.
10.
1.
逻辑路由器的默认网关是ESG的内部接口IP地址(192.
168.
10.
1).
n路由器ID(RouterID):192.
168.
10.
2.
路由器ID是逻辑路由器的上行链路接口.
换言之,该IP就是面向ESG的IP地址.
NSX安装指南VMware,Inc.
86在OSPF配置页面上,配置设置如下所示:n转发地址(ForwardingAddress):192.
168.
10.
2n协议地址(ProtocolAddress):192.
168.
10.
3.
协议地址可以是位于同一个子网中并且未在其他位置使用的任何IP地址.
在本例中,配置了192.
168.
10.
3.
n区域定义(AreaDefinition):n区域ID:0n类型:正常n身份验证:无上行链路接口(面向ESG的接口)映射到该区域,如下所示:n接口:到ESGn区域ID:0n通信时间间隔(秒):10n失效时间间隔(秒):40n优先级:128n成本:1后续步骤确保路由重新分发和防火墙配置允许播发正确的路由.
在本例中,逻辑路由器连接的路由(172.
16.
10.
0/24和172.
16.
20.
0/24)播发到OSPF中.
要验证重新分发的路由,请在左侧导航面板中单击路由重新分发(RouteRedistribution),并检查以下设置:n路由重新分发状态(RouteRedistributionStatus)显示已启用OSPF.
n路由重新分发表(RouteRedistributionTable)显示以下内容:n学习者:OSPFn源:已连接n前缀:任何n操作:允许如果在创建逻辑路由器时启用了SSH,还必须配置一个防火墙筛选器,以允许通过SSH方式连接到逻辑路由器的协议地址.
例如,您可以使用以下设置创建防火墙筛选规则:n名称:sshn类型:用户n源:任何n目标:协议地址,值为:192.
168.
10.
3n服务:SSHNSX安装指南VMware,Inc.
87在Edge服务网关上配置OSPF20在Edge服务网关(ESG)上配置OSPF可以使ESG获知和播发路由.
OSPF在ESG上最常见的应用是在位于ESG与逻辑(分布式)路由器之间的链接上.
这样ESG即可获知连接到逻辑路由器的逻辑接口(LIFS).
此目标可以借助OSPF、IS-IS、BGP或静态路由来实现.
OSPF路由策略用于在成本相同的路由之间动态进行流量负载平衡.
一个OSPF网络分为多个路由区域,以优化流量并限制路由表的大小.
区域是具有相同区域标识的OSPF网络、路由器和链路的逻辑集合.
区域由区域ID进行标识.
前提条件必须如在Edge服务网关上配置的OSPF所示配置路由器ID.
启用路由器ID后,该文本框默认填充ESG的上行链路接口IP地址.
步骤1登录到vSphereWebClient.
2单击网络和安全(Networking&Security)>NSXEdge(NSXEdges).
3双击一个ESG.
4单击管理(Manage)>路由(Routing)>OSPF.
5启用OSPF.
a单击OSPF配置(OSPFConfiguration)旁边的编辑(Edit),然后单击启用OSPF(EnableOSPF)b(可选)单击启用平滑重启(EnableGracefulRestart),确保在重新启动OSPF服务期间不会中断数据包转发.
c(可选)单击启用默认源(EnableDefaultOriginate),允许ESG将其自身作为默认网关播发给其对等方.
6配置OSPF区域.
a(可选)删除默认配置的次末节区域(NSSA)51.
b在区域定义(AreaDefinitions)中,单击添加(Add).
VMware,Inc.
88c输入区域ID.
NSXEdge支持十进制数字形式的区域ID.
有效值为0–4294967295.
d在类型(Type)中,选择正常(Normal)或NSSA.
NSSA会阻止AS外部链接状态通告(LSA)涌入NSSA.
它们依赖于到外部目标的默认路由.
因此,必须将NSSA放在OSPF路由域的边缘.
NSSA可将外部路由导入到OSPF路由域中,从而为未包含在OSPF路由域中的小型路由域提供传输服务.
7(可选)选择NSSA区域类型后,将显示NSSA转换器角色(NSSATranslatorRole).
选中始终(Always)复选框以将7类LSA转换为5类LSA.
所有7类LSA将由NSSA转换为5类LSA.
8(可选)选择身份验证(Authentication)的类型.
OSPF在区域级执行身份验证.
该区域内的所有路由器都必须配置相同的身份验证和对应的密码.
要使MD5身份验证生效,接收和传输路由器必须具有相同的MD5密钥.
a无(None):不需要身份验证(默认值).
b密码(Password):在此身份验证方法中,传输的数据包中包括密码.
cMD5:此身份验证方法使用MD5(消息摘要类型5)加密.
传输的数据包中包括MD5校验和.
d对于密码(Password)或MD5类型的身份验证,输入密码或MD5密钥.
重要事项n如果为NSXEdge配置了HA,启用了OSPF正常重新启动并使用MD5进行身份验证,则OSPF无法正常重新启动.
只有在OSPF帮助程序节点上的宽限期到期后,才会形成邻接.
n在启用FIPS模式时,无法配置MD5身份验证.
nNSXDataCenterforvSphere始终使用密钥ID值1.
对于任何设备,如果不受与Edge服务网关或逻辑分布式路由器建立对等关系的NSXDataCenterforvSphere管理,则在使用MD5身份验证时,必须配置为使用密钥ID值1.
否则,将无法建立OSPF会话.
9映射区域的接口.
a在接口映射的区域(AreatoInterfaceMapping)中,单击添加(Add)以映射属于OSPF区域的接口.
b选择要映射的接口及其要映射到的OSPF区域.
10(可选)编辑默认OSPF设置.
在大多数情况下,建议保留默认OSPF设置.
如果不更改设置,确保OSPF对等方使用相同的设置.
a通信时间间隔(HelloInterval)显示在接口上发送的两个通信数据包之间的默认时间间隔.
b失效时间间隔(DeadInterval)显示默认时间间隔,在该时间间隔内,路由器必须在声明邻居已关闭之前至少从该邻居接收到一个通信数据包.
c优先级(Priority)显示接口的默认优先级.
优先级最高的接口是指定的路由器.
d接口的成本(Cost)显示通过该接口发送数据包所需的默认开销.
接口的成本与该接口的带宽成反比.
带宽越宽,成本越低.
11单击发布更改(PublishChanges).
NSX安装指南VMware,Inc.
8912确保路由重新分发和防火墙配置允许播发正确的路由.
示例:在Edge服务网关上配置的OSPF使用OSPF的一个简单NSX应用场景是当逻辑路由器和Edge服务网关是OSPF邻居时,如下图所示.
ESG可以通过网桥、物理路由器或vSphereDistributedSwitch上的上行链路端口组连接到外部环境,如下图所示.
图20-1.
NSXDataCenterforvSphere拓扑物理架构172.
16.
20.
10172.
16.
10.
10172.
16.
20.
1链路类型:内部172.
16.
10.
1链路类型:内部逻辑路由器应用程序逻辑交换机Web逻辑交换机应用程序虚拟机Web虚拟机192.
168.
10.
2链接类型:上行链路协议地址:192.
168.
10.
3转换逻辑交换机192.
168.
10.
1链路类型:内部Edge服务网关192.
168.
100.
3链路类型:上行链路192.
168.
100.
1vSphereDistributedSwitch在全局配置页面上,配置设置如下所示:nvNIC:上行链路NSX安装指南VMware,Inc.
90n网关IP(GatewayIP):192.
168.
100.
1.
ESG的默认网关为连接其外部对等方的ESG上行链路接口.
n路由器ID(RouterID):192.
168.
100.
3.
路由器ID是ESG的上行链路接口.
换言之,该IP就是面向其外部对等方的IP地址.
在OSPF配置页面上,配置设置如下所示:n区域定义(AreaDefinition):n区域ID:0n类型:正常n身份验证:无内部接口(面向逻辑路由器的接口)映射到该区域,如下所示:nvNIC:内部n区域ID:0n通信时间间隔(秒):10n失效时间间隔(秒):40n优先级:128n成本:1连接的路由重新分发到OSPF,以使OSPF邻居(逻辑路由器)可以获知ESG的上行链路网络的相关信息.
要验证重新分发的路由,请在左侧导航面板中单击路由重新分发(RouteRedistribution),并检查以下设置:n路由重新分发状态(RouteRedistributionStatus)显示已启用OSPF.
n路由重新分发表(RouteRedistributionTable)显示以下内容:n学习者:OSPFn源:已连接n前缀:任何NSX安装指南VMware,Inc.
91n操作:允许注还可以在ESG与其外部对等路由器之间配置OSPF,但更常见的情形是该链接使用BGP进行路由通告.
确保ESG从逻辑路由器获知OSPF外部路由.
要验证连接,确保物理架构中的外部设备可以ping虚拟机.
例如:PSC:\Users\Administrator>ping172.
16.
10.
10Pinging172.
16.
10.
10with32bytesofdata:Replyfrom172.
16.
10.
10:bytes=32time=5msTTL=61Replyfrom172.
16.
10.
10:bytes=32time=1msTTL=61Pingstatisticsfor172.
16.
10.
10:Packets:Sent=2,Received=2,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=1ms,Maximum=5ms,Average=3msPSC:\Users\Administrator>ping172.
16.
20.
10Pinging172.
16.
20.
10with32bytesofdata:Replyfrom172.
16.
20.
10:bytes=32time=2msTTL=61Replyfrom172.
16.
20.
10:bytes=32time=1msTTL=61Pingstatisticsfor172.
16.
20.
10:Packets:Sent=2,Received=2,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=1ms,Maximum=2ms,Average=1msNSX安装指南VMware,Inc.
92在主机群集上安装GuestIntrospection21安装GuestIntrospection会在群集中的每个主机上自动安装新的VIB和服务虚拟机.
活动监控和多个第三方安全解决方案需要GuestIntrospection.
注无法使用vMotion/SvMotion迁移服务虚拟机(SVM).
SVM必须位于其所部署的主机上才能正常运行.
前提条件以下安装说明假定您拥有以下系统:n在群集中的每个主机上安装了支持的vCenterServer和ESXi版本的数据中心.
n为NSX准备了群集中要安装GuestIntrospection的主机.
请参见NSX安装指南中的"为NSX准备主机群集".
不能将GuestIntrospection安装在单独的主机上.
如果部署和管理GuestIntrospection以仅提供防病毒卸载功能,您不需要为NSX准备主机,并且NSXforvShieldEndpoint许可证不允许使用该功能.
nNSXManager已安装且正在运行.
n确保NSXManager和运行GuestIntrospection服务的准备好的主机链接到相同的NTP服务器并同步时间.
否则,可能会导致防病毒服务无法保护虚拟机,但群集状态在GuestIntrospection和任何第三方服务中显示为绿色.
如果添加了NTP服务器,VMware建议您重新部署GuestIntrospection和任意第三方服务.
n如果您的网络包含vSphere7.
0或更高版本,请确保vCenter群集未使用vSphereLifecycleManager(vLCM)映像来管理ESXi主机生命周期操作.
无法在使用vLCM映像的vCenter群集上安装GuestIntrospection服务.
要验证是否在群集中使用vLCM映像来管理主机,请登录到vSphereClient并转到主机和群集.
在导航窗格中,单击群集,然后导航到更新>映像.
如果群集未使用vLCM映像,您一定会看到设置映像按钮.
如果群集使用了vLCM映像,则可以查看映像详细信息,如ESXi版本、供应商加载项、映像合规性详细信息等.
VMware,Inc.
93如果要将IP池中的某个IP地址分配给GuestIntrospection服务虚拟机,请先创建IP池,然后再安装GuestIntrospection.
请参见NSX管理指南中的"使用IP池".
小心GuestIntrospection会使用169.
254.
x.
x子网在内部为GI服务分配IP地址.
如果将169.
254.
1.
1IP地址分配给ESXi主机的任意VMkernel接口,则GuestIntrospection安装将失败.
GI服务使用此IP地址进行内部通信.
vSphereFaultTolerance无法与GuestIntrospection一起使用.
无状态ESXi主机上的vSphere自动部署不支持GuestIntrospection.
步骤1导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>服务部署(ServiceDeployment).
2单击添加(Add).
3在"部署网络和安全服务"对话框中,选择GuestIntrospection.
4在指定调度(Specifyschedule)(在对话框底部)中,选择立即部署(Deploynow)以在安装GuestIntrospection后立即进行部署,或者选择一个部署日期和时间.
5单击下一步(Next).
6选择要在其中安装GuestIntrospection的数据中心和群集,然后单击下一步(Next).
7在"选择存储和管理网络"页面上,选择要添加服务虚拟机存储器的数据存储,或者选择已在主机上指定(Specifiedonhost).
建议使用共享数据存储和网络而不是"已在主机上指定",以便自动化部署工作流.
选定的数据存储在选定群集的所有主机上都必须可用.
如果选择了已在主机上指定(Specifiedonhost),请为群集中的每个主机完成以下子步骤.
a在"主页"中,单击主机和群集(HostsandClusters).
b在导航器中单击一个主机,然后单击配置(Configure).
c在左侧的导航窗格中,在虚拟机(VirtualMachines)下面单击代理虚拟机(AgentVMs),然后单击编辑(Edit).
d选择数据存储,然后单击确定(OK).
8如果将数据存储设置为已在主机上指定(Specifiedonhost),您必须将网络也设置为已在主机上指定(Specifiedonhost).
如果选择了已在主机上指定(Specifiedonhost),请按照第7步中的子步骤在主机上选择一个网络.
将一个主机(或多个主机)添加到群集中时,必须先设置数据存储和网络,再将每个主机添加到群集中.
NSX安装指南VMware,Inc.
949在"IP分配"中,选择以下其中的一项:选择目的DHCP通过动态主机配置协议(DHCP)将IP地址分配给GuestIntrospection服务虚拟机.
如果主机位于不同子网,请选择此选项.
使用IP池将选定IP池中的某个IP地址分配给GuestIntrospection服务虚拟机.
10单击下一步(Next),然后在"即将完成"页面上单击完成(Finish).
11监控该部署,直至安装状态(InstallationStatus)列显示成功(Succeeded).
在NSX6.
4.
0及更高版本中,vCenterServer中的GISVM名称会显示将其部署到的主机的IP地址.
12如果安装状态(InstallationStatus)列显示失败(Failed),则单击"失败"旁边的图标.
将显示所有部署错误.
单击解决(Resolve)修复这些错误.
有时,解决这些错误将显示额外的错误.
执行所需操作,然后重新单击解决办法(Resolve).
小心在包含vSphere7.
0或更高版本的网络中,在安装了GuestIntrospection服务或任何其他第三方合作伙伴服务后,将无法在vCenter群集上使用vLCM映像.
如果尝试在vCenter群集上使用vLCM映像,则vSphereClient中会显示警告消息,告知您主机上存在独立的VIB.
NSX安装指南VMware,Inc.
95卸载NSXDataCenterforvSphere组件22本章将详细介绍从vCenter清单中卸载NSXDataCenterforvSphere组件所需执行的步骤.
注不要直接从vCenter中移除NSXDataCenterforvSphere部署的任何设备(如NSXController和NSXEdge设备).
请务必使用vSphereWebClient的网络和安全(Networking&Security)选项卡管理和移除NSXDataCenterforvSphere设备.
本章讨论了以下主题:n卸载GuestIntrospection模块n卸载NSXEdge服务网关或分布式逻辑路由器n卸载逻辑交换机n从主机群集中卸载NSXn安全移除NSX安装卸载GuestIntrospection模块卸载GuestIntrospection会从群集上的主机中移除VIB,并从群集上的每台主机中移除服务虚拟机.
身份防火墙、端点监控以及一些第三方安全解决方案需要使用GuestIntrospection.
卸载GuestIntrospection会产生多种影响.
小心从群集中卸载GuestIntrospection模块之前,必须先从该群集上的主机中卸载使用GuestIntrospection的所有第三方产品.
请按照解决方案提供商提供的说明进行操作.
主机群集中的虚拟机将不再受到保护.
在卸载之前,您必须通过vMotion将虚拟机从群集中移出.
要卸载GuestIntrospection,请执行以下操作:1导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>服务部署(ServiceDeployment).
2选择一个GuestIntrospection实例,然后单击删除图标.
3可以立即删除,也可以安排以后删除.
VMware,Inc.
96卸载NSXEdge服务网关或分布式逻辑路由器您可以使用vSphereWebClient卸载NSXEdge.
前提条件您必须已获得企业管理员或NSX管理员角色.
步骤1登录到vSphereWebClient.
2单击网络和安全(Networking&Security)>NSXEdge(NSXEdges).
3选择NSXEdge,然后单击删除(Delete)()图标.
卸载逻辑交换机在卸载逻辑交换机之前,必须从该逻辑交换机中移除所有虚拟机.
前提条件您必须已获得企业管理员或NSX管理员角色.
步骤1在vSphereWebClient中,导航到主页>网络和安全>逻辑交换机(Home>Networking&Security>LogicalSwitches).
2从一个逻辑交换机中移除所有虚拟机.
a选择一个逻辑交换机,然后单击"移除虚拟机"图标()().
b将所有虚拟机从"可用对象"移到"选定对象"中,然后单击确定(OK).
3选择逻辑交换机之后,请单击删除(Delete)()图标.
从主机群集中卸载NSX您可以从群集中的所有主机上卸载NSXDataCenterforvSphere.
如果要从各个主机中(而非从整个群集中)移除NSXDataCenterforvSphere,请参见第12章从准备好的群集中移除主机.
前提条件n断开群集中虚拟机与逻辑交换机的连接.
NSX安装指南VMware,Inc.
97步骤1从传输区域中移除群集.
u在NSX6.
4.
1和更高版本中,导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>逻辑网络设置(LogicalNetworkSettings)>传输区域(TransportZones).
u在NSX6.
4.
0中,导航到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>逻辑网络准备(LogicalNetworkPreparation)>传输区域(TransportZones).
将群集与传输区域断开连接.
如果群集显示为灰色并且无法将其与传输区域断开连接,这可能是由于以下原因之一造成的:n群集中的主机已断开连接或未打开电源.
n群集可能包含一个或多个连接到传输区域的虚拟机或设备.
例如,如果主机位于管理群集中,并且上面安装了NSXController虚拟机,请先移除或移动这些虚拟机.
2卸载NSXDataCenterforvSphereVIB.
在vSphereWebClient中,转到网络和安全(Networking&Security)>安装和升级(InstallationandUpgrade)>主机准备(HostPreparation).
选择一个群集,然后单击操作(Actions)>卸载(Uninstall).
"安装状态"将显示未就绪(NotReady).
如果单击未就绪(NotReady),对话框将显示以下消息:必须将主机置于维护模式才能完成代理VIB安装(HostmustbeputintomaintenancemodetocompleteagentVIBinstallation).
3选择群集并单击解决(Resolve)操作以完成卸载.
必须将主机置于维护模式才能完成卸载.
如果群集启用了DRS,DRS将尝试以受控方式将主机置于维护模式,这样可以让虚拟机继续运行.
如果DRS因任何原因失败,解决(Resolve)操作将暂停.
在这种情况下,您可能需要先手动移除虚拟机,然后再重试解决(Resolve)操作,或者手动将主机置于维护模式.
重要事项如果您手动将主机置于维护模式,则在将主机退出维护模式之前,必须验证主机VIB卸载是否已经完成.
a检查vSphereWebClient中的"近期任务"窗格.
b在主机准备(HostPreparation)选项卡中,查看从中移除了主机的群集的安装状态,确定它是否具有绿色对勾.
如果安装状态为正在安装,则表明卸载仍在进行.
安全移除NSX安装完全卸载NSXDataCenterforvSphere会移除主机VIB、NSXManager、NSXController群集、所有VXLAN配置、逻辑交换机、NSXEdge设备、分布式防火墙、GuestIntrospection和适用于vCenterNSX安装指南VMware,Inc.
98Server的NSXDataCenterforvSphere插件.
请务必对群集中的所有主机遵循以下步骤.
从vCenterServer中移除NSXDataCenterforvSphere插件之前,请先从群集中卸载网络虚拟化组件.
注不要直接从vCenter中移除NSXDataCenterforvSphere部署的任何设备(如NSXController和NSXEdge设备).
请务必使用vSphereWebClient的网络和安全(Networking&Security)选项卡管理和移除NSXDataCenterforvSphere设备.
前提条件n必须已为您分配企业管理员或NSX管理员角色.
n取消主机准备之前,先移除任何已注册的合作伙伴解决方案和端点服务,以便能够正常移除群集中的服务虚拟机.
n删除所有NSXEdge实例.
请参见卸载NSXEdge服务网关或分布式逻辑路由器.
n将传输区域中的虚拟机与逻辑交换机分离并删除这些逻辑交换机.
请参见卸载逻辑交换机.
n从主机群集中卸载NSXDataCenterforvSphere.
请参见从主机群集中卸载NSX.
步骤1删除传输区域.
2从磁盘中删除NSXManager设备和所有NSXController设备虚拟机.
3完成以下步骤,以删除分布式交换机中的任何遗留VTEPVMkernel端口:a导航到主机和群集(HostsandClusters)>选择主机(SelectHost)>配置(Configure)>网络(Networking)>虚拟交换机(VirtualSwitches).
b在"虚拟交换机"表中,选择vSphereDistributedSwitch.
将显示一个图表,其中显示在该交换机上分配的各种dvPortgroup.
在该图表中向下滚动,以查找该交换机上的任何遗留VTEPVMkernel端口.
c选择遗留VMkernel端口,然后单击删除(Delete)()图标.
通常情况下,VTEPVMkernel接口已随前面的卸载操作删除.
4完成以下步骤,以删除用于分布式交换机中的VTEP的任何遗留dvPortgroup:a导航到主页(Home)>网络(Networking).
b在导航器(Navigator)中,单击数据中心,然后展开"vSphereDistributedSwitch"以查看遗留dvPortgroup.
c右键单击遗留dvPortgroup,然后单击删除(Delete).
大多数情况下,用于VTEP的dvPortgroup已随之前的卸载操作而删除.
5如果移除了VTEPVMkernel接口或dvPortgroup,请重新引导主机.
6对于您要从中移除NSXManager插件的vCenter,请在https://your_vc_server/mob中登录到受管对象浏览器.
NSX安装指南VMware,Inc.
997单击内容(Content).
例如:8单击ExtensionManager.
NSX安装指南VMware,Inc.
1009单击UnregisterExtension.
10输入字符串com.
vmware.
vShieldManager,然后单击调用方法(InvokeMethod).
11输入com.
vmware.
nsx.
ui.
h5字符串,然后单击调用方法(InvokeMethod).
NSX安装指南VMware,Inc.
10112如果您正在运行vSphere6vCenterAppliance,请启动控制台并在故障排除模式选项(TroubleshootingModeOptions)下启用BASHshell.
另一种启用BASHshell的方法是作为root用户身份登录,并运行shell.
set--enabledtrue命令.
13删除NSXDataCenterforvSphere的vSphereWebClient目录和vSphereClient(HTML5)目录,然后重新启动客户端服务.
从vSphere7.
0开始,vSphereWebClient已被弃用.
因此,不会创建vSphereWebClient目录.
NSXDataCenterforvSphere的vSphereWebClient目录名称为com.
vmware.
vShieldManager.
*,位于:n适用于Windows的VMwarevCenterServer-C:\ProgramData\VMware\vCenterServer\cfg\vsphere-client\vc-packages\vsphere-client-serenity\nVMwarevCenterServerAppliance-/etc/vmware/vsphere-client/vc-packages/vsphere-client-serenity/vSphereClient目录名称为com.
vmware.
nsx.
ui.
h5.
*,位于:n适用于Windows的VMwarevCenterServer–C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\vc-packages\vsphere-client-serenity\nVMwarevCenterServerAppliance-/etc/vmware/vsphere-ui/vc-packages/vsphere-client-serenity/在vCenterServerAppliance或Windows的vCenterServer上重新启动客户端服务:NSX安装指南VMware,Inc.
102表22-1.
客户端服务命令客户端服务vCenterServerAppliance适用于Windows的vCenterServer重新启动vSphereWebClient在vSphere6.
0、6.
5和6.
7上>shell.
set--enabledTrue>shell#service-control--stopvsphere-client#service-control--startvsphere-client>cdC:\ProgramFiles\VMware\vCenterServer\bin>service-control--stopvspherewebclientsvc>service-control--startvspherewebclientsvc重新启动vSphereClient在vSphere6.
5和6.
7上>shell.
set--enabledTrue>shell#service-control--stopvsphere-ui#service-control--startvsphere-ui>cdC:\ProgramFiles\VMware\vCenterServer\bin>service-control--stopvsphere-ui>service-control--startvsphere-ui重新启动vSphereClient在vSphere7.
0上>shell.
set--enabledTrue>shell#service-control--stopvsphere-ui#service-control--startvsphere-uivSphere7.
0不支持适用于Windows的vCenterServer结果将从vCenter中移除NSXManager插件.
要确认,请注销vCenter,然后重新登录.
在vCenterWebClient或vSphereClient的主屏幕上不再显示NSXManager插件网络和安全(Networking&Security)图标.
NSX安装指南VMware,Inc.
103转到系统管理(Administration)>客户端插件(ClientPlug-Ins),并确认插件列表不包含vShieldManager插件.
注n在NSX6.
4.
5之前,vSphereWebClient中的客户端插件名称是vShieldManager.
在NSX6.
4.
5及更高版本中,插件名称是NSX用户界面插件(NSXuserinterfaceplugin).
n在基于HTML5的vSphereClient中,插件名称是NSX用户界面插件(NSXuserinterfaceplugin).
NSX安装指南VMware,Inc.
104
IT狗为用户提供 在线ping、在线tcping、在线路由追踪、域名被墙检测、域名被污染检测 等实用工具。【工具地址】https://www.itdog.cn/【工具特色】1、目前同类网站中,在线ping 仅支持1次或少量次数的测试,无法客观的展现目标服务器一段时间的网络状况,IT狗Ping工具可持续的进行一段时间的ping测试,并生成更为直观的网络质量柱状图,让用户更容易掌握服务器在各地区、各线...
易速互联怎么样?易速互联是国人老牌主机商家,至今已经成立9年,商家销售虚拟主机、VPS及独立服务器,目前商家针对美国加州萨克拉门托RH数据中心进行促销,线路采用BGP直连线路,自带10G防御,美国加州地区,100M带宽不限流量,月付299元起,有需要美国不限流量独立服务器的朋友可以看看。点击进入:易速互联官方网站美国独立服务器优惠套餐:RH数据中心位于美国加州、配置丰富性价比高、10G DDOS免...
ucloud6.18推出全球大促活动,针对新老用户(个人/企业)提供云服务器促销产品,其中最低配快杰云服务器月付5元起,中国香港快杰型云服务器月付13元起,最高可购3年,有AMD/Intel系列。当然这都是针对新用户的优惠。注意,UCloud全球有31个数据中心,29条专线,覆盖五大洲,基本上你想要的都能找到。注意:以上ucloud 618优惠都是新用户专享,老用户就随便看看!点击进入:uclou...
ldap安装为你推荐
今日油条油条晚上炸好定型明天可再复炸吗?微信回应封杀钉钉为什么微信被封以后然后解封了过了一会又被封了商标注册流程及费用商标注册流程及费用?商标注册流程及费用注册商标的程序及费用?原代码什么叫源代码,源代码有什么作用www.228gg.comwww.a8tb.com这个网站该如何改善www.niuav.com给我个看电影的网站www.baitu.com我看电影网www.5ken.com为什么百度就不上关键字呢www.javmoo.comJAV编程怎么做?lcoc.top日本Ni-TOP是什么意思?
虚拟主机购买 香港主机租用 域名备案中心 webhostingpad edis godaddy优惠券 创梦 大容量存储器 isp服务商 银盘服务是什么 免费mysql数据库 实惠 nnt windowsserverr2 发证机构 网络安装 海尔t68g 大硬盘分区 什么是云主机 大容量存储控制器驱动 更多