作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。
前面的網誌裡,我們已經把管理與控制層的NSX Manager / NSX Controller安裝好。接下來我們要開始處理Data Plane轉發層這邊的構件。NSX-T Data Center有支援多種轉發層構件,包括vSphere Host / KVM Host / Bare-Metal Server / Edge VM / Bare-Metal Edge以及公有雲環境內的不同Agent等。但專注於一個基礎的NSX-T安裝說明,這邊我們討論的構件主要放在vSphere Host與Edge VM這兩個。
在整個系列文章內,我們已經進入到第三個步驟:Edge與Host的安裝
這個步驟內,我們要專注於兩件事:
- 把已經安裝好的vSphere Host註冊到NSX Manager,並在上面安裝NSX-T的驅動程式
- 匯入Edge VM並與NSX Manager進行註冊
首先看vSphere Host的配置。如果環境內沒有vCenter,可以一台台地把vSphere Host加進來,但通常我們還是會照之前描述的步驟,把環境內的vCenter加入到Compute Manager內。接著在Fabric – Nodes – Hosts內選擇這個Compute Manager,就可以看到所管轄的叢集有哪些,以及一台台的vSphere Host。大家可以選擇一次用Auto-Install的方式全部一起裝,不過這邊我們還是用一台一台裝的方式。按Add Host,或是在Compute Manager的vSphere Host上面點擊選擇Install NSX後,會出現下面的配置框:
把你要加入的vSphere Host名稱、IP地址、作業系統選ESXi、打入這台vSphere的root帳號與密碼。按Add後,NSX Manager會詢問Thumbprint是否正確要接受。然後會看到如下圖的畫面顯示NSX Install in Progress
過一陣子,Deployment Status會變成NSX Installed,並且顯示與Manager間的連接是Up。此時在Transport Node顯示Not Configured,以及Controller Connection是Not Available都是正常的。這個狀態代表目前NSX相關驅動程式已經部署完成,但是這個節點還沒有被納管為NSX-T的Transport Node,功能尚未啟用。
接著來做Edge VM的部署。無論是Bare-Metal或是虛機型態,請大家把Edge的功能想成這樣:
- 與vSphere Host / KVM Host一樣,這是一個受NSX-T控制的Endpoint設備
- 但這個設備上面不乘載虛機或是容器。這個設備內可以部署的是邏輯路由器,並且提供不同種類、需要連線狀態 (Stateful) 的上層服務,比如說NAT / 南北向防火牆 / 負載平衡器等
- 一台Edge設備內可以有多個邏輯路由器,以及上層的Stateful網路服務
- 但Edge最重要的功能,是作為實體世界以及NSX-T內邏輯網路世界的邊界。在NSX-T內建立於Overlay網路上的虛機與容器,可以透過Edge與外部的企業網路 (vlan-based) 介接,Edge內的邏輯路由器可以與外部的核心網路設備進行路由交換
把Edge VM匯入到vSphere內的絕大部分步驟和前面作NSX Manager / Controller的匯入方式一樣,只有三個主要差別
- 前面網誌有提到,Edge VM需要所在的伺服器有支援Intel DPDK功能,因此CPU世代必須是在Westmere之後。如果這個條件不能符合,匯入作業會失敗
- Edge VM匯入時會詢問部署的大小。為了避免後面無窮的問題,請不用節省資源,直接選擇Large。
- 一台Edge VM有四個網路卡,而這四個網路卡怎麼接呢?請看下圖
做更詳細的說明。在Edge VM的配置內,這四張網路卡規定是這樣:
- VM上的Network 1:在Edge VM內這個介面叫做eth0,僅作為管理用途。因此Network 1應該要接到管理網段上,也就是前面我們在VSS / VDS上面配置的PG-Mgmt這個網路群組
- VM上的Network 2:在Edge VM內這個介面叫做fp-eth0,專門是用來連接Geneve Tunnel的。因此Network 2應該要接到前面我們配置的PG-Geneve這個網路群組
- VM上的Network 3:在Edge VM內這個介面叫做fp-eth1,專門是往企業實體網路連接的Uplink。因此Network 3應該要接到前面我們配置的PG-Enterprise-Trunk這個網路群組
- VM上的Network 4:在Edge VM內這個介面叫做fp-eth2,在目前NSX-T的版本內沒有使用。因此…大家可以隨便找個Port Group放進去,而且網路連接直接把它disconnect就好,要接也無所謂。
如果Edge VM匯入成功,開機順利,那如同前面裝NSX Controller時一樣,我們要在Command Line內把這個虛機註冊給NSX Manager。首先在NSX Manager內,
nsx-t-manager> get certificate api thumbprint
(查詢NSX-T Manager的thumbprint指紋值)
接著登入這台Edge (nsx-t-edge-1),同樣以admin / password登入。
nsx-t-edge-1> join management-plane <nsx-manager-ip> username admin password <password> thumbprint <nsx-manager-thumbprint>
(這個指令是讓這台edge與nsx-manager註冊,因此IP / username / password都是manager的對應參數,而thumbprint就是在NSX Manager上面查到的指紋值)
在無論是PoC或生產環境內,建議最少部署兩台Edge VM。一切順利的話,各位在UI介面內,由Fabric – Nodes – Edge或是Hosts應該可以看到你的各台Edge與vSphere都已經可以被看到而且準備要被安裝為Transport Node了,如下圖:
這邊我們完成了Edge VM與vSphere Hosts的安裝與註冊。接下來幾篇,我們要進入最讓人迷惑的部分:配置Transport Zone / Uplink Profile,以及把每個Edge / vSphere Host變成受NSX-T控管的Transport Nodes。
