作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。
漫長的旅程,現在我們終於要進入到安裝的最後一個步驟,把各台vSphere Host與Edge VM納管為NSX-T的Transport Node。
一個Transport Node的意思是說這台vSphere Host / KVM Host或是Edge的虛機或實體機,有實體網路介面受NSX-T控管。控管的意思代表
- 這個設備可以由NSX-T來建立邏輯交換器,讓各個Transport Node上的虛機或榮後,可以透過Geneve封裝,或是基於標準vlan的邏輯交換器,來互相溝通。
- 這個設備上的虛機或容器,可以透過NSX-T的東西向防火牆進行安全控制。
- 這個設備上的虛機或容器的進出封包與網路流,可以由NSX-T這邊直接進行網路維運及監控。
在NSX-T的介面內,我們可以由Fabric – Nodes – Transport Nodes這裏按新增來進行Transport Node配置。每個Transport Node的配置有兩個部分要進行,在第一個General的頁面內,我們要輸入下列資訊:
- Name: 這個Transport Node的名稱,通常我們會把原本vSphere或是Edge的名稱後面再加上TN兩個字元。
- Node: 選擇這個Transport Node是對應到哪一個已經註冊完成的vSphere Host或是Edge。
- Transport Zones: 這個Transport Node是隸屬于哪些Transport Zones。
這個頁面配置完後,我們還要進一步配置N-VDS頁面。裡面需要配置的包含了
- N-VDS Name: 這個N-VDS的名稱。這個名稱直接連結到你現在配置的N-VDS是對應到哪一個Transport Zone(記得Transport Zone的配置內有對應到N-VDS的名字嗎)。
- NIOC Profile: Network IO Control的Profile,通常我們配default值。
- Uplink Profile: 這個N-VDS在這台Transport Node上,是使用哪一個前面我們已經配好的uplink profile (定義teaming / MTU / uplinks…)。
- 如果這個N-VDS有對應到Overlay-Type的Transport Zone ,那底層Geneve封裝互相溝通會需要有TEP (Tunnel Endpoint) 這個kernel-IP來互相溝通(並且進行Geneve封裝 / 解封裝作業)。因此我們需要告知目前是用哪個IP Pool來配置這台Transport Node的IP地址。我們可以預先將IP Pool配好,若是在這個頁面內直接配置一個新的IP Pool。
- Physical NICs: 這台實體伺服器或是Edge VM上,哪些網路埠是由這個N-VDS來進行控管呢?我們要把實際的網路埠(如下圖內的vmnic2)對應到前面uplink profiles內定義的uplink名稱。如果有多個uplink,就要同時定義完成。
下面這張圖是我們把環境內的各台vSphere Host要加入Transport Node的配置示意。在把每台vSphere加入時,我們會
- 需要加入兩個Transport Zone: TZ-Internal-Overlay與TZ-Internal-VLAN。原因是我們希望在這些vSphere上的虛機,能夠依據不同的需求,用Geneve-Overlay或是Vlan-Type的邏輯交換器來互相溝通。
- 只有一個N-VDS Switch: 大家可能有注意到之前這兩個Transport Zone是共用同樣一個N-VDS名稱叫internal-hostswitch。
- Uplink Profile採用vsphere-overlay-uplink-profile,裡面定義了有兩個uplinks、Geneve封裝是1700 MTU、Teaming的方式是..等。
- internal-hostswitch內的兩個uplink-1 / uplink-2分別要對應到vSphere上面歸N-VDS控管的實體埠,也就是vmnic2與vmnic3。
- 重複上面的程序,把每一台已經與NSX Manager註冊的vSphere Host都加進來。
而對於Edge VM,
- 需要加入兩個Transport Zone: TZ-Edge-Uplink-Vlan與TZ-Internal-Overlay。TZ-Edge-Uplink-Vlan是對應到往企業實體網路,而TZ-Internal-Overlay則是在所有Edge-VM與vSphere Host間建立Geneve-Overlay邏輯交換器。
- 需要建立兩個N-VDS Switch,名稱分別是edge-uplink-switch以及internal-hostswitch。
- 在edge-uplink-switch內,定義對應的profile是edge-vlan-uplink-profile,以及把Edge-VM上的fp-eth1 (VM的Network 3) 配給這個N-VDS的uplink-1。
- 在internal-hostswitch內,定義對應的profile是edge-overlay-uplink-profile,以及把Edge-VM上的fp-eth0 (VM的Network 2) 配給這個N-VDS的uplink-1。
- 重複上面的程序,把每一台已經與NSX Manager註冊的Edge都加進來。
如果都順利安裝完成了,大家應該可以看到下列的畫面:
- 在Fabric – Nodes – Transport Nodes內,看到你加上的各個Transport Nodes與對應的Transport Zone都正確配置,而且Status顯示為Up (下圖顯示Degraded的原因是由於Edge VM的實體介面Network 4沒有連接網路的關係,請忽略)
- 在Fabric – Nodes – Hosts與Fabric – Nodes – Edges內,看到你的各台vSphere Hosts或是Edge虛機所配置的Transport Node都正常顯示,而且Controller Connectivity都顯示為Up
- 在Dashboard內,配置的Transport Node / Transport Zone沒有出現Error
- 登入一台vSphere Host,用# ping ++netstack=vxlan -d -s 1572 <TEP-IP-Address>來確認在vSphere Host以及Edge VM間的Geneve-TEP介面用大封包連線正常。為什麼stack名稱仍然叫vxlan呢?我也想問我們RD…
最後,請建立一個Edge Cluster,然後把Edge Transport Node放到同一個Edge Cluster內。一個Edge Cluster內最多可以包括10個Edge Node(2.3版本),我們會把同樣屬性的邏輯路由器,比如說要支援ECMP的Tier-0路由器,給VMware PKS對外介接使用的Active-Standby Tier-0路由器,放到同一個Edge Cluster內。下圖內,我們建立了一個Edge Cluster叫做EdgeCluster-A/S,並且把nsx-t-edge01-TN到nsx-t-edge04-TN四個nodes都放到了這個Edge Cluster內。
那麼終於裝完了,恭喜!!但目前還沒有任何虛機在上面跑,還沒有建立任何交換器路由器微分段防火牆負載平衡器啊?啊這就是我們下一個系列要開始和大家介紹的了。我們要來建立一個三層式虛機的業務系統,並且在過程當中與大家說明各個NSX-T的功能。
