Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NSX
NSX for vSphere 6.2
ES-001544-02
Copyright 2010 2016 VMware, Inc. Todos los derechos reservados. Copyright e informacin de marca registrada.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
Paseo de la Castellana 141. Planta 8.
28046 Madrid.
Tel.:+ 34 91 418 58 01
Fax: + 34 91 418 50 55
www.vmware.com/es
VMware, Inc.
Contenido
53
VMware, Inc.
70
Desinstalar un enrutador lgico distribuido o una puerta de enlace de servicios NSX Edge 129
Desinstalar un conmutador lgico 129
Quitar una instalacin de NSX de forma segura 130
ndice 139
VMware, Inc.
En este manual se describe cmo instalar el entorno de Cross-vCenter NSX. La informacin incluye
instrucciones de configuracin paso a paso y prcticas recomendadas.
Pblico objetivo
Este manual est dirigido a quien desee instalar Cross-vCenter NSX. La informacin de este manual est
escrita para administradores de sistemas con experiencia que estn familiarizados con la tecnologa de
mquinas virtuales y con operaciones de centros de datos. En este manual se da por sentado que el usuario
est familiarizado con VMware Infrastructure 4.x, incluidos VMware ESX, vCenter Server y vSphere Client.
VMware, Inc.
VMware, Inc.
Las organizaciones de TI han obtenido beneficios importantes como resultado directo de la virtualizacin de
servidores. La consolidacin de servidores redujo la complejidad fsica, aument la eficiencia operativa y la
capacidad de reasignar dinmicamente los recursos subyacentes para cumplir, de forma rpida y ptima,
con las necesidades de las aplicaciones empresariales cada vez ms dinmicas.
La arquitectura del centro de datos definido por software (SDDC) de VMware ahora extiende las tecnologas
de virtualizacin a toda la infraestructura del centro de datos fsico. VMware NSX , la plataforma de
virtualizacin de red, es un producto clave de la arquitectura de SDDC. Con NSX, la virtualizacin aporta a
las redes lo que ya se ofrece en trminos de capacidad informtica y almacenamiento. De modo muy similar
en que la virtualizacin del servidor crea, elimina, restaura de forma programtica y crea instantneas de
mquinas virtuales basadas en software, la virtualizacin de red de NSX crea, elimina, restaura y crea
instantneas de redes virtuales basadas en software. El resultado es un enfoque de redes completamente
transformador que no solo permite que los administradores del centro de datos alcancen muchsima mayor
agilidad y mejor economa, sino que tambin permite la implementacin de un modelo operativo muy
simplificado para la red fsica subyacente. Gracias a que se puede implementar en cualquier red IP, incluidos
los modelos de redes tradicionales existentes y las arquitecturas de tejido de ltima generacin de cualquier
proveedor, NSX es una solucin que no provoca interrupciones. En efecto, con NSX, la infraestructura de
red fsica existente es todo lo que se necesita para implementar un centro de datos definido por software.
Aplicacin
Carga de trabajo
Entorno x86
Mquina
virtual
Mquina
virtual
Red
virtual
Mquina
virtual
Desacoplado
Requisito: x86
VMware, Inc.
Carga de trabajo
Carga de trabajo
Aplicacin
Aplicacin
Red
virtual
Red
virtual
Red fsica
La imagen de arriba establece una analoga entre la virtualizacin informtica y de red. Con la virtualizacin
del servidor, una capa de abstraccin de software (hipervisor de servidor) reproduce los atributos conocidos
de un servidor fsico x86 (por ejemplo, CPU, RAM, disco, NIC) en el software; de este modo, esos atributos
pueden ensamblarse programticamente en cualquier combinacin arbitraria para producir una nica
mquina virtual en cuestin de segundos.
Con la virtualizacin de red, el equivalente funcional de un hipervisor de red reproduce en el software el
conjunto completo de servicios de red de Capa 2 a Capa 7 (por ejemplo, conmutacin, enrutamiento, control
de acceso, proteccin de firewall, calidad de servicio [QoS] y equilibrio de carga). Como consecuencia, estos
servicios pueden ensamblarse programticamente en cualquier combinacin arbitraria, para producir redes
virtuales nicas y aisladas en cuestin de segundos.
Con la virtualizacin de red se obtienen beneficios similares a los que ofrece la virtualizacin del servidor.
Por ejemplo, as como las mquinas virtuales son independientes de la plataforma x86 subyacente y
permiten que TI trate los hosts fsicos como un grupo con capacidad informtica, las redes virtuales son
independientes del hardware de red IP subyacente y permiten que TI trate la red fsica como un grupo con
capacidad de transporte que puede consumirse y reasignarse a peticin. A diferencia de las arquitecturas
heredadas, las redes virtuales pueden aprovisionarse, cambiarse, almacenarse, eliminarse y restaurarse de
forma programtica sin volver a configurar la topologa o el hardware fsico subyacente. Al combinar las
capacidades y los beneficios que ofrecen las soluciones conocidas de virtualizacin de almacenamiento y del
servidor, este enfoque de redes transformador despliega todo el potencial del centro de datos definido por
software.
NSX puede configurarse mediante vSphere Web Client, una interfaz de lnea de comandos (CLI) y una API
de REST.
Este captulo cubre los siguientes temas:
n
Componentes de NSX
En esta seccin se describen los componentes de la solucin NSX.
CMP
Consumo
NSX Manager
Plano
de administracin
NSX Controller
Plano de control
estado de tiempo de ejecucin
NSX Edge
VXLAN
Enrutador
lgico distribuido
Firewall
VMware, Inc.
Tenga en cuenta que Cloud Management Platform (CMP) no es un componente de NSX, pero NSX
proporciona la integracin con casi cualquier CMP a travs de la API de REST y la integracin inmediata
con las CMP de VMware.
Plano de datos
El plano de datos de NSX consiste en NSX vSwitch, que se basa en vSphere Distributed Switch (VDS) con
otros componentes que permiten habilitar servicios. Los mdulos de kernel de NSX, los agentes de espacio
de usuarios, los archivos de configuracin y los scripts de instalacin estn empaquetados en VIB y se
ejecutan dentro del kernel del hipervisor a fin de proveer servicios, como el enrutamiento distribuido y el
firewall lgico, y habilitar capacidades de puente con VXLAN.
NSX vSwitch (basado en VDS) abstrae la red fsica y proporciona conmutacin en el hipervisor en el nivel de
acceso. Es fundamental para la virtualizacin de red, ya que habilita redes lgicas que son independientes
de las construcciones fsicas, como las VLAN. Algunos de los beneficios de vSwitch son los siguientes:
n
Compatibilidad con redes de superposicin con protocolos (como VXLAN) y configuracin de red
centralizada Las redes de superposicin habilitan las siguientes capacidades:
n
Creacin de una superposicin de Capa 2 (L2) lgica flexible en las redes IP existentes de la
infraestructura fsica existente sin que sea necesario volver a establecer la arquitectura de las redes
del centro de datos
Varias caractersticas, como la creacin de reflejo del puerto, NetFlow/IPFIX, la restauracin y la copia
de seguridad de la configuracin, la comprobacin del estado de red y la calidad de servicio (QoS) y
LACP, proporcionan un kit de herramientas integral para la administracin del trfico, la supervisin y
la solucin de problemas de una red virtual
Los enrutadores lgicos pueden proporcionar un puente de Capa 2 desde el espacio de red lgica (VXLAN)
hasta la red fsica (VLAN).
El dispositivo de puerta de enlace generalmente es un dispositivo virtual NSX Edge. NSX Edge ofrece
servicios de Capa 2 y Capa 3, firewall perimetral, equilibrio de carga y otros, como SSL VPN y DHCP.
Plano de control
El plano de control de NSX se ejecuta en el clster de NSX Controller. NSX Controller es un sistema de
administracin de estado avanzado que proporciona funciones en el plano de control para el enrutamiento y
la conmutacin lgica de NSX. Es el punto de control central para todos los conmutadores lgicos de una
red, adems de que conserva la informacin de todos los hosts, conmutadores lgicos (VXLAN) y
enrutadores lgicos distribuidos.
El clster de controladoras se encarga de administrar los mdulos de conmutacin y enrutamiento
distribuido de los hipervisores. Por la controladora no pasa ningn trfico del plano de datos. Los nodos de
controladora se implementan en un clster de tres miembros para habilitar la escala y la alta disponibilidad.
Cualquier error en los nodos no afecta el trfico del plano de datos.
NSX Controller funciona distribuyendo la informacin de red a los hosts. A fin de alcanzar un alto nivel de
resiliencia, NSX Controller se integra en un clster para ofrecer escalabilidad horizontal y HA. NSX
Controller debe implementarse en un clster de tres nodos. Los tres dispositivos virtuales proporcionan,
mantienen y actualizan el estado de funcionamiento de las redes del dominio NSX. Se utiliza NSX Manager
para implementar los nodos de NSX Controller.
VMware, Inc.
Los tres nodos de NSX Controller forman un clster de control. El clster de controladoras requiere curum
(tambin llamado mayora) para poder evitar una situacin de "cerebro dividido". En ese tipo de situaciones,
las incoherencias de datos surgen del mantenimiento de dos conjuntos de datos distintos que se
superponen. Las inconsistencias pueden deberse a condiciones de error y a problemas con la sincronizacin
de datos. Al tener tres nodos de controladora se garantiza la redundancia de datos en caso de que ocurra un
error en un nodo de NSX Controller.
Un clster de controladoras tiene varias funciones, entre ellas:
n
Proveedor de API
Servidor de persistencia
Administrador de conmutadores
Administrador lgico
Servidor de directorio
Plano de administracin
La creacin del plano de administracin de NSX se realiza mediante NSX Manager, el componente de
administracin de red centralizada de NSX. Proporciona el nico punto de configuracin y los puntos de
entrada de la API de REST.
NSX Manager se instala como dispositivo virtual en cualquier host ESX del entorno de vCenter Server.
NSX Manager y vCenter tienen una relacin uno a uno. Para cada instancia de NSX Manager, hay una de
vCenter Server. Esto es cierto incluso en un entorno de Cross-vCenter NSX.
En un entorno de Cross-vCenter NSX, hay una instancia principal de NSX Manager y una o ms instancias
secundarias de NSX Manager. La instancia principal de NSX Manager permite crear y administrar
conmutadores lgicos universales, enrutadores lgicos (distribuidos) universales y reglas de firewall
universales. Las instancias secundarias de NSX Manager se utilizan para administrar servicios de red que
corresponden localmente a la instancia especfica de NSX Manager. Puede haber hasta siete instancias
secundarias de NSX Manager asociadas con la instancia principal en un entorno de Cross-vCenter NSX.
10
VMware, Inc.
Plataforma de consumo
El consumo de NSX puede impulsarse directamente desde la interfaz de usuario de NSX Manager,
disponible en vSphere Web Client. En general, los usuarios finales unen la virtualizacin de red con Cloud
Management Platform (CMP) para implementar aplicaciones. NSX proporciona una integracin completa
en prcticamente cualquier CMP a travs de las API de REST. La integracin inmediata tambin est
disponible mediante VMware vCloud Automation Center, vCloud Director y OpenStack con el
complemento Neutron para NSX.
NSX Edge
Puede instalar NSX Edge como una puerta de enlace de servicios Edge (ESG) o un enrutador lgico
distribuido (DLR). La cantidad de dispositivos Edge, incluidos las ESG y los DLR, est limitada a 250 por
host.
VMware, Inc.
El plano de control del DLR es un elemento que proporciona el dispositivo virtual del DLR (tambin
denominado mquina virtual de control). Est mquina virtual es compatible con los protocolos de
enrutamiento dinmico (BGP y OSPF), intercambia actualizaciones de enrutamiento con el dispositivo
de salto de Capa 3 siguiente (generalmente, la puerta de enlace de servicios Edge) y se comunica con
NSX Manager y el clster de NSX Controller. La alta disponibilidad para el dispositivo virtual del DLR
se admite mediante la configuracin activo-en espera: se proporciona un par de mquinas virtuales que
funcionan en los modos activo/en espera cuando se crea el DLR con la caracterstica HA habilitada.
11
En el nivel del plano de datos, hay mdulos de kernel del DLR (VIB) que se instalan en los hosts ESXi
que son parte del dominio NSX. Los mdulos de kernel son similares a las tarjetas de lnea de un chasis
modular que admite el enrutamiento de Capa 3. Los mdulos de kernel tienen una base de informacin
de enrutamiento (RIB) (tambin conocida como tabla de enrutamiento) que se inserta desde el clster de
controladoras. Las funciones del plano de datos de bsqueda de rutas y bsqueda de entradas de ARP
se ejecutan mediante los mdulos de kernel. Los mdulos de kernel estn equipados con interfaces
lgicas (denominadas LIF) que se conectan a diferentes conmutadores lgicos y a cualquier grupo de
puertos respaldado por VLAN. Cada LIF tiene asignada una direccin IP que representa la puerta de
enlace IP predeterminada del segmento de Capa 2 lgico al que se conecta y una direccin vMAC. La
direccin IP es nica para cada LIF, mientras que la misma vMAC se asigna a todas las LIF definidas.
Una instancia de DLR se crea a partir de la interfaz de usuario de NSX Manager (o con llamadas API) y
se habilita el enrutamiento, con lo cual se aprovechan OSPF o BGP.
NSX Controller aprovecha el plano de control con los hosts ESXi para insertar la nueva configuracin
del DLR, incluidas las LIF y sus direcciones IP y vMAC asociadas.
12
La mquina virtual de control del DLR se puede configurar para redistribuir en OSPF los
prefijos IP de todas las redes lgicas conectadas (172.16.10.0/24 y 172.16.20.0/24 en este ejemplo).
Como consecuencia, esta mquina virtual inserta esos anuncios de ruta en NSX Edge. Observe que
el salto siguiente de esos prefijos no es la direccin IP asignada a la mquina virtual de control
(192.168.10.3), sino la direccin IP que identifica el componente del plano de datos del DLR
(192.168.10.2). La primera se conoce como la "direccin del protocolo" del DLR, mientras que la
segunda es la "direccin de reenvo".
VMware, Inc.
NSX Edge inserta en la mquina virtual de control los prefijos para comunicarse con las redes IP de
la red externa. En la mayora de los casos, es posible que NSX Edge enve una sola ruta
predeterminada, porque representa el nico punto de salida hacia la infraestructura de red fsica.
La mquina virtual de control del DLR inserta las rutas IP conocidas por NSX Edge en el clster de
controladoras.
Los mdulos de kernel de enrutamiento del DLR de los hosts controlan el trfico de la ruta de acceso de
datos para la comunicacin con la red externa mediante NSX Edge.
NSX Services
Los componentes de NSX trabajan juntos para brindar los servicios funcionales siguientes.
Conmutadores lgicos
Una implementacin de nube o un centro de datos virtual tiene una variedad de aplicaciones en varias
empresas. Estas aplicaciones y empresas requieren un aislamiento entre s por motivos de seguridad,
aislamiento de errores y direcciones IP que no se superpongan. NSX permite la creacin de varios
conmutadores lgicos, cada uno de los cuales es un dominio de difusin lgico nico. Una mquina virtual
de aplicaciones o empresa se puede conectar de forma lgica a un conmutador lgico. Esto permite
flexibilidad y velocidad de implementacin, al mismo tiempo que brinda todas las caractersticas de los
dominios de difusin de una red fsica (VLAN) sin los problemas fsicos de rbol de expansin o dispersin
en la Capa 2.
Un conmutador lgico se distribuye a todos los hosts de vCenter (o todos los hosts de un entorno de CrossvCenter NSX) y puede abarcar todos estos hosts. Esto permite la movilidad de la mquina virtual (vMotion)
dentro del centro de datos sin las restricciones del lmite de la Capa 2 fsica (VLAN). La infraestructura fsica
no est limitada por los lmites de la tabla de MAC/FIB, dado que el conmutador lgico contiene el dominio
de difusin en software.
Enrutadores lgicos
El enrutamiento proporciona la informacin de reenvo necesaria entre los dominios de difusin de Capa 2 y
permite disminuir el tamao de los dominios de difusin de Capa 2, as como mejorar la eficiencia y la
escala de la red. NSX ampla esta inteligencia hasta donde residen las cargas de trabajo para el enrutamiento
de Este a Oeste. Esto permite una comunicacin ms directa de una mquina virtual a otra sin la costosa
necesidad en cuanto a tiempo y dinero de ampliar los saltos. Al mismo tiempo, los enrutadores lgicos de
NSX proporcionan conectividad de Norte a Sur y permiten que las empresas accedan a redes pblicas.
Firewall lgico
El firewall lgico proporciona mecanismos de seguridad para los centros de datos virtuales dinmicos. El
componente firewall distribuido del firewall lgico permite segmentar entidades del centro de datos virtual,
como mquinas virtuales basadas en nombres y atributos de mquinas virtuales, identidad del usuario,
objetos de vCenter (por ejemplo, centros de datos) y hosts, as como atributos de redes tradicionales
(direcciones IP, VLAN, etc.). El componente firewall de Edge ayuda a cumplir con los requisitos clave de
seguridad de permetro, como la creacin de DMZ segn las construcciones de IP/VLAN, y permite el
aislamiento de empresa a empresa en los centros de datos virtuales de varias empresas.
VMware, Inc.
13
La caracterstica de supervisin de flujo muestra la actividad de red entre las mquinas virtuales en el nivel
del protocolo de aplicaciones. Puede utilizar esta informacin para auditar el trfico de red, definir y refinar
las directivas de firewall, e identificar amenazas a la red.
Service Composer
Service Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones en una
infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y los servicios se aplican a las
mquinas virtuales del grupo de seguridad por medio de una directiva de seguridad.
Data Security proporciona visibilidad de los datos confidenciales almacenados en los entornos de nube y
virtualizados de la organizacin e informa sobre cualquier infraccin a la seguridad de los datos.
Extensibilidad de NSX
Los proveedores de soluciones de terceros pueden integrar sus soluciones con la plataforma de NSX para
permitir que los clientes tengan una experiencia integrada en todos los productos de VMware y las
soluciones de partners. Los operadores del centro de datos pueden aprovisionar redes virtuales complejas
de varios niveles en cuestin de segundos, independientemente de los componentes o la topologa de red
subyacente.
14
VMware, Inc.
NSX 6.2 permite administrar varios entornos de vCenter NSX desde una nica instancia principal de NSX
Manager.
Este captulo cubre los siguientes temas:
n
Para admitir productos que requieren varios sistemas vCenter Server o sistemas vCenter Server
dedicados, como Horizon View o Site Recovery Manager
Para separar entornos, por ejemplo, por unidad de negocios, empresa, organizacin o tipo de entorno
En NSX 6.1 y anteriores, si se implementan varios entornos de vCenter NSX, estos deben administrarse por
separado. En NSX 6.2, puede crear objetos universales en la instancia de NSX Manager primaria, que se
sincronizan en todos los sistemas vCenter Server del entorno.
Cross-vCenter NSX incluye estas caractersticas:
n
VMware, Inc.
Mayor expansin de las redes lgicas de NSX. Las mismas redes lgicas estn disponibles en el entorno
de vCenter NSX, por lo que es posible que las mquinas virtuales en cualquier clster de cualquier
sistema vCenter Server se conecten con la misma red lgica.
15
Compatibilidad con los nuevos lmites de movilidad en vSphere 6, incluidos Cross vCenter y vMotion
de larga distancia en todos los conmutadores lgicos.
Mayor compatibilidad con entornos de varios sitios, desde distancia de metros hasta 150 ms RTT. Esto
incluye centros de datos activo-activo y activo-pasivo.
Mayor movilidad de las cargas de trabajo. Las mquinas virtuales pueden migrarse mediante vMotion
en todas las instancias de vCenter Server sin necesidad de volver a configurar la mquina virtual o
cambiar las reglas de firewall.
16
VMware, Inc.
Clster de
controladoras
universales
Sitio A
Sitio B
Sitio H
VM VM VM
VM VM VM
Firewall
distribuido
universal
VM VM VM
VM VM VM
NSX Service
Detalles
Es compatible con la
sincronizacin de Cross-vCenter
NSX en NSX 6.2?
Conmutador lgico
Zona de transporte
Conmutador lgico
Puentes de Capa 2
Enrutamiento
VMware, Inc.
No
Enrutador lgico (distribuido)
17
NSX Service
Firewall lgico
Detalles
Es compatible con la
sincronizacin de Cross-vCenter
NSX en NSX 6.2?
No
Firewall distribuido
Lista de exclusiones
No
SpoofGuard
No
No
No
Firewall de Edge
No
VPN
No
No
No
Service Composer
No
Seguridad de datos
No
Extensibilidad de la red
No
Grupos de direcciones IP
No
Grupos de seguridad
Servicios
Grupos de servicio
18
VMware, Inc.
Clster
Host ESXi
Si no habilita la salida local, el identificador de regin se omite y todos los hosts ESXi conectados al
enrutador lgico universal reciben las mismas rutas. Habilitar o no la salida local en un entorno de CrossvCenter NSX es una decisin de diseo, pero no es necesaria para todas las configuraciones de CrossvCenter NSX.
VMware, Inc.
19
Desde la instancia de NSX Manager principal, puede crear una seccin de reglas de firewall distribuido
marcada para la sincronizacin universal. Puede crear una seccin universal de reglas de Capa 2 y una
seccin universal de reglas de Capa 3. Estas secciones y sus reglas se sincronizan en todas las instancias de
NSX Manager secundarias del entorno. Las reglas en otras secciones siguen siendo locales en la instancia de
NSX Manager adecuada.
Las caractersticas de firewall distribuido siguientes no son compatibles en un entorno de Cross-vCenter
NSX.
n
Lista de exclusiones
SpoofGuard
Firewall de Edge
Service Composer no es compatible con la sincronizacin universal, por lo que no es posible utilizarlo para
crear reglas de firewall distribuido en la seccin universal.
Servicios universales
Los objetos de seguridad y red universales se pueden crear solo desde la instancia de NSX Manager
principal.
Los grupos de seguridad universales pueden contener solo conjuntos de direcciones IP universales,
conjuntos de direcciones MAC universales y grupos de seguridad universales. La pertenencia se define
solamente con los objetos incluidos, no se pueden utilizar la pertenencia dinmica ni los objetos excluidos.
Los grupos de seguridad universales no se pueden crear desde Service Composer. Los grupos de seguridad
creados desde Service Composer son locales para esa instancia de NSX Manager.
20
Una zona de transporte universal que incluye todos los clsteres del sitio o de los sitios.
VMware, Inc.
Un enrutador lgico universal con un dispositivo NSX Edge para permitir el enrutamiento dinmico. El
dispositivo de enrutamiento lgico universal tiene interfaces internas en los conmutadores lgicos
universales de la mquina virtual y una interfaz de vnculo superior en el conmutador lgico universal
de la red de trnsito.
Puertas de enlace de servicios Edge (ESG) conectadas a la red de trnsito y la red fsica del enrutador de
salida.
Sitio A
Enrutadores
fsicos
OSPF, BGP
VPN
Emparejamiento x8 E1
Dispositivo del
enrutador lgico
universal
VPN
Puerta de
enlace de
servicios
NSX Edge
Conmutador
lgico universal
Red de trnsito
E8
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VMware, Inc.
21
Sitio B
vCenter con NSX
Manager (secundario)
Enrutadores
fsicos
OSPF, BGP
VPN
Emparejamiento
E1
Dispositivo del
enrutador lgico
universal
VPN
Puerta de
enlace de
servicios
NSX Edge
Conmutador
lgico universal
Red de trnsito
E8
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
Salida local
Todos los sitios de un entorno de Cross-vCenter NSX de varios sitios pueden utilizar los mismos
enrutadores fsicos para el trfico de salida. No obstante, si es necesario personalizar las rutas de salida,
debe habilitarse la caracterstica de salida local al crear el enrutador lgico universal. De este modo, puede
personalizar las rutas en el nivel del enrutador lgico universal, del clster o del host.
Este ejemplo de un entorno de Cross-vCenter NSX en varios sitios tiene la salida local habilitada. Las
puertas de enlace de servicios Edge (ESG) en cada sitio tienen una ruta predeterminada que enva trfico
saliente a travs de los enrutadores fsicos del sitio. El enrutador lgico universal est configurado con dos
dispositivos, uno en cada sitio. Los dispositivos conocen las rutas de las ESG de su sitio. Las rutas conocidas
se envan al clster universal de controladoras. Dado que la salida local est habilitada, el identificador de
22
VMware, Inc.
configuracin regional del sitio se asocia con esas rutas. El clster universal de controladoras enva a los
hosts rutas con identificadores de configuracin regional coincidentes. Las rutas conocidas del dispositivo
del sitio A se envan a los hosts del sitio A y las rutas conocidas del dispositivo del sitio B se envan a los
hosts del sitio B.
Sitio A
Clster de
controladoras
universales
Sitio B
vCenter con NSX
Manager (secundario)
Sitio B
Enrutadores
fsicos
Sitio A
Enrutadores
fsicos
OSPF, BGP
VPN
Emparejamiento
E1
VPN
Puerta de
enlace de
servicios
NSX Edge
E8
Conmutador
lgico universal
Red de trnsito A
Enrutador
lgico universal
Dispositivo
principal
Puerta de
enlace de
servicios
NSX Edge
VPN
E1
VPN
OSPF, BGP
E8
Emparejamiento
Conmutador
lgico universal
Red de trnsito B
Enrutador
lgico universal
Dispositivo
secundario
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
Establecer como
independiente (desde
secundaria) (Set as
standalone [from
secondary])
VMware, Inc.
23
24
Establecer como
independiente (desde
principal) (Set as
standalone [from
primary])
Desconectar de
principal (Disconnect
from primary)
VMware, Inc.
En esta seccin se describen los requisitos del sistema para NSX y los puertos que deben estar abiertos.
Este captulo cubre los siguientes temas:
n
Hardware
Tabla 41. Requisitos de hardware
Dispositivo
Memoria
vCPU
Espacio en disco
NSX Manager
4 GB (8 GB con ciertos
tamaos de
implementacin de NSX*)
60 GB
NSX Controller
4 GB
20 GB
NSX Edge
n
n
n
n
Compacto: 512 MB
Grande: 1 GB
Cudruple: 1 GB
Extra grande: 8 GB
n
n
n
n
Compacto: 1
Grande: 2
Tamao cudruple: 4
Extra grande: 6
n
n
n
n
Guest
Introspection
1 GB
4 GB
NSX Data
Security
512 MB
VMware, Inc.
25
vSphere 5.5:
n
Memoria---https://pubs.vmware.com/vsphere-55/index.jsp?topic=
%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-49D7217CDB6C-41A6-86B3-7AFEB8BF575F.html
vCPU---https://pubs.vmware.com/vsphere-55/index.jsp?topic=
%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-76FC7E9F-8037-4C8EBEB9-91C266C1EA9A.html
vSphere 6.0:
n
Memoria---https://pubs.vmware.com/vsphere-60/index.jsp?topic=
%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-49D7217CDB6C-41A6-86B3-7AFEB8BF575F.html
vCPU---https://pubs.vmware.com/vsphere-60/index.jsp?topic=
%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-76FC7E9F-8037-4C8EBEB9-91C266C1EA9A.html
Software
Para ver la informacin de interoperabilidad ms reciente, consulte la seccin sobre matrices de
interoperabilidad del producto en http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php.
Estas son las versiones recomendadas de los productos de VMware.
n
Versin
NSX Manager
6.2 o posterior
NSX Controller
6.2 o posterior
vCenter Server
6.0 o posterior
ESXi
n
n
Para administrar todas las instancias de NSX Manager en una implementacin de Cross-vCenter NSX desde
una sola instancia de vSphere Web Client, debe conectar vCenter Server en Enhanced Linked Mode.
Consulte la documentacin de VMware vSphere 6 https://www.vmware.com/support/pubs/vsphere-esxivcenter-server-6-pubs.html.
Para comprobar la compatibilidad de las soluciones de partners con NSX, consulte la Gua de
compatibilidad de VMware para Networking and Security en
http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.
26
VMware, Inc.
Si agreg hosts ESXi por nombre al inventario de vSphere, compruebe que la resolucin de nombres
directa o inversa est funcionando. De lo contrario, NSX Manager no puede resolver las direcciones IP.
Acceda al almacn de datos en el que almacena archivos de mquina virtual y a los permisos de cuenta
para copiar los archivos en ese almacn de datos.
Cookies habilitadas en el explorador web, para acceder a la interfaz de usuario de NSX Manager.
En NSX Manager, compruebe que se puede acceder al puerto 443 desde el host ESXi, el servidor
vCenter Server y los dispositivos NSX que se implementarn. Este puerto debe descargar el archivo
OVF en el host ESXi para la implementacin.
Un navegador web que sea compatible con la versin de vSphere Web Client que est utilizando. Para
obtener ms informacin, consulte la documentacin sobre la administracin de vCenter Server y hosts:
n
Destino
Puert
o
Protocol
o
PC cliente
NSX Manager
443
PC cliente
NSX Manager
Host ESXi
Propsito
Sensible
TLS
Autenticacin
TCP
Interfaz
administrativa de
NSX Manager
No
Autenticacin
PAM
80
TCP
Acceso a VIB de
NSX Manager
No
No
Autenticacin
PAM
vCenter
Server
80
TCP
Preparacin del
host ESXi
No
No
vCenter Server
Host ESXi
80
TCP
Preparacin del
host ESXi
No
No
Host ESXi
NSX Manager
5671
TCP
RabbitMQ
No
Host ESXi
NSX
Controller
1234
TCP
Conexin del
agente del mbito
del usuario
No
NSX Controller
NSX
Controller
2878,
2888,
3888
TCP
Clster de
controladoras,
sincronizacin de
estado
No
IPsec
NSX Controller
NSX
Controller
7777
TCP
No
IPsec
VMware, Inc.
Usuario/contrase
a de Rabbit MQ
27
28
Puert
o
Protocol
o
NSX
Controller
30865
NSX Controller
Servidor
horario NTP
NSX Manager
Origen
Destino
Propsito
Sensible
TLS
Autenticacin
NSX Controller
TCP
Clster de
controladoras,
sincronizacin de
estado
No
IPsec
123
TCP
Conexin de
cliente NTP
No
Sin autenticacin
NSX
Controller
443
TCP
Comunicacin de
controladora a
Manager
No
Usuario/contrase
a
NSX Manager
vCenter
Server
443
TCP
vSphere Web
Access TCP
No
NSX Manager
vCenter
Server
902
TCP
vSphere Web
Access
No
NSX Manager
Host ESXi
443
TCP
Conexin de
aprovisionamient
oy
administracin
No
NSX Manager
Host ESXi
902
TCP
Conexin de
aprovisionamient
oy
administracin
No
NSX Manager
Servidor DNS
53
TCP
Conexin de
cliente DNS
No
No
NSX Manager
Servidor
syslog
514
TCP
Conexin de
Syslog
No
NSX Manager
Servidor
horario NTP
123
TCP
Conexin de
cliente NTP
No
vCenter Server
NSX Manager
80
TCP
Preparacin del
host TCP
No
Cliente REST
NSX Manager
443
TCP
API de REST de
NSX Manager
No
Usuario/contrase
a
NSX Controller
Servidor
horario NTP
123
UDP
Conexin de
cliente NTP
No
Sin autenticacin
NSX Manager
Servidor DNS
53
UDP
Conexin de
cliente DNS
No
No
NSX Manager
Servidor de
Syslog
514
UDP
Conexin de
Syslog
No
NSX Manager
Servidor
horario NTP
123
UDP
Conexin de
cliente NTP
No
Terminal de
tnel de
VXLAN (VTEP)
Terminal de
tnel de
VXLAN
(VTEP)
8472 o
4789*
UDP
Encapsulacin de
red de transporte
entre VTEP
No
Host ESXi
Host ESXi
6999
UDP
ARP en LIF de
VLAN
No
Host ESXi
NSX Manager
8301,
8302
UDP
Sincronizacin de
DVS
No
NSX Manager
Host ESXi
8301,
8302
UDP
Sincronizacin de
DVS
No
VMware, Inc.
*En versiones de NSX anteriores a la versin 6.2.3, el puerto VTEP predeterminado para las instalaciones
nuevas era el 8472. A partir de la versin 6.2.3 de NSX, el puerto VTEP predeterminado para las
instalaciones nuevas es el 4789. Las implementaciones de NSX actualizadas de una versin anterior de NSX
a NSX 6.2.3 siguen utilizando el mismo puerto de forma predeterminada. Adems, puede configurar un
puerto personalizado.
Para un diseo de clster como este, es posible que haya dos VDS denominados Compute_VDS y
Mgmt_VDS. Compute_VDS abarca ambos clsteres de proceso y Mgmt_VDS est asociado solo con el
clster de Edge y de administracin.
Cada VDS contiene grupos de puertos distribuidos para los distintos tipos de trfico que se deben
transportar. Los tipos de trfico tpicos incluyen administracin, almacenamiento y vMotion. Generalmente,
tambin se necesitan puertos de acceso y vnculo superior. Por lo general, se crea un grupo de puertos para
cada tipo de trfico en cada VDS.
Por ejemplo, la pantalla siguiente muestra cmo aparecen estos puertos y conmutadores distribuidos en
vCenter.
VMware, Inc.
29
Cada grupo de puertos puede, opcionalmente, configurarse con un identificador de VLAN. La lista
siguiente muestra un ejemplo de cmo las VLAN pueden asociarse con los grupos de puertos distribuidos
para proporcionar un aislamiento lgico entre los distintos tipos de trfico:
n
El grupo de puertos DVUplinks es un tronco de VLAN que se crea automticamente cuando se crea un
VDS. Como puerto troncal, enva y recibe tramas etiquetadas. De forma predeterminada, lleva todos los
identificadores de VLAN (0-4094). Esto significa que el trfico con cualquier identificador de VLAN puede
transmitirse por los adaptadores de red vmnic asociados con la ranura DVUplink y que los hosts del
hipervisor pueden filtrarlo a medida que el conmutador distribuido determina qu grupo de puertos debe
recibir el trfico.
Si el entorno de vCenter existente contiene vSwitch estndar en lugar de conmutadores distribuidos, puede
migrar los hosts a conmutadores distribuidos.
30
VMware, Inc.
Asgnele al conmutador un nombre significativo basado en el clster de hosts que se asociar con este
conmutador.
Por ejemplo, si un conmutador distribuido estar asociado con un clster de hosts de administracin de
centro de datos, puede asignarle el nombre VDS_Admin.
VMware, Inc.
31
El grupo de puertos predeterminado es solo uno de los grupos que contiene el conmutador. Una vez
creado el conmutador, tendr la posibilidad de agregar grupos de puertos para los diferentes tipos de
trfico. De manera opcional, puede desmarcar la opcin Crear un grupo de puertos predeterminado
(Create a default port group) al crear un nuevo VDS. En realidad, esta puede ser la prctica
recomendada; es mejor ser explcito a la hora de crear grupos de puertos.
5
(Opcional) Una vez que finaliza el asistente Nuevo conmutador distribuido (New Distributed Switch),
edite la configuracin del grupo de puertos predeterminado para colocarlo en la VLAN correcta para el
trfico de administracin.
Por ejemplo, si las interfaces de administracin de hosts estn en la VLAN 110, coloque el grupo de
puertos predeterminado en la VLAN 110. Si las interfaces de administracin de hosts no estn en una
VLAN, omita este paso.
Una vez que finaliza el asistente Nuevo conmutador distribuido (New Distributed Switch), haga clic
con el botn derecho en el conmutador distribuido y seleccione Nuevo grupo de puertos distribuidos
(New Distributed Port Group).
Repita este paso con cada tipo de trfico, asigne un nombre significativo a cada grupo de puertos y
configure el identificador de VLAN correspondiente segn los requisitos de separacin de trfico de la
implementacin.
Configuracin de grupo de ejemplo para almacenamiento.
32
VMware, Inc.
VMware, Inc.
33
Haga clic con el botn derecho en el conmutador distribuido, seleccione Agregar y administrar hosts
(Add and Manage Hosts) y, a continuacin, Agregar hosts (Add Hosts).
Conecte todos los hosts que estn en el clster asociado. Por ejemplo, si se trata de un conmutador para
hosts de administracin, seleccione todos los hosts del clster de administracin.
34
Seleccione las opciones para migrar los adaptadores fsicos, los adaptadores VMkernel y las redes de la
mquina virtual.
VMware, Inc.
Seleccione un vnculo superior vmnic y haga clic en Asignar vnculo superior (Assign uplink) para
migrar el vmnic desde el conmutador vSwitch estndar al conmutador distribuido. Repita este paso con
cada host que vaya a conectar al conmutador vSwitch distribuido.
Por ejemplo, esta pantalla muestra dos hosts con sus vnculos superiores vmnic0 configurados para
migrar desde sus respectivos conmutadores vSwitch estndar hacia el grupo de puertos distribuidos
Mgmt_VDS-DVUplinks, un puerto troncal que puede transportar cualquier identificador de VLAN.
10
Seleccione un adaptador de red VMkernel y haga clic en Asignar grupo de puertos (Assign port
group). Repita este paso con todos los adaptadores de red de todos los hosts que vaya a conectar al
conmutador vSwitch distribuido.
Por ejemplo, esta pantalla muestra tres adaptadores de red vmk en dos hosts configurados para
migrarse desde los grupos de puertos estndar hacia los nuevos grupos de puertos distribuidos.
VMware, Inc.
35
11
Mueva las mquinas virtuales que estn en los hosts a un grupo de puertos distribuidos.
Por ejemplo, esta pantalla muestra dos mquinas virtuales en un solo host configuradas para migrarse
desde el grupo de puertos estndar hacia el nuevo grupo de puertos distribuidos.
Una vez finalizado el procedimiento, puede comprobar los resultados en la interfaz de lnea de comandos
del host con la ejecucin de los siguientes comandos:
n
36
VMware, Inc.
Qu hacer a continuacin
Repita el proceso de migracin con todos los conmutadores distribuidos de vSphere.
VMware, Inc.
37
Implementar NSX
Manager
Registro con
vCenter
vCenter
Implementar NSX
Controller
Preparar
hosts
DFW
VXLAN
Enrutamiento
Host ESXi
VPN
VPN
En la primera parte del proceso, se debe implementar una plantilla de OVF/OVA de NSX Manager y
comprobar que NSX Manager tenga conectividad completa con las interfaces de administracin de los hosts
ESX que administrar. En el siguiente paso, NSX Manager y una instancia de vCenter deben vincularse
entre s mediante un proceso de registro. Esto posteriormente permite la implementacin de un clster de
NSX Controller. NSX Controller, as como NSX Manager, se ejecutan como dispositivos virtuales en los hosts
ESX. A continuacin, se deben preparar los hosts ESX para NSX mediante la instalacin de varios VIB en los
hosts. Estos VIB habilitan la funcionalidad de VXLAN de Capa 2, el enrutamiento distribuido y el firewall
distribuido. Despus de configurar las VXLAN, especificar los rangos de interfaz de red virtual (VNI) y
crear zonas de transporte, puede crear la topologa de superposicin de NSX.
Esta gua de instalacin describe en detalle cada paso del proceso.
Si bien esta gua es aplicable a cualquier implementacin de NSX, tambin se la puede consultar a modo de
ayuda durante el proceso de creacin de una topologa de superposicin de NSX de ejemplo que se puede
utilizar con fines de prctica, instrucciones y referencia. La superposicin de ejemplo tiene un solo enrutador
lgico distribuido NSX (a veces denominado DLR), una puerta de enlace de servicios Edge (ESG) y un
38
VMware, Inc.
conmutador de trnsito lgico NSX que conecta los dos dispositivos de enrutamiento de NSX. La topologa
de ejemplo tambin incluye elementos de una base, que incluye dos mquinas virtuales de ejemplo. Cada
una de estas mquinas virtuales est conectada a un conmutador lgico NSX distinto que permite la
conectividad mediante el enrutador lgico NSX (DLR).
vSphere
Distributed
Switch
ESG
192.168.100.3
Tipo de vnculo:
vnculo superior
192.168.10.1
Tipo de vnculo: interno
Arquitectura
fsica
192.168.100.1
Conmutador
lgico
de trnsito
192.168.10.2
Tipo de vnculo:
vnculo superior
Direccin del protocolo:
192.168.10.3
DLR
172.16.20.1
Tipo de vnculo: interno
Conmutador
lgico
de aplicaciones
172.16.10.1
Tipo de vnculo: interno
Conmutador
lgico
web
172.16.20.10
VM
Mquina virtual
de aplicaciones
VMware, Inc.
172.16.10.10
VM
Mquina virtual
web
39
40
VMware, Inc.
En un entorno de Cross-vCenter, puede haber una instancia de NSX Manager principal y hasta siete
instancias de NSX Manager secundarias. Algunas tareas de instalacin se realizan en cada instancia de NSX
Manager, ya sea que se convierta en una instancia de NSX Manager principal o en una secundario.
Este captulo cubre los siguientes temas:
n
VMware, Inc.
41
Durante la instalacin, es posible unirse al Programa de mejora de la experiencia de cliente (CEIP) de NSX.
Consulte el Programa de mejora de la experiencia de cliente en Gua de administracin de NSX para obtener
ms informacin acerca del programa, incluyendo cmo unirse o salir de l.
Prerequisitos
n
Antes de instalar NSX Manager, asegrese de que los puertos requeridos estn abiertos. Consulte
Puertos y protocolos requeridos por NSX, pgina 27.
Asegrese de que haya un almacn de datos configurado y accesible en el host ESX de destino. Se
recomienda el almacenamiento compartido. HA requiere almacenamiento compartido, de modo que el
dispositivo NSX Manager puede reiniciarse en otro host si se producen errores en el host original.
Asegrese de conocer la direccin IP y la puerta de enlace, las direcciones IP del servidor DNS, la lista
de bsqueda de dominios y la direccin IP del servidor NTP que utilizar NSX Manager.
Decida si NSX Manager tendr nicamente direcciones IPv4, nicamente direcciones IPv6 o una
configuracin de red de doble pila. El nombre de host de NSX Manager se utilizar en otras entidades.
Por lo tanto, el nombre de host de NSX Manager debe asignarse a la direccin IP correcta de los
servidores DNS utilizados en la red.
Prepare un grupo de puertos distribuidos para trfico de administracin en el que se comunicar NSX
Manager. Consulte Ejemplo: Trabajar con un conmutador distribuido de vSphere, pgina 31. La
interfaz de administracin de NSX Manager, vCenter Server y las interfaces de administracin de hosts
ESXi deben poder comunicarse con las instancias de NSX Guest Introspection.
En la parte inferior de la pgina de inicio de sesin de vSphere Web Client, haga clic en Descargar
complemento de integracin de clientes (Download Client Integration Plug-in).
Si el complemento de integracin de clientes ya est instalado en el sistema, no ver el vnculo para
descargarlo. Si desinstala el complemento de integracin de clientes, el vnculo para descargarlo
aparecer en la pgina de inicio de sesin de vSphere Web Client.
Procedimiento
1
Seleccione Mquinas virtuales y plantillas (VMs and Templates), haga clic con el botn derecho en el
centro de datos y seleccione Implementar plantilla de OVF (Deploy OVF Template).
Pegue la URL de descarga o haga clic en Examinar (Browse) para seleccionar el archivo en el equipo.
Active la casilla Aceptar opciones de configuracin adicionales (Accept extra configuration options).
De este modo, puede establecer direcciones IPv4 e IPv6, as como propiedades de puerta de enlace
predeterminada, DNS, NTP y SSH durante la instalacin, en lugar de configurar estas opciones
manualmente despus de la instalacin.
42
VMware, Inc.
Edite el nombre de NSX Manager (si se lo requiere). Seleccione la ubicacin para la instancia de NSX
Manager implementada.
El nombre que escriba aparecer en el inventario de vCenter.
La carpeta que seleccione se utilizar para aplicar permisos a NSX Manager.
10
VMware, Inc.
43
11
12
Abra la consola de NSX Manager para hacer un seguimiento del proceso de arranque.
Una vez que NSX Manager haya terminado de arrancar, inicie sesin en la interfaz de lnea de comandos y
ejecute el comando show interface para comprobar que la direccin IP se aplic segn lo esperado.
nsxmgr1> show interface
Interface mgmt is up, line protocol is up
index 3 metric 1 mtu 1500 <UP,BROADCAST,RUNNING,MULTICAST>
HWaddr: 00:50:56:8e:c7:fa
inet 192.168.110.42/24 broadcast 192.168.110.255
inet6 fe80::250:56ff:fe8e:c7fa/64
Full-duplex, 0Mb/s
input packets 1370858, bytes 389455808, dropped 50, multicast packets 0
input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0
output packets 1309779, bytes 2205704550, dropped 0
output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0
collisions 0
Asegrese de que NSX Manager pueda hacer ping en su puerta de enlace predeterminada, su servidor NTP,
vCenter Server y la direccin IP de la interfaz de administracin en todos los hosts del hipervisor que
administrar.
44
VMware, Inc.
Para conectarse a la GUI del dispositivo NSX Manager, abra un explorador web y desplcese hasta el
nombre de host o la direccin IP de NSX Manager.
Despus de iniciar sesin como administrador con la contrasea que estableci durante la instalacin, haga
clic en Ver resumen (View Summary) y asegrese de que se estn ejecutando los siguientes servicios:
vPostgres, RabbitMQ y NSX Management Services.
A fin de obtener un rendimiento ptimo, VMware recomienda que reserve memoria para el dispositivo
virtual NSX Manager. Una reserva de memoria es un lmite inferior garantizado para la cantidad de
memoria fsica que el host reserva para una mquina virtual, incluso cuando la memoria est
sobrecomprometida. Establezca la reserva en un nivel que garantice que NSX Manager tenga suficiente
memoria como para ejecutarse de forma eficiente.
Qu hacer a continuacin
Registre vCenter Server con NSX Manager.
VMware, Inc.
45
Para utilizar SSO en NSX Manager, es necesario tener la versin vCenter Server 5.5 o posterior, y el
servicio de autenticacin Single Sign-On (SSO) debe estar instalado en vCenter Server. Tenga en cuenta
que esto aplica al servicio SSO integrado. En cambio, la implementacin debe utilizar un servidor SSO
externo centralizado.
Para obtener informacin sobre los servicios SSO que ofrece vSphere, consulte
http://kb.vmware.com/kb/2072435 y http://kb.vmware.com/kb/2113115.
Debe especificarse el servidor NTP para que la hora del servidor SSO y la hora de NSX Manager estn
sincronizadas.
Por ejemplo:
Procedimiento
1
46
VMware, Inc.
Compruebe si la huella digital del certificado coincide con el certificado de vCenter Server.
Si instal un certificado firmado por la entidad de certificacin en el servidor de la entidad de
certificacin, ver la huella digital del certificado firmado por la entidad de certificacin. De lo
contrario, ver un certificado autofirmado.
Qu hacer a continuacin
Asigne un rol al usuario de SSO.
VMware, Inc.
47
Por ejemplo, supongamos que tiene la siguiente configuracin inicial de NSX Manager y vCenter:
n
Si cambia la configuracin en NSX1 de modo que su instancia de vCenter sea VC2, ocurrir lo siguiente:
n
En otras palabras, si ya hay una instancia de vCenter registrada en una instancia de NSX Manager y, a
continuacin, otra instancia de NSX Manager registra la misma instancia de vCenter, vCenter anula
automticamente su conexin con la primera instancia de NSX Manager y se conecta a la nueva instancia de
NSX Manager. No obstante, cuando inicie sesin en la primera instancia de NSX Manager, esta contina
informando sobre una conexin con vCenter.
Para evitar este problema, extraiga el complemento de NSX Manager de VC1 antes de registrarlo en VC2.
Para obtener instrucciones, consulte Quitar una instalacin de NSX de forma segura, pgina 130.
Prerequisitos
n
El servicio de administracin de NSX debe estar en ejecucin. Para comprobarlo, abra en un explorador
web la GUI del dispositivo NSX Manager en https://<nsx-manager-ip> y busque en la pestaa Resumen
(Summary).
Para sincronizar NSX Manager con vCenter Server, debe tener una cuenta de usuario en vCenter Server
con el rol de administrador. Si la contrasea de vCenter tiene caracteres no ASCII, debe cambiarla
sincronizando NSX Manager con vCenter Server.
Procedimiento
1
En un explorador web, desplcese hasta la GUI del dispositivo NSX Manager en https://<nsx-managerip> o https://<nsx-manager-hostname> e inicie sesin como administrador con la contrasea que
configur al instalar NSX Manager.
48
VMware, Inc.
Edite el elemento de vCenter Server para que apunte al nombre de host o a la direccin IP de vCenter
Server y, a continuacin, introduzca el nombre de usuario y la contrasea de vCenter Server.
En lo que respecta al nombre de usuario, la prctica recomendada es introducir
administrador@vsphere.local o una cuenta alternativa que haya creado. No utilice la cuenta raz.
Compruebe si la huella digital del certificado coincide con el certificado de vCenter Server.
Si instal un certificado firmado por la entidad de certificacin en el servidor de la entidad de
certificacin, ver la huella digital del certificado firmado por la entidad de certificacin. De lo
contrario, ver un certificado autofirmado.
VMware, Inc.
49
Si vCenter Web Client ya est abierto, cierre la sesin en vCenter y vuelva a iniciarla con el mismo rol
de administrador que utiliz al registrar NSX Manager con vCenter.
Si no lo hace, vCenter Web Client no mostrar el icono Redes y seguridad (Networking & Security) en
la pestaa Inicio (Home).
Haga clic en el icono Redes y seguridad (Networking & Security) y confirme que puede ver la nueva
instancia de NSX Manager implementada.
Qu hacer a continuacin
VMware recomienda programar una copia de seguridad de los datos de NSX Manager apenas despus de
instalar NSX Manager.
Si tiene una solucin de partners de NSX, consulte la documentacin del partner para obtener informacin
sobre cmo registrar la consola del partner con NSX Manager.
Inicie sesin en vSphere Web Client y compruebe que el icono Redes y seguridad (Networking & Security)
aparezca en la pestaa Inicio (Home). Si ya tiene la sesin abierta, el icono no se mostrar. Vuelva a iniciar
sesin en vSphere Web Client para ver el nuevo icono.
50
VMware, Inc.
En un navegador web, acceda a la interfaz grfica de usuario (GUI) del dispositivo NSX Manager en
https://<nsx-manager-ip> o https://<nsx-manager-hostname>.
Inicie sesin como administrador con la contrasea que estableciera durante la instalacin de NSX
Manager.
VMware, Inc.
51
Escriba el nombre del host o la direccin IP, el puerto y el protocolo del servidor de Syslog.
Si no especifica un puerto, se utiliza el puerto UDP predeterminado para la direccin IP o el nombre de
host del servidor de Syslog.
Por ejemplo:
Se habilita el registro remoto en vCenter Server y los registros se almacenan en el servidor de Syslog
independiente.
En vSphere 5.5, complete los siguientes pasos para agregar una licencia para NSX.
a
Seleccione NSX for vSphere en la lista Soluciones (Solutions). Haga clic en Asignar una clave de
licencia (Assign a license key).
Seleccione Asignar una nueva clave de licencia (Assign a new license key) en el men desplegable.
52
VMware, Inc.
En vSphere 6.0, complete los siguientes pasos para agregar una licencia para NSX.
a
Seleccione NSX for vSphere en la lista Soluciones (Solutions). En el men desplegable Todas las
acciones (All Actions), seleccione Asignar licencia... (Assign license...).
Haga clic en el icono Agregar ( ) (Add). Introduzca la clave de licencia y haga clic en Siguiente
(Next). Agregue un nombre para las licencias y haga clic en Siguiente (Next). Haga clic en
Finalizar (Finish) para agregar la licencia.
(Opcional) Haga clic en el icono Ver caractersticas para ver qu caractersticas estn habilitadas
con esta licencia. Revise la columna de Capacidad para comprobar la capacidad de la licencia.
Qu hacer a continuacin
Para obtener ms informacin sobre las licencias de NSX, consulte
http://www.vmware.com/files/pdf/vmware-product-guide.pdf.
vCenter Server. Puede moverse a un clster protegido por firewall, pero ya debe existir en la lista de
exclusin para evitar problemas de conectividad.
Mquinas virtuales que requieren el modo promiscuo. Si estas mquinas virtuales estn protegidas por
firewall distribuido de NSX, su rendimiento puede verse gravemente afectado.
Procedimiento
1
En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security).
En Inventario de redes y seguridad (Networking & Security Inventory) haga clic en Instancias de NSX
Manager (NSX Managers).
Haga clic en la pestaa Administrar (Manage) y, a continuacin, en Lista de exclusin (Exclusion List).
VMware, Inc.
).
53
Escriba el nombre de la mquina virtual que desea excluir y haga clic en Agregar (Add).
Por ejemplo:
Si una mquina virtual tiene varias NIC, todas ellas quedarn excluidas de la proteccin. Si agrega vNIC a
una mquina virtual que ya est agregada a la lista de exclusin, el firewall se implementa automticamente
en las vNIC recientemente agregadas. Para excluir estas vNIC de la proteccin de firewall, debe extraer la
mquina virtual de la lista de exclusin y, a continuacin, volver a agregarla a la lista. Una alternativa es
realizar un ciclo de energa (apagar y encender la mquina virtual), pero la primera opcin es menos
disruptiva.
54
VMware, Inc.
Hay una sola instancia principal de NSX Manager en un entorno de Cross-vCenter NSX. Seleccione qu
instancia de NSX Manager ser la principal y realice las tareas de configuracin para completar la
instalacin de NSX, asignar el rol principal a NSX Manager y crear objetos universales.
La instancia principal de NSX Manager se utiliza para implementar un clster de controladoras universales
que proporciona el plano de control al entorno de Cross-vCenter NSX. Las instancias secundarias de NSX
Manager no tienen su propio clster de controladoras.
Este captulo cubre los siguientes temas:
n
Agregar una zona de transporte universal en la instancia de NSX Manager principal, pgina 72
VMware, Inc.
55
El clster requiere que el sistema de almacenamiento en disco de cada controladora tenga una latencia de
escritura mxima de menos de 300 ms y una latencia de escritura media menor a 100 ms. Si el sistema de
almacenamiento no cumple estos requisitos, el clster puede volverse inestable y provocar un tiempo de
inactividad del sistema.
Prerequisitos
n
Antes de implementar las instancias de NSX Controller, debe implementar un dispositivo NSX Manager
y registrar vCenter con NSX Manager.
Determine la configuracin del grupo de direcciones IP del clster de controladoras, incluidos la puerta
de enlace y el rango de direcciones IP. La configuracin de DNS es opcional. La red IP de NSX
Controller debe tener conexin a NSX Manager y a las interfaces de administracin de los hosts ESXi.
Procedimiento
1
En vCenter, desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security
> Installation) y seleccione la pestaa Administracin (Management).
Por ejemplo:
56
En la seccin de nodos de NSX Controller, haga clic en el icono Agregar nodo (Add Node) (
).
VMware, Inc.
Si todava no configur un grupo de direcciones IP para el clster de controladoras, haga clic en Nuevo
grupo de direcciones IP (New IP Pool) para hacerlo.
De ser necesario, las controladoras individuales pueden estar en subredes de IP distintas.
Por ejemplo:
VMware, Inc.
57
Al menos un nmero
Una vez implementadas todas correctamente, el estado de las controladoras es Normal y aparece una marca
de verificacin de color verde.
Acceda a cada controladora mediante SSH y compruebe que se pueda hacer ping en las direcciones IP de la
interfaz de administracin del host. Si no se puede hacer ping, compruebe que todas las controladoras
tengan la puerta de enlace predeterminada que corresponde. Para ver la tabla de enrutamiento de una
controladora, ejecute el comando show network routes. Para cambiar la puerta de enlace predeterminada
de una controladora, ejecute el comando clear network routes y, a continuacin, el comando add network
default-route <direccin IP>.
Ejecute los siguientes comandos para comprobar que el comportamiento del clster de control sea el
esperado.
n
enabled
enabled
activated
activated
En el estado Unirse (Join), compruebe que el nodo de controladora informe sobre el estado Unin
completa (Join Complete).
En el estado Mayora (Majority), compruebe que la controladora est conectada a la mayora del clster.
En el identificador del clster, todos los nodos de controladora de un clster deben tener el mismo
identificador de clster.
En los estados Configurado (Configured) y Activo (Active), compruebe que todas las funciones de la
controladora estn habilitadas y activadas.
58
VMware, Inc.
api_provider
persistence_server
switch_manager
logical_manager
directory_server
Listen-IP
Not configured
N/A
127.0.0.1
N/A
N/A
Master?
Yes
Yes
Yes
Yes
Yes
Last-Changed
06/02 08:49:31
06/02 08:49:31
06/02 08:49:31
06/02 08:49:31
06/02 08:49:31
Count
4
4
4
4
4
Cada rol tendr un nodo de controladora maestro. En este ejemplo, un nico nodo es el nodo maestro
de todos los roles.
Si se produce un error en una instancia principal de NSX Controller de una funcin, el clster elegir
una nueva instancia principal para esa funcin entre las instancias de NSX Controller disponibles.
Las instancias de NSX Controller estn en el plano de control, por lo que un error en NSX Controller no
afectar al trfico del plano de datos.
n
VMware, Inc.
59
NSX habilita el apagado o el inicio automticos de la mquina virtual en los hosts en los que los nodos de
NSX Controller se implementan primero. Si las mquinas virtuales del nodo de controladoras se migran a
otros hosts posteriormente, es posible que los nuevos hosts no tengan habilitado el inicio/apagado
automtico de mquinas virtuales. Por este motivo, VMware recomienda que compruebe todos los hosts del
clster para asegurarse de que la opcin de encendido/apagado automtico est habilitada. Consulte
http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc
%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.
Compruebe que la hora de red en vCenter Server y los hosts ESXi est sincronizada.
En cada clster de hosts que participar en NSX, compruebe si los hosts de ese clster estn conectados
a un VDS en comn.
Por ejemplo, supongamos que tiene un clster con los hosts Host1 y Host2. Host1 est conectado a
VDS1 y VDS2. Host2 est conectado a VDS1 y VDS3. Al preparar un clster para NSX, solo se puede
asociar NSX con el VDS1 del clster. Si agrega otro host (Host3) al clster y Host3 no est conectado a
VDS1, la configuracin no es vlida y Host3 no est listo para la funcionalidad NSX.
60
VMware, Inc.
Si tiene vSphere Update Manager (VUM) instalado en el entorno, debe deshabilitarlo a fin de poder
preparar los clsteres para la virtualizacin de red. Para obtener ms informacin sobre cmo
comprobar si VUM est habilitado y cmo deshabilitarlo si fuera necesario, consulte
http://kb.vmware.com/kb/2053782.
Antes de empezar con el proceso de preparacin de hosts de NSX, asegrese siempre de que el clster
est en estado resuelto; es decir, que la opcin Resolver (Resolve) no aparezca en la lista Acciones
(Actions) del clster.
Por ejemplo:
La opcin Resolver (Resolve) a veces aparece porque es preciso reiniciar uno o ms hosts del clster.
Otras veces, la opcin Resolver (Resolve) aparece porque hay un error que debe solucionarse. Haga clic
en el vnculo No listo (Not Ready) para ver el error. Si puede, borre la condicin de error. Si no puede
borrarla del clster, una alternativa es mover los hosts a otro clster o a uno nuevo y eliminar el
antiguo.
VMware, Inc.
61
Para cualquier proceso que implique eliminar uno o ms VIB de un host, se requiere reiniciar el host.
Los procesos que eliminan VIB son, entre otros, las actualizaciones de NSX, la eliminacin de
complementos de NSX Manager de vCenter, la eliminacin de un host de un clster preparado para
NSX y la eliminacin manual de VIB de NSX de un host. Cuando es necesario reiniciar un host, aparece
la etiqueta reinicio requerido (reboot required) en la vista Hosts y Clsteres (Hosts and Clusters). Por
ejemplo:
El reinicio requerido no ocurre automticamente. Antes de reiniciar un host, apague o mueva las
mquinas virtuales (o permita que DRS lo haga). A continuacin, en la pestaa Preparacin del host
(Host Preparation), haga clic en la opcin Resolver (Resolve) en la lista Acciones (Actions). La accin
Resolver (Resolve) coloca los hosts en el modo de mantenimiento, los reinicia y, a continuacin, los
quita del modo de mantenimiento. Si apag las mquinas virtuales de un host, debe volver a
encenderlas manualmente.
Procedimiento
1
En vCenter, desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security
> Installation) y seleccione la pestaa Preparacin del host (Host Preparation).
Por ejemplo:
62
VMware, Inc.
En todos los clsteres que requieren conmutacin lgica de NSX, enrutamiento y firewalls, haga clic en
el icono de engranaje y en Instalar (Install).
Un clster de proceso (tambin conocido como clster de carga til) es un clster con mquinas
virtuales de aplicaciones (web, base de datos, etc.). Si un clster de proceso tiene conmutacin de NSX,
enrutamiento o firewalls, haga clic en Instalar (Install) en el clster de proceso.
En el clster "Administracin y Edge" (Management and Edge), como el que se muestra en el ejemplo,
NSX Manager y las mquinas virtuales de la controladora comparten un clster con dispositivos Edge,
como enrutadores lgicos distribuidos (DLR) y puertas de enlace de servicios Edge (ESG). En este caso,
es importante que haga clic en Instalar (Install) en el clster compartido.
Al revs, si "Administracin y Edge" (Management and Edge) tiene un clster dedicado y no
compartido (como se recomienda para un entorno de produccin), haga clic en Instalar (Install) en el
clster Edge, pero para el clster de administracin.
NOTA: Mientras la instalacin est en curso, no implemente, actualice ni desinstale servicios o
componentes.
Supervise la instalacin hasta que la columna Estado de instalacin (Installation Status) muestre una
marca de verificacin de color verde.
Si la columna Estado de instalacin (Installation Status) muestra un icono de advertencia rojo y el
mensaje No listo (Not Ready), haga clic en Resolver (Resolve). Si hace clic en Resolver (Resolve) puede
provocar el reinicio del host. Si la instalacin todava no se puede realizar, haga clic en el icono de
advertencia. Se mostrarn todos los errores. Realice la accin requerida y haga clic nuevamente en
Resolver (Resolve).
Una vez completada la instalacin, la columna Estado de instalacin (Installation Status) muestra el
mensaje Desinstalar 6.2 (6.2 Uninstall) y la columna Firewall muestra el mensaje Habilitado (Enabled).
Ambas columnas tienen una marca de verificacin de color verde. Si ve Resolver (Resolve) en la
columna Estado de instalacin (Installation Status), haga clic en Resolver y, a continuacin, actualice la
ventana del explorador.
Los VIB se instalan y se registran en todos los hosts del clster preparado:
n
esx-vsip
esx-vxlan
Para comprobarlo, acceda a cada host mediante SSH y ejecute el comando esxcli software vib list |
grep esx. Adems de mostrar los VIB, este comando muestra la versin instalada.
[root@host:~] esxcli software vib list | grep esx
...
esx-vsip
6.0.0-0.0.2732470
VMware VMwareCertified
esx-vxlan
6.0.0-0.0.2732470
VMware VMwareCertified
2015-05-29
2015-05-29
...
VMware, Inc.
63
Todos los hosts del clster deben estar conectados a un VDS en comn.
Deben estar instaladas las controladoras NSX Controller, a menos que se vaya a utilizar el modo de
replicacin de multidifusin para el plano de control.
Planifique la directiva sobre formacin de equipos de NIC. La directiva sobre formacin de equipos de
NIC determina el equilibrio de carga y la configuracin de conmutacin por error del VDS.
No mezcle distintas directivas de formacin de equipos para diferentes grupos de puertos en un VDS
donde algunos utilizan EtherChannel o LACPv1/LACPv2 y otros utilizan una directiva de formacin de
equipos diferente. Si se comparten vnculos superiores en estas distintas directivas de formacin de
equipos, se interrumpe el trfico. Si hay enrutadores lgicos, habr problemas de enrutamiento. Una
configuracin de este tipo no es compatible y se debe evitar.
La prctica recomendada para la formacin de equipos basada en hash de IP (EtherChannel, LACPv1 o
LACPv2) es utilizar todos los vnculos superiores en el VDS del equipo y no tener grupos de puertos en
ese VDS con diferentes directivas de formacin de equipos. Para obtener ms informacin y otras
instrucciones, consulte la Gua de diseo de virtualizacin de red de VMware NSX for vSphere en
https://communities.vmware.com/docs/DOC-27683.
Planifique el esquema de direcciones IP de los extremos del tnel VXLAN (VTEP). Los VTEP son las
direcciones IP de origen y destino que se utilizan en el encabezado IP externo para identificar de forma
nica a los hosts ESX que originan y finalizan la encapsulacin de tramas de VXLAN. Para las
direcciones IP de VTEP puede utilizar DHCP o grupos de direcciones IP configuradas manualmente.
Si desea que una direccin IP especfica se asigne a un VTEP, puede 1) utilizar una reserva o una
direccin DHCP fija que asigne una direccin MAC a una direccin IP especfica en el servidor DHCP o
2) utilizar un grupo de direcciones IP y, a continuacin, editar manualmente la direccin IP de VTEP
asignada a vmknic en Administrar > Redes > Conmutadores virtuales (Manage > Networking > Virtual
Switches). Por ejemplo:
64
VMware, Inc.
Los VTEP tienen asociado un identificador de VLAN. Sin embargo, puede especificar el identificador de
VLAN = 0 para los VTEP, lo cual indica que se quitarn las etiquetas de las tramas.
n
En los clsteres que forman parte del mismo VDS, el identificador de VLAN debe ser el mismo para los
VTEP y la formacin de equipos de NIC.
La prctica recomendada consiste en importar la configuracin de VDS antes de preparar el clster para
VXLAN. Consulte http://kb.vmware.com/kb/2034602.
Procedimiento
1
En vCenter, desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security
> Installation) y seleccione la pestaa Preparacin del host (Host Preparation).
En el men desplegable de NSX Manager, seleccione la instancia principal de NSX Manager (Primary
NSX Manager).
VMware, Inc.
65
La MTU de cada conmutador debe establecerse en 1.550 o superior. El valor predeterminado es 1.600. Si
el tamao de MTU de los conmutadores distribuidos de vSphere (VDS) es mayor que la MTU de
VXLAN, la MTU de los VDS no se reducir. Si se establece en un valor ms bajo, se ajustar para que
coincida con la MTU de VXLAN. Por ejemplo, si la MTU de los VDS se establece en 2.000 y se acepta la
MTU predeterminada de VXLAN de 1.600, la MTU de los VDS no se modifica. Si la MTU de los VDS es
1.500 y la MTU de VXLAN es 1.600, la MTU de los VDS cambia a 1.600.
Estas pantallas de ejemplo muestran la configuracin de un clster de administracin con un rango de
direcciones IP de 182.168.150.1-192.168.150.100, respaldado por VLAN 150, y con una directiva de
formacin de equipos de NIC por conmutacin por error.
66
VMware, Inc.
En los clsteres de proceso, se puede utilizar otra configuracin de direcciones IP (por ejemplo,
192.168.250.0/24 con VLAN 250). Esto depende de la forma en que est diseada la red fsica, por lo cual
probablemente no sea as en las implementaciones pequeas.
La configuracin de VXLAN se traduce en la creacin de nuevos grupos de puertos distribuidos.
Por ejemplo:
VMware, Inc.
67
<begin>5000</begin>
<end>5999</end>
</segmentRange>
POST https://<nsxmgr-ip>/api/2.0/vdn/config/segments
<segmentRange>
<name>Segment ID Pool 2</name>
<begin>7000</begin>
<end>7999</end>
</segmentRange>
Prerequisitos
Cuando determine el tamao de cada grupo de identificadores de segmentos, tenga en cuenta que el rango
de identificadores de segmentos controla la cantidad de conmutadores lgicos que pueden crearse. Elija un
subconjunto pequeo de los 16 millones de VNI posibles. No debe configurar ms de 10.000 VNI en una sola
instancia de vCenter porque vCenter limita la cantidad de grupos dvPortgroups a 10.000.
Si la VXLAN se encuentra en otra implementacin de NSX, considere cules VNI ya estn en uso y evite
superponerlos. Los VNI que no se superponen se aplican automticamente en un nico entorno de NSX
Manager y vCenter. Los rangos de VNI locales no pueden superponerse. No obstante, es importante
asegurarse de que los VNI no se superpongan en las distintas implementaciones de NSX. Los VNI que no se
superponen son tiles para fines de seguimiento y permiten garantizar que las implementaciones estn
preparadas para un entorno de Cross-vCenter.
Procedimiento
1
En vCenter, desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security
> Installation) y seleccione la pestaa Preparacin de redes lgicas (Logical Network Preparation).
68
VMware, Inc.
Asegrese de que el conmutador fsico subyacente tenga configurada una MTU mayor o igual que
1600.
No utilice 239.0.0.0/24 o 239.128.0.0/24 como rango de direcciones de multidifusin, ya que estas redes
se utilizan para el control de la subred local; es decir, los conmutadores fsicos saturan todo el trfico
que utiliza estas direcciones. Para obtener ms informacin sobre las direcciones de multidifusin
inutilizables, consulte https://tools.ietf.org/html/draft-ietf-mboned-ipv4-mcast-unusable-01.
Al configurar los conmutadores lgicos, cada uno recibe un identificador de segmento del grupo.
VMware, Inc.
69
Principal
Secundario
Independiente
De trnsito
Para ver el rol de una instancia de NSX Manager, inicie sesin en la instancia de vCenter vinculada a ella y
desplcese hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin (Installation )
y, a continuacin, seleccione la pestaa Administracin (Management). El rol se muestra en la columna Rol
(Role) en Instancias de NSX Manager (NSX Managers). Si no se muestra ninguna columna Rol (Role), NSX
Manager tiene el rol independiente.
Prerequisitos
n
La versin de las instancias de NSX Manager (la instancia principal de NSX Manager y las instancias
que se asignarn al rol secundario) debe coincidir.
Los identificadores de nodo de la instancia principal de NSX Manager y las instancias de NSX Manager
que se asignarn al rol secundario deben estar presentes y ser diferentes. Las instancias de NSX
Manager implementadas desde los archivos OVA tienen identificadores de nodo nicos. Una instancia
de NSX Manager implementada desde una plantilla (como cuando se convierte una mquina virtual a
una plantilla) tendr el mismo identificador de nodo que la instancia de NSX Manager original que se
utiliz para crearla; estas dos instancias de NSX Manager no pueden utilizarse en la misma instalacin
de Cross-vCenter NSX.
Cada instancia de NSX Manager debe registrarse con una instancia de vCenter Server nica y distinta.
Los puertos UDP utilizados para la VXLAN deben ser los mismos para todas las instancias de NSX
Manager.
Al asignar el rol secundario a una instancia de NSX Manager, la instancia de vCenter vinculada a ella
no debe tener controladoras NSX Controller implementadas.
La instancia de NSX Manager a la que se le va a asignar el rol secundario debe tener el rol
independiente o de trnsito.
NOTA: Puede ver el identificador de nodo de NSX Manager con la siguiente llamada API de REST:
GET https://NSX-Manager-IP-Address/api/2.0/services/vsmconfig
Puede ver los puertos UDP utilizados para la VXLAN con la siguiente llamada API de REST:
GET https://NSX-Manager-IP-Address/api/2.0/vdn/config/vxlan/udp/port
70
VMware, Inc.
Procedimiento
1
Inicie sesin en la instancia de vCenter vinculada a la instancia de NSX Manager principal con vSphere
Web Client.
Desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security >
Installation) y seleccione la pestaa Administracin (Management).
Seleccione la instancia de NSX Manager que desea asignar como principal y haga clic en Acciones
(Actions). A continuacin, haga clic en Asignar rol principal (Assign Primary Role).
Se le asigna el rol principal a la instancia de NSX Manager seleccionada.
En vCenter, desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security
> Installation) y seleccione la pestaa Preparacin de redes lgicas (Logical Network Preparation).
Escriba un rango para los identificadores de segmentos universales, por ejemplo, 900000-909999.
NOTA: Este ser el rango de identificadores que utilizarn los conmutadores lgicos universales. El
grupo de identificadores de segmentos universales debe ser nico en cualquier instancia de NSX
Manager que se utilizar en una implementacin de Cross-vCenter NSX.
Si alguna de las zonas de transporte utilizar multidifusin o el modo de replicacin hbrido, seleccione
Habilitar direcciones de multidifusin universales (Enable Universal multicast addressing) y escriba
una direccin de multidifusin universal o un rango de direcciones de multidifusin universales.
ADVERTENCIA: En un entorno de Cross-vCenter NSX, si selecciona el modo de replicacin hbrido,
debe asegurarse de que la direccin de multidifusin utilizada no tenga conflictos con ninguna otra
direccin de multidifusin asignada a otra instancia de NSX Manager del entorno.
Contar con un rango de direcciones de multidifusin distribuye el trfico por la red, evita la sobrecarga
de una sola direccin de multidifusin y contiene mejor la replicacin de BUM. El rango de direcciones
de multidifusin recomendado comienza en 239.0.1.0/24 y excluye a 239.128.0.0/24.
No utilice 239.0.0.0/24 o 239.128.0.0/24 como rango de direcciones de multidifusin, ya que estas redes
se utilizan para el control de la subred local; es decir, los conmutadores fsicos saturan todo el trfico
que utilizan estas direcciones. Para obtener ms informacin sobre las direcciones de multidifusin
inutilizables, consulte https://tools.ietf.org/html/draft-ietf-mboned-ipv4-mcast-unusable-01.
Posteriormente, despus de configurar los conmutadores lgicos universales, cada conmutador lgico
universal recibe un identificador de segmento universal del grupo.
VMware, Inc.
71
En vCenter, desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security
> Installation) y seleccione la pestaa Preparacin de redes lgicas (Logical Network Preparation).
Haga clic en Zonas de transporte (Transport Zones) y en el icono Nueva zona de transporte (
Transport Zone).
) (New
Seleccione Marcar este objeto para sincronizacin universal (Mark this object for universal
synchronization).
Estas zonas de transporte se sincronizarn con las instancias de NSX Manager secundarias.
Unidifusin (Unicast): el plano de control es operado por NSX Controller. El trfico de unidifusin
aprovecha la replicacin de cabecera optimizada. No se requieren direcciones IP de multidifusin
ni ninguna configuracin de red especial.
Hbrido (Hybrid): descarga la replicacin de trfico local en la red fsica (multidifusin de Capa 2).
Para esto se requiere la intromisin de IGMP en el conmutador del primer salto y el acceso a un
solicitante de IGMP en cada subred de VTEP, pero no se requiere tecnologa PIM. El conmutador
del primer salto administra la replicacin de trfico de la subred.
La zona de transporte universal est disponible en todas las instancias de NSX Manager secundarias en el
entorno de Cross-vCenter NSX.
Qu hacer a continuacin
A continuacin, cree un conmutador lgico universal.
72
VMware, Inc.
Procedimiento
1
En vSphere Web Client, desplcese hasta Inicio > Redes y seguridad > Conmutadores lgicos (Home >
Networking & Security > Logical Switches).
En la seccin Zona de transporte (Transport Zone), haga clic en Cambiar (Change) para seleccionar una
zona de transporte. Seleccione la zona de transporte universal para crear un conmutador lgico
universal.
De forma predeterminada, el conmutador lgico hereda el modo de replicacin del plano de control de
la zona de transporte. Puede cambiarlo a uno de los otros modos disponibles. Los modos disponibles
son unidifusin, hbrido y multidifusin.
El caso en el que conviene anular el modo de replicacin del plano de control heredado de la zona de
transporte para un conmutador lgico individual es cuando el conmutador lgico que se crea posee
caractersticas significativamente diferentes en trminos de cantidad de trfico BUM que transportar.
En este caso, puede crear una zona de transporte que utilice el modo de unidifusin y utilizar el modo
hbrido o de multidifusin para el conmutador lgico individual.
IMPORTANTE: Si crea un conmutador lgico universal y selecciona el modo de replicacin hbrido,
debe asegurarse de que la direccin de multidifusin utilizada no tenga conflictos con ninguna otra
direccin de multidifusin asignada a otra instancia de NSX Manager del entorno.
VMware, Inc.
73
(Opcional) Haga clic en Habilitar deteccin de direcciones IP (Enable IP Discovery) para habilitar la
supresin de ARP.
Esta configuracin minimiza la saturacin de trfico ARP dentro de segmentos individuales de la
VXLAN; en otras palabras, entre mquinas virtuales conectadas al mismo conmutador lgico. La
deteccin de direcciones IP est habilitada de manera predeterminada.
(Opcional) Haga clic en Habilitar deteccin de MAC (Enable MAC learning) si las mquinas virtuales
tienen varias direcciones MAC o van a utilizar NIC virtuales que son VLAN de enlace troncal.
Al habilitar esta opcin, se crea una tabla de emparejamiento de VLAN/MAC en cada vNIC. Esta tabla
se almacena como parte de los datos de dvfilter. Durante la ejecucin de vMotion, dvfilter guarda y
restaura la tabla en la nueva ubicacin. A continuacin, el conmutador emite RARP para todas las
entradas de VLAN/MAC de la tabla.
Este ejemplo muestra el conmutador lgico de aplicaciones con la configuracin predeterminada.
DB-Tier-00 es el conmutador lgico conectado a una zona de transporte. Solo est disponible en la instancia
de NSX Manager en la que se cre.
DB-Tier-01 es un conmutador lgico universal conectado a una zona de transporte universal. Est disponible
en cualquiera de las instancias de NSX Manager del entorno de Cross-vCenter NSX.
El conmutador lgico y el conmutador lgico universal tienen identificadores de segmentos de distintos
grupos de identificadores de segmentos.
Qu hacer a continuacin
Agregue mquinas virtuales a un conmutador lgico universal.
74
VMware, Inc.
Opcionalmente, cree un enrutador lgico universal y ascielo a los conmutadores lgicos universales para
permitir la conectividad entre las mquinas virtuales conectadas a diferentes conmutadores lgicos
universales.
En Conmutadores lgicos (Logical Switches), seleccione el conmutador lgico al que desee agregar
mquinas virtuales.
Haga clic en el icono Agregar mquina virtual (Add Virtual Machine) (
).
Debe tener un clster de controladora operativo en el entorno antes de instalar un enrutador lgico.
Se debe crear un grupo de identificadores de segmentos local aunque no est previsto crear
conmutadores lgicos NSX.
Los enrutadores lgicos no pueden distribuir informacin de enrutamiento a hosts sin la ayuda de las
controladoras NSX Controller. Los enrutadores lgicos dependen de las controladoras NSX Controller
para funcionar, mientras que las puertas de enlace de servicios Edge (edge services gateways, ESG) no.
Asegrese de que el clster de controladoras est en funcionamiento y disponible antes de crear o
modificar la configuracin del enrutador lgico.
Si se desea conectar un enrutador lgico a los dvPortgroups de VLAN, asegrese de que todos los hosts
del hipervisor con un dispositivo de enrutador lgico instalado puedan comunicarse entre s en el
puerto UDP 6999 para que funcione el proxy ARP basado en la VLAN del enrutador lgico.
Las interfaces del enrutador lgico y las interfaces puente no pueden conectarse a un dvPortgroup si el
identificador de la VLAN est establecido en 0.
Una instancia de enrutador lgico determinada no puede conectarse a los conmutadores lgicos que
existen en zonas de transporte diferentes. El objetivo de esto es garantizar que todas las instancias de
conmutadores lgicos y enrutadores lgicos estn alineadas.
VMware, Inc.
75
No deben crearse interfaces de enrutadores lgicos en dos dvPortgroups diferentes con el mismo
identificador de VLAN si las dos redes estn en conmutadores distribuidos de vSphere diferentes, pero
los dos conmutadores distribuidos de vSphere comparten los mismos hosts. En otras palabras, pueden
crearse interfaces de enrutadores lgicos en dos redes diferentes con el mismo identificador de VLAN si
los dos dvPortgroups estn en dos conmutadores distribuidos de vSphere diferentes, siempre que los
conmutadores distribuidos de vSphere no compartan un host.
A diferencia de las versiones 6.0 y 6.1 de NSX, la versin 6.2 de NSX permite conectar interfaces lgicas
(logical interfaces, LIF) enrutadas mediante enrutadores a una VXLAN conectada en puente con una
VLAN.
Determine si necesita habilitar la salida local. La salida local permite enviar rutas a hosts de manera
selectiva. Quizs sea conveniente utilizar esta opcin si la implementacin de NSX se expande a varios
sitios. Consulte Topologas de Cross-vCenter NSX, pgina 20 para obtener ms informacin. No
puede habilitar la salida local despus de crear el enrutador lgico universal.
Procedimiento
1
En vSphere Web Client, desplcese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking
& Security > NSX Edges).
Seleccione la instancia de NSX Manager principal para agregar un enrutador lgico universal.
).
76
VMware, Inc.
Puede desactivar la opcin de dispositivo Edge si necesita solo rutas estticas y no desea implementar
un dispositivo Edge. No puede agregar un dispositivo Edge al enrutador lgico una vez que este
enrutador ya est creado.
8
VMware, Inc.
Al menos un nmero
77
10
78
VMware, Inc.
11
Configure la implementacin.
u
Si seleccion Implementar NSX Edge (Deploy NSX Edge), introduzca la configuracin del
dispositivo virtual del enrutador lgico que se agregar al inventario de vCenter.
) (Add) est
Por ejemplo:
12
VMware, Inc.
79
una mquina virtual del enrutador externo de esta o a un dvPortgroup respaldado por VLAN para que
el enrutador lgico se conecte al enrutador fsico directamente. Se debe tener al menos una interfaz de
vnculo superior para que el enrutamiento dinmico funcione. Las interfaces de vnculo superior se
crean como vNIC en el dispositivo virtual del enrutador lgico.
La configuracin de la interfaz especificada en este punto se puede modificar ms adelante. Es posible
agregar, eliminar y modificar interfaces despus de implementar un enrutador lgico.
El siguiente ejemplo muestra una interfaz de HA conectada al grupo de puertos distribuidos de
administracin. El ejemplo tambin muestra dos interfaces internas (aplicacin y web) y una interfaz de
vnculo superior (a ESG).
13
Asegrese de que todas las mquinas virtuales asociadas a los conmutadores lgicos tengan sus puertas
de enlace predeterminadas establecidas adecuadamente en las direcciones IP de la interfaz del
enrutador lgico.
80
VMware, Inc.
Inicie sesin en NSX Manager mediante SSH y ejecute los siguientes comandos:
n
Vdr id
0x00001388
#Lifs
3
Vea un listado de los hosts que recibieron informacin de enrutamiento para el enrutador lgico del
clster de controladoras.
nsxmgr-l-01a> show logical-router list dlr edge-1 host
ID
HostName
host-25
192.168.210.52
host-26
192.168.210.53
host-24
192.168.110.53
En el resultado se incluyen todos los hosts de todos los clsteres de hosts configurados como miembros
de la zona de transporte a la que pertenece el conmutador lgico que est conectado al enrutador lgico
especificado (en este ejemplo, edge-1).
n
Vea un listado con la informacin de la tabla de enrutamiento que se comunica a los hosts mediante el
enrutador lgico. Las entradas de la tabla de enrutamiento deben ser coherentes en todos los hosts.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route
VDR default+edge-1 Route Table
Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]
Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]
Destination
----------0.0.0.0
172.16.10.0
172.16.20.0
192.168.10.0
192.168.100.0
VMware, Inc.
GenMask
------0.0.0.0
255.255.255.0
255.255.255.0
255.255.255.248
255.255.255.0
Gateway
------192.168.10.1
0.0.0.0
0.0.0.0
0.0.0.0
192.168.10.1
Flags
----UG
UCI
UCI
UCI
UG
Ref
--1
1
1
1
1
Origin
-----AUTO
MANUAL
MANUAL
MANUAL
AUTO
UpTime
-----4101
10195
10196
10196
3802
Interface
--------138800000002
13880000000b
13880000000a
138800000002
138800000002
81
Vea un listado con informacin adicional sobre el enrutador desde el punto de vista de uno de los hosts.
Esto es til para saber qu controlador es est comunicando con el host.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose
VDR Instance Information :
--------------------------Vdr Name:
Vdr Id:
Number of Lifs:
Number of Routes:
State:
Controller IP:
Control Plane IP:
Control Plane Active:
Num unique nexthops:
Generation Number:
Edge Active:
default+edge-1
0x00001388
3
5
Enabled
192.168.110.203
192.168.210.52
Yes
1
0
No
Compruebe el campo Direccin IP de controladora (Controller IP) en el resultado del comando show
Acceda a una controladora mediante SSH y ejecute los siguientes comandos para mostrar la informacin de
estado adquirida de las tablas de VNI, VTEP, MAC y ARP de la controladora.
n
La salida para VNI 5000 muestra cero conexiones y la controladora 192.168.110.201 como propietaria de
VNI 5000. Inicie sesin en esa controladora para recopilar ms informacin de VNI 5000.
192.168.110.201 # show control-cluster logical-switches vni 5000
VNI
Controller
BUM-Replication ARP-Proxy Connections
5000
192.168.110.201 Enabled
Enabled
3
Debido a que 192.168.110.201 es propietaria de las tres conexiones de VNI, se esperaran ver cero
conexiones en la otra controladora 192.168.110.203.
192.168.110.203 # show control-cluster logical-switches vni 5000
VNI
Controller
BUM-Replication ARP-Proxy Connections
5000
192.168.110.201 Enabled
Enabled
0
n
82
Antes de comprobar las tablas de MAC y ARP, comience a hacer ping de una mquina virtual a la otra.
VMware, Inc.
Revise la informacin del enrutador lgico. Cada instancia del enrutador lgico se procesa en uno de los
nodos de la controladora.
El subcomando instance del comando show control-cluster logical-routers muestra un listado de los
enrutadores lgicos que estn conectados a esta controladora.
El subcomando interface-summary muestra un listado de las LIF que la controladora adquiri de NSX
Manager. Esta informacin se enva a los hosts que estn en los clsteres de hosts administrados en la zona
de transporte.
El subcomando routes muestra la tabla de enrutamiento que se enva a esta controladora mediante el
dispositivo virtual del enrutador lgico (tambin se conoce como mquina virtual de control). Tenga en
cuenta que, a diferencia de los hosts ESXi, esta tabla de enrutamiento no incluye subredes conectadas
directamente, ya que la configuracin de LIF proporciona esta informacin. La informacin de ruta de los
hosts ESXi incluye subredes conectadas directamente porque, en ese caso, se trata de una tabla de reenvo
utilizada por la ruta de datos del host ESXi.
n
VMware, Inc.
83
esxcfg-route -l
Netmask
255.255.255.0
255.255.255.0
0.0.0.0
Gateway
Local Subnet
Local Subnet
192.168.210.1
Interface
vmk1
vmk0
vmk0
192.168.110.202
Host-IP
192.168.110.53
192.168.210.52
192.168.210.53
Estas direcciones IP de hosts son interfaces vmk0, no VTEP. Las conexiones entre hosts y controladoras
ESXi se crean en la red de administracin. Aqu los nmeros de puerto son puertos TCP efmeros que
asigna la pila de direcciones IP del host ESXi cuando el host establece una conexin con la controladora.
n
Muestre las VNI activas en el host. Observe que el resultado es diferente entre los hosts. No todas las
VNI estn activas en todos los hosts. Una VNI est activa en un host si ese host posee una mquina
virtual conectada al conmutador lgico.
[root@192.168.210.52:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name
Compute_VDS
VXLAN ID Multicast IP
Control Plane
Controller
Connection Port Count MAC Entry Count ARP Entry Count VTEP Count
-------- ------------------------- ------------------------------------------------------- ---------- --------------- --------------- ---------5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203
(up)
5001
(up)
1
0
N/A (headend replication)
1
0
0
0
Enabled (multicast proxy,ARP proxy)
0
0
192.168.110.202
NOTA: Para habilitar el espacio de nombres vxlan en vSphere 6 y versiones posteriores, ejecute el
comando /etc/init.d/hostd restart.
En el caso de conmutadores lgicos en modo hbrido o de unidifusin, el comando esxcli network
vswitch dvs vmware vxlan network list --vds-name <vds-name> debe contener el siguiente resultado:
84
VMware, Inc.
Si un enrutador lgico est conectado al host ESXi, el recuento de puertos es al menos 1, incluso si
no hay mquinas virtuales en el host conectado al conmutador lgico. Este puerto es vdrPort, que
es un puerto dvPort especial conectado al mdulo del kernel del enrutador lgico en el host ESXi.
En primer lugar, haga ping de una mquina virtual a otra en una subred diferente y, a continuacin,
muestre la tabla de MAC. Tenga en cuenta que la MAC interna es la entrada de la mquina virtual,
mientras que la MAC externa y la direccin IP externa se refieren a la VTEP.
~ # esxcli network
id=5000
Inner MAC
----------------00:50:56:a6:23:ae
~ # esxcli network
id=5001
Inner MAC
----------------02:50:56:56:44:52
00:50:56:f0:d7:e4
vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlanOuter MAC
----------------00:50:56:6a:65:c2
Outer IP
-------------192.168.250.52
Flags
-------00000111
vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlanOuter MAC
----------------00:50:56:6a:65:c2
00:50:56:6a:65:c2
Outer IP
-------------192.168.250.52
192.168.250.52
Flags
-------00000101
00000111
Qu hacer a continuacin
En los hosts donde se implementan dispositivos NSX Edge por primera vez, NSX habilita el
encendido/apagado automtico de mquinas virtuales. Si posteriormente las mquinas virtuales del
dispositivo se migran a otros hosts, es posible que los hosts nuevos no tengan habilitada la opcin de
encendido/apagado automtico. Por este motivo, VMware recomienda que compruebe todos los hosts del
clster para asegurarse de que la opcin de encendido/apagado automtico est habilitada. Consulte
http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc
%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.
Despus de implementar el enrutador lgico, haga doble clic en el identificador del enrutador lgico para
configurar opciones adicionales, como interfaces, enrutamiento, firewall, puentes y rel DHCP.
Por ejemplo:
VMware, Inc.
85
86
VMware, Inc.
Una vez configurada una instancia principal de Cross-vCenter NSX Manager, se puede configurar una
instancia secundaria. Las instancias secundarias de NSX Manager utilizan el mismo clster de control
universal que implement la instancia principal de NSX Manager. Puede haber hasta siete instancias
secundarias de NSX Manager en un entorno de Cross-vCenter NSX. Una vez que se asign el rol secundario
a una instancia de NSX Manager, puede utilizar objetos universales, como conmutadores lgicos
universales.
Complete las tareas de configuracin de cada instancia secundaria de NSX Manager en el entorno de CrossvCenter NSX.
Este captulo cubre los siguientes temas:
n
Principal
Secundario
Independiente
De trnsito
Para ver el rol de una instancia de NSX Manager, inicie sesin en la instancia de vCenter vinculada a ella y
desplcese hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin (Installation )
y, a continuacin, seleccione la pestaa Administracin (Management). El rol se muestra en la columna Rol
(Role) en Instancias de NSX Manager (NSX Managers). Si no se muestra ninguna columna Rol (Role), NSX
Manager tiene el rol independiente.
VMware, Inc.
87
Prerequisitos
n
Debe haber dos instancias de NSX Manager como mnimo, una con un rol principal y otra con un rol
independiente o de trnsito.
La versin de las instancias de NSX Manager (la instancia principal de NSX Manager y las instancias
que se asignarn al rol secundario) debe coincidir.
Los identificadores de nodo de la instancia principal de NSX Manager y las instancias de NSX Manager
que se asignarn al rol secundario deben estar presentes y ser diferentes. Las instancias de NSX
Manager implementadas desde los archivos OVA tienen identificadores de nodo nicos. Una instancia
de NSX Manager implementada desde una plantilla (como cuando se convierte una mquina virtual a
una plantilla) tendr el mismo identificador de nodo que la instancia de NSX Manager original que se
utiliz para crearla; estas dos instancias de NSX Manager no pueden utilizarse en la misma instalacin
de Cross-vCenter NSX.
Cada instancia de NSX Manager debe registrarse con una instancia de vCenter Server nica y distinta.
Los puertos UDP utilizados para la VXLAN deben ser los mismos para todas las instancias de NSX
Manager.
Al asignar el rol secundario a una instancia de NSX Manager, la instancia de vCenter vinculada a ella
no debe tener controladoras NSX Controller implementadas.
La instancia de NSX Manager a la que se le va a asignar el rol secundario debe tener el rol
independiente o de trnsito.
NOTA: Puede ver el identificador de nodo de NSX Manager con la siguiente llamada API de REST:
GET https://NSX-Manager-IP-Address/api/2.0/services/vsmconfig
Puede ver los puertos UDP utilizados para la VXLAN con la siguiente llamada API de REST:
GET https://NSX-Manager-IP-Address/api/2.0/vdn/config/vxlan/udp/port
Procedimiento
1
Desplcese hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin
(Installation) y seleccione la pestaa Administracin (Management).
Haga clic en la instancia de NSX Manager principal. A continuacin, seleccione Acciones (Actions) >
Agregar instancia de NSX Manager secundaria (Add Secondary NSX Manager).
Compruebe si la huella digital del certificado coincide con el certificado de vCenter Server.
Si instal un certificado firmado por la entidad de certificacin en el servidor de la entidad de
certificacin, ver la huella digital del certificado firmado por la entidad de certificacin. De lo
contrario, ver un certificado autofirmado.
88
VMware, Inc.
Si el entorno no utiliza Enhanced Linked Mode, inicie sesin en la instancia de vCenter vinculada a la
instancia de NSX Manager secundaria para ver el rol de NSX Manager.
NOTA: Inicialmente, el estado de la controladora es Desconectado (Disconnected). Espere unos
segundos y, a continuacin, actualice vSphere Web Client. El estado cambia a Normal.
8
Cierre sesin en vSphere Web Client y vuelva a iniciar sesin para comprobar si vSphere Web Client
muestra los roles de NSX Manager nuevos.
VMware, Inc.
89
Supervise la instalacin hasta que la columna Estado de instalacin (Installation Status) muestre una
marca de verificacin de color verde.
Si la columna Estado de instalacin (Installation Status) muestra un icono de advertencia rojo y el
mensaje No listo (Not Ready), haga clic en Resolver (Resolve). Si hace clic en Resolver (Resolve) puede
provocar el reinicio del host. Si la instalacin todava no se puede realizar, haga clic en el icono de
advertencia. Se mostrarn todos los errores. Realice la accin requerida y haga clic nuevamente en
Resolver (Resolve).
90
VMware, Inc.
En los clsteres de proceso, se puede utilizar otra configuracin de direcciones IP (por ejemplo,
192.168.250.0/24 con VLAN 250). Esto depende de la forma en que est diseada la red fsica, por lo cual
probablemente no sea as en las implementaciones pequeas.
VMware, Inc.
91
Escriba un rango para los identificadores de segmentos locales, por ejemplo, 20000-29999.
ADVERTENCIA: Los rangos especificados para los identificadores de segmentos locales y universales
deben ser nicos y no se deben superponer.
Si alguna de las zonas de transporte utilizar multidifusin o el modo de replicacin hbrido, seleccione
Habilitar direcciones de multidifusin (Enable multicast addressing) y escriba una direccin de
multidifusin o un rango de direcciones de multidifusin.
ADVERTENCIA: En un entorno de Cross-vCenter NSX, si selecciona el modo de replicacin hbrido,
debe asegurarse de que la direccin de multidifusin utilizada no tenga conflictos con ninguna otra
direccin de multidifusin asignada a otra instancia de NSX Manager del entorno.
Contar con un rango de direcciones de multidifusin distribuye el trfico por la red, evita la sobrecarga
de una sola direccin de multidifusin y contiene mejor la replicacin de BUM. El rango de direcciones
de multidifusin recomendado comienza en 239.0.1.0/24 y excluye a 239.128.0.0/24.
No utilice 239.0.0.0/24 o 239.128.0.0/24 como rango de direcciones de multidifusin, ya que estas redes
se utilizan para el control de la subred local; es decir, los conmutadores fsicos saturan todo el trfico
que utilizan estas direcciones. Para obtener ms informacin sobre las direcciones de multidifusin
inutilizables, consulte https://tools.ietf.org/html/draft-ietf-mboned-ipv4-mcast-unusable-01.
Ahora, la instancia de NSX Manager secundaria tiene los identificadores de segmentos universales
importados proporcionados por la instancia de NSX Manager principal y los identificadores de segmentos
locales.
92
VMware, Inc.
Inicie sesin en la instancia de vCenter vinculada a la instancia de NSX Manager secundaria, desplcese
hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin (Installation) >
Preparacin de la red lgica (Logical Network Preparation) y, a continuacin, seleccione la pestaa
Zonas de transporte (Transport Zones).
Si las instancias de vCenter estn en Enhanced Linked Mode, puede configurar la instancia de NSX
Manager secundaria desde cualquier instancia de vCenter vinculada. Desplcese hasta la pestaa Zonas
de transporte (Transport Zones) y seleccione la instancia de NSX Manager secundaria en el men
desplegable.
VMware, Inc.
93
94
VMware, Inc.
Ahora ya tiene configuradas una instancia de NSX Manager primaria y al menos una instancia de NSX
Manager secundaria. Adems de crear objetos universales desde la instancia NSX Manager primaria, puede
crear objetos locales a ese entorno de vCenter NSX especfico, como conmutadores lgicos y enrutadores
lgicos (distribuidos). Puede crearlos en una instancia de NSX Manager primaria o secundaria. Existirn
solo en el entorno de vCenter NSX en el que se crearon. No sern visibles para las otras instancias de NSX
Manager en el entorno de Cross-vCenter NSX. Adems, puede agregar hosts a los clsteres o quitarlos.
Consulte Gua de administracin de NSX para obtener detalles sobre las tareas administrativas adicionales que
debera completar.
Este captulo cubre los siguientes temas:
n
VMware, Inc.
95
Si un clster requiere conectividad de Capa 3, debe estar en una zona de transporte que tambin
incluya un clster Edge, es decir, un clster con dispositivos Edge de Capa 3 (enrutadores lgicos
distribuidos y puertas de enlace de servicios Edge).
Supongamos que hay dos clsteres: uno para servicios web y otro para servicios de aplicaciones. Para
que haya conectividad VXLAN entre las mquinas virtuales de estos dos clsteres, ambos deben estar
incluidos en la zona de transporte.
Tenga en cuenta que todos los conmutadores lgicos incluidos en la zona de transporte estarn
disponibles y sern visibles para todas las mquinas virtuales de los clsteres incluidos en la zona de
transporte. Si un clster incluye entornos protegidos, quizs no sea conveniente que este clster est
disponible para las mquinas virtuales de otros clsteres. En cambio, puede colocar el clster protegido
en una zona de transporte ms aislada.
La expansin del conmutador distribuido de vSphere (VDS o DVS) debe coincidir con la de la zona de
transporte. Al crear zonas de transporte en configuraciones de VDS de varios clsteres, asegrese de
que todos los clsteres del VDS seleccionado estn incluidos en la zona de transporte. As se garantiza
que el DLR est disponible en todos los clsteres donde hay dvPortgroups de VDS disponibles.
El siguiente diagrama muestra una zona de transporte que est correctamente alineada con el lmite de VDS.
Si no cumple con esta prctica recomendada, tenga en cuenta que si un VDS se expande en ms de un
clster de hosts y la zona de transporte incluye solo uno (o un subconjunto) de estos clsteres, cualquier
conmutador lgico de esa zona de transporte podr acceder a las mquinas virtuales de todos los clsteres
abarcados por el VDS. En otras palabras, la zona de transporte no podr limitar la expansin del
conmutador lgico a un subconjunto de clsteres. Si posteriormente conecta este conmutador lgico a un
DLR, debe asegurarse de que las instancias del enrutador se creen nicamente en el clster incluido en la
zona de transporte, a fin de evitar problemas en la Capa 3.
96
VMware, Inc.
Por ejemplo, cuando una zona de transporte no est alineada con el lmite del VDS, el alcance de los
conmutadores lgicos (5001, 5002 y 5003) y las instancias del DLR a las que estn conectados quedan
desasociados; esto provoca que las mquinas virtuales del clster Comp A no puedan acceder a las
interfaces lgicas (LIF) del DLR.
Procedimiento
1
2
En vCenter, desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security
> Installation) y seleccione la pestaa Preparacin de redes lgicas (Logical Network Preparation).
Haga clic en Zonas de transporte (Transport Zones) y en el icono Nueva zona de transporte (
Transport Zone).
) (New
Por ejemplo:
VMware, Inc.
97
En el cuadro de dilogo Nueva zona de transporte (New Transport Zone), escriba un nombre y una
descripcin (opcional) para la zona de transporte.
Seleccione el modo de plano de control segn tenga un nodo de controladora en el entorno o desee
utilizar direcciones de multidifusin.
Unidifusin (Unicast): el plano de control es operado por NSX Controller. El trfico de unidifusin
aprovecha la replicacin de cabecera optimizada. No se requieren direcciones IP de multidifusin
ni ninguna configuracin de red especial.
Hbrido (Hybrid): descarga la replicacin de trfico local en la red fsica (multidifusin de Capa 2).
Para esto se requiere la intromisin de IGMP en el conmutador del primer salto y el acceso a un
solicitante de IGMP en cada subred de VTEP, pero no se requiere tecnologa PIM. El conmutador
del primer salto administra la replicacin de trfico de la subred.
98
VMware, Inc.
Qu hacer a continuacin
Ahora que tiene una zona de transporte, puede agregar conmutadores lgicos.
172.16.20.1
172.16.10.1
Conmutador
lgico
de aplicaciones
Conmutador
lgico
web
172.16.20.10
VM
172.16.10.10
VM
Mquina virtual
de aplicaciones
Mquina virtual
web
Prerequisitos
n
VMware, Inc.
99
Procedimiento
1
2
En vSphere Web Client, desplcese hasta Inicio > Redes y seguridad > Conmutadores lgicos (Home >
Networking & Security > Logical Switches).
Haga clic en el icono Nuevo conmutador lgico (
Por ejemplo:
(Opcional) Haga clic en Habilitar deteccin de direcciones IP (Enable IP Discovery) para habilitar la
supresin de ARP.
Esta configuracin minimiza la saturacin de trfico ARP dentro de segmentos individuales de la
VXLAN; en otras palabras, entre mquinas virtuales conectadas al mismo conmutador lgico. La
deteccin de direcciones IP est habilitada de manera predeterminada.
100
VMware, Inc.
(Opcional) Haga clic en Habilitar deteccin de MAC (Enable MAC learning) si las mquinas virtuales
tienen varias direcciones MAC o van a utilizar NIC virtuales que son VLAN de enlace troncal.
Al habilitar esta opcin, se crea una tabla de emparejamiento de VLAN/MAC en cada vNIC. Esta tabla
se almacena como parte de los datos de dvfilter. Durante la ejecucin de vMotion, dvfilter guarda y
restaura la tabla en la nueva ubicacin. A continuacin, el conmutador emite RARP para todas las
entradas de VLAN/MAC de la tabla.
Este ejemplo muestra el conmutador lgico de aplicaciones con la configuracin predeterminada.
Para asociar una mquina virtual con el conmutador lgico, seleccione el conmutador y haga clic en el
icono Agregar mquina virtual (
Por ejemplo:
VMware, Inc.
101
Cada conmutador lgico creado recibe un identificador del grupo de identificadores de segmentos, y se crea
una instancia de cableado virtual. El cableado virtual es un dvPortgroup que se crea en cada conmutador
distribuido de vSphere. El descriptor de cableado virtual contiene el nombre del conmutador lgico y el
identificador de segmento del conmutador lgico. Los identificadores de segmentos asignados aparecen en
varios lugares, como se muestra en los siguientes ejemplos.
En Inicio > Redes y seguridad > Conmutadores lgicos (Home > Networking & Security > Logical
Switches):
102
VMware, Inc.
Tenga en cuenta que las instancias de cableado virtual se crean en los conmutadores distribuidos de
vSphere, Compute_VDS y Mgmt_VDS. Esto se debe a que estos dos conmutadores distribuidos de vSphere
pertenecen a la zona de transporte que est asociada con los conmutadores lgicos de aplicaciones y web.
En Inicio > Hosts y clsteres > VM > Resumen (Home > Hosts and Clusters > VM > Summary):
VMware, Inc.
103
En los hosts que ejecutan las mquinas virtuales conectadas al conmutador lgico, inicie sesin y ejecute los
siguientes comandos para ver la informacin de estado y configuracin de la VXLAN local.
n
Segment ID
Gateway
------------192.168.250.0
NOTA: Si el comando esxcli network vswitch dvs vmware vxlan produce el mensaje de error
"Comando o espacio de nombres desconocidos" ("Unknown command or namespace"), ejecute el
comando /etc/init.d/hostd restart en el host y vuelva a intentarlo.
El nombre de VDS aparece en el conmutador distribuido de vSphere al que est conectado el host.
El identificador de segmento es la red IP utilizada por VXLAN.
La direccin IP de la puerta de enlace es la direccin IP de la puerta de enlace utilizada por VXLAN.
La direccin MAC de la puerta de enlace sigue siendo ff:ff:ff:ff:ff:ff.
El recuento de red sigue siendo 0 a menos que un DLR se asocie al conmutador lgico.
El recuento de Vmknic debe coincidir con la cantidad de mquinas virtuales conectadas al conmutador
lgico.
n
104
Pruebe la conectividad de la interfaz VTEP por IP y compruebe que la MTU haya aumentado para
admitir la encapsulacin de VXLAN. Haga ping en la direccin IP de la interfaz, que se encuentra en la
pgina Administrar > Redes > Conmutadores virtuales (Manage > Networking > Virtual switches) del
host en vCenter Web Client.
VMware, Inc.
La marca -d establece el bit don't-fragment (DF) en los paquetes IPv4. La marca -s establece el tamao
del paquete.
root@esxcomp-02a ~ # vmkping ++netstack=vxlan -d -s 1570 192.168.250.100
PING 192.168.250.100 (192.168.250.100): 1570 data bytes
1578 bytes from 192.168.250.100: icmp_seq=0 ttl=64 time=1.294 ms
1578 bytes from 192.168.250.100: icmp_seq=1 ttl=64 time=0.686 ms
1578 bytes from 192.168.250.100: icmp_seq=2 ttl=64 time=0.758 ms
--- 192.168.250.100 ping statistics --3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.686/0.913/1.294 ms
~ #
root@esxcomp-01a ~ # vmkping ++netstack=vxlan -d -s 1570 192.168.250.101
PING 192.168.250.101 (192.168.250.101): 1570 data bytes
1578 bytes from 192.168.250.101: icmp_seq=0 ttl=64 time=0.065 ms
1578 bytes from 192.168.250.101: icmp_seq=1 ttl=64 time=0.118 ms
--- 192.168.250.101 ping statistics --2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.065/0.091/0.118 ms
Qu hacer a continuacin
Cree un DLR y ascielo a los conmutadores lgicos para habilitar la conectividad entre las mquinas
virtuales conectadas a otros conmutadores lgicos.
Se admiten protocolos de enrutamiento dinmico (BGP y OSPF) solo en las interfaces de vnculo
superior.
Las reglas de firewall son aplicables solo en las interfaces de vnculo superior, y estn limitadas al
trfico de control y de administracin destinado al dispositivo Edge virtual.
Para obtener ms informacin sobre la interfaz de administracin de DLR, consulte el artculo de la base
de conocimientos relacionado con consideraciones sobre la interfaz de administracin de la mquina
virtual de control del enrutador lgico distribuido (http://kb.vmware.com/kb/2122060).
Prerequisitos
n
Debe tener un clster de controladora operativo en el entorno antes de instalar un enrutador lgico.
Se debe crear un grupo de identificadores de segmentos local aunque no est previsto crear
conmutadores lgicos NSX.
VMware, Inc.
105
Los enrutadores lgicos no pueden distribuir informacin de enrutamiento a hosts sin la ayuda de las
controladoras NSX Controller. Los enrutadores lgicos dependen de las controladoras NSX Controller
para funcionar, mientras que las puertas de enlace de servicios Edge (edge services gateways, ESG) no.
Asegrese de que el clster de controladoras est en funcionamiento y disponible antes de crear o
modificar la configuracin del enrutador lgico.
Si se desea conectar un enrutador lgico a los dvPortgroups de VLAN, asegrese de que todos los hosts
del hipervisor con un dispositivo de enrutador lgico instalado puedan comunicarse entre s en el
puerto UDP 6999 para que funcione el proxy ARP basado en la VLAN del enrutador lgico.
Las interfaces del enrutador lgico y las interfaces puente no pueden conectarse a un dvPortgroup si el
identificador de la VLAN est establecido en 0.
Una instancia de enrutador lgico determinada no puede conectarse a los conmutadores lgicos que
existen en zonas de transporte diferentes. El objetivo de esto es garantizar que todas las instancias de
conmutadores lgicos y enrutadores lgicos estn alineadas.
No deben crearse interfaces de enrutadores lgicos en dos dvPortgroups diferentes con el mismo
identificador de VLAN si las dos redes estn en conmutadores distribuidos de vSphere diferentes, pero
los dos conmutadores distribuidos de vSphere comparten los mismos hosts. En otras palabras, pueden
crearse interfaces de enrutadores lgicos en dos redes diferentes con el mismo identificador de VLAN si
los dos dvPortgroups estn en dos conmutadores distribuidos de vSphere diferentes, siempre que los
conmutadores distribuidos de vSphere no compartan un host.
A diferencia de las versiones 6.0 y 6.1 de NSX, la versin 6.2 de NSX permite conectar interfaces lgicas
(logical interfaces, LIF) enrutadas mediante enrutadores a una VXLAN conectada en puente con una
VLAN.
Procedimiento
1
2
3
En vSphere Web Client, desplcese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking
& Security > NSX Edges).
Haga clic en el icono Agregar (Add) (
).
Seleccione Enrutador lgico (distribuido) (Logical [Distributed] Router) y escriba un nombre para el
dispositivo.
Este nombre aparece en el inventario de vCenter. El nombre debe ser nico en todos los enrutadores
lgicos de una sola empresa.
106
VMware, Inc.
De manera opcional, tambin puede introducir un nombre de host. Este nombre aparece en la interfaz
de lnea de comandos. Si no especifica un nombre de host, la interfaz de lnea de comandos muestra el
identificador de Edge, que se crea automticamente.
De manera opcional, puede introducir una descripcin y especificar la empresa.
Por ejemplo:
VMware, Inc.
107
Al menos un nmero
108
VMware, Inc.
Configure la implementacin.
u
Si seleccion Implementar NSX Edge (Deploy NSX Edge), introduzca la configuracin del
dispositivo virtual del enrutador lgico que se agregar al inventario de vCenter.
) (Add) est
Por ejemplo:
VMware, Inc.
109
una mquina virtual del enrutador externo de esta o a un dvPortgroup respaldado por VLAN para que
el enrutador lgico se conecte al enrutador fsico directamente. Se debe tener al menos una interfaz de
vnculo superior para que el enrutamiento dinmico funcione. Las interfaces de vnculo superior se
crean como vNIC en el dispositivo virtual del enrutador lgico.
La configuracin de la interfaz especificada en este punto se puede modificar ms adelante. Es posible
agregar, eliminar y modificar interfaces despus de implementar un enrutador lgico.
El siguiente ejemplo muestra una interfaz de HA conectada al grupo de puertos distribuidos de
administracin. El ejemplo tambin muestra dos interfaces internas (aplicacin y web) y una interfaz de
vnculo superior (a ESG).
110
VMware, Inc.
10
11
Asegrese de que todas las mquinas virtuales asociadas a los conmutadores lgicos tengan sus puertas
de enlace predeterminadas establecidas adecuadamente en las direcciones IP de la interfaz del
enrutador lgico.
VMware, Inc.
111
Inicie sesin en NSX Manager mediante SSH y ejecute los siguientes comandos:
n
Vdr id
0x00001388
#Lifs
3
Vea un listado de los hosts que recibieron informacin de enrutamiento para el enrutador lgico del
clster de controladoras.
nsxmgr-l-01a> show logical-router list dlr edge-1 host
ID
HostName
host-25
192.168.210.52
host-26
192.168.210.53
host-24
192.168.110.53
En el resultado se incluyen todos los hosts de todos los clsteres de hosts configurados como miembros
de la zona de transporte a la que pertenece el conmutador lgico que est conectado al enrutador lgico
especificado (en este ejemplo, edge-1).
n
Vea un listado con la informacin de la tabla de enrutamiento que se comunica a los hosts mediante el
enrutador lgico. Las entradas de la tabla de enrutamiento deben ser coherentes en todos los hosts.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route
VDR default+edge-1 Route Table
Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]
Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]
Destination
----------0.0.0.0
172.16.10.0
172.16.20.0
192.168.10.0
192.168.100.0
112
GenMask
------0.0.0.0
255.255.255.0
255.255.255.0
255.255.255.248
255.255.255.0
Gateway
------192.168.10.1
0.0.0.0
0.0.0.0
0.0.0.0
192.168.10.1
Flags
----UG
UCI
UCI
UCI
UG
Ref
--1
1
1
1
1
Origin
-----AUTO
MANUAL
MANUAL
MANUAL
AUTO
UpTime
-----4101
10195
10196
10196
3802
Interface
--------138800000002
13880000000b
13880000000a
138800000002
138800000002
VMware, Inc.
Vea un listado con informacin adicional sobre el enrutador desde el punto de vista de uno de los hosts.
Esto es til para saber qu controlador es est comunicando con el host.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose
VDR Instance Information :
--------------------------Vdr Name:
Vdr Id:
Number of Lifs:
Number of Routes:
State:
Controller IP:
Control Plane IP:
Control Plane Active:
Num unique nexthops:
Generation Number:
Edge Active:
default+edge-1
0x00001388
3
5
Enabled
192.168.110.203
192.168.210.52
Yes
1
0
No
Compruebe el campo Direccin IP de controladora (Controller IP) en el resultado del comando show
Acceda a una controladora mediante SSH y ejecute los siguientes comandos para mostrar la informacin de
estado adquirida de las tablas de VNI, VTEP, MAC y ARP de la controladora.
n
La salida para VNI 5000 muestra cero conexiones y la controladora 192.168.110.201 como propietaria de
VNI 5000. Inicie sesin en esa controladora para recopilar ms informacin de VNI 5000.
192.168.110.201 # show control-cluster logical-switches vni 5000
VNI
Controller
BUM-Replication ARP-Proxy Connections
5000
192.168.110.201 Enabled
Enabled
3
Debido a que 192.168.110.201 es propietaria de las tres conexiones de VNI, se esperaran ver cero
conexiones en la otra controladora 192.168.110.203.
192.168.110.203 # show control-cluster logical-switches vni 5000
VNI
Controller
BUM-Replication ARP-Proxy Connections
5000
192.168.110.201 Enabled
Enabled
0
n
VMware, Inc.
Antes de comprobar las tablas de MAC y ARP, comience a hacer ping de una mquina virtual a la otra.
113
Revise la informacin del enrutador lgico. Cada instancia del enrutador lgico se procesa en uno de los
nodos de la controladora.
El subcomando instance del comando show control-cluster logical-routers muestra un listado de los
enrutadores lgicos que estn conectados a esta controladora.
El subcomando interface-summary muestra un listado de las LIF que la controladora adquiri de NSX
Manager. Esta informacin se enva a los hosts que estn en los clsteres de hosts administrados en la zona
de transporte.
El subcomando routes muestra la tabla de enrutamiento que se enva a esta controladora mediante el
dispositivo virtual del enrutador lgico (tambin se conoce como mquina virtual de control). Tenga en
cuenta que, a diferencia de los hosts ESXi, esta tabla de enrutamiento no incluye subredes conectadas
directamente, ya que la configuracin de LIF proporciona esta informacin. La informacin de ruta de los
hosts ESXi incluye subredes conectadas directamente porque, en ese caso, se trata de una tabla de reenvo
utilizada por la ruta de datos del host ESXi.
n
114
VMware, Inc.
esxcfg-route -l
Netmask
255.255.255.0
255.255.255.0
0.0.0.0
Gateway
Local Subnet
Local Subnet
192.168.210.1
Interface
vmk1
vmk0
vmk0
192.168.110.202
Host-IP
192.168.110.53
192.168.210.52
192.168.210.53
Estas direcciones IP de hosts son interfaces vmk0, no VTEP. Las conexiones entre hosts y controladoras
ESXi se crean en la red de administracin. Aqu los nmeros de puerto son puertos TCP efmeros que
asigna la pila de direcciones IP del host ESXi cuando el host establece una conexin con la controladora.
n
Muestre las VNI activas en el host. Observe que el resultado es diferente entre los hosts. No todas las
VNI estn activas en todos los hosts. Una VNI est activa en un host si ese host posee una mquina
virtual conectada al conmutador lgico.
[root@192.168.210.52:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name
Compute_VDS
VXLAN ID Multicast IP
Control Plane
Controller
Connection Port Count MAC Entry Count ARP Entry Count VTEP Count
-------- ------------------------- ------------------------------------------------------- ---------- --------------- --------------- ---------5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203
(up)
5001
(up)
1
0
N/A (headend replication)
1
0
0
0
Enabled (multicast proxy,ARP proxy)
0
0
192.168.110.202
NOTA: Para habilitar el espacio de nombres vxlan en vSphere 6 y versiones posteriores, ejecute el
comando /etc/init.d/hostd restart.
En el caso de conmutadores lgicos en modo hbrido o de unidifusin, el comando esxcli network
vswitch dvs vmware vxlan network list --vds-name <vds-name> debe contener el siguiente resultado:
VMware, Inc.
115
Si un enrutador lgico est conectado al host ESXi, el recuento de puertos es al menos 1, incluso si
no hay mquinas virtuales en el host conectado al conmutador lgico. Este puerto es vdrPort, que
es un puerto dvPort especial conectado al mdulo del kernel del enrutador lgico en el host ESXi.
En primer lugar, haga ping de una mquina virtual a otra en una subred diferente y, a continuacin,
muestre la tabla de MAC. Tenga en cuenta que la MAC interna es la entrada de la mquina virtual,
mientras que la MAC externa y la direccin IP externa se refieren a la VTEP.
~ # esxcli network
id=5000
Inner MAC
----------------00:50:56:a6:23:ae
~ # esxcli network
id=5001
Inner MAC
----------------02:50:56:56:44:52
00:50:56:f0:d7:e4
vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlanOuter MAC
----------------00:50:56:6a:65:c2
Outer IP
-------------192.168.250.52
Flags
-------00000111
vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlanOuter MAC
----------------00:50:56:6a:65:c2
00:50:56:6a:65:c2
Outer IP
-------------192.168.250.52
192.168.250.52
Flags
-------00000101
00000111
Qu hacer a continuacin
En los hosts donde se implementan dispositivos NSX Edge por primera vez, NSX habilita el
encendido/apagado automtico de mquinas virtuales. Si posteriormente las mquinas virtuales del
dispositivo se migran a otros hosts, es posible que los hosts nuevos no tengan habilitada la opcin de
encendido/apagado automtico. Por este motivo, VMware recomienda que compruebe todos los hosts del
clster para asegurarse de que la opcin de encendido/apagado automtico est habilitada. Consulte
http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc
%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.
Despus de implementar el enrutador lgico, haga doble clic en el identificador del enrutador lgico para
configurar opciones adicionales, como interfaces, enrutamiento, firewall, puentes y rel DHCP.
Por ejemplo:
116
VMware, Inc.
HA: no se admite en la interfaz de vnculo superior, requiere al menos una interfaz interna.
VPN SSL: la direccin IP del agente de escucha debe pertenecer a la interfaz de vnculo superior.
VPN IPsec: la direccin IP del sitio local debe pertenecer a la interfaz de vnculo superior.
En la siguiente imagen se muestra una topologa de ejemplo con una interfaz de vnculo superior de ESG
conectada a la infraestructura fsica mediante el conmutador distribuido de vSphere, y la interfaz interna de
ESG conectada a un enrutador lgico de NSX mediante un conmutador de trnsito lgico de NSX.
VMware, Inc.
117
vSphere
Distributed
Switch
ESG
192.168.100.3
Tipo de vnculo:
vnculo superior
192.168.10.1
Tipo de vnculo: interno
Arquitectura
fsica
192.168.100.1
Conmutador
lgico
de trnsito
192.168.10.2
Tipo de vnculo:
vnculo superior
Direccin del protocolo:
192.168.10.3
DLR
172.16.20.1
Tipo de vnculo: interno
Conmutador
lgico
de aplicaciones
172.16.10.1
Tipo de vnculo: interno
Conmutador
lgico
web
172.16.20.10
VM
Mquina virtual
de aplicaciones
172.16.10.10
VM
Mquina virtual
web
Pueden configurarse varias direcciones IP para equilibrio de carga, VPN de sitio a sitio y servicios de NAT.
Prerequisitos
Se le debe haber asignado la funcin de administrador de Enterprise o administrador de NSX.
Compruebe que el grupo de recursos tenga capacidad suficiente para implementar el dispositivo virtual de
la puerta de enlace de servicios Edge (edge services gateway, ESG) . Consulte Requisitos del sistema para
NSX, pgina 25.
118
VMware, Inc.
Procedimiento
1
En vCenter, desplcese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking & Security
> NSX Edges) y haga clic en el icono Agregar (Add) (
).
Seleccione Puerta de enlace de servicios Edge (Edge Services Gateway) y escriba un nombre para el
dispositivo.
Este nombre aparece en el inventario de vCenter. El nombre debe ser nico en todas las ESG de una
misma empresa.
De manera opcional, tambin puede introducir un nombre de host. Este nombre aparece en la interfaz
de lnea de comandos. Si no especifica un nombre de host, la interfaz de lnea de comandos muestra el
identificador de Edge, que se crea automticamente.
De manera opcional, puede introducir una descripcin y una empresa, y habilitar High Availability.
Por ejemplo:
VMware, Inc.
Al menos un nmero
119
(Opcional) Habilite SSH, High Availability y la generacin automtica de reglas, y establezca el nivel de
registro.
Si no habilita la generacin automtica de reglas, debe agregar manualmente la configuracin de
firewall, NAT y enrutamiento para permitir el control de trfico para ciertos servicios NSX Edge,
incluidos el equilibrio de carga y VPN. La generacin automtica de reglas no crea reglas para trfico de
canal de datos.
De forma predeterminada, las opciones SSH y High Availability estn deshabilitadas, y la generacin
automtica de reglas est habilitada. De forma predeterminada, el registro est en nivel de emergencia.
De forma predeterminada, el registro est habilitado en todos los dispositivos NSX Edge nuevos. El
nivel de registro predeterminado es NOTICE (ATENCIN).
Por ejemplo:
Seleccione el tamao de la instancia NSX Edge en funcin de los recursos del sistema.
La opcin Large NSX Edge tiene ms CPU, memoria y espacio en disco que la opcin Compact NSX
Edge, y admite una mayor cantidad de componentes de usuarios VPN SSL-Plus simultneos. La opcin
X-Large NSX Edge es ideal para entornos que tienen un equilibrador de carga con millones de sesiones
simultneas. La opcin Quad Large NSX Edge se recomienda cuando es necesaria una gran capacidad
de proceso y requiere una alta velocidad de conexin.
Consulte Requisitos del sistema para NSX, pgina 25.
120
VMware, Inc.
Seleccione Implementar NSX Edge (Deploy NSX Edge) y agregue el dispositivo Edge en un modo
implementado. Debe configurar dispositivos e interfaces para el dispositivo Edge para poder
implementarlo.
VMware, Inc.
121
Habilite el filtrado inverso de rutas para comprobar la posibilidad de conexin de la direccin de origen
en los paquetes que se reenvan. En el modo habilitado, el paquete debe recibirse en la interfaz que el
enrutador utilizara para reenviar el paquete de retorno. En el modo flexible, la direccin de origen debe
aparecer en la tabla de enrutamiento.
Configure parmetros de contencin si desea volver a utilizar las direcciones IP y MAC en diferentes
entornos contenidos. Por ejemplo, en una Cloud Management Platform (CMP), la contencin permite
ejecutar varias instancias de nube simultneas con las mismas direcciones IP y MAC completamente
aisladas o contenidas.
Por ejemplo:
122
VMware, Inc.
En el siguiente ejemplo se muestran dos interfaces: una conecta la ESG con el mundo exterior mediante
un grupo de puertos de vnculo superior en un conmutador distribuido de vSphere, mientras que la
otra conecta la ESG a un conmutador lgico de trnsito al cual tambin est conectado un enrutador
lgico distribuido.
VMware, Inc.
123
10
124
VMware, Inc.
de la mquina virtual secundaria cambia a activo. De esa manera, una mquina virtual NSX Edge
siempre est activa en la red. NSX Edge replica la configuracin del dispositivo principal para el
dispositivo en espera y garantiza que las dos mquinas virtuales NSX Edge con HA no estn en el
mismo host ESX, incluso despus de utilizar DRS y vMotion. En vCenter, se implementan dos
mquinas virtuales en el mismo grupo de recursos y almacn de datos que el dispositivo configurado.
Se asignan direcciones IP de vnculo locales a mquinas virtuales con HA en NSX Edge HA para que
puedan comunicarse entre s. Seleccione la interfaz interna para la cual desea configurar parmetros de
HA. Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero no hay interfaces internas
configuradas, la interfaz de usuario no muestra un error. Se crean dos dispositivos Edge, pero como no
hay una interfaz interna configurada, el dispositivo Edge nuevo permanece en espera y se deshabilita
HA. Una vez que se configura una interfaz interna, HA se vuelve a habilitar en el dispositivo Edge.
Escriba el perodo en segundos dentro del cual, si el dispositivo de copia de seguridad no recibe una
seal de latido del dispositivo principal, este se considera inactivo y el dispositivo de copia de
seguridad lo reemplaza. El intervalo predeterminado es 15 segundos. De manera opcional, puede
introducir dos direcciones IP de administracin en formato CIDR para anular las direcciones IP de
VMware, Inc.
125
vnculo locales asignadas a las mquinas virtuales con HA. Asegrese de que las direcciones IP de
administracin no se superpongan con las direcciones IP utilizadas para ninguna otra interfaz, y que no
interfieran con el enrutamiento de trfico. No debe utilizar una direccin IP que exista en otro lugar de
la red, ni siquiera si esa red no est conectada directamente con NSX Edge.
Por ejemplo:
Despus de implementar ESG, vaya a la vista Hosts y clsteres (Hosts and Clusters) y abra la consola del
dispositivo virtual Edge. Desde la consola, compruebe si puede hacer ping en las interfaces conectadas.
Qu hacer a continuacin
En los hosts donde se implementan dispositivos NSX Edge por primera vez, NSX habilita el
encendido/apagado automtico de mquinas virtuales. Si posteriormente las mquinas virtuales del
dispositivo se migran a otros hosts, es posible que los hosts nuevos no tengan habilitada la opcin de
encendido/apagado automtico. Por este motivo, VMware recomienda que compruebe todos los hosts del
clster para asegurarse de que la opcin de encendido/apagado automtico est habilitada. Consulte
http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc
%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.
Ahora puede configurar el enrutamiento para permitir la conectividad de los dispositivos externos a las
mquinas virtuales.
126
VMware, Inc.
Agregue el host al conmutador vSphere Distributed Switch asignado al clster donde desea agregar el
host.
Todos los hosts en el clster deben estar en el conmutador vSphere Distributed Switch que aprovecha
NSX.
Coloque el host en modo de mantenimiento y espere a que el DRS evacue el host o realice una
migracin manual con vMotion de las mquinas virtuales en ejecucin desde el host.
Quite los hosts del clster preparado movindolos a un clster no preparado o convirtindolos en hosts
independientes fuera de cualquier clster.
NSX desinstala los componentes de virtualizacin de red y las mquinas virtuales de servicio del host.
Para que el cambio se aplique, mueva o detenga todas las mquinas virtuales, coloque el host en modo
de mantenimiento y reinicie el host.
De manera opcional, puede aplazar el reinicio hasta una ventana de mantenimiento.
Los VIB de NSX se quitan del host. Para comprobarlo, acceda al host mediante SSH y ejecute el comando
esxcli software vib list | grep esx. Compruebe que en el host no estn presentes los VIB siguientes:
n
esx-vsip
esx-vxlan
Si los VIB permanecen en el host, es posible que sea conveniente ver los registros para determinar por qu
no funcion la eliminacin de VIB automtica.
Puede quitar los VIB manualmente si ejecuta los comandos siguientes:
n
IMPORTANTE: Despus de ejecutar estos comandos, debe reiniciar el host para que el cambio se aplique.
VMware, Inc.
127
128
VMware, Inc.
En este captulo se detallan los pasos necesarios para desinstalar los componentes de NSX desde el
inventario de vCenter.
NOTA: No elimine los dispositivos NSX directamente desde vCenter. Administre y elimine siempre los
dispositivos NSX a travs de la pestaa Redes y seguridad (Networking and Security) de
vSphere Web Client.
Este captulo cubre los siguientes temas:
n
Desinstalar un enrutador lgico distribuido o una puerta de enlace de servicios NSX Edge,
pgina 129
Haga clic en Redes y seguridad (Networking & Security) y, a continuacin, en Instancias de NSX Edge
(NSX Edges).
Seleccione una instancia de NSX Edge y haga clic en el icono Eliminar (Delete) (
).
VMware, Inc.
129
Procedimiento
1
En vSphere Web Client, desplcese hasta Inicio > Redes y seguridad > Conmutadores lgicos (Home >
Networking & Security > Logical Switches).
Seleccione un conmutador lgico y quite todas las mquinas virtuales asociadas haciendo clic en el
icono Quitar mquina virtual (Remove Virtual Machine).
Por ejemplo:
).
130
Quite todas las soluciones de partners registradas, al igual que los servicios de extremo, antes de
revertir la preparacin del host para que las mquinas virtuales de servicio del clster se quiten
correctamente.
Elimine todas las instancias de NSX Edge. Consulte Desinstalar un enrutador lgico distribuido o una
puerta de enlace de servicios NSX Edge, pgina 129.
Desconecte las mquinas virtuales en la zona de transporte de los conmutadores lgicos y elimine los
conmutadores lgicos. Consulte Desinstalar un conmutador lgico, pgina 129.
VMware, Inc.
Procedimiento
1
En vCenter Web Client, vaya a Redes y seguridad > Instalacin > Preparacin del host
(Networking & Security > Installation > Host Preparation) y haga clic en Desinstalar (Uninstall).
En vCenter Web Client, vaya a Administracin > Extensiones de vCenter Server > vSphere ESX
Agent Manager (Administration > vCenter Server Extensions > vSphere ESX Agent Manager). En
la pestaa Administracin (Management), haga clic con el botn derecho en la agencia VCNS y
seleccione Eliminar agencia (Delete Agency).
Por ejemplo:
VMware, Inc.
131
132
Seleccione el clster y haga clic en la accin Resolver (Resolve). Esta accin reinicia todos los hosts
del clster. Si el clster tiene DRS habilitado, el DRS intenta reiniciar los hosts de manera
controlada para que las mquinas virtuales continen en ejecucin. Si se produce un error en el
DRS por cualquier motivo, se detiene la accin Resolver (Resolve). En este caso, es posible que
deba mover las mquinas virtuales manualmente y, a continuacin, volver a intentar la accin
Resolver (Resolve) o reiniciar los hosts manualmente.
VMware, Inc.
Elimine el dispositivo NSX Manager y todas las mquinas virtuales del dispositivo NSX Controller del
disco.
Por lo general, las interfaces vmkernel de VTEP ya se eliminan como resultado de las operaciones de
desinstalacin anteriores.
8
Quite todos los dvPortgroups utilizados para los VTEP que hayan quedado.
Por ejemplo:
VMware, Inc.
133
Por lo general, los dvPortgroups utilizados para los VTEP ya se eliminan como resultado de las
operaciones de desinstalacin anteriores.
9
10
Para la instancia de vCenter en la que desea quitar el complemento de NSX Manager, inicie sesin en el
explorador de objetos administrados en https://your_vc_server/mob.
11
134
VMware, Inc.
12
13
VMware, Inc.
135
14
15
Si va a ejecutar vSphere 6 vCenter Appliance, inicie la consola y habilite el shell de BASH en Opciones
de modo de solucin de problemas (Troubleshooting Mode Options).
Otro modo de habilitar el shell de BASH es iniciar sesin como raz y ejecutar el comando shell.set - enabled true.
16
Elimine los directorios de vSphere Web Client para NSX y, a continuacin, reinicie el servicio Web
Client.
Los directorios de vSphere Web Client para NSX se denominan com.vmware.vShieldManager.** y se
encuentran en las ubicaciones siguientes:
n
136
VMware, Inc.
Para vCenter Server Appliance, ejecute el comando service vsphere-client restart en el shell del
dispositivo.
Para vCenter basado en Windows, ejecute services.msc, haga clic con el botn derecho en vSphere Web
Client y haga clic en Iniciar (Start).
Se quita el complemento de NSX Manager de vCenter. Para confirmarlo, cierre sesin en vCenter y vuelva a
iniciarla.
El icono Redes y seguridad (Networking & Security) del complemento de NSX Manager ya no aparece en la
pantalla de inicio de vCenter Web Client.
VMware, Inc.
137
Vaya a Administracin > Complementos de clientes (Administration > Client Plug-Ins) y compruebe que la
lista de complementos no incluya el Complemento de interfaz de usuario de NSX (NSX User Interface
plugin).
138
VMware, Inc.
ndice
C
clster, agregar host 127
conmutador lgico
agregar 99
conectar mquinas virtuales a 75
desinstalar 129
conmutador lgico universal, agregar 73
Cross-vCenter NSX
descripcin general 15
matriz de compatibilidad 17
topologas 20
cuenta de usuario, single sign-on 46
D
desinstalar
componentes de virtualizacin de red 130
conmutador lgico 129
firewall 130
NSX Edge 129
E
Enhanced Linked Mode 40
enrutador lgico (distribuido) universal,
agregar 75
F
firewall, excluir mquinas virtuales 53
G
grupo de identificadores de segmentos
asignar a NSX Manager principal 67
instancia de NSX Manager secundaria 92
NSX Manager principal 67
grupo de identificadores de segmentos
universal 71
H
host, agregar a un clster 127
I
instalacin
licencias 52
NSX Manager 41
instalar, NSX Edge 117
instancia de NSX Manager secundaria
asignar grupo de identificadores de
segmentos 92
VMware, Inc.
L
licencias, instalacin 52
N
NSX
descripcin general 7
plano de administracin 10
plano de control 9
plano de datos 9
plataforma de consumo 11
servicios 13
NSX Edge
desinstalar 129
instalacin 117
licencias 52
NSX Endpoint, licencias 52
NSX Manager
agregar zona de transporte universal 72
asignar grupo de identificadores de
segmentos 67
grupo de identificadores de segmentos
universal 71
instalacin 41
instancia de NSX Manager secundaria,
preparacin del host 89
registrar instancia secundaria 87
rol principal 70
servidor de Syslog 51
sincronizar con vCenter 47
NSX Manager principal, agregar zona de
transporte universal 72
P
preparacin del host, instancia de NSX Manager
secundaria 89
R
requisitos del cliente 25
requisitos del sistema 25
rol principal 70
S
servidor de Syslog 51
139
U
universal
acerca de 19
clster de controladoras 18
conmutador lgico 19
enrutador lgico 19
enrutador lgico (distribuido) 75
objetos de seguridad y red, acerca
de 20
reglas de firewall 19
zona de transporte 18
V
vCenter, sincronizar desde NSX Manager 47
Z
zona de transporte universal 72
140
VMware, Inc.