NSX Edge
Relembrando a teoria comentada no artigo 10 dessa série, o componente NSX Edge pode ser instalado de duas formas:
- NSX Edge Services Gateway: oferece acesso a serviços de borda como firewall, load balancing, NAT, VPN, DHCP e alta disponibilidade. Múltiplos Services Gateways podem ser instalados em um mesmo data center, cada um podendo ter 10 interfaces internas ou de uplink. As interfaces internas conectam-se a portgroups protegidos fornecendo serviço de gateway para as redes isoladas. As interfaces de uplink conectam-se a portgroups que fornecem acesso a recursos de rede compartilhados ou a redes de acesso.
- Distributed Logical Router: oferece roteamento distribuído leste-oeste com isolamento de endereçamento IP e de caminho por cliente (tenant). Máquinas virtuais em um mesmo host mas em subnets diferentes podem se comunicar diretamente sem passar por um roteador tradicional (físico). Um roteador lógico pode ter até 8 interfaces de uplink e 1000 interfaces internas e fornece somente serviços de bridging e roteamento.
NSX Edge como Services Gateway
O objetivo deste artigo é demonstrar a implementação do NSX Edge como Services Gateway, evoluindo a topologia do laboratório para inserir um dispositivo de perímetro que conectará as redes virtuais isoladas à rede externa do laboratório (rede física).
Para simplicidade do laboratório, a rede externa usada para conexão será a mesma rede de gerência utilizada para os dispositivos do NSX (rede 10.102.3.0/24). Essa configuração não reflete as melhores práticas de uma topologia de rede, onde a gerência deveria permancer segregada.
A topologia utilizada para implementação do gateway de perímetro é refletida pela figura abaixo:
NOTA: o roteador de conexão às redes externas é um roteador físico que conecta o laboratório virtual.
Para adicionar um Services Gateway, através do vSphere Web Client clicar em Networking & Security -> NSX Edges e depois no botão + para adicionar um novo dispositivo de borda:
Selecionar Edge Services Gateway, colocar um nome (no lab Perimeter Gateway). Não será habilitada a alta disponibilidade no laboratório. O tenant escolhido é o Default:
Inserir a senha com no mínimo 12 caracteres entre maiúsculas, minúsculas, números e pelo menos 1 caractere especial. Para o laboratório, o ssh será habilitado:
Escolher o Datacenter, formato Large, Enable auto rule generation habilitado e clicar no botão + para adicionar as configurações do novo dispositivo:
Selecionar o cluster e o datastore para instalação do Services Gateway (os outros parâmetros são opcionais):
A figura abaixo mostra o resumo das configurações para implementação. Clicar em Next:
Clicar no botão + para adicionar as interfaces:
Essa interface fará o uplink para as redes externas (selecionar o tipo Uplink)e clicar em Change para selecionar a rede de conexão:
Selecionar a rede de conexão externa (no caso do laboratório dVportgroup Servidores):
Clicar no botão + para adicionar um endereço IP para a interface (no lab 10.102.3.41/24) e clicar em OK:
Clicar para adicionar outra interface para conexão à rede de trânsito virtualizada (Transit-Network-01) que se conectará ao Distributed Logical Router configurado em artigo anterior dessa série. As três próximas imagens mostram a configuração dessa interface:
O switch de conexão para essa interface será o switch lógico Transit-Network-01 (criado anteriormente):
O IP dessa interface será 192.168.0.1/29:
Resumo da tela de criação da segunda interface do Services Gateway. Clicar em OK:
Clicar em Next:
Marcar a caixa Configure Default Gateway (o roteamento para a rede externa está sendo feito de forma estática), selecionar a vNIC Uplink, inserir o IP do Gateway 10.102.3.1 e manter a MTU em 1500:
Por enquanto, a política padrão do firewall será mantida em Accept. Como o HA não foi habilitado no início da configuração, seus parâmetros aparecem em cinza nessa tela. É possível habilitar o HA após a instalação do componente.
Na tela de resumo, conferir as configurações, clicar em Finish e aguardar a instalação do novo dispositivo de perímetro:
O próximo artigo dessa série irá demonstrar uma configuração de roteamento dinâmico utilizando OSPF entre o DLR e o Services Gateway.
Para acessar o próximo artigo da série, clique no link Configuração de Roteamento Dinâmico OSPF no NSX.
Para acessar o índice dessa série de artigos clique em Introdução ao NSX – Índice.
Referências
Este artigo utiliza como referências testes realizados no laboratório do Agility Tech Center e os seguintes documentos da VMware:
- NSX Installation and Upgrade Guide (NSX 6.0 for vSphere)
- NSX Administration Guide (NSX 6.0 for vSphere)
- VMware NSX Network Virtualization Design Guide