{"id":341,"date":"2020-11-06T21:47:04","date_gmt":"2020-11-07T00:47:04","guid":{"rendered":"http:\/\/vbrain.com.br\/?p=341"},"modified":"2020-11-07T09:26:37","modified_gmt":"2020-11-07T12:26:37","slug":"consideracoes-sobre-roteamento-transport-zone-e-edge-nodes-no-nsx-t-parte-3-de-4","status":"publish","type":"post","link":"http:\/\/vbrain.com.br\/index.php\/2020\/11\/06\/consideracoes-sobre-roteamento-transport-zone-e-edge-nodes-no-nsx-t-parte-3-de-4\/","title":{"rendered":"Considera\u00e7\u00f5es sobre Roteamento, Transport Zone e Edge nodes no NSX-T. (Parte 3 de 4)"},"content":{"rendered":"

Bom pessoal, nos \u00faltimos posts, Parte 1<\/a> e Parte 2<\/a>, falamos sobre os servi\u00e7os de DR (Distributed Router)<\/strong> e SR (Service Router)<\/strong> executados nos Logical Routers, <\/strong>no post 2 tamb\u00e9m comentamos que os Logical Routers podem ser do tipo Tier0<\/strong> e Tier1<\/strong>, dependendo da arquitetura escolhida.<\/p>\n

O objetivo deste post ser\u00e1 abordar com mais detalhes os Edge-Nodes.<\/strong><\/p>\n

Edge-Nodes<\/h3>\n

Como mencionado anteriormente, servi\u00e7os statefull <\/em>como conectividade Norte-Sul, NAT, Load Balance, VPN etc que n\u00e3o podem ser executados como servi\u00e7os distribu\u00eddos no Kernel de cada Host, s\u00e3o providos pelo Service Router (SR)<\/strong>, que podem ser implementados tanto em Tier0<\/strong> quanto em Tier1<\/strong>.<\/p>\n

Quando servi\u00e7os statefull s\u00e3o consumidos, como exemplo o tr\u00e1fego saindo de uma VM para a internet (N-S), este tr\u00e1fego passa necessariamente por um appliance <\/em>virtual, no caso do tr\u00e1fego norte-sul, sabemos tamb\u00e9m que ele passa por uma inst\u00e2ncia T0, mas se analisarmos a lista de VM’s do ambiente, veremos que n\u00e3o existe nenhum appliance virtual para um T0, quando realizamos o deploy de um T0, obrigat\u00f3riamente temos que informar \u00e0 qual Edge-Node ou cluster de Edge-nodes ele ser\u00e1 vinculado, os Edge-node sim s\u00e3o appliances virtuais e podem ser visualizados por exemplo na estrutura do vCenter.<\/p>\n

\"\"<\/p>\n

Existem duas possibilidades para se realizar o deploy de Edge-nodes, na forma de uma VM, sendo feito o deploy pelo NSX Manager, e na forma Bare-Metal, feito o deploy atrav\u00e9s de uma ISO.<\/p>\n

Desta forma, os Edges s\u00e3o de fato os respons\u00e1veis por prover roteamento e conectividade com o ambiente externo ao NSX-T, quando configuramos um uplink no Tier-0, na verdade estamos informando que aquele objeto l\u00f3gico ( T0 ) utiliza como provedor de servi\u00e7os statefull determinado Edge, e que a interface que ser\u00e1 utilizada como uplink na verdade \u00e9 uma interface do Edge.<\/p>\n

Edge-nodes geralmente s\u00e3o implementados em clusters pr\u00f3prios ou clusters de ger\u00eancia, geralmente s\u00e3o implementados em Hosts os quais est\u00e3o o mais pr\u00f3ximo poss\u00edvel de roteadores, ToR’s e Firewalls respons\u00e1veis pelo roteamento da rede, j\u00e1 que o tr\u00e1fego Norte-Sul \u00e9 canalizado por meio deles, essa arquitetura n\u00e3o \u00e9 pr\u00e9-requisito, e sim uma recomenda\u00e7\u00e3o:<\/p>\n

<\/p>\n

fonte: vmware.com<\/em><\/p>\n

Algumas considera\u00e7\u00f5es merecem aten\u00e7\u00e3o antes de partirmos para o deploy de um Edge como exemplo.<\/p>\n

No post 4, abordaremos com mais detalhes as Transport Zones do tipo Overlay e VLAN, por\u00e9m \u00e9 importante lembrarmos que as redes L2 criadas no NSX-V ou NSX-T (logical Switches), s\u00e3o encapsuladas por uma rede Overlay, isso permite que essas redes sejam transportadas atrav\u00e9s de todo o data center e at\u00e9 mesmo entre data centers distintos, as redes L2 ent\u00e3o recebem uma TAG VNI (Virtual Network Identifier<\/strong>), ent\u00e3o s\u00e3o transportadas atrav\u00e9s de uma \u00fanica VLAN ou passando por todo um backbone roteavel L3, no NSX-V, o protocolo utilizado para overlay de rede era o VXLAN<\/strong>, j\u00e1 no NSX-T, temos o GENEVE. Para que esse tr\u00e1fego seja “tunelado \/ encapsulado”, cada Host (ESXi, KVM etc) e os Edge-Nodes devem possuir uma interface do tipo TEP (Tunnel Endpoint). N\u00e3o se preocupe, veremos isso com mais detalhes no post 4.<\/strong><\/p>\n

O que temos que manter em mente aqui \u00e9, interfaces TEP de cada host (seja em ESXi, KVM etc), devem ser estendidas a interfaces TEP tamb\u00e9m dos Edge-nodes VM, para que exista ent\u00e3o t\u00faneis overlay entre eles, a rede overlay entre os hosts esxi e edge vms n\u00e3o precisa ser exatamente ser exatamente a mesma rede IP, mas o IP dos TEP’s devem ser alcan\u00e7\u00e1veis entre si.<\/p>\n

Exemplo de Overlay utilizando a mesma rede:<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Exemplo de Overlay utilizando redes diferentes, por\u00e9m, roteavel:<\/p>\n

\"\"<\/p>\n

Uma observa\u00e7\u00e3o importante aqui, existe uma limita\u00e7\u00e3o na arquitetura, <\/span><\/strong><\/span> que acredito ser a realidade em Labs onde existe somente um servidor com apenas uma interface f\u00edsica, interfaces TEP dos Hosts ESXi e interfaces TEP das Edge VMs no mesmo vSwitch\/Uplink n\u00e3o \u00e9 suportado. Uma VM de Edge-node executando dentro de um host ESXi deve ter sua interface TEP colocada em seu pr\u00f3prio vSwitch \/ vmnic, e ent\u00e3o ser roteada atrav\u00e9s de um appliance terceiro.<\/span><\/strong><\/p>\n

\"\"<\/a><\/p>\n

Mantenha em mente tamb\u00e9m que as VM’s de Edge-Nodes devem ter ao menos uma das suas interfaces no Transport Zone do tipo VLAN, interfaces do tipo VLAN ser\u00e3o as interfaces utilizadas como “Uplink” dos Edges, elas ser\u00e3o ligadas \u00e0 portgroups VLAN’s dos Hosts ESXi e ser\u00e3o utilizadas para tr\u00e1fego Norte-Sul.<\/p>\n

As VM’s de Edge-node possuem um ou mais switches virtuais dentro delas, os uplinks de cada um desses switches virtuais ent\u00e3o s\u00e3o conectados aos portgroups do Distributed Switch (VDS). Em suma, cada VM Edge-Node ter\u00e1 tr\u00eas ou mais interfaces, 1 de gerenciamento, 1 para trafego Overlay e uma ou mais para trafego VLAN para liga\u00e7\u00e3o com a rede f\u00edsica.<\/strong><\/p>\n

Ao criar um novo Edge, considero uma boa pr\u00e1tica a cria\u00e7\u00e3o de ao menos dois switches virtuais dentro do Edge, um para Transport Zone Overlay, e um para Transporte Zone VLAN, esses switches virtuais existiram apenas dentro dos Edges e n\u00e3o ser\u00e3o vis\u00edveis no vCenter. Veremos a cria\u00e7\u00e3o de um Edge logo, por enquanto, observe as duas imagens que resumem a estrutura de um Edge.<\/strong><\/p>\n

Vis\u00e3o de um edge e seus virtual switches:<\/p>\n

<\/p>\n

fonte: docs.vmware.com<\/em><\/span><\/p>\n

 <\/p>\n

Vis\u00e3o geral do edge em meu lab:<\/p>\n

\"\"<\/p>\n

Como visto anteriormente, um Edge VM tem quatro interfaces, a interface eth0 <\/strong>ser\u00e1 sempre utilizada para ger\u00eancia, n\u00e3o participando de roteamento ou servi\u00e7os statefull, as outras interfaces recebem um prefixo “fp-eth<x><\/strong>“, essas interfaces s\u00e3o utilizadas como Uplink’s entre os switch virtuais do Edge com o PortGroup assinado \u00e0 elas no VDS\/N-VDS, <\/strong>as interfaces do tipo fp-eth <\/strong>utilizam a tecnologia DPDK<\/strong>, uma tecnologia criada em Linux para processamento mais r\u00e1pido dos pacotes e alta disponibilidade, j\u00e1 que o tr\u00e1fego ser\u00e1 canalizado nos Edges.<\/p>\n

 <\/p>\n

Deploy de um Edge como exemplo:<\/h3>\n

Para o deploy de um Edge, entreNSX Manager, em Syste, depois Fabric \u2013> Nodes -> Edge Transport Nodes. Clique ent\u00e3o em + ADD EDGE VM<\/code><\/p>\n

\"\"<\/p>\n

 <\/p>\n

D\u00ea um nome ao Edge, a informa\u00e7\u00e3o do FQDN tamb\u00e9m ser\u00e1 solicitada nessa tela, tamb\u00e9m \u00e9 muito importante realizar o sizing<\/em> correto do Edge, visto que algumas solu\u00e7\u00f5es como quantidade de Load Balancers dependem do tamanho escolhido, se o intuito tamb\u00e9m for utilizar kubernetes atrav\u00e9s do Tanzu, ser\u00e1 obrigat\u00f3rio a escolha do edge como Large. Importante ressaltar tamb\u00e9m a import\u00e2ncia de cadastrar esse FQDN nos DNS Servers:<\/p>\n

 <\/p>\n

\"\"<\/p>\n

 <\/p>\n

A pr\u00f3xima tela ser\u00e1 solicitado o cadastro das credenciais, nada fora do normal:<\/div>\n
\n

\"\"<\/p>\n<\/div>\n

Na pr\u00f3xima tela, configure em qual cluster\/host\/datastore a VM do Edge estar\u00e1 rodando, similar a qualquer deploy de VM\/OVA\/OVF.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

J\u00e1 na tela seguinte, ser\u00e3o solicitadas informa\u00e7\u00f5es da interface de ger\u00eancia, aquela interface eth0<\/strong> mostrada anteriormente, lembre-se, essa interface ser\u00e1 apenas de ger\u00eancia, n\u00e3o participando de roteamento, servi\u00e7os statefull, nada. Eu conectei essa interface em um Portgroup do VDS que est\u00e1 configurado como VLAN15, repare, aqui n\u00e3o foi feito nenhuma configura\u00e7\u00e3o de VLAN, ela j\u00e1 est\u00e1 configurada no meu portgroup no VDS<\/p>\n

\"\"<\/p>\n

A seguir, uma imagem que mostra meu VDS01, com o portgroup configurado como VLAN ID 15:<\/p>\n

\"\"<\/p>\n

 <\/p>\n

A ultima tela e mais importante \u00e9 onde configuraremos os switches virtuais internos do Edge, transporte zone etc, fiquem tranquilos pois falaremos mais de Transporte Zone no proximo post, mas tenha em mente que iremos configurar dois switches virtuais (do tipo N-VDS) dentro desse Edge VM:<\/p>\n

– Um para o transporte zone de Overlay, que pertencer\u00e1 a rede com a interface TEP, a qual ser\u00e1 conectada aos TEP’s de cada um dos ESXi do ambiente<\/p>\n

– E outro switch virtual interno para o transporte zone VLAN, que contar\u00e1 com os Uplinks ligados aos portgroups do meu VDS, os quais ser\u00e3o utilizados como conex\u00e3o ao mundo f\u00edsico exterior.<\/p>\n

 <\/p>\n

O primeiro virtual switch interno ser\u00e1 o de overlay. Crie um nome para esse switch, lembre-se, ele existe internamente no Edge, n\u00e3o ser\u00e1 visto no vCenter, e nem deveria ser o mesmo nome do VDS utilizado no ambiente virtual<\/p>\n

\"\"<\/p>\n

Ap\u00f3s, clique em Create New Transport Zone, e configure o TZ como overlay:<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Em Uplink Profile, crie um Uplink Profile novo ou utilize os j\u00e1 existentes, no meu caso, utilizarei um profile j\u00e1 existe com somente um uplink, o “nsx-edge-single-nic-uplink-profile”.<\/p>\n

Caso deseje criar novos profiles, uma das informa\u00e7\u00f5es solicitadas ser\u00e1 Transport VLAN, <\/strong>lembre se, os uplinks dos switches internos do Edge j\u00e1 ser\u00e3o conectados \u00e0 portgroups com VLANs j\u00e1 configuradas neles, ou seja, n\u00e3o \u00e9 necess\u00e1rio configurar VLAN alguma nesse meu exemplo, deixando como “0”, no NSX, VLAN 0 \u00e9 a mesma coisa que nenhuma Tag de VLAN.<\/p>\n

\"\"<\/p>\n

Como esse \u00e9 um Switch interno virtual para o Transporte Zone de Overlay, precisamos configurar em IP Assignment<\/strong> um Pool de IP’s dispon\u00edveis para as interfaces TEP ou ent\u00e3o configurar manualmente uma lista, eu j\u00e1 havia pr\u00e9-configurado meu Pool de TEP’s para Edges na rede 192.168.17.x\/24.<\/p>\n

\"\"<\/p>\n

Em Uplinks, irei selecionar um Portgroup do meu VDS correspondente a VLAN17 do meu lab.<\/p>\n

\"\"<\/p>\n

Repare novamente que n\u00e3o foi configurado VLAN para o UPlink , pois estou escolhendo um portgroup que j\u00e1 consta tag de VLAN:<\/p>\n

\"\"<\/p>\n

Informa\u00e7\u00f5es do meu PortGroup no vCenter:<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Agora crie outro switch virtual interno para o Transporte Zone de VLAN, que ser\u00e1 utilizado para trafego Norte-Sul.<\/p>\n

Novamente, em Uplink profile eu n\u00e3o configurei nenhuma VLAN no profile, permanecendo como “0”.<\/p>\n

Repare que com transporte zone do tipo VLAN, n\u00e3o \u00e9 necess\u00e1rio definir um Pool de IP, j\u00e1 que n\u00e3o existir\u00e1 interfaces TEP.<\/p>\n

O uplink utilizado aqui \u00e9 um portgroup VLAN50, que utilizo como rede de Uplink para o restante do meu ambiente:<\/p>\n

\"\"<\/p>\n

Ap\u00f3s alguns minutos, o deploy do Edge estar\u00e1 finalizado, ser\u00e1 poss\u00edvel validar informa\u00e7\u00f5es como IP do TEP que ir\u00e1 fechar conex\u00e3o overlay com os ESXi’s, IP de ger\u00eancia do Edge, em qual Host ele est\u00e1 rodando etc.<\/p>\n

\"\"<\/p>\n

IMPORTANTE, repare na imagem anterior que em Tunnels consta como “Not Available”, <\/strong>esses s\u00e3o os t\u00faneis TEP com os ESXi’s, consta como not available porqu\u00ea at\u00e9 esse momento n\u00e3o existia nenhuma VM em meu ambiente conectada \u00e0 um Logical Switch e ent\u00e3o tendo seu tr\u00e1fego canalizado para o restante do ambiente atrav\u00e9s do Edge (Logical Switches e como “linkar” um T0 ao Edge s\u00e3o conversas para outro post), mas resolvi subir uma VM Centos e fazer com que o trafego Norte-Sul dela passe pelo Edge, sendo assim, um t\u00fanel com o TEP do ESXi que esse CentOS est\u00e1 rodando foi estabelecido:<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Bom pessoal , \u00e9 isso, no pr\u00f3ximo post falaremos mais sobre Transporte Zones Overlay e VLAN, qual utilizar em cada caso.<\/p>\n

Obrigado.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bom pessoal, nos \u00faltimos posts, Parte 1 e Parte 2, falamos sobre os servi\u00e7os de DR (Distributed Router) e SR (Service Router) executados nos Logical Routers, no post 2 tamb\u00e9m…<\/p>\n","protected":false},"author":1,"featured_media":343,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[8],"tags":[],"class_list":["post-341","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vmware"],"jetpack_featured_media_url":"http:\/\/vbrain.com.br\/wp-content\/uploads\/2020\/11\/nsxpart3-1.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/341","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=341"}],"version-history":[{"count":13,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/341\/revisions"}],"predecessor-version":[{"id":386,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/341\/revisions\/386"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/media\/343"}],"wp:attachment":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=341"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=341"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=341"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}