sexta-feira, 24 de março de 2017

NSX - Edge Service Gateway

O NSX Edge Gateway é configurado em uma Máquina Virtual que oferece múltiplas funções para múltiplos usos de virtualização para redes, podendo fornecer taxa de transferência perto de 10gbps, isso é quase o dobro do que outros devices virtuais permitem.

O Edge forma um dos pontos de terminação entre o mundo físico e o mundo virtual e pode fornecer serviços de Roteamento, serviços de VPN, Capacidade de firewall de perímetro, bridge Layer 2, Balanceamento de carga, NAT, DNS e DHCP.

Figura 1: Recursos do NSX Edge

O Edge pode ser instalado como um OVA através do NSX Manager, e para isso precisa obedecer alguns requisitos. Devido o Edge ser um dispositivo virtual, ao contrário do que são em contra partes do kernel, cada Edge requer vCPU, memória e recursos de armazenamento. Ele deve ser tratado como qualquer VM.

A implantação varia de acordo com seu uso e oferece opções específicas de implantação a serem usados, dependendo das funcionalidades que precisam ser ativadas:
Os requisitos são os seguintes:
  •         Forma Compact - 1 vCPU, 512MB de memória RAM
  •         Forma: Large - 2 vCPU, 1024MB de memória RAM
  •         Forma: Quad-Large - 4 vCPU, 4096MB de memória RAM
  •         Forma: Extra-Large - 6 vCPU, 8192MB de memória RAM

Figura 2: Formas recursos necessários para o NSX Edge

A forma Quad-Large é recomendada para um firewall de alto nível, enquanto o Extra-Large é adequado para o Load Balancing e o SSL offload. Isso pode ser para vários pools ou para apenas um único pool de aplicativos. É uma interação simples que permite o redimensionamento do gateway Edge. Isto segue em ambos os sentidos - de pequeno a grande e grande a pequeno e se adequá a ambientes onde o desempenho é planejado para crescer para um determinado evento ou período de tempo.

A forma do NSX Edge pode ser alterada a partir de suas implantações iniciais via UI ou API calls, embora isso irá causar uma pequena interrupção do serviço.

  • Obs.: 
    • 1 segundo é a frequência de Heartbeat entre as instancias de Edge configurados em HA.
    • 15 segundos é o delay quando a instancia do Edge Ativa antes a instancia Standby assumir.
    • É possível configurar 2 syslog servers no Edge.

Descrição das Funções do Edge Service Gateway:

ROUTING:

Uma das funções principais do NSX Edge são os gateways L3, que possuem a capacidade de fornecer uma interface de sub-rede ao anexar um segmento lógico, além de possibilitar a otimização do tráfego de rede. O NSX Edge fornece roteamento centralizado entre as redes lógicas implementadas no domínio NSX e os recursos físicos externos da infraestrutura de rede. O NSX Edge suporta vários protocolos de roteamento dinâmico, com OSPF, iBGP, eBGP, IS-IS e roteamento estático.
A redistribuição desempenha um papel crítico em uma rede escalável e dinâmica. É possível a redistribuição de um protocolo para outro. Filtragem de lista de prefixos também está disponível;

A configuração de roteamento suporta dois modelos, Active-Standby e ECMP.

O primeiro modelo é modo Active/Standby, no qual todos os serviços estão disponíveis.

O segundo modelo é o modo ECMP, que oferece largura de banda (até oito VM Edge que suportam até 80 GB de tráfego por DLR) e convergência mais rápida.

No modo ECMP, apenas o serviço de roteamento é acessível. Os serviços statefull não podem ser suportados devido ao encaminhamento assimétrico inerente ao encaminhamento baseado no ECMP.

ECMP( Equal Cost Multipathing):

Na versão 6.1 do NSX, o protocolo Equal Cost Multi Path (ECMP) foi introduzido. Cada dispositivo NSX Edge pode usar o ECMP possibilitando um trafego de 10Gbps por dispositivo. Podem existir aplicações que requerem mais largura de banda, assim o ECMP ajuda a resolver este problema. Ele também permite uma maior resiliência. Em vez de cenários Active/standby em que um link não é usado de forma alguma, o ECMP pode habilitar vários caminhos para um destino. O compartilhamento de carga também significa que quando a falha ocorre apenas um subconjunto de largura de banda é perdido e não todo o recurso.

O ECMP pode ser ativado tanto no roteador lógico distribuído como no NSX Edge, contanto que o caminho possua custo igual. Dessa forma haverá várias rotas utilizáveis para o tráfego.

Figura 3: ECMP

É importante lembrar que no modo Active/Active o ECMP não oferece suporte para FW, Balanceamento de carga ou NAT. Isto é devido o Edge não compartilhar o estado deas conexão entre si.

O ECMP do NSX utiliza um dos dois algoritmos de hash. No Edge, o balanceamento de carga é baseado no kernel do linux. Trata-se de um fluxo randômico baseado em Round Robin. Um fluxo é determinado por um par de IPs de origem e de destino. No roteador lógico distribuído o hash é feito simplesmente pelo IP de origem e de destino.

Quando uma Edge falha os fluxos correspondentes são re-hashed. Re-hashed é realizado através dos Edges ativos restantes. Uma vez que o tempo limite de adjacências e as entradas da tabela de roteamento são removidos um re-hash é disparado.

NAT (NETWORK TRANSLATION):

A conversão de endereços de rede permite a topologia de dev-ops que pode ser ativada sob demanda. O NAT é parte integrante da funcionalidade do balanceador de carga. O NAT pode ser executado para tráfego que flui através do Edge. Ambos os NAT de origem e de destino são suportados.

Com NAT o NSX edge pode mudar o endereço ip de origem ou destino e os números das portas TCP/UDP encontrados no cabeçalho do pacote IP.

O NSX suporta dois tipos de NAT:

Source NAT:

Source NAT traduz o ip de origem do pacote IP.
Usando Source NAT o NSX edge traduz o ip "interno' para um IP público para alcançar a internet por exemplo.

Destination NAT:

Destination NAT traduz o endereço IP de destino do pacote IP.
NSX Edge executa um NAT de destino para traduzir o destino de um IP público para o um endereço IP interno.

FIREWALL:

O NSX Edge suporta recurso de firewall stateful, complementando o Distributed Firewall (DFW) habilitado no kernel dos hosts ESXi. Embora o DFW seja utilizado principalmente para impor políticas de segurança para comunicação entre cargas de trabalho conectadas a redes lógicas (ou seja, tráfego leste-oeste), o firewall do NSX Edge filtra principalmente as comunicações entre o espaço lógico e a rede física externa (ou seja, o tráfego norte-sul).

LOAD BALANCING:

O NSX Edge pode executar serviços de balanceamento de carga para farms de servidores de cargas de trabalho implantadas no espaço lógico. As funcionalidades de balanceamento de carga suportadas nativamente no Edge cobrem a maioria dos requisitos típicos encontrados nas implementações da vida real.

DICA: Se o balanceador de carga é configurado modo de alta disponibilidade (HA) e se o Load Balancer principal tiver uma falha, o Load Balancer secundário NSX assume a função de primário. Os fluxos existentes precisarão ter suas conexões restabelecidas;

O NSX Edge Logical Load Balancer suporta dois modos de load balancing:

One-Arm mode, também conhecido como Proxy mode:

Esta implementação consiste de um NSX Edge router conectado diretamente na rede lógica onde o load-balancing services são requiridos.

A vantagem desse modelo pe que é mais simples e flexível.
Contudo esse modelo requer o provisionamento de mais instancias do Edge;
One-Arm precisa da configuração de source NAT;

Obs: Source NAT não permite os servidores do DC ver o endereço IP original dos clientes.

Figura 4: Source NAT

In-Line mode, também conhecido como Transparent mode:

Esta implementação é simples para implementar
In -line mode permite os servidores ver o endereço IP original do cliente
Somente roteamento em modo centralizado deve ser adotado para os segmentos em vez de roteamento em modo distribuído.
Importante lembrar que nesse modo o Load Balance é outro serviço adicionado no NSX edge o qual já prove o roteamento entre a rede lógica e física, sendo assim recomendado configurar o Edge como X-LARGE antes de habilitar os serviços de load-balancing;

Figura 4: Destination NAT


VPN (VIRTUAL PRIVATE NETWORKS):

O NSX Edge fornece serviços de VPNs como:  Remote-Access, Site-to-Site, VPN Layer 2 e VPN Layer 3.

VPN Layer 2:

Representa uma arquitetura de client server; (configura-se um lado como VPN client e outro lado como VPN server);
A conexão da VPN Layer 2 é um tunel SSL conectando redes separadas em cada localização.
Um único server de VPN Layer 2 pode suportar múltiplos clientes VPN remotos;

Figura 5: VPN Layer 2

O client de VPN faz uma requisição de conexão via a porta TCP default - 443;

São geralmente posicionadas para estender domínios L2 entre datacenters geograficamente separados em apoio de casos de uso, incluindo recursos de computação e implantações de nuvem híbrida;

Figura 6: VPN SSL

As VPN de Camada 2 são usadas para estender com segurança os segmentos Ethernet em um meio não confiável.
O NSX Edge Service Gateway pode formar uma VPN de Camada 2 com um dispositivo físico compatível com padrões.

VPN Layer 3:

Serviços de VPN layer 3 são usados para prover conectividade layer 3 de forma segura de locais remotos para o data center.

Os casos de uso mais comuns para VPNs Layer 3 incluem conectividade site-a-site através de IPSEC e conectividade VPN SSL para acesso a redes privadas atrávés do NSX Edge.

Serviços de VPN podem ser usados pelos clientes remotos alavancando túneis SSL para conexão segura entre o NSX Edge gateway, o qual atua como um Layer 3 VPN server no data center. Esse metódo as vezes é chamado de SSL VPN plus;

O NSX Edge pode estabelecer conexões site-to-site, através do protocolo padrão IPSEC, e pode interoperar com todos os vendors de soluções de VPN;

Figura 7: VPN Layer 7


Métodos de autenticação VPN:

·         RSA Secure ID
·         Active Directory

DHCP, DNS e IP (DDI):

O NSX Edge suporta funcionalidades de retransmissão de DNS e atua como servidor DHCP, fornecendo endereços IP, gateway padrão, servidores DNS e parâmetros de busca para cargas de trabalho conectadas às redes lógicas. NSX versão 6.1 apresenta suporte para DHCP Relay no NSX Edge, permitindo que um servidor DHCP centralizado e localizado remotamente forneça endereços IP para as cargas de trabalho através das redes lógicas.

DHCP:

DHCP Server:

O NSX Edge pode ser configurado como um servidor DHCP. Isso permite o gerenciamento e a simplificação e automação do endereço IP. Os clientes que utilizam uma plataforma hospedada não precisam configurar em uma solução de gerenciamento de infra-estrutura e podem usar o DHCP a partir do Edge. Útil para ambientes que exigem endereçamento dinâmico, mas são voláteis por natureza.

DHCP Relay:

A partir da versão 6.1 o NSX adicionou suporte a DHCP Relay. Isso nem sempre foi adequado para clientes ou topologias de aplicativos. O suporte do DHCP Relay pelo NSX e DLR permite a retransmissão de mensagens Discover, Offer, Request e Accept que compõem o DHCP.
O NSX Edge encaminha todas as solicitações DNS de máquinas virtuais enviadas para ele para o servidor DNS.
  • Obs.: NSX Edge suporta 20.000 DHCP Pools.


L2 Bridging


NSX Edge suporta a capacidade de bridge"ponte" de uma VLAN L2 para VXLAN. Isso é, permite a conectividade de uma VLAN física ou um grupo de portas de back-up de VLAN. Conexão com cargas físicas ainda são uma realidade neste dia uma idade. A capacidade de fazer bridge permite a migração P-to-V, conexão com sistemas legados e uma série de outros casos de uso.


    • L2 Bridge entre o switch lógico e uma VLAN, habilita migrar a carga de trabalho virtual para o dispositivo fisico;
    • VXLAN para VLAN Bridge habilita a conectividade entre as VMs em um distributed port group, essa conectividade é chamada de layer 2 bridging.
    • A conectividade ethernet pode ser extendida para dispositivos físicos assinando um uplink para o distributed port group;
    • L2 bridging habilita a VM em switch lógico para acessar a rede física;
  • L2 bridging é usado para:
    • Efetuar a migração física para virtual (P2V) sem mudar o IP;
    • Extende o serviço virtual em um switch lógico para devices externos;
    • Extende os serviços de rede física para VMs em switches lógicos
    • Acessa a rede física existente em switches lógicos;
  • L2 Bridge não deve ser usado para:

    • Conectividade  entre VXLAN para VXLAN;
    • Data center interconnect;

Nenhum comentário:

Postar um comentário

Deixe seu comentário!