O
NSX Edge Gateway é configurado em uma Máquina Virtual que oferece múltiplas
funções para múltiplos usos de virtualização para redes, podendo fornecer taxa
de transferência perto de 10gbps, isso é quase o dobro do que outros devices
virtuais permitem.
O
Edge forma um dos pontos de terminação entre o mundo físico e o mundo virtual e
pode fornecer serviços de Roteamento, serviços de VPN, Capacidade de firewall
de perímetro, bridge Layer 2, Balanceamento de carga, NAT, DNS e DHCP.
Figura 1: Recursos do NSX Edge |
O
Edge pode ser instalado como um OVA através do NSX Manager, e para isso precisa
obedecer alguns requisitos. Devido o Edge ser um dispositivo virtual, ao
contrário do que são em contra partes do kernel, cada Edge requer vCPU, memória
e recursos de armazenamento. Ele deve ser tratado como qualquer VM.
A
implantação varia de acordo com seu uso e oferece opções específicas de
implantação a serem usados, dependendo das funcionalidades que precisam ser
ativadas:
Os
requisitos são os seguintes:
- Forma Compact - 1 vCPU, 512MB de memória RAM
- Forma: Large - 2 vCPU, 1024MB de memória RAM
- Forma: Quad-Large - 4 vCPU, 4096MB de memória RAM
- Forma: Extra-Large - 6 vCPU, 8192MB de memória RAM
Figura 2: Formas recursos necessários para o NSX Edge |
A
forma do NSX Edge pode ser alterada a partir de suas implantações iniciais via
UI ou API calls, embora isso irá causar uma pequena interrupção do serviço.
- Obs.:
- 1 segundo é a frequência de Heartbeat entre as instancias de Edge configurados em HA.
- 15 segundos é o delay quando a instancia do Edge Ativa antes a instancia Standby assumir.
- É possível configurar 2 syslog servers no Edge.
Descrição das Funções do
Edge Service Gateway:
ROUTING:
Uma
das funções principais do NSX Edge são os gateways L3, que possuem a capacidade de
fornecer uma interface de sub-rede ao anexar um segmento lógico, além de possibilitar
a otimização do tráfego de rede. O NSX Edge fornece roteamento centralizado
entre as redes lógicas implementadas no domínio NSX e os recursos físicos
externos da infraestrutura de rede. O NSX Edge suporta vários protocolos de
roteamento dinâmico, com OSPF, iBGP, eBGP, IS-IS e roteamento estático.
A
redistribuição desempenha um papel crítico em uma rede escalável e dinâmica. É
possível a redistribuição de um protocolo para outro. Filtragem de lista de
prefixos também está disponível;
A
configuração de roteamento suporta dois modelos, Active-Standby e ECMP.
O
primeiro modelo é modo Active/Standby, no qual todos os serviços estão
disponíveis.
O
segundo modelo é o modo ECMP, que oferece largura de banda (até oito VM Edge
que suportam até 80 GB de tráfego por DLR) e convergência mais rápida.
No
modo ECMP, apenas o serviço de roteamento é acessível. Os serviços statefull
não podem ser suportados devido ao encaminhamento assimétrico inerente ao
encaminhamento baseado no ECMP.
ECMP( Equal Cost
Multipathing):
Na
versão 6.1 do NSX, o protocolo Equal Cost Multi Path (ECMP) foi introduzido.
Cada dispositivo NSX Edge pode usar o ECMP possibilitando um trafego de 10Gbps
por dispositivo. Podem existir aplicações que requerem mais largura de banda,
assim o ECMP ajuda a resolver este problema. Ele também permite uma maior
resiliência. Em vez de cenários Active/standby em que um link não é usado de
forma alguma, o ECMP pode habilitar vários caminhos para um destino. O
compartilhamento de carga também significa que quando a falha ocorre apenas um
subconjunto de largura de banda é perdido e não todo o recurso.
O
ECMP pode ser ativado tanto no roteador lógico distribuído como no NSX Edge,
contanto que o caminho possua custo igual. Dessa forma haverá várias rotas
utilizáveis para o tráfego.
Figura 3: ECMP |
É
importante lembrar que no modo Active/Active o ECMP não oferece suporte para
FW, Balanceamento de carga ou NAT. Isto é devido o Edge não compartilhar o
estado deas conexão entre si.
O
ECMP do NSX utiliza um dos dois algoritmos de hash. No Edge, o balanceamento de
carga é baseado no kernel do linux. Trata-se de um fluxo randômico baseado em
Round Robin. Um fluxo é determinado por um par de IPs de origem e de destino.
No roteador lógico distribuído o hash é feito simplesmente pelo IP de origem e
de destino.
Quando
uma Edge falha os fluxos correspondentes são re-hashed. Re-hashed é realizado
através dos Edges ativos restantes. Uma vez que o tempo limite de adjacências e
as entradas da tabela de roteamento são removidos um re-hash é disparado.
NAT (NETWORK
TRANSLATION):
A
conversão de endereços de rede permite a topologia de dev-ops que pode ser
ativada sob demanda. O NAT é parte integrante da funcionalidade do balanceador
de carga. O NAT pode ser executado para tráfego que flui através do Edge. Ambos
os NAT de origem e de destino são suportados.
Com
NAT o NSX edge pode mudar o endereço ip de origem ou destino e os números das portas
TCP/UDP encontrados no cabeçalho do pacote IP.
O NSX
suporta dois tipos de NAT:
Source NAT:
Source
NAT traduz o ip de origem do pacote IP.
Usando
Source NAT o NSX edge traduz o ip "interno' para um IP público para
alcançar a internet por exemplo.
Destination NAT:
Destination
NAT traduz o endereço IP de destino do pacote IP.
NSX
Edge executa um NAT de destino para traduzir o destino de um IP público para o
um endereço IP interno.
FIREWALL:
O
NSX Edge suporta recurso de firewall stateful, complementando o Distributed
Firewall (DFW) habilitado no kernel dos hosts ESXi. Embora o DFW seja utilizado
principalmente para impor políticas de segurança para comunicação entre cargas
de trabalho conectadas a redes lógicas (ou seja, tráfego leste-oeste), o
firewall do NSX Edge filtra principalmente as comunicações entre o espaço
lógico e a rede física externa (ou seja, o tráfego norte-sul).
LOAD BALANCING:
O
NSX Edge pode executar serviços de balanceamento de carga para farms de
servidores de cargas de trabalho implantadas no espaço lógico. As
funcionalidades de balanceamento de carga suportadas nativamente no Edge cobrem
a maioria dos requisitos típicos encontrados nas implementações da vida real.
DICA: Se o balanceador de carga é configurado
modo de alta disponibilidade (HA) e se o Load Balancer principal tiver uma
falha, o Load Balancer secundário NSX assume a função de primário. Os fluxos
existentes precisarão ter suas conexões restabelecidas;
O NSX Edge Logical Load
Balancer suporta dois modos de load balancing:
One-Arm mode,
também conhecido como Proxy mode:
Esta
implementação consiste de um NSX Edge router conectado diretamente na rede
lógica onde o load-balancing services são requiridos.
A
vantagem desse modelo pe que é mais simples e flexível.
Contudo
esse modelo requer o provisionamento de mais instancias do Edge;
One-Arm
precisa da configuração de source NAT;
Obs:
Source NAT não permite os servidores do DC ver o endereço IP original dos clientes.
Figura 4: Source NAT |
In-Line mode,
também conhecido como Transparent mode:
Esta
implementação é simples para implementar
In
-line mode permite os servidores ver o endereço IP original do cliente
Somente
roteamento em modo centralizado deve ser adotado para os segmentos em vez de
roteamento em modo distribuído.
Importante
lembrar que nesse modo o Load Balance é outro serviço adicionado no NSX edge o
qual já prove o roteamento entre a rede lógica e física, sendo assim
recomendado configurar o Edge como X-LARGE antes de habilitar os serviços de
load-balancing;
Figura 4: Destination NAT |
VPN (VIRTUAL
PRIVATE NETWORKS):
O
NSX Edge fornece serviços de VPNs como:
Remote-Access, Site-to-Site, VPN Layer 2 e VPN Layer 3.
VPN Layer 2:
Representa
uma arquitetura de client server; (configura-se um lado como VPN client e outro
lado como VPN server);
A
conexão da VPN Layer 2 é um tunel SSL conectando redes separadas em cada
localização.
Um
único server de VPN Layer 2 pode suportar múltiplos clientes VPN remotos;
Figura 5: VPN Layer 2 |
O
client de VPN faz uma requisição de conexão via a porta TCP default - 443;
São
geralmente posicionadas para estender domínios L2 entre datacenters
geograficamente separados em apoio de casos de uso, incluindo recursos de computação
e implantações de nuvem híbrida;
Figura 6: VPN SSL |
As
VPN de Camada 2 são usadas para estender com segurança os segmentos Ethernet em
um meio não confiável.
O
NSX Edge Service Gateway pode formar uma VPN de Camada 2 com um dispositivo
físico compatível com padrões.
VPN Layer 3:
Serviços
de VPN layer 3 são usados para prover conectividade layer 3 de forma segura de
locais remotos para o data center.
Os
casos de uso mais comuns para VPNs Layer 3 incluem conectividade site-a-site
através de IPSEC e conectividade VPN SSL para acesso a redes privadas atrávés
do NSX Edge.
Serviços
de VPN podem ser usados pelos clientes remotos alavancando túneis SSL para
conexão segura entre o NSX Edge gateway, o qual atua como um Layer 3 VPN server
no data center. Esse metódo as vezes é chamado de SSL VPN plus;
O
NSX Edge pode estabelecer conexões site-to-site, através do protocolo padrão IPSEC,
e pode interoperar com todos os vendors de soluções de VPN;
Figura 7: VPN Layer 7 |
Métodos de
autenticação VPN:
·
RSA
Secure ID
·
Active
Directory
DHCP, DNS e IP
(DDI):
O
NSX Edge suporta funcionalidades de retransmissão de DNS e atua como servidor
DHCP, fornecendo endereços IP, gateway padrão, servidores DNS e parâmetros de
busca para cargas de trabalho conectadas às redes lógicas. NSX versão 6.1 apresenta
suporte para DHCP Relay no NSX Edge, permitindo que um servidor DHCP
centralizado e localizado remotamente forneça endereços IP para as cargas de
trabalho através das redes lógicas.
DHCP:
DHCP Server:
O
NSX Edge pode ser configurado como um servidor DHCP. Isso permite o
gerenciamento e a simplificação e automação do endereço IP. Os clientes que
utilizam uma plataforma hospedada não precisam configurar em uma solução de
gerenciamento de infra-estrutura e podem usar o DHCP a partir do Edge. Útil para
ambientes que exigem endereçamento dinâmico, mas são voláteis por natureza.
DHCP Relay:
A
partir da versão 6.1 o NSX adicionou suporte a DHCP Relay. Isso nem sempre foi
adequado para clientes ou topologias de aplicativos. O suporte do DHCP Relay
pelo NSX e DLR permite a retransmissão de mensagens Discover, Offer, Request e
Accept que compõem o DHCP.
O
NSX Edge encaminha todas as solicitações DNS de máquinas virtuais enviadas para
ele para o servidor DNS.
- Obs.: NSX Edge suporta 20.000 DHCP Pools.
L2 Bridging
NSX
Edge suporta a capacidade de bridge"ponte" de uma VLAN L2 para VXLAN.
Isso é, permite a conectividade de uma VLAN física ou um grupo de portas de
back-up de VLAN. Conexão com cargas físicas ainda são uma realidade neste dia
uma idade. A capacidade de fazer bridge permite a migração P-to-V, conexão com
sistemas legados e uma série de outros casos de uso.
- L2 Bridge entre o switch lógico e uma VLAN, habilita migrar a carga de trabalho virtual para o dispositivo fisico;
- VXLAN para VLAN Bridge habilita a conectividade entre as VMs em um distributed port group, essa conectividade é chamada de layer 2 bridging.
- A conectividade ethernet pode ser extendida para dispositivos físicos assinando um uplink para o distributed port group;
- L2 bridging habilita a VM em switch lógico para acessar a rede física;
- L2 bridging é usado para:
- Efetuar a migração física para virtual (P2V) sem mudar o IP;
- Extende o serviço virtual em um switch lógico para devices externos;
- Extende os serviços de rede física para VMs em switches lógicos
- Acessa a rede física existente em switches lógicos;
- L2 Bridge não deve ser usado para:
- Conectividade entre VXLAN para VXLAN;
- Data center interconnect;
Nenhum comentário:
Postar um comentário
Deixe seu comentário!