En este segundo artículo vamos a ver en detalle NSX Edge, que es el componente que provee seguridad al nivel de borde en la red y los servicios de puerta de enlace o gateway para aislar una red virtualizada.
NSX Edge puede instalarse como una puerta de enlace de servicios Edge (Edge Security Gateway - ESG) o como un router lógico distribuido (DLR). La cantidad de dispositivos Edge, incluidos las ESG y los DLR, está limitada a 250 por host.
Puerta de enlace de servicios Edge (Edge Security Gateway - ESG)
ESG brinda acceso a todos los servicios de NSX Edge, como firewall, NAT, DHCP, VPN, balanceo de carga y alta disponibilidad. Podemos instalar varios dispositivos virtuales ESG en un data center y cada dispositivo virtual ESG puede tener un total de 10 interfaces de red interna y uplinks. Con una troncal (trunk), una ESG puede tener hasta 200 subinterfaces. Las interfaces internas se conectan a grupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtuales protegidas dentro de ese grupo de puertos. La subred asignada a la interfaz interna puede ser un espacio de IP ruteado de forma pública o un espacio de direcciones privado con el uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican en el tráfico entre las interfaces de red.
Las interfaces uplink de las ESG se conectan a grupos de puertos uplink que tienen acceso a una red compartida del tenant o a un servicio que proporciona redes a nivel de capa de acceso. Se pueden configurar varias direcciones IP externas para los servicios de NAT, VPN Site-to-Site y balanceador de carga.
Router lógico distribuido (Distributed Logical Router - DLR)
El DLR proporciona el ruteo distribuido de tráfico Este-Oeste en el espacio de direcciones IP del tenant y aislamiento de ruta de acceso de datos. Las máquinas virtuales que residen en el mismo host y en diferentes subredes pueden comunicarse entre sí sin necesidad de pasar por una interfaz de ruteo tradicional.
Un DLR puede tener ocho interfaces uplink y hasta mil interfaces internas. Una interfaz uplink de un DLR generalmente se asocia con una ESG a través de un switch de tránsito lógico de Capa 2 interviniente entre el DLR y la ESG. Una interfaz interna de un DLR se empareja con una máquina virtual alojada en un hipervisor ESXi mediante un switch lógico entre la máquina virtual y el DLR.
El DLR tiene dos componentes principales:
• El plano de control del DLR es un elemento que proporciona el dispositivo virtual del DLR (también denominado máquina virtual de control). Está máquina virtual es compatible con los protocolos de ruteo dinámico (BGP y OSPF), intercambia actualizaciones de rutas en el dispositivo de salto de Capa 3 siguiente (generalmente, la puerta de enlace de servicios Edge) y se comunica con NSX Manager y el clúster de NSX Controller. La alta disponibilidad para el dispositivo virtual del DLR se admite mediante la configuración activo-en-espera: se proporcionan un par de máquinas virtuales que funcionan en los modos "activo/en espera" cuando se crea el DLR con la característica HA habilitada.
• En el nivel del plano de datos, hay módulos de kernel del DLR que se instalan en los hosts ESXi con paquetes VIB y que forman parte del dominio NSX. Los módulos de kernel admiten ruteo de Capa 3 y tienen una base de información de rutas (RIB) que se inserta desde el clúster de controladoras. Las funciones del plano de datos de búsqueda de rutas y búsqueda de entradas ARP se ejecutan mediante los módulos de kernel, los cuales están equipados con interfaces lógicas (LIF - Logical interfaces) que se conectan a diferentes switches lógicos y a cualquier grupo de puertos respaldado por VLAN. Cada LIF tiene asignada una dirección IP que representa la puerta de enlace IP predeterminada del segmento de Capa 2 lógico al que se conecta y una dirección vMAC. La dirección IP es única para cada LIF, mientras que la misma vMAC se asigna a todas las LIF definidas.
Componentes del ruteo lógico
La imagen muestra un dispositivo virtual DLR que se comunica con NSX Manager y el clúster de NSX Controller.
- Se crea una instancia de DLR en la UI de NSX Manager (o con llamadas API) usando el ruteo, con lo cual se aprovecha OSPF o BGP.
- NSX Controller usa el plano de control con los hosts ESXi para insertar la nueva configuración del DLR, incluidas las LIF y sus direcciones IP y vMAC asociadas.
- Si el protocolo de ruteo está habilitado en el dispositivo del siguiente salto (NSX Edge [ESG] en este ejemplo), el emparejamiento OSPF o BGP se establece entre la ESG y la máquina virtual de control del DLR. Luego, la ESG y el DLR pueden intercambiar información de las rutas:
- La máquina virtual de control del DLR se puede configurar para redistribuir en OSPF los prefijos IP de todas las redes lógicas conectadas (172.16.10.0/24 y 172.16.20.0/24 en este ejemplo). Como consecuencia, esta máquina virtual inserta esos anuncios de ruta en NSX Edge. Se puede ver que el siguiente salto de esos prefijos no es la dirección IP asignada a la máquina virtual de control (192.168.10.3), sino la dirección IP que identifica el componente del plano de datos del DLR (192.168.10.2). La primera se conoce como la dirección del protocolo del DLR, mientras que la segunda es la dirección de reenvío.
- NSX Edge inserta en la máquina virtual de control los prefijos para comunicarse con las redes IP de la red externa. En la mayoría de los casos, es posible que NSX Edge envíe una sola ruta predeterminada, porque representa el único punto de salida hacia la infraestructura de red física.
- La máquina virtual de control del DLR inserta las rutas IP conocidas por NSX Edge en el clúster de controladoras.
- El clúster de controladoras es el responsable de distribuir las rutas conocidas de la máquina virtual de control del DLR hacia los hipervisores. Cada nodo de controladora del clúster es responsable de distribuir la información de una instancia de router lógico en particular. En una implementación con varias instancias de router lógico, la carga se distribuye entre los nodos de controladora. Una instancia de router lógico distinta generalmente se asocia con cada tenant que se haya implementado
- Los módulos de kernel del DLR de los hosts controlan el tráfico de la ruta de acceso de datos para la comunicación con la red externa mediante NSX Edge.
Hasta acá llegamos con esta segunda parte de la serie en la que tratamos en detalle NSX Edge.
0 comments:
Publicar un comentario