📝 VMware NSX Edge 传输节点简介

1. Edge 传输节点的作用

  • 服务承载设备:运行路由、防火墙、VPN、NAT 等网络与安全服务。(有状态服务)

  • 南北向流量网关:负责虚拟网络与物理网络之间的流量转发。

  • 与计算传输节点协同:计算节点负责东西向流量,Edge 节点则处理跨网络边界的流量。

2. 部署前提条件

  • 传输区域:需先创建 Overlay 和 VLAN 传输区域。

  • 计算管理器:确保已配置 vCenter Server 并与 NSX Manager 集成。

  • 上行链路配置文件:定义 Edge 节点的物理网络接口绑定。

  • TEP IP 池:为隧道端点分配 IP 地址,用于 GENEVE 隧道通信。

3. 部署方式概览

🔹 OVA 手动部署 Edge 虚拟机

  1. 下载 OVA 模板:从 VMware 下载门户获取 NSX Edge 节点设备 OVA 文件。

  2. 在 vSphere 部署 OVF 模板:通过 vSphere Client 部署,选择计算资源与存储。

  3. 配置网络接口:为管理、TEP、Overlay 网络分配端口组或 VLAN 分段。

  4. 选择规格:根据需求选择小型、中型、大型或超大型配置。

  5. 内存预留:建议为 Edge 节点虚拟机设置 100% 内存预留以保证性能。

  6. 完成初始化:启动后由 NSX Manager 进行注册与配置。

🔹 裸机部署 Edge 节点

  • 适用场景:需要高性能数据平面,或避免虚拟化层开销。

  • 步骤概览

    1. 准备符合硬件兼容性列表(HCL)的物理服务器。

    2. 使用 ISO 镜像在裸机上安装 Edge 节点操作系统。

    3. 配置管理接口与 TEP 网络,确保与 NSX Manager 通信。

    4. 在 NSX Manager 中注册该裸机 Edge 节点,分配传输区域与上行链路配置文件。

  • 优势:提供更高的吞吐量与更低的延迟,适合大规模南北向流量场景。

🔹 NSX Manager 自动部署 Edge 节点

  • 适用场景:简化部署流程,减少人工操作。

  • 步骤概览

    1. 在 NSX Manager UI 中选择 部署 Edge 节点

    2. 指定目标计算集群、存储、网络端口组。

    3. 选择规格(Small/Medium/Large/XLarge)。

    4. 自动完成 OVA 部署、网络接口绑定、TEP 配置。

    5. 部署完成后,Edge 节点自动注册到 NSX Manager 并加入传输区域。

  • 优势:集中化管理,支持批量部署,减少人为错误。

4. 部署模式与注意事项

  • UPT 模式支持:在虚拟机硬件版本 20 及以上支持 Uniform Passthrough 模式,提高数据路径性能。

  • 高可用性:可通过部署多个 Edge 节点实现冗余与负载均衡(NSX 4 支持主-主模式下的有状态转发)。

  • 资源规划:Edge 节点需独立的计算与存储资源,避免与业务虚拟机竞争。

总结:在 NSX 4.2 中,Edge 传输节点既可以通过 OVA 手动部署,也可以通过 NSX Manager 自动部署,甚至支持 裸机安装,满足不同规模与性能需求。

NSX 系列文章:https://songxwn.com/tags/NSX/

📊 VMware NSX 4.2 Edge 传输节点部署方式对比

部署方式 适用场景 部署步骤概览 优势 注意事项
OVA 手动部署(虚拟机) 中小规模环境,手动控制部署流程 下载 OVA → vSphere 部署 OVF → 配置网络接口 → 选择规格 → 内存预留 → 初始化注册 灵活,适合定制化配置 需人工逐步操作,易受人为错误影响
裸机部署(物理服务器) 高性能场景,大规模南北向流量,避免虚拟化开销 准备 HCL 兼容硬件 → 使用 ISO 安装 → 配置管理/TEP 网络 → 在 NSX Manager 注册 → 分配传输区域与上行链路 性能最佳,低延迟,高吞吐 需要专用物理资源,硬件成本高
NSX Manager 自动部署 大规模环境,追求快速、集中化管理 在 NSX Manager UI 选择部署 → 指定集群/存储/网络 → 选择规格 → 自动完成 OVA 部署与配置 → 自动注册传输区域 简化流程,支持批量部署,减少人工错误 依赖 NSX Manager 与 vCenter 集成,需提前准备好传输区域与配置文件

总结

  • 小规模/测试环境 → 推荐 OVA 手动部署

  • 高性能生产环境 → 推荐 裸机部署

  • 大规模集中管理 → 推荐 NSX Manager 自动部署

官方中文文档:https://techdocs.broadcom.com/content/dam/broadcom/techdocs/us/zh_cn/pdf/vmware/nsx/nsx/vmware-nsx-4-2.pdf

NSX Edge简要概述

NSX 的简要视图显示传输区域中的两个传输节点。一个传输节点是主机。另一个传输节点是 NSX Edge。

  • 在首次部署NSX Edge时,您可以将其视为空容器。在创建逻辑路由器后,NSX Edge才会执行任何操作。NSX Edge为 Tier-0 和 Tier-1 逻辑路由器提供计算支持。每个逻辑路由器包含一个服务路由器 (SR) 和一个分布式路由器 (DR)。在我们谈到路由器是分布式路由器时,我们是指在属于同一传输区域的所有传输节点上复制该路由器。在该图中,主机传输节点包含在 Tier-0 和 Tier-1 路由器上包含的同一 DR。如果要配置逻辑路由器以执行服务(如 NAT),则需要使用服务路由器。所有 Tier-0 逻辑路由器都具有服务路由器。如果需要,Tier-1 路由器可以根据设计要求使用服务路由器。

  • 默认情况下,SR 和 DR 之间的链路使用 169.254.0.0/28 子网。在部署 Tier-0 或 Tier-1 逻辑路由器时,将自动创建这些路由器内中转链路。您不需要配置或修改链路配置,除非在您的部署中已使用 169.254.0.0/28 子网。在 Tier-1 逻辑路由器上,只有在创建 Tier-1 逻辑路由器时选择了NSX Edge集群,才会使用 SR。

  • 为 Tier-0 到 Tier-1 的连接分配的默认地址空间为 100.64.0.0/16。将在 100.64.0.0/16 地址空间中为每个 Tier-0 到 Tier-1 的对等连接提供一个 /31 子网。在创建 Tier-1 路由器并将其连接到 Tier-0 路由器时,将自动创建该链路。您不需要在该链路上配置或修改接口,除非在您的部署中已使用 100.64.0.0/16 子网。

  • 每个NSX部署具有一个管理平面集群 (MP) 和一个控制平面集群 (CCP)。MP 和 CCP 将配置推送到每个传输区域的本地控制平面 (LCP)。在主机或NSX Edge加入管理平面时,管理平面代理 (MPA) 将与主机或NSX Edge建立连接,并且主机或NSX Edge变为NSXFabric 节点。然后,在将 Fabric 节点添加为传输节点时,将与主机或NSX Edge建立 LCP 连接。

  • 最后,该图显示了绑定在一起以提供高可用性的两个物理网卡(pNIC1 和 pNIC2)的示例。数据路径管理物理网卡。它们可以作为到外部网络的 VLAN 上行链路,或者作为到NSX管理的内部虚拟机网络的隧道端点链路。

  • 最佳做法是向部署为虚拟机的每个NSX Edge至少分配两个物理链路。或者,也可以在相同 pNIC 上叠加使用不同 VLAN ID 的端口组。找到的第一个网络链路用于管理。例如,在NSX Edge虚拟机上,找到的第一个链路可能是 vnic1。在裸机安装上,找到的第一个链路可能是 eth0 或 em0。其余链路用于上行链路和隧道。例如,一个链路可能用于NSX管理的虚拟机使用的隧道端点。另一个链路可能用于NSX Edge到外部 TOR 的上行链路。

  • 您可以通过以管理员身份登录到 CLI 并运行get interfaces和get physical-ports命令来查看NSX Edge的物理链路信息。在该 API 中,您可以使用GET /api/v1/transport-nodes/{transport-node-id}/node/network/interfacesAPI 调用。将在下一节中更详细地讨论物理链路。

  • 无论将NSX Edge安装为虚拟机设备,还是安装在裸机上,您都可以使用多种方法进行网络配置,具体取决于您的部署。

NSX Edge 网络概要

传输区域和 N-VDS

  • 要了解 NSX Edge 网络,您必须了解有关传输区域和 N-VDS 的内容。传输区域控制 NSX 中的第 2 层网络的范围。N-VDS 是在传输节点上创建的软件交换机。N-VDS 的用途是,将逻辑路由器上行链路和下行链路绑定到物理网卡。对于 NSX Edge 所属的每个传输区域,将在 NSX Edge 上安装单个 N-VDS。

  • 共有两种类型的传输区域:

  • 用于传输节点之间内部 NSX 隧道的覆盖网络。

  • 用于 NSX 外部上行链路的 VLAN。

  • NSX Edge 可以属于零个或多个 VLAN 传输区域。对于零个 VLAN 传输区域, NSX Edge 可能仍然具有上行链路,因为 NSX Edge 上行链路可以使用为覆盖网络传输区域安装的相同 N-VDS。如果您希望每个 NSX Edge 仅具有一个 N-VDS,则可以这样做。另一个设计方法是,使 NSX Edge 属于多个 VLAN 传输区域,每个上行链路一个传输区域。

  • 最常见的设计方法是三个传输区域:一个覆盖网络传输区域和两个 VLAN 传输区域(用于冗余的上行链路)。

  • 要将同一 VLAN ID 用于覆盖网络流量的传输网络和 VLAN 流量的其他网络(如 VLAN 上行链路),请在两个不同的 N-VDS(一个用于 VLAN,另一个用于覆盖网络)上配置 ID。

虚拟设备/虚拟机NSX Edge网络

  • 在将 NSX Edge 安装为虚拟设备或虚拟机时,将创建名为 fp-ethX 的内部接口,其中 X 为 0、1、2 和 3。将为到架顶式 (Top-Of-Rack, ToR) 交换机的上行链路和 NSX 覆盖网络隧道分配这些接口。

  • 在创建 NSX Edge 传输节点时,您可以选择 fp-ethX 接口,以便与上行链路和覆盖网络隧道相关联。您可以决定如何使用 fp-ethX 接口。

  • 在 vSphere Distributed Switch 或 vSphere 标准交换机上,您必须为 NSX Edge 分配至少两个 vmnic:一个用于 NSX Edge 管理,一个用于上行链路和隧道。

  • 在下面的示例物理拓扑中,fp-eth0 用于 NSX 覆盖网络隧道。fp-eth1 用于 VLAN 上行链路。未使用 fp-eth2 和 fp-eth3。vNIC1 分配给管理网络。
    建议用于 NSX Edge 虚拟机网络的一种链路设置

该示例中显示的 NSX Edge 属于两个传输区域(一个是覆盖网络,另一个是 VLAN),因此,具有两个 N-VDS(一个用于隧道,另一个用于上行链路流量)。

裸机NSX Edge网络

  • 裸机 NSX Edge 包含名为 fp-ethX 的内部接口,其中 X 最多为 16 个接口。创建的 fp-ethX 接口数取决于裸机 NSX Edge 具有多少个物理网卡。最多可以为到架顶式 (ToR) 交换机和 NSX 覆盖网络隧道的上行链路分配其中的 4 个接口。

  • 在创建 NSX Edge 传输节点时,您可以选择 fp-ethX 接口,以便与上行链路和覆盖网络隧道相关联。

  • 您可以决定如何使用 fp-ethX 接口。在下面的示例物理拓扑中,fp-eth0 和 fp-eth1 绑定在一起并用于 NSX 覆盖网络隧道。fp-eth2 和 fp-eth3 用作到 TOR 的冗余 VLAN 上行链路。

建议用于裸机 NSX Edge 网络的一种链路设置

NSX Edge上行链路冗余

NSX Edge 上行链路冗余允许在 NSX Edge 到外部 TOR 的网络连接上使用两个 VLAN 等价多路径 (Equal-Cost MultiPath, ECMP) 上行链路。

在具有两个 ECMP VLAN 上行链路时,您还必须使用两个 TOR 交换机以实现高可用性和全网格连接。每个 VLAN 逻辑交换机具有一个关联的 VLAN ID。

在将 NSX Edge 添加到 VLAN 传输区域时,将安装新的 N-VDS。例如,如果将 NSX Edge 节点添加到四个 VLAN 传输区域(如图中所示),则会在 NSX Edge 上安装四个 N-VDS。

建议用于 NSX Edge 到 TOR 的一种 ECMP VLAN 设置

NSX4+逻辑图

全图在线:https://songxwn.com/VMware-NSX4-mindmap/

高清PDF下载:关注公众号发送nsx下载。

准备环境

都可以参考:https://songxwn.com/VMware-NSX4-HTN-Install/ 文章创建

  • 需要vCenter 和集群,且有VDS 。

  • 必须配置传输区域上行链路配置文件

  • 主机必须有IP 池或 DHCP用于分配隧道端点(TEP)地址

  • Edge 虚拟机连接的VDS最好不是N-VDS

使用NSX Manager 自动创建Edge 虚拟机

系统 > Fabric > 节点 > Edge 传输节点 > 添加EDGE节点

选择Edge虚拟机规格

  • 输入名称和域名

  • 选择配置规格

配置Edge 系统的用户密码

  • 配置admin和root账号密码

  • 可允许SSH方便远程维护

选择部署位置

  • 选择VCSA、集群、主机、存储位置

配置Edge 管理网络

  • 配置为IPv4静态分配、IP地址和掩码、网关

  • 选择eth0管理接口所关联的分布式端口组

  • 后缀域名、DNS服务器、NTP服务器

配置Edge 主机交换机

  • 所属传输区域,可多个

  • 上行链路配置文件

  • TEP地址池

  • 配置fp-eth0 业务转发接口关联的分布式端口组。

确认Edge 虚拟机部署完成

vCenter上查看部署完成并确认已开机

在NSX Manager上查看状态已成功

在物理机上安装Edge 传输节点并在NSX Manager 上注册

  • 要准备一台裸机服务器作为NSX Edge节点,请确保至少有 200 Gb 磁盘空间。

  • 如果NSX Edge节点的裸机服务器具有集成的 SD 卡设备,请禁用这些 SD 卡

  • AMD服务器要求至少是AMD EPYC 系列。

  • 支持BIOS或UEFI引导。

下载 Edge ISO - 物理机需要用

路径 /VM/NSX/4.2.3.0/nsx-edge-4.2.3.0.0.24866356.iso

HTTP下载教程 https://songxwn.com/VMware-Enterprise-Downloads/

百度云盘下载

关注公众号加入知识星球

交互式安装Edge ISO - 和Ubuntu安装一样

物理机启动ISO后,选择Interactive install of NSX Edge 进入手动安装。

配置选择主管理接口

配置管理接口静态IP地址

是否使用自动化文件 - 跳过就行

选择安装目标的磁盘

确认安装 - 会抹除目标磁盘所有数据

命令行配置网卡

主机交换机配置

手动在NSX Manager 上注册

在NSX Manager 获取证书指纹

1
2
3
4
5
6
NSX-Manager1> get certificate api thumbprint
659442c1435350edbbc0e87ed5a6980d892b9118f851c17a13ec76a8b985f57

get certificate cluster thumbprint

# 获取NSX Manager 集群指纹

在NSX Edge配置手动接入NSX Manager

1
2
3
NSX-Edge1> join management-plane <Manager-IP> thumbprint <Manager-thumbprint> username admin


NSX Manager 的主机名或 IP 地址以及可选的端口号
NSX Manager 的用户名
NSX Manager 的证书指纹
NSX Manager 的密码

1
2
NSX-Edge1> join  management-plane <Cluster-VIP> username <Manager-username> password <Manager-password> thumbprint <Cluster-tumbprint>

NSX Manager 集群的虚拟 IP 地址以及可选端口号
NSX Manager 的用户名
NSX Manager 集群的证书指纹
NSX Manager 的密码

在NSX Edge查看已接入NSX Manager

1
2
3
4
nsx-edge-1> get managers
- 10.173.161.17  Connected (NSX-RPC)
- 10.173.161.140 Connected (NSX-RPC)
- 10.173.160.204 Connected (NSX-RPC)

Edge 集群创建 - 必要

系统 > Fabric > 节点 > Edge 集群 > 添加EDGE集群

  • 填写集群名字

  • 选择配置文件

  • 选择需要加入的Edge节点

PS:T1/T0网关关联Edge时候,必须使用集群,且集群的节点数量必须是偶数。

关闭密码过期

默认情况下,NSX Manager 和 NSX Edge 设备的管理密码将在 90 天后过期。但是,您可以在初始安装和配置后重置有效期。

1
nsxcli> clear user admin password-expiration

运维技术交流群

发送邮件到 ➡️ [email protected]

或者关注WX公众号:网工格物

微信扫码

博客(最先更新)

https://songxwn.com/