🛸NSX-T 基本功能

NSX-T 是软件定义的网络的实现。它提供网络服务，如交换、路由、负载均衡、防火墙和 VPN。
在 vSphere 环境中，NSX-T 部署包含以下组件：

• vCenter Server (VC) - 为 NSX-T 提供对其管理的环境和对象（例如虚拟分布式交换机和虚拟机）的访问权限。在 NSX-T 中，VC 称为计算管理器。NSX-T 支持多个计算管理器。
• ESXi 主机 - 在 ESXi 主机上安装 NSX-T 模块后，该主机称为主机传输节点。主机上运行的虚拟机的网络服务可以由 NSX-T 提供。
• NSX Edge 节点 - 向所有 NSX-T 组件提供网络服务的虚拟机。也称为 Edge 传输节点。
• NSX Manager - 提供基于浏览器的 GUI 来管理 NSX-T 环境的虚拟机。

NSX-T 具有以下逻辑网络组件：

• 分段 - 可以将虚拟机连接到网关以及将 Tier-0 网关连接到物理路由器的逻辑交换机。
• Tier-1 网关 - 在分段之间路由流量的逻辑路由器。
• Tier-0 网关 - 将 Tier-1 网关连接到物理路由器以便分段具有外部连接的逻辑路由器。

🛸准备工作

环境

vCenter Server	本次实验使用7.0版本
ESXi-01	需要具有足够的CPU内核和内存以供一个管理器节点、一个 Edge 节点和一个测试虚拟机使用
ESXi-02	需要具有足够的CPU内核和内存以供一个管理器节点、一个 Edge 节点和一个测试虚拟机使用
ESXi-03	需要具有足够的CPU内核和内存以供一个管理器节点和一个测试虚拟机使用
存储	必须具有足够的存储以容纳 3 个管理器虚拟机、2 个 Edge 虚拟机和 3 个测试虚拟机

详细环境要求：
NSX Manager 虚拟机和主机传输节点系统要求
NSX Edge 虚拟机系统要求

通过OVF模板部署

NSX Manager ova文件可去官网下载

🛸部署NSX Manager

NSX Manager时整个NSX-T网络架构的核心，以虚拟机的方式运行。生产环境中推荐部署3台NSX Manager以集群方式运行，以实现冗余、负载均衡。

1. 选择“部署OVF模板“，导入NSX-T虚拟机。

2. 按照向导完成配置。

3. 完成部署后，打开虚拟机电源，登录虚拟机查看相关信息。

4. NSX Manager服务启动需要时间，启动后使用浏览器登陆NSX Manager。

5. 登录成功，可以看到右下角提示“建议使用3节点集群部署节点”。

6. 在“系统”菜单可以查看设备信息，目前环境只有1台NSX Manager，没有添加计算管理器也就是VCSA，因此无法继续添加NSX设备。

7. 在”Fabric“的计算管理器处添加计算管理器。

8. 返回设备界面，添加两台NSX设备。

9. 完成NSX Manager的部署后，集群处于“已降级”的状态，原因是集群还未部署完成。选择“设置虚拟IP”，设置虚拟IP实现NSX Manager的高可用性，完成设置后服务需要重新启动，需要等待一会。

NSX Manager部署以及集群部署到这里就完成了，由于NSX Manager是NSX-T网络虚拟化的核心部分，生产环境推荐集群方式部署运行。
接下来，需要配置传输节点主机区域及节点等。

🛸配置传输节点

传输节点实质是定义ESXi主机或KVM主机、虚拟机使用NSX-T网络进行传输。
本实验将将ESXi主机配置为传输节点主机。

添加IP地址池

1. ESXi主机或KVM主机是一个传输节点，传输节点会对基于NSX-T网络传输的数据进行封装和解封装，同时需要配置IP地址。接下来配置独立IP地址池，选择”添加IP地址池“（IP地址池用于封装GENEVE协议，不一定要求与管理网络处于相同网段）。

创建上行链路配置文件

2. “Fabric”——“配置文件”可查看上行链路配置文件，NSX-T 3.0版本默认有配置文件，生产环境中可根据情况调用。本次实验只用一条上行链路，因此新建一个配置文件（NSX-T支持LAG端口聚合，如果生产环境中有配置可添加使用，这里不使用）。

创建传输区域

3. 查看“传输区域”，可以看到默认有2个，生产环境建议自行创建，本实验选择“添加”两个。

配置传输节点

4. 查看“节点”，主机传输节点托管主机为“无独立主机”，可以选择KVM主机或不受vCenter Server管理的ESXi主机。这里选择“托管VCSA 7”，可以看到3台ESXi主机。

5. 勾选一台ESXi主机，选择“配置NSX”，为ESXi主机安装传输节点相关包。

6.输入主机名称，配置传输节点主机相关参数。其中上行链路配置新建的NSX-uplink，IP地址选择自定义的TEST地址池，传输区域这里选择新建的overlay-zone(也可根据实际情况默认)，其他可选择默认。

7.另外两台ESXi主机也使用同样的方法安装传输节点主机的包，必须确保NSX配置状态为“成功”。

注意

需要注意ESXi版本之间的匹配问题，以及要确保主机NSX配置处于“成功”状态。

🛸配置逻辑交换机

配置完传输节点主机后，可以创建逻辑交换机也就是NSX-T中的分段，将虚拟机关联到逻辑交换机就可以实现网络通信。

添加分段

1. 在“网络”——“分段”选择“添加分段”，输入分段名称，配置传输区域、子网等信息。

2. 成功创建分段后，可以选择是否继续配置。注意，NSX-T配置中很多参数必须选择“是”才能进行下一步配置。

3. 按照同样的方式再创建一个分段，一共两个分段。

测试

4. 查看ESXi主机上的虚拟交换机，可以看到创建的两个分段。

5. 将已创建好的CentOS7_1和CentOS7_2虚拟机网络迁移到TSET-linux分段，Win2003_1和Win2003_2虚拟机网络迁移到TEST-windows分段。

6. 测试CentOS7_1和CentOS7_2的连通性。同一分段的虚拟机即使是跨主机也能够正常访问。

7. 在Win2003-1虚拟机上ping同一分段的虚拟机正常，ping不同分段的虚拟机则不通。没有做逻辑路由之前各分段之间是隔离的。

8. 查看NSX-T网络拓扑，可以看到分段所关联的虚拟机，也可以看到两分段之间处于隔离状态，没有逻辑路由。

🛸配置逻辑路由

逻辑路由是整个NSX-T网络的核心部分，分为：Tire-1网关，连接内部虚拟机；Tire-0网关，用于连接Tire-1及外部。

Tire-1网关配置

1. 新建Tire-1网关，Tire-0及Edge集群目前还未创建，不需要配置。

2. 将TEST-linux和TEST-windows两个分段连接到新建的Tire-1网关。

3. 在Centos7-1上测试，TEST-linux网段能否访问TEST-Windows网段。

4. 返回NSX查看网络拓扑。

至此，Tire-1网关配置完成，内部虚拟机或者理解为内部租户的路由配置完成，两分段内网互通，但虚拟机还无法访问外部网络。接下来配置Tire-0网关，来实现虚拟机外部访问以及外部访问内部虚拟机。

Tire-0网关配置

Tire-0网关的配置会创建用于连接外部的Edge虚拟机，同时需要分段的支持。

创建Edge传输节点

1. 首先创建用于连接Edge虚拟机的分段Vlan-uplink，传输区域选择vlan-zone，VLAN配置为0。

2. 部署Edge传输节点，单击“添加EDGE虚拟机”。

3. 按照向导配置“名称和描述”、“凭据”、“配置部署”。

4. 配置Edge虚拟机管理IP。此处与NSX Manager虚拟机使用同一网络。

5. 配置NSX相关参数。

6. 选择“完成“，按照同样的方式添加另一台edge虚拟机，以便创建集群。

7. 由于NSX-T 3.2版本会出现新部署或升级edge的配置状态为失败并出现错误，详细错误为下图。(解决方法点此)

添加Edge集群

8. 新建Edge集群，将两台Edge虚拟机添加到其中。

配置Tire-0网关

9. 添加Tire-0网关，本实验HA模式选择”主动-备用“(仅支持以下服务：NAT、负载均衡、有状态防火墙、VPN)，Edge集群选择刚创建的”Edge Cluster“。

10. 必须保存后才能配置其他参数，选择”是“，继续配置T0网关。

11. 接口配置为”外部接口和服务接口“，类型为”外部“，IP地址配置为外部IP，已连接到(分段)选择创建的分段”vlan_uplink“，Edge节点选择”NSX-Edge-01“。

如果配置正确，vlan归属正确，则NSX-Edge-01可以ping通外部接口。

12. 配置”路由重新分发“，选择”设置“，添加并设置路由重分发。

13. 将Tire-1网关链接到Tire-0网关，同时启用路由通告。

配置完成后，两个分段内的虚拟机可以ping通外部接口，但ping不通外部网关地址。

14. 添加NAT规则，操作选择“SNAT”，源选择TEST-linux分段地址，已转为Edge虚拟机外部接口。

15. 按照同样的方式添加TEST-windows分段的NAT地址转换。

此时，两分段上的虚拟机可以ping通外部物理交换机网关，同时可以ping通NSX Manager集群IP，但无法访问外网。

16. 配置一条静态路由，选择“设置”，配置 0.0.0.0/0 默认路由，“设置下一跃点”IP地址选择为外部网关地址。

确保状态为成功，使用虚拟机测试能否访问内网。

至此，T1及T0网关基本配置已经完成。在生产环境中，逻辑路由的控制及配置根据情况更加复杂，但基础配置相同。最后需要注意，物理交换机也需要进行路由配置才能访问分段中的虚拟机。

🛸参考资料

1.NSX-T Data Center 3.2 产品文档
2.《VMware vSphere 7.0 虚拟化架构实战指南》 何坤源 著