前序:首先祝大家過年好,新年快樂,健健康康,戰勝病毒,今天爲了慶祝新年,所以小店進行過年大酬賓,凡是入住本客棧的朋友,每人一份牛肉一壺酒。前面的內容中講了NSX 防火牆的相關知識,今天咱們來聊一聊NSX Edge服務網關。
先簡單介紹NSX Edge,NSX Edge能夠提供網絡中三到七層的很多功能,比如路由、防火牆、負載均衡、二層和三層VPN、DHCP和DNS等等。NSX 網關的作用是連接孤立的網絡,並與其共享上聯網絡接口。NSX 服務網關是以虛擬機的形式存在的,通過一個邏輯接口連接到邏輯交換機或是邏輯路由器提供的虛擬機的網段。這個樣子,從邏輯拓撲方面來看,就像是一臺物理的防火牆(NSX 的防火牆功能)、物理負載均衡設備(NSX的負載均衡功能)或物理VPN設備連接到核心交換機上,其實在NSX 環境中,分佈式路由器承擔了傳統網絡的核心交換機功能。
一、NSX Edge的HA之Standalone HA
NSX 中的各種服務允許邏輯網絡與物理網絡的二層通信,即上文中我們一直提到的南北向通信。對於NSX Edge,有三種可以選擇的冗餘部署方式,即Active/Standby(A/S)、Standalone和ECMP.其中Standalone HA是NSX 6.0版本的功能,在這種模式下,兩臺NSX Edge部署在分佈式路由器和物理三層設備之間。這樣做的好處就是我們可以通過制定路由策略,使得一部分流量通過一臺NSX Edge,另一部分流量通過另一臺NSX Edge,而且假如在使用的過程中,其中一臺NSX Edge故障了,另一臺NSX Edge可以接管其工作。既然提到了Standalone HA的優點,那也不妨再提一提它存在的缺點,因爲Standalone HA模式在NSX 中不支持等價多路徑,其實就是不支持負載均衡,而且它也不支持超過兩臺NSX Edge的部署,因此這個功能在NSX 6.1版本之後就被ECMP HA 取代。所以下面就會將主要的精力用於講解A/S和ECMP模式。
二、NSX Edge的HA之A/S
所謂的Active/Standby(A/S)模式其實不難理解,光是看看命名基本就能猜出是如何實現的,我這裏就不給大家打啞謎了,在這種部署模式下,一臺NSX Edge處於active狀態,另外一臺處於Standby狀態,處於active狀態下的NSX作爲主用Edge,承載網絡中的流量並提供其他邏輯網絡中的服務,而至於處於Standby狀態的Edge則作爲備用Edge,不承載網絡流量和服務,它會等待主用Edge失效後,並在之後接管其工作。在將NSX Edge配置爲HA模式之後,主用的Edge會處於Active狀態,而備用的Edge會處於Standby狀態。在安裝備用NSX Edge之後,NSX Manager會將NSX Edge的配置由主用Edge同步到備用Edge,並在之後一直管理這一對設備的生命週期,同步推送更新的主用的配置和策略到備用的設備。
同時**推薦在不同的資源池和不同的數據存儲中創建主備NSX Edge,因爲如果在相同的數據存儲中創建部署主備NSX Edge,那麼數據存儲就必須在集羣中所有主機共享,所以主備設備最好部署在不同的ESXI 主機上。**主備之間的心跳與信息同步使用的是這兩個Edge之間的內部接口進行傳遞,接口使用了指定的IP地址,連接到相同的二層子網,這個IP只能作爲信息同步的IP,不可用做其他服務的IP。
我們看一下上面的圖,左面的圖展現的正是連接邏輯路由器的邏輯網段的流量都是通過主用 的Edge與物理網絡通信的,而右邊的圖恰好展示了一旦主用Edge失效後,備用Edge接管其工作的情形。那麼什麼時候備用Edge纔會接管主用Edge的工作呢?有這樣一個原則,當備用Edge在一定時間(默認爲15秒,最小設置爲6秒)無法收到心跳信息後,它就會認爲主用的Edge已經掛了,這時備用的Edge就會去接管工作。比較厲害的是,當故障恢復後,考慮到如果再次切換回來,會導致服務又一次中斷,因爲NSX Controller很智能的不允許之前故障的Edge切換回主用Edge,如果有需要的話,就必須手動切換。假如,故障的主用Edge無法恢復了,就只能用NSX Manager將其刪除,然後重新添加新的備用設備。同時當ESXI 主機或虛擬機失效後導致NSX Edge無法工作時,也可以使用DRS功能將其遷移到其他ESXI主機上,在這種情況下,HA功能還是有效的,只不過,虛擬機遷移需要時間,遷移完成後,主備的角色可能會調換。
三、NSX Edge的HA之ECMP實現HA
上面的內容已經提到了,因爲Standalone HA不支持NSX環境中部署超過兩臺Edge,所以就在NSX6.1被ECMP替代了。在使用了ECMP實現的HA之後,分佈式邏輯路由器和外部物理網絡之間通過部署最多8臺NSX Edge,最大可以支持8路等價路徑(負載均衡)。這意味着同一時間內,數據平面與外部物理網絡的的通信能達到最大的利用率。任何一臺NSX Edge是失效後,對其性能損失不大,仍然能保持原有性能的87.5%。
看上面的圖,左圖展示的是將Edge部署爲ECMP模式,從圖中可以看到,南北向流量的通信很可能是遵循非對稱的路徑,不同網段不同類型的流量可能會穿越不同的NSX Edge網關。這種南北向流量中非對稱等價多路徑的選擇是在分佈式邏輯路由器或物理三層設備,對網絡中的原始數據包的源目IP地址進行哈希計算得出的結果。轉一轉眼睛,再看一看右邊的圖,右邊的圖展示的是ECMP模式下一臺NSX Edge失效的情形,一旦其中一臺NSX Edge失效,物理三層設備或分佈式邏輯路由器會迅速重新建立鄰居關係,並針對網絡中的路徑重新選路,使得存活的剩餘的NSX Edge仍可以繼續實現ECMP模式。
總結:關於NSX Edge如何實現HA 就先講到這裏,下一篇繼續去講NSX Edge可以實現的其他功能,欲知後事如何,請聽下回分解
新年快樂新年快樂新年快樂新年快樂新年快樂新年快樂新年快樂新年快樂新年快樂新年快樂新年快樂新年快樂新年快樂
