VMware NSX 筆記 (5) - NSX Edge Gateway


NSX Edge Gateway

本章將說明 NSX Edge Gateway 所能任的角色,例如,NAT、Load Balancing、VPN 以及本身所具備的 HA(High Availability) 高可用性…等特色功能。




NAT(Network Address Translation)

簡單來說,你可以讓 NSX Edge Gateway 搖身一變成為 NAT 裝置,它支援 Source NAT / Destination NAT等機制,它其實就是採用 Linux Kernel (NetFilter) 也就是 IPTables 來處理 NAT 的部份。下列為 Source NAT 的應用情境。


Destination NAT 的應用部份,其實就等同於是 Mapping IPPort Forwarding 等機制的應用。




LB (Load Balancing)

NSX Edge Load Balancing 的負載平衡機制,支援二種模式分別是「One-arm Mode (Layer7, HTTP/HTTPs)」及「Inline Mode (Layer4, TCP)」。



One-arm Mode
One-Arm Mode 也常稱為 Proxy Mode,此方式的負載平衡優點是架構設計簡單且容易部署。但是,缺點是你必須要有負載平衡的每個網段,可以整合「HTTP X-Forwarded-For」機制來重新導向 IP 位址。



Inline Mode
Inline Mode 也常稱為 Transparent Mode,此架構的優點在於不用做 Source NAT 的動作,可以有效降低負載平衡的工作負載。但是,不能與 Distributed Router 共用,因為後端的 Web Server 必須要把 NSX Edge 設定為 Default Gateway。




HA (High Availability)

NSX Edge Gateway 本身的 HA 機制 (同樣以 EMC AutoStart Manager 機制建立),二台主機之間的 Heartbeat 及資料同步,都是採用 Internal Port Group 來達成 (169.254.1.x)。心跳偵測的部份是由 Active Node 送出 Heartbeat 訊號,預設 Dead Timer 是 15 秒 (最少可調整為 6 秒),當 Active 死掉時「Session 會中斷必須重連」,因為是 Standby 接手所以 Session 要重連。此外,啟動 HA 機制之後,系統會「自動」產生 Anti-Affinity 規則。


當啟動或停用 HA 機制時,持續 ping 時會發現掉 2 個 ping 封包,若啟用 HA 機制時「不填」 Management IP 的話,跟 Control VM 一樣,就會自已產生 169.254.1.x 處理,若是觸發 HA 事件切換時則是會掉 3 個 ping 封包,它不會 Failback (原來的 Active 回來後不會搶回去)。可以透過指令「shows service high availability」來確認,目前哪一台是 Active 哪台是 Standby 及運作狀態。




VPN

NSX Edge Gateway 支援的 VPN 種類有三種,分別是 Site-to-Site, L2, SSL…等。值得注意的部份是,如果伺服器的 CPU 有支援 AES-NI 的話(CPU 從 Westmere 世代開始就支援 AES-NI),屆時可以加速加解密的效率,可提升約 30% ~ 40%


IPSec VPN 的部份,最多支援 64 Tunnels 及 10 Sites,支援的加密演算法有 AES (預設值)、AES256、TripleDES。在 Site-to-Site 之間的溝通,採用常用的 IKEv1(phase1, phase2)、ESP。


在 GUI 設定畫面中「internal (指的就是 local)」、「uplink (指的就是 peer)」。


SSL VPN 的部份,支援 25 個使用者帳號及相關認證機制。






VMware NSX 攻略 - 系列文章