NSX: Gestión de Logical Switch

[Total: 3    Average: 5/5]

Hola a todos!  En publicaciones anteriores hemos hablado bastante acerca de NSX, incluyendo su arquitectura, componentes de plano de Management y Control, así como también el proceso de Host Preparation.  En este post, y continuando con la serie de NSX, hablaremos acerca de como gestionar Logical Switch, incluyendo su creación, consideraciones respecto a zonas de transporte, y la conexión de VM a dichos switches.

En publicaciones anteriores nos dedicamos principalmente a describir los pasos necesarios para el deploy y configuración inicial de NSX, lo cual ya hemos completado, por lo cual ahora podemos comenzar a “consumir” los recursos de NSX, donde una de las primeras tareas que podemos realizar, es la creación de Logical Switches, los cuales nos permitirán proveer de conectividad Layer 2 a las VM, utilizando la tecnología overlay de VXLAN.

Un Logical Switch es simplemente un dominio de broadcast implementado a través del uso de VXLAN, y que no depende de otras configuraciones a nivel de red física, como cuando creamos un Virtual Switch tradicional con VLANs, donde dichas VLAN deben haber sido creadas previamente a nivel de infraestructura de red física.


VLAN vs VXLAN

Veamos la siguiente imagen.  Como podemos apreciar, tenemos un host ESXi configurado con un Distributed Virtual Switch, sobre el cual se han creado 3 Port Groups, cada uno asociado con una VLAN (50, 60 y 70).  Recordemos que las vNICs de las VM se conectan a estos Port Groups para poder obtener conectividad con otras VM y con dispositivos en la red física.   Para que esta configuración funcione adecuadamente, necesitamos que las 3 VLAN asociadas a los Port Groups hayan sido creadas previamente a nivel de red física, y que hayan sido presentadas correctamente a los hosts ESXi.

Si nos fijamos bien, podemos ver que tenemos configurado un VLAN Trunking entre el host ESXi y la red física, no obstante, este VLAN Trunking solo tiene presentadas las VLAN 50 y 60, dejando fuera la VLAN 70.  Que impacto tiene esto sobre las VM utilizando el PortGroup con la VLAN 70????  Bueno, tiene un gran impacto, porque implica que las VMs conectadas a dicho Port Group SOLO tendrán conectividad con otras VM asociadas al mismo Port Group y en el mismo host.  Estas VMs no podrán comunicarse con VMs conectadas a una VLAN distinta, y mucho menos podrán comunicarse con la red física, así que básicamente estas VMs quedan AISLADAS.

Si vemos esta otra imagen, podemos apreciar que estamos utilizando VXLAN, lo cual nos permite crear redes lógicas con total independencia de la red física.  Aquí solamente necesitamos que los hosts ESXi se encuentren conectados a través de una red de transporte VXLAN, utilizando para estos los VTEPs que configuramos en la etapa de Host Preparation.

Gracias a esto, podemos tener todos los Logical Switches que deseemos sin necesidad de recurrir a alguna configuración a nivel de red física, mientras que la conectividad es gestionada por NSX, tanto a nivel Layer 2 como a Layer 3 (a través de Distributed Logical Router y NSX Edge) enteramente por software.

Como vimos en la introducción a NSX, gracias al uso de VXLAN los hosts ESXi pueden estar ubicados en redes totalmente distintas, como cuando están distribuidos en multiples Datacenters, pero aun así permitir conectividad Layer 2 para las VM.   Los VTEP configurados en cada host permiten la creación de la red de transporte, algo así como un túnel, que se forma entre todos los hosts ESXi que componen la Zona de Transporte.   Esta red de transporte VXLAN permite que, a pesar de que los hosts se encuentran en segmentos de red distintos (conectividad Layer 3), un Logical Switch puede existir a través de estos hosts entregando conectividad Layer 2 para las VM conectadas a dicho Logical Switch.

Como podemos ver en la siguiente imagen, cada host ESXi cuenta con un VTEP configurado en un segmento de red distintos, por lo que entre ellos tenemos una comunicación layer 3.  Aun así, a través de VXLAN podemos crear un Logical Switch (5001) el cual nos permite tener un segmento de red Layer 2 que puede ser usado por las VM existentes en dichos hosts.


VXLAN Numerical Identifier

A cada Logical Switch se le asigna un VNI (VXLAN Numerical Identifier) unico, que permite identificarlo en la red VXLAN.  Este  VNI es un numero de 24 bits que es añadido en la cabecera del paquete VXLAN luego del proceso de encapsulamiento.  Un VNI tiene las siguientes características:

  • Un VNI permite identificar el dominio de broadcast al cual el frame Ethernet interno pertenece (Ver encapsulamiento VXLAN).
  • Multiples VNIs pueden existir en la misma zona de transporte, permitiendo crear multiples Logical Switch
  • En una implementación NSX, las VNI parten desde el identificado 5000 en adelante, para evitar confusiones con los identificadores de las VLAN.
  • Cuando ustedes crean un Logical Switch, la VNI es asignada automáticamente a partir del Pool de VNI configurado previamente en el proceso de Host Preparation.


Logical Switch y Port Groups

Para efectos prácticos, un Logical Switch no es otra cosa que un Port Group en un Distributed Virtual Switch.  Y en cual Distributed Virtual Switch se crea este Port Group???  Bueno, en aquellos incluidos en la Zona de Transporte seleccionada al momento de crear un Logical Switch.

Una Zona de Transporte puede incluir múltiples Distributed Virtual Switch.  En este caso, el Port Group asociado al Logical Switch será creado en cada uno de estos Distributed Virtual Switch, y funcionarán en conjunto como un único Logical Switch y un único dominio de Broadcast.  Estos Port Groups no deben ser manipulados desde la vista de Inventario de Redes en vSphere Web Client, y toda la gestión de estos switches debiera ser realizada desde Network and Security.

Gracias a este diseño, conectar una VM a un Logical Switch es totalmente transparente, ya que basta simplemente con asignar el Port Group adecuado en las opciones de configuración de la VM, o utilizar el asistente de conexión disponible en la sección Network and Security en el vSphere Web Client.


 

Creación de un Logical Switch

La creación de un Logical Switch es un proceso bastante sencillo y que vamos a detallar a continuación:

  • En primer lugar nos dirigimos a la sección Networking and Security en el vSphere Web Client, donde seleccionamos “Logical Switches” en el menú de navegación, y finalmente hacemos click en el botón “+” de la barra de herramientas, lo cual iniciará el asistente.

  • En el asistente, lo primero que debemos indicar es el nombre del Logical Switch, el cual debe ser lo más descriptivo posible para facilitar la administración posterior.
  • En este punto además debemos seleccionar la Zona de Transporte.  Está definirá finalmente en que hosts y clusteres estará disponible este Logical Switch.

  • Por defecto, el modo de Replicación se configurará automáticamente según el modo de Replicación configurado en la Zona de Transporte.
    • Para entender los modos de realización, recomiendo leer la publicación previa dedicada a este punto.
    • Alternativamente es posible seleccionar un Modo de Replicación que aquel definido en la Zona de Transporte.
    • La opción Enable IP Discovery debe permanecer activada para permitir que NSX, a través de NSX Controller, pueda suprimir el trafico ARP en la red, consolidando esta información en la tabla ARP de NSX Controller.

  • Hacemos click en OK, con lo cual el Logical Switch ya quedará creado y podrá ser utilizado de inmediato.

  • De esta forma podemos crear facilmente todos los Logical Switches que necesitemos en la plataforma, sin necesidad de realizar ningún tipo de configuración en la red física.

  • Si nos dirigimos a la vista de inventario de redes, podemos observar los Port Groups creados como parte del proceso de creación de los Logical Switches.


Conexión de una VM a un Logical Switch

Una vez ya hemos completado la creación de los Logical Switches requeridos, el siguiente paso es conectar las VM al Logical Switch correspondiente.  Esto lo podemos hacer simplemente editando la configuración de la VM y seleccionando el Port Group adecuado, o podemos utilizar el asistente de conexión “Add Virtual Machines” en el menú de Logical Switches de NSX:

  • En el menú Logical Switches, seleccionamos el Logical Switch deseado, y en la barra de herramientas seleccionamos la opción “Add Virtual Machines.

  • A continuación, seleccionamos la o las VMs que deseamos conectar al Logical Switch, y hacemos click en la flecha indicada para mover las VMs a la lista de VMs a conectar.  Hacemos click en Next.

  • En la siguiente sección del asistente, seleccionamos la o las vNICs de la VM que deseamos conectar al Logical Switch.

  • Finalmente hacemos click en Next y posteriormente en Finish, lo cual finalizará el proceso de conexión de la VM al Logical Switch.
  • Si conectamos 2 VM al mismo Logical Switch, podremos conseguir comunicación Layer 2 entre ellas, independiente que estas se encuentren en distintos hosts ESXi.  Por ejemplo, en este caso conectamos las VM Web-sv-01a y Web-sv-02a al mismo Logical Switch llamado Web Tier (5001).

  • Al estar ambas VMs conectadas al mismo Logical Switch, podemos hacer ping entre ellas sin ningún problema, al encontrarse ambas en el mismo dominio de Broadcast


Conclusiones

Como podemos ver, el proceso de creación de Logical Switches es un proceso bastante sencillo una vez que tenemos la plataforma NSX correctamente instalada y configurada.  Esto nos permite la creación de diversas redes a nivel de Software, con total independencia de la arquitectura de red física.

En próximas publicaciones hablaremos sobre las capacidades de Routing en NSX, lo que nos permitirá comunicar VMs que se encuentren conectadas a distintos Logical Switches.

Espero les haya sido de interes, a continuación otros links de interés en esta serie de NSX.

About the Author:

EnglishPortugueseSpanish