VMware NSX網絡虛擬化入門（簡體書）

本書介紹VMware網絡虛擬化產品NSX，包括NSX的體系結構和安裝配置、基於NSX的分布式防火牆的配置與使用以及基於NSX負載均衡等內容。本書虛擬化平臺採用VMware vSphere 7.0 U1版本，NSX-V採用6.4.8版本，NSX-T採用3.1.0版本。

本書內容比較豐富，操作步驟比較清晰，講解比較細緻，適合讀者自學和課堂教學。本書可供虛擬化技術愛好者、虛擬化數據中心管理員和系統集成商參考，也可作為培訓機構的教學用書。

第 1章 虛擬化基礎概述 1
1．1　單臺服務器虛擬化應用案例介紹 1
1．2　共享存儲虛擬化應用案例介紹 4
1．3　分散式軟件共享存儲虛擬化案例介紹 6
1．4　vSphere虛擬網絡概述 9
1．4．1　ESXi主機與vSphere標準交換機的網絡連接與網絡關係 9
1．4．2　多臺vSphere標準交換機與主機的網絡關係 14
1．4．3　無上行鏈路標準交換機的虛擬機器流量 16
1．4．4　較多主機時使用vSphere分散式交換機 19
1．5　理解虛擬網絡之間通信方式 20
1．5．1　相同主機之間虛擬機器通信 20
1．5．2　不同主機之間虛擬機器通信通過上層交換機轉發 21
1．5．3　無上行鏈路虛擬機器網絡關係 23
1．5．4　為虛擬機器配置使用多網卡 24
1．6　NSX虛擬網絡示意 25

第 2章　vSphere虛擬網絡基本應用 28
2．1　規劃vSphere網絡 28
2．1．1　單臺ESXi主機單網絡的規劃 28
2．1．2　單臺ESXi主機多網絡的規劃 29
2．1．3　傳統共享存儲架構虛擬網絡規劃 30
2．1．4　分散式軟件共享存儲架構虛擬網絡規劃 32
2．1．5　使用負載均衡方式的虛擬機器埠組與物理網卡的連接 34
2．1．6　使用主備方式的虛擬機器埠組與物理網卡的連接 35
2．2　vSphere虛擬交換機應用案例介紹 36
2．2．1　vSphere標準交換機架構 39
2．2．2　vSphere分散式交換機架構 40
2．2．3　vSphere標準交換機案例介紹 43
2．2．4　vSphere分散式交換機案例介紹 45
2．2．5　華為S5720S-28X交換機堆疊配置 46
2．2．6　修改堆疊埠配置命令 48
2．2．7　華為交換機批量配置VLAN 48
2．2．8　華為S6720S-26Q-LI交換機堆疊配置 49
2．2．9　服務器網卡順序編號規則 51
2．3　安裝配置ESXi與vCenter Server 53
2．3．1　安裝配置ESXi 7．0 53
2．3．2　安裝vCenter Server 7．0 57
2．3．3　登錄vCenter Server 62
2．3．4　信任vCenter Server根證書 63
2．3．5　將主機添加到集群 66
2．3．6　為vSphere分配許可證 68
2．3．7　修改SSO與root帳戶密碼過期策略 70
2．3．8　為VMkernel啟用vMotion 71
2．3．9　更改vCenter Server存儲位置 72
2．3．10　啟用HA、DRS與EVC 73
2．3．11　刪除本機存放區 75
2．4　配置虛擬交換機並啟用vSAN集群 76
2．4．1　創建分散式交換機 76
2．4．2　為分散式交換機分配上行鏈路 77
2．4．3　修改MTU為9000 79
2．4．4　為vSAN流量添加VMkernel 79
2．4．5　向標準vSAN集群中添加磁片組 82
2．4．6　配置第 2臺vSphere標準交換機 83

第3章　vSphere虛擬網絡高級應用 89
3．1　遷移標準交換機到分散式交換機 89
3．1．1　網絡拓撲描述 89
3．1．2　新建分散式交換機及分散式埠組 91
3．1．3　為分散式交換機遷移第 1條上行鏈路 92
3．1．4　遷移虛擬機器網絡 94
3．1．5　遷移剩餘上行鏈路並刪除標準交換機vSwitch1 95
3．2　理解vSphere虛擬交換機中的VLAN類型 98
3．2．1　虛擬埠組無VLAN配置 99
3．2．2　虛擬埠組VLAN配置 99
3．2．3　在虛擬埠組配置VLAN中繼功能 100
3．3　在VMware網絡測試專用VLAN功能 103
3．3．1　專用VLAN介紹 103
3．3．2　物理交換機配置 103
3．3．3　虛擬交換機配置 104
3．3．4　創建虛擬機器用於測試 105
3．4　在vSphere分散式交換機上配置鏈路聚合 106
3．4．1　vSphere分散式交換機上的LACP支援 107
3．4．2　LACP實驗環境與交換機配置 108
3．4．3　在vSphere分散式交換機上創建鏈路聚合組 110
3．4．4　將物理網卡分配給鏈路聚合組的埠 111
3．4．5　在分散式埠組將鏈路聚合組設置為備用狀態 112
3．4．6　檢查驗證 113
3．4．7　恢復LAG為正常狀態 114

第4章　NSX-V分散式防火牆基礎應用 116
4．1　VMware網絡虛擬化產品NSX概述 116
4．1．1　NSX-V與NSX-T的名稱與產品交互操作清單 116
4．1．2　NSX-V概述 117
4．1．3　NSX-V體系架構 118
4．1．4　NSX Edge服務閘道與分散式邏輯路由器概述 120
4．1．5　NSX服務元件概述 122
4．1．6　NSX-V的系統需求 123
4．2　安裝NSX Data Center for vSphere 124
4．2．1　為NSX-V規劃物理網絡 124
4．2．2　安裝配置NSX Manager 130
4．2．3　在NSX Manager中註冊vCenter Server 132
4．2．4　部署NSX Controller集群 135
4．2．5　從防火牆中排除虛擬機器 141
4．2．6　在集群上安裝NSX 142
4．2．7　配置VXLAN傳輸參數 143
4．3　為NSX-V配置分散式防火牆 147
4．3．1　分散式防火牆規則 148
4．3．2　分散式防火牆預設策略規則 153
4．3．3　為防火牆配置L3層策略 154
4．3．4　為防火牆配置L7層策略 157
4．3．5　查看示例配置 158
4．3．6　在防火牆配置預設允許規則 160
4．4　使用身份防火牆 160
4．4．1　身份防火牆概述 161
4．4．2　身份防火牆案例概述 161
4．4．3　安裝Guest Introspection 163
4．4．4　在NSX中註冊Active Directory 166
4．4．5　為身份防火牆配置安全性群組 168
4．4．6　配置身份防火牆 170
4．4．7　用戶端驗證 172
4．4．8　使用身份驗證管理Linux服務器 174
4．5　使用SpoofGuard 175
4．5．1　創建SpoofGuard策略 175
4．5．2　批準IP地址 177
4．5．3　清除IP地址 179
4．5．4　使用SpoofGuard的建議 180
4．5．5　禁用SpoofGuard 181
4．6　流量監控與資料包捕獲 181
4．6．1　流量監控 181
4．6．2　數據包捕獲 182

第5章　Edge防火牆與負載均衡應用 185
5．1　配置NSX-V邏輯裝置 185
5．1．1　邏輯網絡設置 186
5．1．2　添加傳輸區域 187
5．1．3　添加邏輯交換機 189
5．1．4　添加分散式邏輯路由器 193
5．1．5　添加Edge服務閘道 197
5．1．6　在分散式邏輯路由器上配置OSPF 201
5．1．7　在Edge服務閘道上配置OSPF 204
5．1．8　在虛擬機器中測試 207
5．2　NSX Edge防火牆 209
5．2．1　查看分散式邏輯路由器防火牆預設策略 209
5．2．2　查看服務網關防火牆預設規則 212
5．2．3　添加分散式邏輯路由器與配置服務閘道 214
5．2．4　創建實驗虛擬機器 219
5．2．5　Edge防火牆預設規則測試 221
5．3　配置邏輯負載等化器 224
5．3．1　邏輯負載均衡實驗環境 224
5．3．2　啟用負載等化器服務 226
5．3．3　服務監控器 227
5．3．4　添加服務器池 227
5．3．5　添加應用程式設定檔 230
5．3．6　添加虛擬服務器 231
5．3．7　在用戶端測試邏輯負載等化器 232
5．4　在NSX中配置DHCP 232
5．4．1　在Edge服務閘道配置DHCP作用域 234
5．4．2　在分散式邏輯路由器上添加DHCP中繼 235
5．4．3　設置IP位址預留 237
5．4．4　在交換機上配置DHCP服務器 238
5．5　NSX-V備份與恢復 240
5．5．1　備份NSX Manager資料 240
5．5．2　從備份還原NSX Manager 242
5．5．3　重新安裝Edge 243
5．6　卸載NSX-V 245
5．6．1　卸載Guest Introspection 245
5．6．2　卸載NSX Edge服務閘道與分散式邏輯路由器 245
5．6．3　卸載邏輯交換機 246
5．6．4　從主機集群中卸載NSX 247
5．6．5　刪除NSX控制器節點 249
5．6．6　安全移除NSX 250

第6章　安裝配置NSX-T網絡 254
6．1　NSX-T實驗環境與基礎知識 254
6．1．1　NSX-T網絡虛擬化軟件清單 254
6．1．2　NSX-T物理網絡環境 254
6．1．3　NSX-T相關概念 257
6．2　準備主機傳輸節點 261
6．2．1　安裝NSX Manager 262
6．2．2　註冊計算管理器 265
6．2．3　創建傳輸區域 265
6．2．4　創建IP位址集區 266
6．2．5　創建上行鏈路設定檔 268
6．2．6　準備主機傳輸節點設定檔 270
6．2．7　準備ESXi主機作為傳輸節點 271
6．3　準備Edge傳輸節點 273
6．3．1　傳輸區域中的NSX Edge的簡要視圖 274
6．3．2　傳輸區域和N-VDS 275
6．3．3　為NSX Edge創建埠組 276
6．3．4　安裝NSX Edge 277
6．3．5　創建Edge集群 281
6．3．6　修改預設管理密碼過期時間 282
6．4　配置NSX-T虛擬網絡 283
6．4．1　在NSX-T中創建分段 284
6．4．2　創建Tier-1閘道 286
6．4．3　創建配置Tier-0閘道 287
6．4．4　將分段連接到Tier-1閘道 292
6．4．5　將Tier-1連接到Tier-0閘道 293
6．4．6　虛擬機器使用分段 294

第7章　為NSX-T配置DHCP 服務器與負載等化器 296
7．1　在NSX-T中配置DHCP服務器 296
7．1．1　使用DHCP中繼服務器 296
7．1．2　使用DHCP本機服務器 299
7．1．3　在分段配置靜態繫結 301
7．2　配置分散式負載等化器 302
7．2．1　邏輯負載均衡實驗環境 303
7．2．2　為Tier-1閘道連接Edge集群 303
7．2．3　添加服務器池 304
7．2．4　添加負載等化器 307
7．2．5　添加虛擬服務器 307
7．2．6　用戶端測試 308
7．3　為Tier-0閘道增加上行鏈路 308
7．3．1　在物理交換機配置IPv4靜態路由與NQA聯動 310
7．3．2　在Tier-0上添加上行鏈路 310
7．4　將物理網絡下移到NSX-T虛擬網絡 312
7．4．1　在物理交換機上移除IP位址配置信息 313
7．4．2　配置NSX-T虛擬網絡 313
7．4．3　查看拓撲圖 314

第8章　為NSX-T配置防火牆和入侵偵測 316
8．1　NSX-T安全概述 316
8．1．1　安全概覽 316
8．1．2　分散式防火牆 317
8．1．3　分散式IDS/IPS 318
8．1．4　網絡偵測（東西向） 319
8．1．5　網關防火牆 320
8．1．6　URL分析 320
8．1．7　網絡偵測（南北向） 321
8．2　NSX-T分散式防火牆實驗 322
8．2．1　分散式防火牆實驗環境介紹 322
8．2．2　配置分散式防火牆策略 322
8．2．3　用戶端測試 324
8．3　NSX-T網關防火牆實驗 324
8．3．1　在Tier-0的上行鏈路配置防火牆策略 324
8．3．2　用戶端測試 326
8．4　配置分散式入侵偵測 326
8．4．1　配置並啟用分散式入侵偵測功能 326
8．4．2　模擬攻擊 328
8．5　使用身份防火牆 329
8．5．1　在NSX-T中註冊Active Directory 330
8．5．2　為身份防火牆配置組 331
8．5．3　啟用身份防火牆 332
8．5．4　配置身份防火牆 333
8．5．5　用戶端驗證 334