nsxpoc测试方案与报告

POC目 POC及职 2.1分 职责划 POC安 时间地点内容一览 POC测试进 POC测试环 测试场 环境搭 NSX基本功能验 逻辑交 创建逻辑交换 逻辑路 分布式....................................................................................................................修改默认规 基于安全组的规 基于的规 两种的管 NSX可用性验 NSX控制器的可用 跨vCenter的交换与路 跨vCenter的逻辑交 跨vCenter的逻辑路 NSX高级功能验 逻辑负载均 汇 缩略语解 11POC本测试的主要目的是为了协助XXX公司更好的了解VMware的定义网络平台NSX的架构及功能，验证XXX公司测试环境采用NSX网络平台实现定义网络的可行性。本测试主要对NSXNSX安基本功能测分布式可用性验高可用性EdgevCenter的交换与路跨vCenter跨vCenter高级功能验SSLVXLAN与VLAN22 测试由VMware合作伙伴XXX公司与客户共同完成，各方提供固定的测试和工程技术进试，根据测试计划有步骤地进试工作。XXX测试项目XXXXXX客户方技术XXX

表 XXX负责测试场地、服务器环境、环境、网络环境独立监督测试过程，确认测试记录、是否VMwareXXX负责提供VMware产品及相关测试License；VMware产品的兼容性；负责VMware虚拟架构在服务器上的安装与配VMware负责确认测试步骤符合VMware虚拟架构最佳实33POC测试时间定于XXXX年XXX日开始，XXXX年X月XX日之前结束全部测试，并在年X月XXXPOCPOC1在物理主机上安装部署NSX，并将一台独立主机加入集群验证NSX可以成功安装，当二次安装，NSX组件可以自验证NSX验证NSX2NSX3.OSPF中更新和>>分布式创建安全组与规基于的规Edge与分布式的统验证NSX分布式可可以通过使用ActiveDirectoryEdge服务网关和分布3NSXNSX高可用性Edge验证NSXEdge4跨vCenter跨vCenter跨vCenter验证NSX可以实现跨5NSXSSLVXLAN与VLAN验证NSXEdge提供基于客户端的SSLPOC1XX年X12XX年X13XX年X安装部署vCenter、vSphere和1XX年XNSX1XX年XNSX1XX年XNSX14XXXX年X对进行总结和评15XXXX年X根据完成最终测试报144POC本POC的测试场景是基于数据中心内托管一个Web该Web应用是一个三层应用，每层分别位于不同的第二层网络中，以下是托管该应用所需的一本测试包含三个配置了VMware的vSphere产品的集群，。其中包含两个计算集群，vCenterServerNSX的所有控制层AB中，部署了多个虚拟机。虽然示意图中没有显示底层物理网络拓AB连接到一个子网(/24)。/24软硬件需本POC测试的硬件配置如下表所示（参考）154核至强CPU，32GBRAID5disk，4212TB光纤阵12TB（SASRAID57+1），至少2块热备盘3 5709224CISCO6509R-E；N7K本POC测试的配置如下表所示（参考）VMwarevSphere6.0vCenter6.0VMwareNSXforXXX

表：POC测试配Windows2008R2Enterprise/Windows典型的应用测试环境，包括安装与配置（验证安装ESXi6.0U1的安安装ESXi6.0U1vCenterNSXvCenterServer6.0U1ova安安装vCenterServer6.0U1版本，以便支持跨vCenterNSXNSX6.2的安装和连接NSX安装流程包括部署多个虚拟设备,ESX主机准备，并进行一些配置以便所有物理NSXManagerOVF/OVANSXManager完全连接到它将管理的ESX主机的管理接口。接下来，需要通过流程将NSXManager与一个vCenter实例彼此链NSXControllerNSXManager一样，NSXControllerESX主NSXESXVIB。这VIB2VXLANDistributedFirewallVXLAN、指定虚拟网络(VNI)NSX覆盖拓扑。此处需要对NSX的安装进行验证，方法是提前将一台物理主机独立出来，待集群搭建完成后，再将该主机添加进集群并观察集群上NSX功能组件的安装情况。此时会发现，NSX组件将自动VMwareESXi6.0U1的地址如下 VMwarevCenterServer6.0U1的地址如下 NSXforvSphere6.2的地址如下ESXi的安装配置文档如下。 验证已部署的组在“Installation”—》“HostPreparation”下可以看到主机上的数据层组件，也称为网络虚拟化组件。这些组件包括以下内容：端口安全、VXLAN、分布式和分布式路由等的虚拟化管理上图显示安装网络虚拟化组件后，和VXLAN功能会在每个集群上启用。配置了NSXEdgeVXLAN功能。查看VTEP配通过“LogicalNetworkPreparation”—》“VXLANTransport”可以查看如下VTEP图：VTEPA/24B/24客户的一个主要VXLAN部署问题是物理网络设备需要多播协议支持。通过提供基于控制VXLANNSX平台中得到解决。这种模式是默认模式，并且客户不必在定义逻辑网络池时配置任何多播地址，在本POC测试中使用“UnicastMode”（单播模式）。确认集群是全局传输区域的成55NSX本单元将对NSX的如下三项基本功能进试分布式Web服务器之间能够建立第创建逻辑交测试目验证NSX可以便捷高效的创建逻辑交换机，并提供相应的交换功能。与重新配置物理设备的过预期结测试步将新逻辑交换机连接到NSXEDGE服务网关以供外部将虚拟机web-sv-03a 和web-sv-04a的虚拟网卡添加到该逻辑交换机。SSHNSXEdgeWeb界面，此步骤证明可以从3层的边界，同时提供第2层连接。对WEB服务器WEB-SV-04A执行操作以显示第2层连接情况。图：两台虚拟机之间的操操作可以收到回复，因此两台虚拟机可以进行第二层的连接，这也证明了逻辑交换机可以DBNSXEdge验证通向外部路由器的路由通配置并启用分布式测试目预期结没有分布式路由的情况下，WEB应用的三层位于不同的逻辑交换机上，会产生“发卡”效应。创建分布式路由后，AppDB两台虚拟机的流量可以不出物理主机，消除“发卡”效应。测试步3NSXEdge，然后，NSXEdge会将流量发回到它最终到达的数据库虚拟机所在的主机。应用的三个层（Web、应用和数据库）NSXEdge在各层之间提供路由。Web服务器，此时将返回一个Web页面，其中显示数据库中的，证明Edge可以完成三层之间的路由。但是此时存在“发卡”效应。接下来，创建分布式路由，并从NSXEdge移除应用和数据库接口。)配置并启用动态路在上面拓扑中，应用和数据库层连接到同一个路由器，而Web层则连接到边缘路由器。这OSPF。测试目预期结在分布式路由器上成功启用OSPF，三层WEB测试步Web层连接到一个路由器，而其他两层则连接到另一个路由器。因此，除非在两个路由器上都启用了动态路由，否则应用会失败。测试3层应用的是否会失败，预期结果为失败在分布式路由上启用OSPF，发布变更将更新的配置推送到分布式边缘设备上，并确认已经在OSPF路由。在边界网关Edge上配置并启用OSPF路由和路由重新分发，最后发布变更再次刷新浏览器3WebOSPF对等互连（如下图所示），Web层虚拟机就能够跨分布式路由器连接的应用层虚拟机。图：动态路由动态路由通告和控测试目验证如何在整个系统中控制、更新和OSPF动态路由预期结测试步首先测试OSPF路由过程成功启动并在两个边缘设备之间形成了相邻关系。使用SSH连接到边界路由器设备并输入showipospfneighbor 来显示分布式边缘设备的OSPF相邻状态。图：边缘设备的OSPF上图显示了与边界路由有路由关系的路由器（分布式逻辑路由器）的“NeighborID”，任何相OSPF相邻过程的状态。至此，这一过程已经完成，“State”指示为“FullOSPF过程完成，路由更新也已在命令提示符处输入命令howiproute 该设备从OSPF邻居那里获知的路由。OSPF正确配置了从分布式本部分将验证分布式如何帮助保护3层应用，以及如何根据安全组和而非基于IP地址的规则创建规则。基于IP地址的规则对移动虚拟机具有硬性限制，因此降低了使用资源池NSX分布式测试包括如下内容修改默认规基于安全组的规基于的规分布式与Edge的管修改默认规测试目预期结修改规则为“”后，相应的网络均被测试步执行从WEB-SV-01A到其他3层成员的操作并使用WEB浏览器演示3层应用，此刻将获得从Web层传递到app-sv-01a 虚拟机并最终查询db-sv-01a 将默认策略从“允许”改为“”，然后发布变更。Putty：打开PuTTY时将显示它不再处于活动状态，因为默认规则现在包括SSH在Web浏览器：通过浏览器Web应用，会收到一条“SSLconnectionerror”（SSL连接基于安全组 规测试目预期结通过创建基于安全组的规则，可以实现三层应用间的通信测试步创建一个分配有两个虚拟机的名为Web-tier的安全组。接下来将添加新的规则以允许为三层应用添加则Section（“3-tierApp”）并为该Section添加三条规则第一个规则为“ExttoWeb”，在“目标”中，将“Web-tier”添加至该规则的安全组，将HTTPS和SSH添加至该规则的Service。添加第二条规则“WebtoApp”，以允许Web安全组通过App端口App安全组，选Web-tier验证则是否允许三层应用通信：打开浏览器并此应用，显示正在通过该3层应用获取数据，正常。重启PUTTY与WEB-SV-01A的会话，在层之间执行如下图：操基于 规测试目ActiveDirectory组创建规则，并借此控制用户对其他安全对象（如网络、IP地址）和其他安全组的。预期结符合AD认证的用户可以应用，反之则被测试步创建将NSX到ActiveDirectory所需的基于用户的规则。通过NSXManager中的域连接器配置并同步AD连接。编辑“EXTTOWEB”规则，将新的域组“ADSALES”添加到“ExttoWeb”规则的测试用户规则打开域中另一个虚拟机的控制台，并以ActiveDirectorySales组成员的登录，来测试基于的则。User:Sales1是Sales组的成员，User:NonSales不是该组的成员，分别用以上两个登录，尝试三层应用的结果如下。用户nonsales不是AD-SalesGroup的成员，因此会被三层应用。用户Sales1是AD-Sales组的成员，因此允许三层应用。因此，基于的规则验证成功两 管测试目验证NSX所提供的针对Edge服务网关和分布式的管理预期结Edge服务网关和分布式可以通过一个规则条目进行控制测试步编辑DFW规则：将源设置为任意，并选择“”操作。这将发送一个TCP重置以清除会话，操作会放弃数据包而不作出响应，并将此规则应用到边界网关。添加新列“Rule-ID”，记住该规则的Rule-ID，例如：1008已编辑的DFW规则表明SSH的“AnytoWeb-tier”现在为“数据包”。此规则现在可应用于Edge网关以及DFW。检查由于管理做出的Edge更改：查看边界网关的规则，这时，一条则已经以预规则的形式添加到EdgeDFW中先前的数字相同：1008。通过SSH登录到Edge，输入：showlogfollow以日志条目。通过SSH登录到虚拟机WEB-SV-01A。Edge这证明被置于DFWEdge66NSX验证NSXNSX测试目预期结测试步NSXController节点，可以看到已经部署了三个控制器，NSXController始终部署为奇数关闭其中一个NSXCONTROLLER，再次登录虚拟机WEB-SV-03A并用PUTTY来测试连接, 操作，以显示第3层物理网络上方的第2层连接，预期结果为可以收到相应的回复。图：操作测NSXController高可用性Edge服务网测试目验证NSX可在“HighAvailabilityEdgeEdge服务网关的副本。预期结如果在高可用性对中充当主Edge的虚拟机出现故障，则此副本会快速主虚拟机并恢Edge服务网关上提供的所有服务。测试步Perimeter-GatewayEdgeEdge服务网关上启用高可用性模式，并确认“HA登陆Edge，一旦建立SSH连接后，输入如下命令以显示服务高可用性。此时将看到对和Edge的“HighAvailabilityHealthCheckStatus”（高可用性运行状况检查状态）均显示图：显示Edge对主动Edge连续执行操作，然后关闭主动Edge来强制进入故障切换场景，并在连续执行操作期间观察故障切换。图：在Edge上进行操在故障切换期间可观察到操作的几个超时响应，考虑到测试环境的密度，有2到6个超时是正常的。接下来将看到操作再次开始回复，这证明在关闭主动Edge后Edge接管了服输入showservice 图：再次显示Edge等价多路径（ECMP）提供的高可用验测试目验证NSX的等价多路径（ECMP）预期结等价多路径上的某个Edge测试步首先，确保在分布式路由和Edge边界服务网关上面已经开启OSPF第二步，创建一个新的Edge服务网关"Perimeter-Gateway-2"，并在上面配置OSPF。图：两个Edge网关并启动OSPF在开启ECMP之前，在分布式路由上面运行"showipospfneighbor"，可以看到如下图所示的结果。此时，分布式路由有两个OSPF邻居（Edge边界网关），并且只有一条通向/24网段的路径。图：分布式路由的OSPF在分布式路由上开启ECMP输入命令"showconfigurationrouting-global"，结果显示“ecmp”：true，证明ECMP已经开输入命令"showiproute"，可以看到分布式路由有两个相等的路径(和)/24网段（通过相同的吓一跳此时ECMPEdge坏掉，另一77vCentervCenter测试目验证NSX可以跨vCenterServer预期结位于两个不同vCenter上的两台虚拟机，可以通过连接到同一个通用逻辑交换机来实现网络互联，即：可以从一台虚拟机上通另外一台虚拟机。测试步在主NSXManager上创建名为“ULS-Transit-Network-02为Web、AppDB层分别创建通用逻辑交换机：ULS-Web-Tier-02、ULS-App-Tier-02图：Web、AppDB将虚拟机web-03a连接到通用逻辑交换机ULS-Web-Tier-02vNIC图：在主NSXManager上，将web-03a连接到ULS-Web-Tier-在辅助NSXManager上，将虚拟机web-01b连接到ULS-Web-Tier-02逻辑交换机上，并为该虚拟机选择vNIC。图：在辅助NSXManager上，将web-01b连接到ULS-Web-Tier-在虚拟机web-03a上启动控制台来测试ULS-Web-Tier-02通用逻辑交换机上跨vCenter的网络-c32假设web-03a的IP1，web-01b的IP2，结果应该如下图：web-03a可以与web-01b该结果证明，分属两个站点，跨vCentervCenter测试目验证NSX可以跨vCenterServer预期结被不同vCenter测试步通用逻辑路由器的创建与配在主NSXManager上将虚拟机app-02a连接到通用逻辑交换机ULS-App-Tier-02，并选择相应的vNIC。重复上述步骤将虚拟机db-02a连接到通用逻辑交换机ULS-DB-Tier-02vNIC。在主NSXManager上创建名为“Universal-Distributed-Router名字：UDLR-App-Tier，类型：InternalULS-App-Tier-02，通过接口：名字：UDLR-DB-TierInternal，连接到：ULS-DB-Tier-02，通过接口：配置刚刚创建的通用逻辑分布式路由：配置OSPF、定义域、域到接口的和路由重新发图：配置验证跨vCenter的通用逻辑路由器功在辅助站点的web-01b上打开控制台，测试web-01b与app-02a-c3应该如下如所示，该测试验证了被不同vCenter管理的不同的通用逻辑交换机上的两图：测试web-01b与app-02a接下来，测试web-01bDB-02a-c31应该如下如所示，该测试依然验证了被不同vCenter管理的不同的通用逻辑交换机上配置边界路

图：测试web-01bDB-02a选择边界网关Perimeter-Gateway-02vNIC，将其连接到ULS-Transit-Network-接下来，配置OSPF

在主NSXManagerOneArm-LoadBalancer-02与通用逻辑交换机ULS-通过浏览器三层Web应用，可以得到如下结果88NSX基于客户端 (SSL测试VXLAN与VLANWebWeb服务器（web-sv-01aweb-sv-02a）(app-sv-01a(db-sv-01a)，IP地址如下所 ----db-sv- -测试目验证NSX的Edge服务网关可以提供基于客户端的SSL服务预期结可以通过客户端建立SSL，可以通后面的虚拟机测试步配置并启动 Plus服执行：添加网络、配置验证、创建安装程序包、为SSL-Plus实例配置“ClientConfiguration”（客户端配置）等步骤对SSL进行配置，然后启用SSL-Plus服务。准备EDGE规创建规则来控制中心和web-sv-01a虚拟机之间的流量，进而测试和证明SSL对WEB-SV-01A执 测测试控制中心和web-sv-01a之间的连接，结果应该如下图所示，证明创建的了控制中心和web-sv-01a虚拟机之间的流量。通过客户端建立

图：操作-超获取并安装SSL客户端，安装程序运行完成后，客户端会自动启动，单击“Login”按钮继续，成功登陆后会出现如下结果，表明SSL-PLUS已建立。图 通过操作验证是否连接：web-sv-01a图：操作-收到回现在可以通后面的web-sv- 测试目验证NSXEdge预期结测试流配置IIS服务，并放置不同的o.html页面。在Edge上配置负载均衡器服务如下：IP地址，然后重新分发至负载均衡器“后端”上的节点。检查是否自动生成了DNATRule最后，在相关页面o页面：在o页面清空cache后，多次再次该页面，可以发现在两个不同的o页面间切换，负载均衡功能得到验证。VXLANVLAN测试目验证NSX的VXLAN与VLAN预期结通过VXLAN与VLAN之间的桥接，虚拟机可以完成物理和虚拟网络之间的通信，在物理与虚拟环境上的虚拟机之间执行操作，可以收到相应回复。在NSX6.2中，逻辑交换网络可以通过DLR来完成到VLANEdge进行测试步检查初始配置情初始配置情况如下图所示，左侧为VLAN101，在该网络上有名为"vds-mgt_BridgeNetwork"的端口组，虚拟机web-04a在该端口组上