NSX网络虚拟化怎么配置?VMware NSX是软件定义数据中心(SDDC)的网络核心,与vSphere Distributed Switch(VDS)配合实现网络与安全彻底虚拟化。本文详解NSX与VDS协作架构、MTU配置要点、分布式防火墙部署步骤,解决网络团队在NSX部署中常见的兼容性和配置问题。
资源下载:点击下载
NSX与VDS协作架构解析
NSX Data Center展开的前提是vSphere Distributed Switch(VDS)。NSX服务不支持vSphere Standard Switch,所有NSX主机集群必须使用VDS,且集群内所有主机必须连接到同一VDS。NSX 3.0及vSphere 7.0之后的版本支持将NSX数据平面直接部署在VDS上,无需再使用N-VDS(NSX Virtual Distributed Switch),管理复杂度大幅降低。
NSX架构分为三个平面:管理平面(NSX Manager)、控制平面(Central CLI + Local CLI)和数据平面(ESXi、KVM、Edge节点等传输节点)。在VDS环境中,NSX分布式防火墙(DFW)可以直接在VDS上运行,无需额外部署N-VDS,大幅简化了网络架构,降低了运维复杂度。
VDS创建与MTU配置要点
在vCenter中创建VDS:登录vSphere Client→右键数据中心→选择「分布式交换机」→「新建分布式交换机」。VDS版本建议选择7.0及以上以获得最新功能。创建时需设置MTU值,NSX Overlay网络要求MTU至少1600字节,建议设置为1700以适应物理网络环境。如果VDS MTU低于1600,NSX Manager会自动将其调整为1600。
将ESXi主机添加到VDS:为每台ESXi主机分配物理网卡(vmnic)作为上行链路,绑定到VDS的uplink端口组。建议在所有主机上使用相同数量和速率的网卡,避免因硬件差异导致性能瓶颈。同时保留一块网卡给vSphere Standard Switch处理管理网络紧急情况。
NSX传输节点配置与Teaming策略
在NSX Manager中创建Uplink Profile,定义Teaming策略(负载均衡方式)和MTU。在VDS上创建VMkernel端口用于vSAN和vMotion流量后,将主机注册为NSX传输节点。NSX会在VDS上自动创建N-VDS或直接利用VDS作为数据平面传输网络。
物理交换机端口或LACP端口的MTU建议设置为1700,与VDS的1700保持一致。如果物理网络使用 Jumbo Frame,确保从虚拟机到物理交换机的整个路径所有设备都配置了Jumbo Frame,否则会导致数据包分片和性能下降。
NSX分布式防火墙配置与最佳实践
NSX分布式防火墙(DFW)是NSX的核心安全组件,以内核级规则在vNIC层面过滤流量。配置DFW前先建立合适的分段策略:逻辑交换机连接虚拟机组,DFW规则基于IP、端口、VM标签等条件控制东西向流量。默认拒绝所有流量,按需开放,降低攻击面。
VDS最佳实践:使用Network I/O Control(NIOC)隔离不同流量类型的带宽保障;定期备份VDS配置;所有主机使用统一的vmnic编号映射方案;关键业务使用独立dvPortGroup便于QoS策略配置。VDS配置变更建议在维护窗口期间进行,变更后验证主机连通性。
用户评论