NSX部署验证手册

NSX部署验证手册引言NSX的部署是一项系统工程，而部署后的验证工作，则是确保这一工程真正落地、发挥效能的关键环节。一份详尽的验证，不仅能确认部署的成功，更能提前发现潜在隐患，为后续的业务迁移和稳定运行奠定坚实基础。本手册旨在提供一套相对全面的NSX部署验证思路与操作指引，希望能为各位同行提供一些有益的参考。请注意，具体的验证步骤可能因NSX版本、具体部署架构（如NSX-V与NSX-T的差异，尽管当前NSX-T是主流）以及客户环境的独特性而略有调整，实际操作中需灵活应变。一、验证前准备在正式开始验证之前，充分的准备工作是提高效率、确保验证覆盖面的前提。1.环境信息收集：*NSXManager的管理IP地址、管理员账户凭据。*vCenterServer的相关信息（若NSX集成vCenter）。*各传输节点（ESXi主机、Edge节点）的管理IP、SSH登录凭据。*已部署的逻辑网络组件信息：如逻辑交换机（Segments）的名称、VNI/VLANID、网关；逻辑路由器（T0、T1）的名称、接口配置；分布式防火墙规则等。*物理网络基础架构的相关信息：如用于NSXOverlay和Underlay的VLAN划分、物理交换机端口配置、上行链路拓扑等。2.工具准备：*网络测试工具：如`ping`、`traceroute`/`tracert`、`tcpdump`/`wireshark`、`curl`、`nc`（netcat）、`iperf`等。*SSH客户端：如Putty、MobaXterm、Terminal等，用于登录NSXManager、ESXi主机、Edge节点。*浏览器：用于访问NSXManager和vCenterServer的Web界面。*（可选）API测试工具：如Postman，用于验证NSXAPI的可用性（对高级用户）。3.验证计划与记录：*建议制定一个简单的验证checklist，逐项勾选，避免遗漏。*详细记录每一步的验证结果，包括成功的截图（可选）和失败的现象，便于问题定位和回溯。二、核心组件状态验证2.1NSXManager/Controller集群状态验证（若为集群部署）NSXManager（或NSX-T中的ManagementPlane与ControlPlane节点）是整个NSX系统的大脑，其状态至关重要。1.Web界面访问：*通过浏览器访问NSXManager的管理IP地址。*验证登录功能是否正常，界面是否能正常加载。2.集群状态检查（NSX-T）：*登录NSXManagerUI。*导航至System>Appliances(ManagementPlane)和System>Clusters>ControlPlane(ControlPlane)。*确认集群状态为“稳定”（Stable），所有节点状态为“正常”（Up）。*检查各节点的CPU、内存、磁盘使用率是否在合理范围内。3.节点状态与网络连通性：*从NSXManager内部，`ping`其他集群节点的管理IP，确保网络互通。*通过SSH登录各NSXManager/Controller节点，执行基本系统检查命令，如`showservicestatus`(NSX-T)或查看相关系统服务状态。4.系统服务状态：*在NSXManager/Controller节点上，检查关键服务是否正常运行。例如，NSX-T中可通过`getservice`或`showservicestatus`命令查看。5.存储状态（若为虚拟机部署）：*检查NSXManager/Controller虚拟机的磁盘是否有告警，存储空间是否充足。2.2传输节点状态验证传输节点（TransportNodes）包括ESXi主机和NSXEdge节点，它们是数据平面的承载者。1.ESXi主机传输节点状态（NSX-T）：*登录NSXManagerUI。*导航至System>Fabric>Nodes>HostTransportNodes。*确认所有ESXi主机的传输节点状态为“成功”（Success），配置状态为“已配置”（Configured）。*点击具体主机，查看其传输节点配置详情，如N-VDS名称、上行链路配置、传输区域等是否与设计一致。2.NSXEdge节点状态（NSX-T）：*登录NSXManagerUI。*导航至System>Fabric>Nodes>EdgeTransportNodes。*确认Edge节点状态为“成功”（Success），配置状态为“已配置”（Configured）。*导航至System>Fabric>Clusters>EdgeClusters，确认Edge集群状态为“稳定”（Stable）。3.传输节点服务状态：*SSH登录ESXi主机，执行`esxclinetworkvswitchdvsvmwarensxstatusget`等命令（NSX-V）或`getnsx-agentstatus`(NSX-T)检查NSX相关代理服务状态。*SSH登录NSXEdge节点，执行`getservice`或`showservicestatus`检查关键服务（如edge、dhcp、metadata等）是否正常运行。2.3传输区域与VXLAN/Geneve隧道状态验证1.传输区域配置检查：*登录NSXManagerUI。*导航至System>Fabric>TransportZones。*确认传输区域已创建，类型（VLAN,Overlay）正确，关联的集群正确。2.隧道端点（TEP）状态与连通性（Overlay网络）：*NSX-V：在vCenter中，查看ESXi主机的VMkernel端口（用于VXLANTEP）配置是否正确，IP地址是否获取。通过`esxclinetworkipconnectionlist|grep4789`查看VXLAN端口监听情况。*NSX-T：登录NSXManagerUI，导航至Networking>Segments，或在Fabric>Nodes>HostTransportNodes中点击某主机查看其TEPIP。*在ESXi主机上，通过`ping`其他主机的TEPIP，验证Underlay网络对TEP通信的支持。注意，TEP间通信通常不允许ICMP，但可以通过检查隧道状态或使用`tcpdump`在物理交换机上捕获TEP间的控制报文（如NSX-T的BFD、ARP）来间接验证。*NSX-T中，可在Edge节点或ESXi主机上执行`getlogical-routertunnelstatus`或`getoverlaytunnelstatus`等命令查看隧道状态是否为“UP”。2.4物理网卡（pNIC）与上行链路状态1.ESXi主机物理网卡状态：*通过vCenter或直接SSH登录ESXi主机。*执行`esxclinetworkniclist`查看物理网卡状态是否为“Up”。2.上行链路配置与状态（NSX-TN-VDS）：*在NSXManagerUI的HostTransportNodes中，查看特定主机的上行链路配置。*确认上行链路状态为“活动”（Active）或“备用”（Standby，若配置了HA）。*在ESXi主机上，可通过`net-stats-l`或查看N-VDS相关日志来辅助确认。三、网络功能验证3.1逻辑交换机（Segments）创建与基本连通性逻辑交换机是构建Overlay网络的基础。1.逻辑交换机创建验证：*登录NSXManagerUI。*导航至Networking>Segments(NSX-T)或LogicalSwitches(NSX-V)。*确认预期创建的逻辑交换机均存在，配置（如VNI/VLANID、传输区域、网关IP等）与设计一致。2.虚拟机接入与同网段通信：*在不同ESXi主机上，部署两台或多台虚拟机，并将它们连接到同一逻辑交换机。*为虚拟机配置静态IP地址（或验证DHCP是否能正常分配IP，见3.2）。*验证同一逻辑交换机内的虚拟机之间能够互相`ping`通。*使用`tcpdump`在虚拟机网卡或ESXi主机的VMkernel端口上捕获数据包，确认通信是否通过VXLAN/Geneve封装。3.跨主机逻辑交换机通信：*确保上述互相通信的虚拟机位于不同的ESXi主机上，以验证跨主机的Overlay隧道通信。3.2DHCP服务验证（若配置）1.DHCP服务器/中继配置检查：*在NSXManagerUI中，确认DHCP服务器或DHCP中继服务已正确配置并启用，作用域设置正确。2.DHCP地址获取：*将一台测试虚拟机连接到启用了DHCP服务的逻辑交换机。*重启虚拟机或在虚拟机内执行释放/获取IP地址命令（如`ipconfig/release&&ipconfig/renew`(Windows)或`dhclient-r&&dhclient`(Linux)）。*验证虚拟机是否能成功获取到预期的IP地址、子网掩码、网关和DNS服务器信息。3.DHCP租约信息：*在NSXManagerUI中查看DHCP租约信息，确认已正确分配。3.3静态路由与动态路由验证（若配置）1.逻辑路由器（Tier-0,Tier-1）状态：*NSX-T中，导航至Networking>Routers。*确认Tier-0和Tier-1路由器状态为“已部署”（Deployed）和“运行中”（Up）。2.静态路由：*在逻辑路由器上配置一条静态路由（例如指向某个测试网段）。*在连接到该逻辑路由器的虚拟机上，`ping`静态路由指向的目标IP，验证是否可达。*在逻辑路由器上查看路由表（NSX-TUI或CLI命令如`getlogical-routerroute`），确认静态路由已正确存在并生效。3.动态路由（OSPF/BGP）：*邻居关系建立：在NSXEdge节点上执行相关命令（如`getbgpneighbor`或`getospfneighbor`），确认与上游物理路由器的邻居关系状态为“已建立”（Established/Full）。*路由学习与宣告：*验证NSX逻辑路由器是否能从物理网络学习到路由。*验证NSX逻辑网络的路由是否能正确宣告到物理网络。*在逻辑路由器和物理路由器上分别查看路由表进行确认。*路由连通性测试：通过虚拟机访问动态路由学习到的外部网段IP，验证连通性。3.4分布式防火墙（DFW）规则验证DFW是NSX的核心安全功能之一。1.DFW策略与规则配置检查：*登录NSXManagerUI。*导航至Security>DistributedFirewall。*确认DFW策略已启用，预期的规则已按设计顺序和配置存在。2.允许规则验证：3.拒绝规则验证：*配置一条明确拒绝特定流量的DFW规则（例如拒绝VMApingVMC）。*在VMA上尝试`ping`VMC，验证是否被拒绝。4.规则命中计数：*在NSXManagerUI的DFW规则列表中，观察规则的“命中计数”（HitCount）是否在测试后有增长，以确认规则是否被触发。3.5NSXEdge服务验证（若部署）NSXEdge提供南北向路由、NAT、负载均衡、VPN等高级网络服务。1.Edge接口状态：*在NSXManagerUI中查看Edge节点的接口配置与状态，确认其连接到物理网络的上行链路接口状态正常。*通过SSH登录Edge节点，执行`getinterface`或`showipinterface`等命令查看接口状态和IP配置。2.NAT功能验证（若配置）：*源NAT(SNAT)：配置SNAT使内部虚拟机能够访问外部网络。从内部虚拟机`ping`一个外部已知IP（如DNS服务器），并在外部物理设备上捕获流量，确认源IP是否已转换。*目的NAT(DNAT)：配置DNAT使外部用户能够访问内部特定服务。从外部客户端尝试访问经DNAT转换后的IP和端口，验证是否能成功访问内部服务。3.负载均衡器验证（若配置）：*确认负载均衡器服务已启用，服务器池、虚拟服务器配置正确。*从客户端访问负载均衡器虚拟服务器的IP和端口。*验证流量是否被正确分发到后端服务器，以及健康检查是否生效（手动停止一台后端服务器，观察流量是否不再分发至此服务器）。四、业务流量贯通验证在完成上述各组件和功能点的验证后，需要进行端到端的业务流量贯通测试，模拟实际应用场景。1.跨网段通信：验证不同逻辑交换机（不同网段）的虚拟机之间能否通过逻辑路由器进行通信。2.内外网互访：*内部虚拟机访问外部网络（如互联网、企业内网其他区域）。*外部用户/系统访问内部发布的服务（通过Edge的NAT、负载均衡等）。3.安全策略联动：在业务流量路径中，验证DFW规则、微分段策略等是否按预期生效，对流量进行正确的允许、拒绝或限流。4.（可选）故障转移与高可用性验证：*NSXManager/Controller集群：模拟一个节点故障，观察集群是否能正常容错，服务是否不受影响。*Edge集群：模拟一个Edge节点故障，观察其上的服务（如路由、NAT）是否能切换到其他节点。*ESXi主机故障：（需谨慎操作，通常在测试环