¿Cuáles son los requisitos de latencia para la Federación de NSX 4.2?

La Federación NSX requiere una latencia (RTT) de 150 ms o menos entre el Global Manager y los Local Managers, e idealmente menos de 10 ms para segmentos de Layer 2 estirados para evitar la degradación del rendimiento de las aplicaciones.

¿Por qué debería usar un Stretched Tier-0 Gateway?

Los T0 estirados permiten la movilidad de IP entre sitios, asegurando que una VM pueda moverse del Sitio A al Sitio B sin cambiar su default gateway, aunque esto requiere una ingeniería BGP cuidadosa para evitar un enrutamiento subóptimo.

¿Cómo se integra vDefend con el multi-sitio de NSX 4.2?

vDefend es la suite de seguridad renombrada y mejorada en NSX 4.2, que incluye DFW, IDS/IPS y Prevención de Malware. En una configuración multi-sitio, las políticas de vDefend se gestionan en el Global Manager para una aplicación coherente.

¿Puedo tener egress active-active en dos centros de datos diferentes?

Sí, pero con advertencias. Para evitar el "hair-pinning", debe usar configuraciones de 'Local Egress', aunque los servicios con estado como NAT o Load Balancing aún pueden estar anclados al clúster Edge de un sitio específico.

¿Cuál es el dimensionamiento mínimo para los Edge Nodes en una Federación?

Para entornos de producción multi-sitio, las VM Edge 'Large' (8 vCPU, 32 GB RAM) son las mínimas recomendadas para manejar la intensa sincronización y la sobrecarga de enrutamiento.

¿La Federación de NSX 4.2 reemplaza a Site Recovery Manager (SRM)?

La Federación NSX proporciona la conectividad de red y la persistencia de la política de seguridad, pero no orquesta las secuencias de encendido de VM ni la replicación de almacenamiento; para eso, todavía necesita SRM o una herramienta similar.

Diseño Multi-Sitio Avanzado de NSX 4.2: Evolución de Federación y Seguridad

En 2026, el networking multi-sitio ya no se trata de extender Layer 2 para satisfacer requisitos de "heartbeat" heredados; se trata de la sincronización programática de la postura de seguridad y los servicios con estado a través de dominios de falla. Con VMware NSX 4.2 (ahora parte del ciclo VCF 5.x/9.x), el cambio de "Global Manager como una ocurrencia tardía" a "Global Manager como la fuente de la verdad" está completo, y si todavía está construyendo Local Managers aislados con sincronización manual basada en scripts, está arquitectando deuda técnica en su nube privada.

La Evolución de la Federación NSX en 4.2

La Federación NSX ha madurado desde los primeros días de la versión 3.x de objetos "Global" con errores a un robusto motor de sincronización que trata múltiples sitios como un único fabric lógico. En NSX 4.2, el pivote arquitectónico se centra en la integración con vDefend (anteriormente NSX Distributed Firewall) y la capacidad de manejar una escala masiva a través de Global Managers (GM) y Local Managers (LM).

El diseño estándar para 2026 implica un par redundante de Global Managers, idealmente alojados en un clúster de gestión físicamente separado del plano de datos. El GM no se encuentra en la ruta de datos; es el orquestador del plano de control. Si su GM cae, su tráfico sigue moviéndose, pero su capacidad para actualizar la política de seguridad o cambiar el enrutamiento entre sitios desaparece. Recomendamos un clúster de GM de 3 nodos para alta disponibilidad, con 32 vCPUs y 128GB de RAM por nodo para manejar la sobrecarga de la telemetría de prevención de amenazas avanzadas de vDefend.

Diseño de Gateways Tier-0 y Tier-1: Estirados vs. Locales

La decisión más crítica en el diseño multi-sitio de NSX 4.2 es el punto de salida North-South. Tiene tres patrones principales, pero solo dos son viables para empresas de alto rendimiento:

Primary-Secondary Stretched T0: Un sitio está activo para todo el tráfico North-South. Si falla el Sitio A, BGP reconverge y el Sitio B toma el control. Esto es lo más simple de administrar, pero introduce un "tromboning" subóptimo para el tráfico de salida del Sitio B.
Active-Active Stretched T0 (All Primary): Introducido para resolver el problema de latencia, esto permite la entrada/salida en ambos sitios. Sin embargo, requiere una manipulación cuidadosa de BGP (AS-Path prepending o comunidades) para asegurar rutas de retorno simétricas.
Local Egress: El T0 es local para cada sitio, pero el T1 está estirado. Este es el estándar de oro para 2026.

# Example: Configuring BGP on a Stretched T0 via NSX CLI
set service bgp 65001
set neighbor 10.255.1.1 remote-as 65100
set neighbor 10.255.1.1 route-map PREPEND_OUT out
!
# Prepending at the secondary site to influence ingress
route-map PREPEND_OUT permit 10
 set as-path prepend 65001 65001 65001

BGP-EVPN y la Muerte de la Complejidad del VNI Estirado

NSX 4.2 ha mejorado significativamente la implementación de BGP-EVPN para multi-sitio. Si bien NSX utiliza encapsulación GENEVE internamente entre Transport Nodes (TEPs), la entrega al core físico (Cisco Nexus 9300 o Arista 7050X3) con frecuencia se basa en EVPN para mantener la multi-tenancy. En 4.2, vemos que el modo "Route Server" se convierte en el predeterminado para la Federación a gran escala. Esto permite que el Global Manager envíe configuraciones de Route Target (RT) y Route Distinguisher (RD) a los Local Managers sin una gestión manual de colisiones.

Al diseñar estos enlaces inter-sitio (ISL), no escatime en la MTU. Necesita un mínimo de 1700 bytes para tener en cuenta la sobrecarga de GENEVE (50 bytes) más cualquier etiquetado interno. Si está ejecutando sobre el MPLS o fibra oscura de un proveedor, y no pueden proporcionarle una MTU de 1700+, su rendimiento de NSX colapsará debido a la fragmentación.

Sincronización de Políticas de vDefend (NSX DFW)

La seguridad es el principal motor de la Federación NSX hoy en día. Con vDefend en 4.2, el Global Manager le permite definir "Global Security Groups" basados en Tags. Si una VM se mueve de Londres a Nueva York (a través de HCX o vMotion), el tag env:production la sigue, y las reglas de micro-segmentación se aplican localmente en los hosts vSphere de Nueva York de inmediato.

Una advertencia: las firmas de Distributed IDS/IPS (D-IDS/IPS) se gestionan a nivel de GM. En 4.2, la frecuencia de sincronización se ha ajustado a menos de 30 segundos para las actualizaciones de firmas en más de 16 sitios. Abogamos por un enfoque de política "Global-First". Defina sus reglas de "Ring-0" (Gestión, AD, NTP) y "Ring-1" (Producción, Desarrollo, Prueba) a nivel de GM. Solo las reglas específicas de la aplicación y únicas del sitio deben enviarse al Local Manager.

vSphere 8.0u3 + NSX 4.2: La Ventaja de la Aceleración por Hardware

Ejecutar NSX 4.2 en CPUs Broadwell o SkyLake heredadas es un desperdicio de ingresos por licencias. Para aprovechar todo el poder del sandboxing y NTA (Network Traffic Analysis) de vDefend, debe implementar en vSphere 8.0u3 con Data Processing Units (DPUs) como NVIDIA BlueField-2 o AMD Pensando. Esto descarga la encapsulación TEP y las búsquedas de DFW de los cores x86 a la DPU SmartNIC.

En un diseño multi-sitio, las DPUs le permiten mantener un throughput de línea de 100Gbps incluso cuando aplica una inspección profunda de paquetes (DPI) intensiva a través de segmentos estirados. Sin DPUs, espere una sobrecarga de CPU del 20-30% en sus hosts ESXi solo para el encap/decap de NSX en entornos de alta rotación.

Recuperación ante Desastres: SRM vs. Federación NSX

A menudo, los arquitectos confunden la Federación NSX con un orquestador de DR. La Federación proporciona la *fontanería* (disponibilidad de IP y política de seguridad), pero Site Recovery Manager (SRM) o VMware Live Cyber Recovery (VLCR) proporcionan la *automatización*. En 4.2, la integración es más estrecha; SRM ahora puede activar de forma nativa el "Global Manager Switchover" a través de API, promoviendo un GM en Standby a Activo si la región primaria es aniquilada.

Para más información sobre la integración de estas capas, consulte nuestra guía sobre vSphere 8 Networking Deep Dive. El objetivo es alcanzar un Recovery Time Objective (RTO) de minutos, no horas, lo cual solo es posible si la red ya está "precalentada" en el sitio secundario a través de la Federación.

Dimensionamiento y Escalado del Clúster Edge

No escatime en los Edge Nodes. Para una implementación multi-sitio 4.2, recomendamos el factor de forma de VM Edge Large o X-Large (8-16 vCPUs). Si está utilizando servicios con estado como NAT, Load Balancing (AVI) o VPN en un T1 estirado, esos servicios *deben* ejecutarse en los nodos Edge. En 4.2, el T1 "Active-Active Site-A/Site-B" proporciona salida local pero mantiene los servicios con estado anclados a un sitio primario. Comprenda que si su T1 está estirado y está utilizando un firewall con estado en él, su tráfico hará un "hair-pin" de vuelta al sitio donde reside la instancia "Activa" de ese T1.

Operacionalizando el Fabric

Monitorear un fabric NSX multi-sitio requiere más que solo vRealize Operations (Aria Operations). Necesita NSX Intelligence (ahora un servicio containerizado dentro del NSX Manager) para visualizar flujos entre sitios. En 4.2, NSX Intelligence puede abarcar la Federación, dándole una "God View" de cómo el tráfico se mueve de un servidor web en el Sitio A a una base de datos en el Sitio B. Si no está utilizando esto, está volando a ciegas en una interrupción localizada.

El costo de estas licencias (VCF Enterprise o NSX Advanced/Enterprise Plus) es significativo, a menudo superando los $5,000 por socket de CPU cuando se agrupan. No deje que esa inversión se eche a perder; asegúrese de que su equipo esté capacitado en los comandos CLI get logical-routers y get firewall threshold para solucionar problemas del plano de control cuando la GUI inevitablemente se retrase durante un evento de sincronización global.

Nuestro equipo en TechLeague se especializó en implementaciones de NSX de alta disponibilidad para empresas de Fortune 500. Si su diseño actual parece un desorden desorganizado de VLANs y reglas de firewall manuales, es hora de modernizar. Consulte nuestras opciones de consultoría y revisiones arquitectónicas en techleague.io.