VMware NSX 1つ以上のVXLANでの不明なユニキャストフラッディングでパフォーマンスが低下するという事象があるようです。
情報元はこちら
Intermittent Packet loss on VXLAN network in NSX (52530)
https://kb.vmware.com/s/article/52530
症状
・1つ以上のVXLANでの不明なユニキャストフラッディングにより、パフォーマンスが低下します。
・VXLANネットワークでの断続的なパケット損失。
・net-vdl2 -lコマンドを実行すると、問題のあるVNIで学習された1024個のMACアドレスが表示されます。
VXLAN network: 5000
Multicast IP: N/A (headend replication)
Control plane: Enabled (multicast proxy,ARP proxy)
Controller: 10.0.0.1 (up)
MAC entry count: 1024 -- MAX Mac limit of 1024 Reached.
ARP entry count: 0
Port count: 2
VNIのVDL2カウンターは、値が増加する「mac.update.full」カウンターを表示します。
net-vdl2 -S -s TENANT_VTEP -n 8007
mac.lookup.flood:58193648
mac.lookup.full:3356910
mac.update.learn:0
mac.update.extend:0
mac.update.full:439420396 <---------このカウンターは増加し続けます。
原因
この問題は、以前のバージョンのNSX forvSphereのVNI /ホストあたりの最大MACアドレス制限が1024であったために発生しました。この制限を超えると、宛先MACアドレスのトラフィックがVNI全体にフラッディングし、パフォーマンスが低下しました。
注:Macアドレスの学習は、ESXiホスト上の仮想マシンが通信していない場合でも、ESXiホスト上の特定のVNIで受信されたブロードキャスト/不明なユニキャストまたはマルチキャストトラフィックがある場合に発生します。1024MACアドレスの最大制限はVNI /ホストごとです。
DLR ARP解決プロセスの一部として、DLRはARPプロキシメカニズムを使用します。これにより、ESXiホストはトランスポートゾーンで準備された他のESXiホストのDLRpMACアドレスを学習する可能性があります。
これらのMACアドレスはVMに使用されるのと同じMACテーブルに格納されるため、VNIごとのホストごとのVM MACアドレスの最大数は実際には1024未満になります。
これにより、MACエントリ数が1024であるのに、その数が1024になる理由が説明できます。VMMACアドレスの数が少なくなっています。
DLR ARP抑制機能は、DLRARPトラフィックを削減できます。ホストが学習するDLRpMACアドレスの数を減らすことで、より多くのVMMACアドレスを学習できるようになります。
DLR ARP Suppressionは、NSX6.4.0で完全に機能します。NSXの以前のリリースについては、回避策のセクションを参照してください。
NSX forvSphereバージョン6.4.0 / 6.3.6以降のバージョンでは、ホストごとのVNIごとの最大MACカウントが1024から2048に増加しました。
回避策
この問題を回避するには、VXLANセグメントごとに1024MACエントリの制限でVXLANネットワークをセグメント化します。
DLR ARP抑制の回避策も検討できます。詳細については、NSXで期待されるようにDLRARPトラフィックが抑制されないを参照してください 。
https://kb.vmware.com/s/article/51709