Patrones de arquitectura para desplegar un router de terceros en una instancia VMware Cloud Foundation for Classic - Automated
En VMware Cloud Foundation for Classic - Automated instancia en IBM Cloud® infraestructura clásica, sus cargas de trabajo se despliegan y ejecutan en VMware redes superpuestas NSX™. Como parte del despliegue, la automatización despliega una topología NSX de ejemplo. Puede utilizar los ejemplos suministrados como base o crear sus propias topologías en superposición. Estas redes superpuestas no se anuncian automáticamente en la red de infraestructura clásica de IBM Cloud.
VMware Cloud Foundation for Classic - Automated instance is deployed at IBM Cloud classic infrastructure. De forma predeterminada, se despliegan dos VLAN privadas de IBM Cloud y una VLAN pública de IBM Cloud (opcional). Además de las VLAN, NSX T0 Gateway se despliega en ellas con dos interfaces, a privada y a pública (opcional). Si opta por una pública, la interfaz de enlace ascendente pública se adjunta a su VLAN pública y tiene acceso directo a Internet. La interfaz privada de T0está conectada a la VLAN privada y utiliza IP privada portátil de IBM Cloud.
Los patrones de arquitectura proporcionan una introducción a los patrones de conectividad para integrar un direccionador de terceros, un cortafuegos u otro dispositivo de red. Se ejecutan como un dispositivo virtual en VMware con la instancia estándar basada en NSX VMware Cloud Foundation for Classic - Automated.
Implantación de un enrutador de terceros en un clúster de pasarelas
Cuando despliega una instancia VMware Cloud Foundation for Classic - Automated en su infraestructura clásica IBM Cloud, puede desplegar opcionalmente un clúster de puerta de enlace. Este clúster puede alojar un direccionador o un cortafuegos de terceros. Puede controlar qué VLAN se enrutan a través del router o cortafuegos que se está ejecutando en él.
El clúster de puerta de enlace no debe mezclarse con el clúster de borde NSX, que consta de nodos de transporte de borde NSX. El cluster de gateways proporciona capacidad de computación para routers o firewalls de terceros, y el enrutamiento VLAN puede ser controlado por la configuración del dispositivo gateway en IBM Cloud red clásica.
El despliegue de este patrón de arquitectura se resume de la siguiente manera:
- Opcionalmente, puede desplegar un clúster de puerta de enlace para alojar su propio dispositivo de enrutamiento o cortafuegos. Este clúster está conectado a las redes privadas y públicas de IBM Cloud a través de las redes de tránsito.
- El dispositivo de terceros puede direccionar las VLAN asignadas a través de él. Puede elegir las VLAN que se direccionarán a través de él en el portal de IBM Cloud. Debe configurar las interfaces VLAN y las direcciones IP necesarias para los dispositivos, así como las zonas, reglas y políticas del cortafuegos.
- Si enruta su VLAN de gestión a través del cortafuegos, también podrá proteger sus cargas de trabajo de gestión, como vCenter y los gestores de NSX. Asegúrese de permitir el tráfico para la gestión.
- La carga de trabajo T0 está conectada a la red privada de IBM Cloud. Si direcciona esta VLAN a través del cortafuegos, añada las reglas necesarias tanto en el cortafuegos como en T0.
- La carga de trabajo T0 está conectada a la red pública de IBM Cloud. Si direcciona esta VLAN a través del cortafuegos, añada las reglas necesarias tanto en el cortafuegos como en T0.
- Si necesita personalizar el comportamiento del enrutamiento o establecer un enrutamiento dinámico entre su T0 y el dispositivo de terceros, modifique las rutas que despliega la automatización.
Implantación de un router o cortafuegos de terceros en clústeres convergentes o de gestión
Cuando despliega una instancia VMware Cloud Foundation for Classic - Automated en su infraestructura clásica IBM Cloud, puede desplegar opcionalmente un vSRX de Juniper o alojar un router o cortafuegos de terceros en los clústeres convergentes o de gestión. Puede integrar el cortafuegos con su topología de superposición de múltiples formas, utilizando la superposición VLAN o NSX, si su cortafuegos lo admite.
En este patrón, no puede controlar qué VLAN se enrutan a través del enrutador o cortafuegos que se ejecuta en el cortafuegos.
El despliegue de este patrón de arquitectura se resume de la siguiente manera:
- En función de la selección de preferencias de red, su instancia VMware Cloud Foundation for Classic - Automated se despliega con conectividad pública y privada o sólo con conectividad privada.
- Opcionalmente, puede implementar un clúster de puerta de enlace para alojar Juniper vSRX o su propio dispositivo de enrutamiento o cortafuegos. En este caso, puede colocar VLAN públicas y privadas detrás del cortafuegos.
- Puede desplegar dispositivos de red de terceros en clústeres de vCenter Server llevando su propia licencia y siguiendo la guía de hardware y software suministrada por el proveedor específico de terceros. Comente los detalles técnicos con el proveedor.
- Puede integrar el dispositivo de red de terceros o un direccionador utilizando la inserción del servicio. Con la inserción de servicios, puede aplicar servicios de terceros al tráfico norte-sur y al tráfico este-oeste que pasa por un router. Los servicios suelen proporcionar características de seguridad avanzadas, como un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS).
- Cuando se utiliza la inserción de servicios y después se despliega una instancia de servicio, se puede configurar el tipo de tráfico que el enrutador redirige al servicio. La configuración de redirección de tráfico es similar a la configuración de un cortafuegos.
- Como alternativa, puede añadir el dispositivo a la ruta de tráfico norte-sur y personalizar la topología del cliente NSX. Póngase en contacto con el proveedor de terceros para discutir la topología de red deseada, por ejemplo, la modalidad de direccionador frente a la transparente.
El diagrama siguiente presenta la topología de direccionamiento y el direccionamiento para este patrón.
El despliegue de este patrón de arquitectura se resume de la siguiente manera:
- Puede desplegar dispositivos de red de terceros en clústeres de vCenter Server llevando su propia licencia y siguiendo la guía de hardware y software suministrada por el proveedor específico de terceros. Comente los detalles técnicos con el proveedor.
- Puede conectar la interfaz privada del dispositivo a la red privada de IBM Cloud utilizando la VLAN privada de IBM Cloud. Puede utilizar las direcciones IP portátiles privadas de IBM Cloud para el dispositivo.
- Puede conectar la interfaz pública del dispositivo a la red pública de IBM Cloud. Puede utilizar las direcciones IP portátiles públicas de IBM Cloud para el dispositivo.
- Puede eliminar o inhabilitar los enlaces ascendentes públicos en T0. Si lo hace, eliminará también la ruta predeterminada.
- Cree un segmento superpuesto NSX para una red de tránsito entre el T0 y el dispositivo de terceros. Añada el enlace ascendente T0 y una interfaz en el dispositivo de terceros y establezca un direccionamiento estático o dinámico entre ellos.
- Añada la red privada, predeterminada de IBM Cloud y de IBM Cloud a las definiciones de direccionamiento de dispositivos en función de sus necesidades de comunicaciones.
- Si es necesario, puede reasignar más IP de la subred portátil pública o solicitar nuevas subredes estáticas públicas para su superposición. En el caso de las subredes estáticas públicas, solicítelas con un VIP del dispositivo de terceros para atender situaciones de anomalía.
Consideraciones
Cuando diseñe o despliegue este patrón de arquitectura, tenga en cuenta los pasos siguientes:
- Consulte las especificaciones de hardware y software específicas de proveedores externos para la interoperabilidad con VMware ESXi™ y NSX.
- Este enfoque admite BYOL solamente para la licencia de soluciones de terceros. Póngase en contacto con el proveedor para obtener detalles de la licencia.