Patrón de arquitectura para usar IPsec sobre Direct Link con un servidor NSX ( vCenter ) con instancia NSX
Por VMware Cloud Foundation for Classic - Automated instancia en una infraestructura clásica de IBM Cloud®, sus cargas de trabajo se implementan y ejecutan en redes de superposición NSX™ de VMware. Como parte de la implementación, la automatización implementa una topología NSX de ejemplo. Puede utilizar los ejemplos suministrados como base o crear sus propias topologías en superposición. Estas redes superpuestas no se anuncian automáticamente en la red de infraestructura clásica de IBM Cloud.
Este patrón de arquitectura presenta una conectividad privada para VMware Cloud Foundation for Classic - Automated que utiliza IBM Cloud Direct Link y tunneling. Esta solución es aplicable para la instancia VCF for Classic - Automated basada en SNX, que se aprovisiona en IBM Cloud infraestructura clásica. Puede utilizar Gateway Appliance o vCenter. Como parte de la solución, se puede optar por un clúster de puerta de enlace de servidor con Juniper® vSRX u otro dispositivo.
El túnel se establece entre el NSX T0 y un router del cliente enrutable a través de Direct Link. Si se utiliza un dispositivo vSRX u otro dispositivo de terceros en un clúster de pasarela, también puede finalizar el túnel en estos dispositivos. En este caso, NSX T0 anuncia rutas en el vSRX (u otro dispositivo de terceros) a través de BGP o rutas estáticas.
Implementación de IPsec sobre Direct Link con vCenter Server y NSX
El siguiente diagrama presenta una visión general de un patrón de arquitectura para implementar IPsec sobre Direct Link con un servidor vCenter y NSX.
El despliegue de este patrón de arquitectura se resume de la siguiente manera:
- VCF for Classic - Automated ejemplo se implementa en la infraestructura clásica de IBM Cloud. Se despliegan dos VLAN privadas de IBM Cloud y una VLAN pública de IBM Cloud (opcional). Cada uno de estas VLAN aloja múltiples subredes. Puede ver los detalles en el portal de IBM Cloud for VMware Solutions.
- NSX T0 se implementa con dos interfaces: privada y pública (opcional). Si opta por una interfaz pública, esta interfaz está conectada a su VLAN pública y tiene acceso directo a Internet. La interfaz privada de su T0 está conectada a la VLAN privada y utiliza IP privada portátil de IBM Cloud.
- Si se implementa un clúster de puerta de enlace de servidor de vCenter con vSRX (u otro dispositivo de terceros) o IBM Cloud Gateway Appliance en su infraestructura clásica, debe configurar la VLAN principal privada de su instancia de VCF for Classic - Automated. Debe direccionarse a través del dispositivo vSRX o Gateway. Además, establezca rutas entre su NSX T0 y vSRX,, como BGP.
- Cree un Direct Link en el centro de datos de IBM Cloud o en la ubicación de la zona y conecte la red clásica como una conexión. Todas sus redes clásicas de la región se anuncian con la opción de enrutamiento local (o bien, todo con la opción Global).
- Configure una conexión IPsec basada en políticas o rutas entre el direccionador de cliente a vSRX o la IP privada de Gateway Appliance (IBM Cloud privada portátil). Asegúrese de que su T0, vSRX o Gateway Appliance tiene una ruta a este punto final de túnel. La MTU grande está soportada en la red privada IBM Cloud y en Direct Link.
- Puede intercambiar rutas a través de BGP o estática entre la superposición y el direccionador de cliente local a través del túnel.
- Puede conectar cualquier otra conexión VPC necesaria a Direct Link, por ejemplo, VPCs. El diseño de asignación de direcciones IP de su VPC debe garantizar que no se superponga con la red clásica adjunta ni con las redes de superposición NSX.
Direct Link no proporciona conectividad directa entre la VPC y la clásica. Pero, dependiendo de su configuración de direccionamiento, es posible realizar una conexión entre nodos en el direccionador del cliente. Una alternativa es utilizar la pasarela de tránsito para este caso de uso.
Consideraciones
Cuando diseñe o despliegue este patrón de arquitectura, tenga en cuenta los pasos siguientes:
- Se recomienda una VPN IPsec basada en rutas para el enrutamiento dinámico.
- Los túneles IPsec también se pueden terminar en pasarelas de Nivel-1. En este caso, solo se admiten VPN basadas en políticas. Asimismo, asegúrese de que el punto final de VPN es conocido y se direcciona en la red clásica de IBM Cloud (por
ejemplo, utilice un
/32de la subred portátil privada para el punto final de VPN T1).