Conectividad privada desplegada por la automatización

Cuando despliega una instancia de VCF for Classic - Automated en su infraestructura clásica de IBM Cloud, obtiene la topología de red privada predeterminada que se presenta en el siguiente diagrama.

En la siguiente lista se resume el patrón de conectividad privada.

1. La automatización implementa una puerta de enlace de nivel 0 T0 ) de NSX en el clúster de borde de carga de trabajo de NSX. La pasarela T0 proporciona conectividad a la red privada de IBM Cloud.
2. La pasarela T0 desplegada tiene una ruta a la red privada de IBM Cloud10.0.0.0/8 y a las redes de IBM Cloud Services 166.8.0.0/14 y 161.26.0.0/16 con BCR como próximo salto.
3. La automatización despliega una topología de superposición NSX de ejemplo con una puerta de enlace de nivel 1 T1 ) y algunos segmentos de ejemplo conectados a las puertas de enlace T1 y T0. Puede personalizar la topología de acuerdo con sus necesidades.
4. Se puede acceder a IBM Cloud Services a través de la red privada de IBM Cloud utilizando los puntos finales de Servicios en la nube cuando utiliza direcciones de red privadas de IBM Cloud.
5. Cuando utilice BYOIP en redes superpuestas NSX, debe utilizar SNAT en T0 o T1. Si utiliza SNAT en T1, puede anunciar las direcciones IP de NAT de T1 a T0, donde se utiliza el proxy ARP.
6. Puede crear reglas DNAT en la pasarela T0 para acceder a las cargas de trabajo desde las redes privadas de IBM Cloud.
7. Puede utilizar direcciones IP de la subred portátil privada IBM Cloud implementada para los enlaces ascendentes de NSX Edge para la NAT. Alternativamente, puede pedir IBM Cloud Subredes estáticas privadas que se enrutan hacia el VIP privado de alta disponibilidad (HA) de su T0 para ser utilizadas para NAT-ing o en segmentos.

Conectividad privada de entrada

La conectividad de entrada privada a la superposición NSX se habilita a través de NAT o mediante el uso de túneles de superposición. Puede utilizar direcciones IP en la subred portátil privada que se suministra para los enlaces ascendentes privados de T0 para estos casos de uso.

En los pasos siguientes se resume este despliegue de patrón de arquitectura.

1. La automatización despliega una puerta de enlace NSX T0 en el clúster de borde de carga de trabajo NSX. La pasarela T0 proporciona conectividad a la red privada de IBM Cloud.

2. La automatización despliega una topología de superposición NSX de ejemplo con un Gateway T1 y algunos segmentos de ejemplo conectados a los Gateways T1 y T0. Puede personalizar la topología de acuerdo con sus necesidades.

3. La pasarela de la carga de trabajo T0 tiene un enlace ascendente privado que está conectado a la VLAN privada de IBM Cloud con tres direcciones IP, dos para los enlaces ascendentes en el borde 1 y el borde 2 y uno para HA VIP. Las interfaces se configuran con la máscara de red de la subred portátil privada.

   El enlace ascendente NSX T0 no admite direcciones IP secundarias.

4. Puede configurar reglas DNAT en T0 o T1 para el acceso de entrada, o SNAT para el acceso de salida desde la superposición NSX utilizando las direcciones IP de la subred portátil privada configurada en los enlaces ascendentes T0. También puede configurar VIP de equilibrador de carga, IPsec o L2 VPN. Cada uno de ellos se anuncia como direcciones IP de host de /32. Debe habilitar los anuncios de rutas en las pasarelas T1 para que T0 tome nota de estas direcciones IP y deben aparecer en la tabla de direccionamiento de T0s.

5. La pasarela T0 utiliza ARP proxy en la subred de enlace ascendente para cada dirección IP de /32 que conoce (es decir, que existe en su tabla de direccionamiento). BCR puede direccionar el tráfico de entrada únicamente a estas direcciones IP. Para comprobar la tabla de enrutamiento de T0, utilice la interfaz gráfica de usuario de NSX o inicie sesión en el nodo de borde NSX y su VRF de enrutador de servicio (SR) T0. Con IBM Cloud Subredes estáticas privadas, toda la subred se enruta a la superposición.

Conectividad privada de entrada con clúster de pasarelas

La conectividad de entrada privada a la superposición NSX se habilita a través de NAT o mediante el uso de túneles de superposición. Puede utilizar direcciones IP en la subred portátil privada que se suministra para los enlaces ascendentes privados de T0 para estos casos de uso. Con vSRX de Juniper ejecutándose en el clúster de puerta de enlace, puede enrutar alternativamente direcciones IP portátiles a la T0 HA VIP y utilizar las subredes IP portátiles en la superposición.

En la siguiente lista se resume este despliegue de patrón de arquitectura.

1. La automatización despliega una puerta de enlace NSX T0 en el clúster de borde de carga de trabajo NSX. La pasarela T0 proporciona conectividad a la red privada de IBM Cloud. Con el clúster de pasarela, esta VLAN de enlace ascendente puede enrutarse a través del cortafuegos, por ejemplo Juniper vSRX.

2. La automatización despliega una topología de superposición NSX de ejemplo con un Gateway T1 y algunos segmentos de ejemplo conectados a los Gateways T1 y T0. Puede personalizar la topología de acuerdo con sus necesidades.

3. La pasarela de la carga de trabajo T0 tiene un enlace ascendente privado que está conectado a la VLAN privada de IBM Cloud con tres direcciones IP, dos para los enlaces ascendentes en el borde 1 y el borde 2 y uno para HA VIP. Las interfaces se configuran con la máscara de red de la subred portátil privada.

   El enlace ascendente NSX T0 no admite direcciones IP secundarias.

4. Cuando se solicita una subred portátil privada de una VLAN privada que está direccionada por vSRX, BCR direcciona esta subred a vSRX a través de su VLAN de tránsito.

5. En lugar de configurar la subred como dirección IP secundaria en la interfaz en vSRX, puede enrutar esta subred al VIP de HA de NSX T0.

6. A continuación, puede utilizar esta subred en segmentos o direcciones IP específicas de ella para reglas NAT, VIPs del equilibrador de carga o puntos finales de VPN.

Conectividad privada a través de un enlace directo

La conectividad privada para vCenter Server puede utilizar IBM Cloud Direct Link y la ejecución en túnel. Esta solución es aplicable para la instancia VCF for Classic - Automated basada en SNX, que se aprovisiona en IBM Cloud infraestructura clásica. Puede utilizar Gateway Appliance o vCenter Server gateway cluster con Juniper vSRX u otro dispositivo como parte de la solución como opción.

El túnel se establece entre NSX T0 y un enrutador de cliente enrutable a través de Direct Link. Si se utiliza vSRX u otro dispositivo de terceros en un clúster de gateways, también puede terminar el túnel en estos dispositivos. En este caso, NSX T0 anuncia las rutas en el vSRX (u otro dispositivo de terceros) mediante BGP o rutas estáticas.

Para obtener más información sobre este patrón de arquitectura, consulte Patrón de arquitectura para utilizar IPsec sobre Direct Link con una instancia de vCenter Server con NSX.

Conectividad privada a través de la pasarela de tránsito

La conectividad de nube híbrida se puede establecer utilizando IBM Cloud® Transit Gateway. Esta solución es aplicable a la instancia VCF for Classic - Automated basada en NSX, que se aprovisiona en la infraestructura clásica de IBM Cloud. Este patrón requiere un gateway appliance o gateway cluster con Juniper vSRX u otro dispositivo de terceros, que soporte GRE. En esta solución, se establece un túnel GRE entre este dispositivo y Transit GW Router en una Zona específica. NSX T0 anuncia rutas a través de vSRX (u otro dispositivo) a Transit Gateway.

Para obtener más información sobre este patrón de arquitectura, consulte Patrón de arquitectura para utilizar Transit Gateway con una instancia de vCenter Server con NSX.

Enlaces relacionados

• Visión general de VMware vSphere
• Diseño de VMware NSX