Diseño de VMware NSX-T
VMware® NSX-T™ se ha diseñado para abordar las infraestructuras y las arquitecturas de la aplicación que tienen pilas de tecnología y puntos finales heterogéneos. Además de VMware vSphere®, estos entornos pueden incluir otros hipervisores, KVM, contenedores y servidores nativos. NSX-T está diseñado para abarcar una infraestructura de seguridad y red definida por software en plataformas distintas de la única e vSphere. Aunque es posible desplegar componentes de NSX-T sin que vSphere sea necesario, este diseño se centra en NSX-T y su integración principalmente dentro de un despliegue automatizado de vSphere de vCenter Server.
A partir de la versión 3, NSX-T puede ejecutarse en el conmutador virtual distribuido (VDS) de Cisco ( vSphere ) versión 7.0. Todas las nuevas implementaciones de VMware NSX y vSphere utilizan NSX-T en VDS, y ya no se utiliza N-VDS. Desde NSX-T 2.4, la máquina virtual del gestor y las funciones de máquina virtual del controlador se combinan. Como resultado, se despliegan tres máquinas virtuales de controlador o gestor. Si se encuentran en la misma subred, utilizan un equilibrador de carga de red interno. Si están en distintas subredes, se necesita un equilibrador de carga externo.
NSX-T ofrece muchas funciones avanzadas, como políticas de cortafuegos, inclusión de introspección de invitados dentro de las políticas de cortafuegos y seguimiento avanzado de flujo de red. La descripción de estas características va más allá del ámbito de este documento. En este diseño, la infraestructura de gestión de NSX-T se despliega durante el despliegue inicial del clúster de vCenter Server®. Para obtener más información sobre NSX-T, consulte la VMware NSX.
NSX-T frente a NSX-V
Para VMware vSphere Network NSX (NSX-V), revise los siguientes objetos NSX-T con funciones similares a sus homólogos NSX-V. También se analizan las limitaciones y diferencias dentro de un entorno de comercio electrónico ( vSphere ).
La siguiente tabla muestra las funciones correspondientes típicas entre NSX-T y NSX-V.
| NSX-V o vSphere nativo | NSX-T |
|---|---|
| Zona de transporte de NSX | Zona de transporte (superposición o soporte VLAN) |
| **Grupos de puertos (vDS) ** | Segmentos o conmutador lógico |
| VXLAN (encapsulación L2) | GENEVE (encapsulación L2) |
| Edge Gateway | Pasarela de Nivel-0 (T0) [1] |
| Direccionador lógico distribuido | Pasarela de Nivel-1 (T1) [2] |
| Servidor ESXi | Nodo de transporte (ESXi, KVM, Pasarela T0 nativa) |
Con NSX-T, tiene pasarelas de nivel 0 (T0) y pasarelas de nivel 1 (T1). Mientras que en la sección anterior se muestran como equivalentes una pasarela de servicios de extremo de NSX-V (ESG) y un direccionador lógico distribuido (DLR), esto no es del todo exacto.
Para NSX-T, se incorporan dos nuevos conceptos: direccionador distribuido (Distributed Router, DR) y direccionador de servicios (Service Router, SR).
| Tipo de direccionador | Prestaciones |
|---|---|
| Direccionador distribuido | Proporciona el reenvío básico de paquetes y las funciones de direccionamiento este-oeste distribuidas Abarca todos los nodos de transporte En ESXi se ejecuta como módulo de kernel |
| Direccionador de servicio |
Proporciona servicios de pasarela
|
Algunos conceptos clave de NSX-T no corresponden a las funciones de NSX-V. Debe consultar los conceptos siguientes para comprender la implementación del diseño de NSX-T.
- Un clúster de puerta de enlace es una o más máquinas virtuales o físicas que participan en una estructura virtual NSX-T. Son puntos finales para las zonas de transporte de la red superpuesta y zonas de transporte respaldadas por VLAN. Un clúster de puerta de enlace puede admitir una única instancia de puerta de enlace T0.
- Una pasarela T0 es una instancia de direccionador virtual, pero no una VM. Dentro de un clúster de pasarelas pueden ejecutarse varias instancias de pasarela de T0, cada una con su propia tabla de enrutamiento y funciones. Debe existir un clúster de puerta de enlace antes de poder crear una instancia de enrutador de T0.
- Una zona de transporte puede abarcar puntos finales de distintas plataformas y varias instancias de vSphere vCenter. No se necesita ningún NSX enlazado a través de vCenter. Las zonas de transporte se pueden excluir de puntos finales específicos.
- El orden de migración tras error de enlace ascendente se crea independientemente del conmutador lógico concreto, ya que se crean en perfiles como "Perfiles de enlace ascendente" y se aplican a un conmutador lógico concreto basado en VLAN. Es posible que se necesite un orden de migración tras error distinto o un equilibrio de carga de enlaces ascendentes físicos distinto para la misma VLAN. Por lo tanto, el perfil de enlace ascendente para una VLAN concreta puede contener varias entradas para «Teaming» con un orden de conmutación por error y un equilibrio de carga diferentes. Cuando se asigna el perfil de enlace ascendente a un conmutador lógico, se elige el perfil de agrupación específico.
- Se combinan la máquina virtual del gestor y la función de máquina virtual del controlador, con el resultado de que se despliegan tres VM de gestión de NSX-T. Si se encuentran en la misma subred, utilizan un equilibrador de carga de red interno. Si están en distintas subredes, se necesita un equilibrador de carga externo.
Requisitos de recursos
En este diseño, las VM del gestor de controladores NSX-T se despliegan en el clúster de gestión. Además, a cada gestor de controladores se le asigna una dirección IP respaldada por VLAN desde el bloque de direcciones portátiles privadas. El bloque de direcciones se designa para los componentes de gestión y se configura con los servidores DNS y NTP que se describen en la sección 0. En la siguiente tabla se muestra un resumen de la instalación de NSX Manager.
| Atributo | Especificación |
|---|---|
| Gestores o controladores de NSX | Tres dispositivos virtuales |
| Número de vCPU | 6 |
| Memoria | 24 GB |
| Disco | 300 GB |
| Tipo de disco | Aprovisionamiento ligero |
| Red privada A | Privada A |
En la figura siguiente se muestra la ubicación de los gestores NSX en relación con otros componentes de esta arquitectura.
![Visión general de la red NSX-T "){: caption="general de la red ](../../images/nsx-t-3-ra-diagrams-overview-vcs-v7-t3.svg "ManagerVisión " caption-side="bottom"} de la red NSX-T Manager
Consideraciones sobre el despliegue
Con NSX-T v3.x en vSphere VDS switch version 7.0, N-VDS ya no es necesario en los hosts ESXi. Cuando se configura como nodos de transporte, puede utilizar la versión 7 VDS, lo que convierte el clúster consolidado en un diseño más óptimo.
Después del despliegue inicial, la automatización de IBM Cloud® despliega tres dispositivos virtuales NSX-T Manager dentro del clúster de gestión. Se asigna a los controladores una dirección IP respaldada por VLAN desde la subred portátil privada A que está destinada a los componentes de gestión. Además, se crean reglas de antiafinidad de VM-VM de modo que los controladores quedan separados entre los hosts del clúster.
Debe desplegar el clúster de gestión con un mínimo de tres nodos para garantizar una alta disponibilidad para los gestores o controladores. Además de los gestores, la automatización de IBM Cloud prepara el clúster de carga de trabajo desplegado como nodos de transporte NSX-T. A los nodos de transporte ESXi se les asigna una dirección IP respaldada por VLAN desde el rango de direcciones IP portátil Private A especificado por una agrupación de IP de NSX que se obtiene a partir de la VLAN y del resumen de subred. El tráfico del nodo de transporte reside en la VLAN sin etiquetar y se asigna al VDS NSX-T privado.
Dependiendo de la topología de NSX-T que elija, puede implementar un clúster de puerta de enlace NSX-T como un par de máquinas virtuales o como software implementado en nodos de clúster de hardware. Los extremos nativos no reciben soporte de la automatización de IBM Cloud y se deben desplegar y configurar manualmente. Independientemente de si el par de clústeres es virtual o físico, los enlaces ascendentes se configuran en conmutadores VDS para redes públicas y privadas (si las hay) de IBM Cloud.
En la tabla siguiente se resumen los requisitos de un entorno de tamaño medio, que es el tamaño de inicio recomendado para cargas de trabajo de producción.
| Recursos | Gestor x3 | Clúster de servicios periférico x4 |
|---|---|---|
| Tamaño medio | Dispositivo virtual | Dispositivo virtual |
| Número de vCPU | 6 | 4 |
| Memoria | 24 GB | 8 GB |
| Disco | 300 GB de vSAN o NFS de gestión | 200 GB de vSAN o NFS de gestión |
| Tipo de disco | Aprovisionamiento ligero | Aprovisionamiento ligero |
| Red | Privada A | Privada A |
Diseño de conmutadores distribuidos
El diseño utiliza un número mínimo de conmutadores de vDS. Los hosts del clúster de gestión están conectados a las redes privadas y (opcionalmente) públicas. Los hosts se configuran con dos conmutadores virtuales distribuidos. El uso de dos conmutadores sigue la práctica de la red de IBM Cloud que separa las redes públicas y privadas. Todos los nuevos despliegues de NSX y vSphere aprovechan la ejecución del conmutador vSphere VDS versión 7.0., lo que permite una arquitectura NSX-T convergente.
Tal como se muestra en los diagramas anteriores, el vDS público *instancename*-*clustername*-public está configurado para la conectividad de red pública y el vDS público *instancename*-*clustername*-private está configurado
para la conectividad de red privada. Es necesario separar los distintos tipos de tráfico para reducir la contención y la latencia e incrementar la seguridad.
Las VLAN se utilizan para segmentar funciones de red física. Este diseño utiliza tres VLAN: dos para tráfico de red privada y una para tráfico de red pública. En la tabla siguiente se muestra la separación de tráfico.
| VLAN | Designación | Tipo de tráfico |
|---|---|---|
| VLAN 1 | Privada A | Gestión de ESXi, gestión, Geneve (TEP), enlaces ascendentes de extremo |
| VLAN 2 | Privada B | vSAN, NFS y vMotion |
| VLAN 3 | Público | Disponible para acceso a Internet |
Para los dos clústeres de pasarela de host opcionales, este diseño utiliza dos VLAN: una para tráfico de red privada y otra para tráfico de red pública. Este tipo de clúster utiliza discos locales como almacén de datos. Por lo tanto, no necesita separar el tráfico de almacenamiento. Además, según el diseño, el tráfico de NSX-T Geneve (TEP) se deja de lado. En la tabla siguiente se muestra la separación de tráfico entre VLAN para este tipo de clúster.
| VLAN | Designación | Tipo de tráfico |
|---|---|---|
| VLAN 1 | Tránsito privado | VLAN de tránsito privado, gestión de ESXi y vMotion |
| VLAN 2 | Tránsito público | VLAN de tránsito pública |
Convenios de denominación
Se utilizan los siguientes convenios de denominación para el despliegue. Para facilitar la legibilidad, solo se utiliza la denominación específica. Por ejemplo, instancename-dcname-clustername-tz-edge-private se conoce como tz-edge-private.
| Descripción | Estándar de denominación |
|---|---|
| VM de gestión | instancename-nsxt-ctrlmgr0instancename-nsxt-ctrlmgr1instancename-nsxt-ctrlmgr2 |
| Perfiles de enlace ascendente | instancename-esxi-private-profileinstancename-esxi-public-profileinstancename-edge-private-profileinstancename-edge-public-profileinstancename-edge-tep-profileinstancename-mgmt-edge-private-profileinstancename-mgmt-edge-public-profileinstancename-mgmt-edge-tep-profile |
| Perfiles de NIOC | instancename-clustername-nioc-private-profileinstancename-clustername-nioc-public-profile |
| Perfiles de clúster de puerta de enlace | instancename-dcname-clustername-service-edge-cluster-profileinstancename-dcname-clustername-service-edge-cluster-profile |
| Zonas de transporte | instancename-tz-esxi-privateinstancename-tz-esxi-publicinstancename-tz-vm-overlayinstancename-tz-edge-privateinstancename-tz-edge-public |
| Segmentos | instancename-podname.dcname-customer-t0-172-16-16-0instancename-podname.dcname-customer-t1-192-168-0-0instancename-podname.dcname-customer-t1-192-168-1-0instancename-podname.dcname-customer-to-privateinstancename-podname.dcname-customer-to-publicinstancename-podname.dcname-service-to-privateinstancename-podname.dcname-service-to-publicinstancename-clustername-edge-teps |
| Agrupaciones de direcciones IP | instancename-clustername-tep-pool |
| Perfiles de nodos de transporte | instancename-podname.dcname-clustername-esxi-tpn-profile |
| Pasarelas de nivel 0 y de nivel 1 | instancename-podname.dcname-clustername-T0-function (donde function incluye services, workload, openshift)instancename-podname.dcname-clustername-T1-function |
Nodos de transporte
Los nodos de transporte definen los objetos de servidor físico o las máquinas virtuales que participan en el entramado de red virtual. Revise la tabla siguiente para entender el diseño.
| Tipo de nodo de transporte | Perfil de enlace ascendente | Asignación de IP |
|---|---|---|
| ESXi | esxi-private-profileesxi-public-profile |
tep-pool |
| Clúster de pasarela | edge-private-profileedge-public-profileedge-tep-profilemgmt-edge-private-profilemgmt-edge-public-profilemgmt-edge-tep-profile |
tep-pool |
Perfiles de enlace ascendente y agrupación
Un perfil de enlace ascendente define políticas para los enlaces de los hosts de hipervisor a los conmutadores lógicos NSX-T o de los nodos de extremo NSX a los conmutadores sobre bastidor.
| Nombre de perfil de enlace ascendente | VLAN | Política de agrupación | Enlaces ascendentes activos | Enlaces en espera | MTU |
|---|---|---|---|---|---|
esxi-private-profile |
predeterminada | Valor predeterminado - Origen de equilibrador de carga | uplink-1 uplink-2 |
Gestionado por el servidor vCenter | |
esxi-private-profile |
predeterminada | TEP - Orden de migración tras error | uplink-1 | uplink-2 | Gestionado por el servidor vCenter |
esxi-public-profile |
predeterminada | Valor predeterminado - Origen de equilibrador de carga | uplink-1 uplink-2 |
Gestionado por el servidor vCenter | |
edge-private-profile |
predeterminada | uplink-1 | 9000 | ||
edge-public-profile |
predeterminada | uplink-1 | 1500 | ||
edge-tep-profile |
predeterminada | Orden de migración tras error | uplink-1 | 9000 | |
mgmt-edge-private-profile |
predeterminada | uplink-1 | 9000 | ||
mgmt-edge-public-profile |
predeterminada | uplink-1 | 1500 | ||
mgmt-edge-tep-profile |
predeterminada | Orden de migración tras error | uplink-1 | 9000 |
Agrupaciones VNI
Los identificadores de red virtual (VNI) son similares a las VLAN para una red física. Se crean automáticamente cuando se crea un conmutador lógico a partir de una agrupación o rango de ID. Este diseño utiliza la agrupación VNI predeterminada que se despliega con NSX-T.
Segmentos
Un segmento NSX-T reproduce funciones de conmutación, difusión, difusión única desconocida, tráfico de multidifusión (BUM), en un entorno virtual desacoplado del hardware subyacente.
| Nombre de segmento | VLAN | Zona de transporte | Política de agrupación de enlaces ascendentes |
|---|---|---|---|
edge-teps |
predeterminada | tz-esxi-private |
TEP - Orden de migración tras error |
service-to-private |
predeterminada | tz-edge-private |
|
service-to-public |
predeterminada | tz-edge-public |
|
customer-to-private |
predeterminada | tz-edge-private |
|
customer-to-public |
predeterminada | tz-edge-public |
|
customer-t0-172-16-16-0 |
tz-vm-overlay |
||
customer-t1-192-168-0-0 |
tz-vm-overlay |
||
customer-t1-192-168-1-0 |
tz-vm-overlay |
Clúster de pasarela
Dentro de este diseño, se suministran dos clústeres de nodos de extremo virtual, uno para gestión y otro para cargas de trabajo de cliente. Existe una limitación de un T0 por nodo de transporte de extremo, lo que significa que un clúster de nodo de extremo único puede dar soporte a una pasarela T0 (de tipo activo-en espera o activo-activo).
Las siguientes figuras muestran los componentes funcionales de un clúster de puertas de enlace NSX-T.
![Topología de clúster de puerta de enlace*Topología de clúster de](../../images/nsx-t-3-ra-diagrams-management-edge-cluster-t0.svg "de " caption-side="bottom"} de clúster de puerta de "){: caption="
Pasarela lógica de nivel 0
Una pasarela lógica de nivel 0 de NSX-T proporciona un servicio de pasarela entre las redes lógicas y físicas (para tráfico de norte-sur). En este diseño, se implementan dos gateways de alta disponibilidad ( T0 ) en dos clústeres de gateways NSX-T independientes, uno para el cliente y otro para servicios o necesidades de gestión. Más servicios y productos son opcionales para las topologías elegidas por el cliente y utilizan los servicios T0 para sus necesidades de conectividad de entrada o salida. Cada pasarela lógica T0 se configura con dos enlaces ascendentes para el tráfico privado y dos para el público. Además, las VIP se asignan a enlaces ascendentes tanto públicos como privados.
Pasarela lógica de nivel 1
Una pasarela lógica de nivel 1 NSX-T tiene puertos de enlace descendente para conectar con los conmutadores lógicos del centro de datos NSX-T y puertos de enlace ascendente para conectar únicamente con pasarelas lógicas de nivel 0 del centro de datos NSX-T. Se ejecutan en el nivel del núcleo del hipervisor para el que están configurados, y son instancias de enrutador virtual (vrf) del clúster de puerta de enlace NSX-T. En este diseño, se pueden crear una o más puertas lógicas e T1 es para las necesidades de las topologías elegidas por el cliente.
Anuncio de rutas de nivel 1 a nivel 0
Para proporcionar conectividad de capa 3 entre las VM conectadas a conmutadores lógicos que están conectados a distintas pasarelas lógicas de nivel 1, es necesario habilitar el anuncio de ruta de tier-1 hacia el nivel 0. No es necesario configurar un protocolo de direccionamiento ni rutas estáticas entre los direccionadores lógicos de nivel 1 y de nivel 0. NSX-T crea rutas estáticas automáticamente cuando se habilita el anuncio de rutas. Para este diseño, el anuncio de ruta siempre está habilitado para las pasarelas T1 creadas por la automatización de IBM Cloud® for VMware Solutions.
Topologías preconfiguradas
Carga de trabajo a T1 a T0 gateway – clúster de gateway virtual
La topología 1 es básicamente la misma topología que ha desplegado con las pasarelas de extremo y DLR de NSX-V. Con NSX-T, no hay ninguna configuración de protocolo de direccionamiento dinámico entre T1 y T0. El espacio de direcciones IP RFC-1891 se utiliza para la red de superposición de carga de trabajo y la red de superposición de tránsito. Se asigna un espacio de IP portátil público y privado de cliente para uso del cliente. Se asigna un espacio de IP portátil público y privado de IBM Cloud designado por el cliente al nivel 0 para uso del cliente.
-
Una pasarela de pago ( T0 ) es similar a un ESG. Proporciona conectividad norte-sur entre redes físicas y lógicas, admite direccionamiento dinámico (BGP), ECMP y servicios con estado como, por ejemplo, Cortafuegos, NAT y Equilibrio de carga. También proporciona servicios distribuidos para el direccionamiento este-oeste. ↩︎
-
Una puerta de enlace e T1, es como una puerta de enlace e T0, pero normalmente no contiene enlaces ascendentes para conectarse a una red física. Su enlace ascendente lo conecta a un segmento de superposición conectado automáticamente con la pasarela T0. T1 admite rutas estáticas, NAT, Equilibrio de carga y VPN IPSec. ↩︎