Modèles d'architecture pour le déploiement d'un routeur tiers sur une instance VMware Cloud Foundation for Classic - Automated
Sur l'instance VMware Cloud Foundation for Classic - Automated de l'infrastructure classique IBM Cloud®, vos charges de travail sont déployées et exécutées sur les réseaux superposés VMware NSX™. Dans le cadre du déploiement, l'automatisation déploie un exemple de topologie NSX. Vous pouvez utiliser les exemples mis à disposition comme base ou créer vos propres topologies superposées. Ces réseaux de superposition ne sont pas automatiquement annoncés au réseau d'infrastructure classique IBM Cloud.
l'instance VMware Cloud Foundation for Classic - Automated est déployée dans l'infrastructure classique IBM Cloud Par défaut, deux réseaux locaux virtuels privés IBM Cloud et un réseau local virtuel IBM Cloud public (facultatif) sont déployés. En plus des VLANs, NSX T0 Gateway est déployé sur ceux-ci avec deux interfaces, vers le privé et vers le public (optionnel). Si vous optez pour une option publique, l'interface de liaison montante publique est connectée à votre réseau local virtuel public et dispose d'un accès Internet direct. L'interface privée de T0 est connectée au réseau local virtuel privé et utilise une adresse IP privée portable IBM Cloud.
Les modèles d'architecture offrent une introduction aux modèles de connectivité pour intégrer un routeur, un pare-feu ou un autre périphérique réseau. Ils fonctionnent comme une appliance virtuelle sur VMware avec l'instance standard NSX VMware Cloud Foundation for Classic - Automated
Déploiement d'un routeur tiers dans un cluster de passerelles
Lorsque vous déployez une instance VMware Cloud Foundation for Classic - Automated dans votre infrastructure classique IBM Cloud, vous pouvez éventuellement déployer un cluster de passerelles. Ce cluster peut héberger un routeur ou un pare-feu tiers. Vous pouvez contrôler quels VLAN sont acheminés par le routeur ou le pare-feu qui fonctionne sur le réseau.
Le cluster de passerelle ne doit pas être mélangé avec le cluster NSX edge, qui consiste en des nœuds de transport NSX edge. Le cluster de passerelles fournit une capacité de calcul pour les routeurs ou les pare-feu tiers, et le routage VLAN peut être contrôlé par la configuration de l'appliance de passerelle dans le réseau classique IBM Cloud
Ce déploiement de modèle d'architecture se résume comme suit :
- Vous pouvez éventuellement déployer une grappe de passerelles pour héberger votre propre dispositif de routage ou de pare-feu. Ce cluster est connecté aux réseaux IBM Cloud privés et publics via les réseaux de transit.
- Le périphérique tiers peut acheminer les réseaux locaux virtuels affectés. Vous pouvez choisir les réseaux locaux virtuels à acheminer via le portail IBM Cloud. Vous devez configurer les interfaces VLAN et les adresses IP requises pour les appareils, ainsi que les zones, les règles et les stratégies de pare-feu.
- Si vous acheminez votre VLAN de gestion via le pare-feu, vous pouvez également sécuriser vos charges de travail de gestion, telles que vCenter et les gestionnaires NSX. Vérifiez que vous autorisez le trafic pour votre gestion.
- Votre charge de travail T0 est connectée au réseau privé IBM Cloud. Si vous achemiez ce réseau local virtuel via le pare-feu, ajoutez les règles requises sur le pare-feu et sur T0.
- Votre charge de travail T0 est connectée au réseau public IBM Cloud. Si vous achemiez ce réseau local virtuel via le pare-feu, ajoutez les règles requises sur le pare-feu et sur T0.
- Si vous devez personnaliser le comportement de routage ou établir un routage dynamique entre votre T0 et l'appareil tiers, modifiez les itinéraires déployés par l'automatisation.
Déploiement d'un routeur ou d'un pare-feu tiers dans des clusters convergents ou de gestion
Lorsque vous déployez une instance VMware Cloud Foundation for Classic - Automated dans votre infrastructure classique IBM Cloud, vous pouvez éventuellement déployer un Juniper vSRX ou héberger un routeur ou un pare-feu tiers sur les clusters convergés ou de gestion. Vous pouvez intégrer le pare-feu à votre topologie de superposition de plusieurs façons, en utilisant le VLAN ou la superposition NSX, si votre pare-feu le prend en charge.
Dans ce cas, vous ne pouvez pas contrôler les VLAN qui sont acheminés par le routeur ou le pare-feu installé sur le pare-feu.
Ce déploiement de modèle d'architecture se résume comme suit :
- En fonction de la préférence réseau choisie, votre instance VMware Cloud Foundation for Classic - Automated est déployée avec une connectivité à la fois publique et privée ou uniquement privée.
- Vous pouvez éventuellement déployer un cluster de passerelles pour héberger Juniper vSRX ou votre propre dispositif de routage ou de pare-feu. Dans ce cas, vous pouvez placer des réseaux locaux virtuels publics et privés derrière le pare-feu.
- Vous pouvez déployer des périphériques réseau tiers dans des clusters vCenter Server en apportant votre propre licence et en suivant les conseils matériels et logiciels fournis par le fournisseur tiers spécifique. Discutez des détails techniques avec le fournisseur.
- Vous pouvez intégrer le périphérique réseau tiers ou un routeur à l'aide d'une insertion de service. L'insertion de services permet d'appliquer des services tiers au trafic nord-sud et au trafic est-ouest qui passe par un routeur. Les services offrent généralement des fonctions de sécurité avancées, telles qu'un système de détection d'intrusion (IDS) ou un système de prévention des intrusions (IPS).
- Lorsque vous utilisez l'insertion de service et que vous déployez ensuite une instance de service, vous pouvez configurer le type de trafic que le routeur redirige vers le service. La configuration de la redirection de trafic est similaire à la configuration d'un pare-feu.
- Vous pouvez également ajouter l'appareil à la voie de circulation nord-sud et personnaliser la topologie du client NSX. Contactez votre fournisseur tiers pour discuter de la topologie de réseau recherchée, par exemple, le mode routeur par rapport à la transparence.
Le diagramme suivant présente la topologie de routage et le routage de ce modèle.
Ce déploiement de modèle d'architecture se résume comme suit :
- Vous pouvez déployer des périphériques réseau tiers dans des clusters vCenter Server en apportant votre propre licence et en suivant les conseils matériels et logiciels fournis par le fournisseur tiers spécifique. Discutez des détails techniques avec le fournisseur.
- Vous pouvez connecter l'interface privée du dispositif dans le réseau privé IBM Cloud à l'aide du réseau local virtuel privé IBM Cloud. Vous pouvez utiliser des adresses IP portables privées IBM Cloud pour le dispositif.
- Vous pouvez connecter l'interface publique du dispositif dans le réseau public IBM Cloud. Vous pouvez utiliser des adresses IP portables publiques IBM Cloud pour le dispositif.
- Vous pouvez supprimer ou désactiver les liaisons montantes publiques sur T0. Le cas échéant, supprimez également la route par défaut.
- Créer un segment superposé NSX pour un réseau de transit entre le T0 et le dispositif tiers. Ajoutez la liaison montante T0 et une interface dans le périphérique tiers et établissez un routage statique ou dynamique entre eux.
- Ajoutez les réseaux de services par défaut, réseau privé IBM Cloud et services IBM Cloud aux définitions de routage d'unité en fonction de vos besoins de communication.
- Si nécessaire, vous pouvez réaffecter plus d'adresses IP à partir du sous-réseau portable public ou commander de nouveaux sous-réseaux statiques publics pour votre superposition. Avec des sous-réseaux statiques publics, commandez ces sous-réseaux avec une adresse IP virtuelle de l'appareil tiers pour répondre aux situations de défaillance.
Considérations
Lorsque vous concevez ou déployez ce modèle d'architecture, procédez comme suit :
- Reportez-vous aux spécifications matérielles et logicielles spécifiques des fournisseurs tiers pour l'interopérabilité avec VMware ESXi™ et NSX.
- Cette approche prend en charge BYOL uniquement pour la licence de solution tiers. Contactez votre fournisseur pour obtenir des détails sur la licence.