Modèle d'architecture pour l'utilisation d'IPsec sur l' Direct Link, avec un serveur NSX ( vCenter ) et une instance NSX
Dans VMware Cloud Foundation for Classic - Automated exemple dans l' IBM Cloud® infrastructure classique, vos charges de travail sont déployées et exécutées sur des réseaux de superposition NSX™ d' VMware. Dans le cadre du déploiement, l'automatisation déploie un exemple de topologie NSX. Vous pouvez utiliser les exemples mis à disposition comme base ou créer vos propres topologies superposées. Ces réseaux de superposition ne sont pas automatiquement annoncés au réseau d'infrastructure classique IBM Cloud.
Ce modèle d'architecture présente une connectivité privée pour VMware Cloud Foundation for Classic - Automated qui utilise IBM Cloud Direct Link et la tunnelisation. Cette solution est applicable pour Instance basée sur NSX VCF for Classic - Automated, qui est provisionné dans IBM Cloud l'infrastructure classique. Vous pouvez utiliser Gateway Appliance ou vCenter. Le cluster de passerelles de serveur avec Juniper® vSRX, ou un autre dispositif, peut être intégré à la solution en option.
Le tunnel est établi entre NSX T0 et un routeur client routable via Direct Link. Si un dispositif d' vSRX, ou un autre dispositif tiers, est utilisé dans un cluster de passerelles, vous pouvez également mettre fin au tunnel dans ces dispositifs. Dans ce cas, NSX- T0, annonce des routes dans l' vSRX, ou autre dispositif tiers, par le biais de BGP ou de routes statiques.
Déploiement d'IPsec sur l' Direct Link, avec l' vCenter Server et NSX
Le diagramme suivant présente un aperçu d'un modèle d'architecture pour le déploiement d'IPsec sur l' Direct Link, avec l' vCenter Server et NSX.
Ce déploiement de modèle d'architecture se résume comme suit :
- VCF for Classic - Automated instance est déployée sur une infrastructure classique d' IBM Cloud. Deux réseaux locaux virtuels privés IBM Cloud et un réseau local virtuel IBM Cloud public (facultatif) sont déployés. Chacun de ces sous-réseaux hôte multiples. Vous pouvez voir les détails sur le portail IBM Cloud for VMware Solutions.
- NSX T0 est déployé avec deux interfaces : privée et publique (en option). Si vous optez pour une option publique, cette interface est connectée à votre réseau local virtuel public et dispose d'un accès Internet direct. L'interface privée de T0 est connectée au réseau local virtuel privé et utilise une adresse IP privée portable IBM Cloud.
- Si un cluster de passerelles de serveur d' vCenter, avec un routeur de périphérie ( vSRX ) (ou un autre périphérique tiers) ou un routeur de périphérie virtuel ( IBM Cloud ) ( Gateway Appliance ), est déployé sur votre infrastructure classique, vous devez configurer le VLAN principal privé de votre instance d' VCF for Classic - Automated. Il doit être acheminé via vSRX ou Gateway Appliance. De plus, établissez des routages entre vos NSX T0 et vSRX, tels que BGP.
- Créez un Direct Link dans votre centre de données IBM Cloud ou un emplacement de zone et reliez votre réseau classique en tant que connexion. Tous vos réseaux classiques dans la région sont annoncés avec l'option de routage Local (ou tous avec l'option Global).
- Configurez une connexion IPsec basée sur les règles ou les routes entre votre routeur client vers vSRX ou l'adresse IP privée du dispositif Gateway (IBM Cloud portable privé). Vérifiez que votre dispositif T0, vSRX ou Gateway dispose d'une route vers ce point d'extrémité de tunnel. Les grands réseaux MTU sont pris en charge dans le réseau privé IBM Cloud et Direct Link.
- Vous pouvez échanger des routes via BGP ou les routes statiques entre votre superposition et le routeur client sur site à travers le tunnel.
- Vous pouvez connecter les autres connexions VPC requises au Direct Link, par exemple, les VCP. Votre conception d'allocation d'adresses IP VPC doit garantir qu'il n'y a pas de chevauchement avec le réseau classique attaché ni avec les réseaux de superposition NSX.
Direct Link ne fournit pas de connectivité directe entre le VPC et le réseau classique. Mais, en fonction de votre configuration de routage, il est possible de faire un épinglage sur le routeur du client. Vous pouvez également utiliser la passerelle de transit pour ce cas d'utilisation.
Considérations
Lorsque vous concevez ou déployez ce modèle d'architecture, procédez comme suit :
- Le VPN IPsec basé sur le routage est recommandé pour le routage dynamique.
- Les tunnels IPsec peuvent également être arrêtés sur les passerelles Tier-1. Dans ce cas, seuls les VPN basés sur des règles sont pris en charge. Vérifiez également que le noeud final VPN est connu et routé dans un réseau classique IBM Cloud
(par exemple, utilisez un
/32à partir du sous-réseau privé portable pour le noeud final VPN T1).