Conception de VMware NSX-T
VMware® NSX-T™ a été conçu pour prendre en charge les structures et les architectures d'application comportant des points finaux et des piles technologiques hétérogènes. Outre VMware vSphere®, ces environnements peuvent inclure d'autres hyperviseurs, une KVM, des conteneurs et des serveurs non virtualisés. NSX-T est conçu pour couvrir un réseau défini par logiciel et une infrastructure de sécurité sur d'autres plateformes que l' vSphere. Bien qu'il soit possible de déployer des composants NSX-T sans avoir besoin de vSphere, cette conception est axée sur NSX-T et son intégration, principalement au sein d'un déploiement automatisé vCenter Server vSphere.
À partir de la version 3, NSX-T peut fonctionner sur le commutateur virtuel distribué (VDS) d' vSphere, version 7.0. Tous les nouveaux déploiements d' VMware, NSX et d' vSphere, utilisent NSX-T sur VDS, et N-VDS n'est plus utilisé. A compter de NSX-T version 2.4, les fonctions de la machine virtuelle du gestionnaire et de la machine virtuelle du contrôleur sont combinées. Par conséquent, trois machines virtuelles de contrôleur ou de gestionnaire sont déployées. Si elles se trouvent sur le même sous-réseau, elles utilisent un équilibreur de charge réseau interne. Si elles sont dans des sous-réseaux différents, un équilibreur de charge externe est nécessaire.
NSX-T offre de nombreuses fonctionnalités avancées, telles que les politiques de pare-feu, l'inclusion de l'introspection des invités dans les politiques de pare-feu et le suivi avancé du netflow. La description de ces fonctionnalités dépasse le cadre du présent document. Dans cette conception, l'infrastructure de gestion NSX-T est déployée lors du déploiement initial du cluster vCenter Server®. Pour plus d'informations sur NSX-T, consultez la VMware.
NSX-T ou NSX-V
Pour l' VMware, vSphere Network NSX (NSX-V), passez en revue les objets NSX-T suivants qui ont des fonctions similaires à leurs homologues NSX-V. Les limitations et les différences au sein d'un environnement d' vSphere s sont également abordées.
Le tableau suivant montre les fonctions correspondantes typiques entre NSX-T et NSX-V.
| NSX-V ou vSphere natif | NSX-T |
|---|---|
| Zone de transport NSX | Zone de transport (superposée ou réseau local virtuel) |
| **Groupes de ports (vDS) ** | Segments ou commutateur logique |
| VXLAN (encapsulation L2) | GENEVE (encapsulation L2) |
| Passerelle Edge | Passerelle de niveau 0 (T0)[1] |
| Routeur logique distribué | Passerelle de niveau 1 (T1)[2] |
| Serveur ESXi | Noeud de transport (ESXi, KVM, passerelle T0 bare metal) |
Avec NSX-T, vous avez des passerelles de niveau 0 (T0) et de niveau 1 (T1). Bien que dans la section précédente, elles soient présentées comme étant équivalentes à une passerelle de services Edge (ESG) NSX-V et à un routeur logique distribué (DLR), cela n'est pas tout à fait exact.
Pour NSX-T, deux nouveaux concepts sont introduits : le routeur distribué (DR, Distributed Router) et le routeur de service (SR, Service Router).
| Type de routeur | Capacités |
|---|---|
| Routeur distribué | Assure les fonctions de routage Est-Ouest distribué et de transfert de paquets Couvre tous les nœuds de transport S'exécute sur ESXi en tant que module de noyau |
| Routeur de service |
Fournit des services de passerelle
|
Certains concepts NSX-T clés ne correspondent pas à des fonctions NSX-V. Vous devez les comprendre pour cette implémentation de la conception NSX-T.
- Un cluster de passerelle est constitué d'une ou plusieurs machines virtuelles ou physiques qui participent à une structure virtuelle NSX-T. Elles sont les noeuds finaux des zones de transport réseau superposé et des zones de transport de réseau local virtuel. Un cluster de passerelles peut prendre en charge une seule instance de passerelle d' T0.
- Une passerelle de niveau 0 est une instance de routeur virtuel, mais pas une machine virtuelle. Plusieurs instances de passerelle d' T0 s peuvent s'exécuter au sein d'un cluster de passerelles, chacune avec sa propre table de routage et ses propres fonctions. Un cluster de passerelle doit exister avant de pouvoir créer une instance de routeur d' T0.
- Une zone de transport peut couvrir des noeuds finaux dans différentes plateformes et plusieurs instances vSphere vCenter. Aucune liaison NSX n'est nécessaire dans les vCenter. Des zones de transport peuvent être exclues de noeuds finaux spécifiques.
- Une commande de basculement de liaison montante est créée. Elle est indépendante des commutateurs logiques, qui sont créés dans des profils tels que “Profils de liaison montante” et appliqués à un commutateur logique particulier basé sur un réseau local virtuel. Des commandes différentes de basculement ou d'équilibrage de charge des liaisons montantes physiques peuvent être nécessaires pour le même réseau local virtuel. Par conséquent, le profil de liaison montante d'un VLAN particulier peut contenir plusieurs entrées pour le « Teaming » avec un ordre de basculement et un équilibrage de charge différents. Lorsque vous affectez le profil de liaison montante à un commutateur logique, le profil de groupage approprié est sélectionné.
- Le fonctionnement de la machine virtuelle du gestionnaire et celui de la machine virtuelle du contrôleur sont combinés, ce qui entraîne le déploiement de trois machines virtuelles de gestionnaire NSX-T. Si elles se trouvent sur le même sous-réseau, elles utilisent un équilibreur de charge réseau interne. Si elles sont dans des sous-réseaux différents, un équilibreur de charge externe est nécessaire.
Besoins en ressources
Dans cette conception, les machines virtuelles du gestionnaire-contrôleur NSX-T sont déployées dans le cluster de gestion. De plus, chaque gestionnaire-contrôleur se voit affecter une adresse IP VLAN issue du bloc d'adresses portables privées. Le bloc d'adresse est désigné pour les composants de gestion et configuré avec les serveurs DNS et NTP dont il est question dans la section 0. Le tableau suivant présente un résumé de l'installation de NSX Manager.
| Attribut | Spécification |
|---|---|
| Gestionnaires ou contrôleurs NSX | Trois dispositifs virtuels |
| Nombre de vCPU | 6 |
| Mémoire | 24 Go |
| Disque | 300 Go |
| Type de disque | Allocation dynamique |
| Réseau privé A | Privé A |
La figure suivante montre l'emplacement des gestionnaires NSX par rapport aux autres composants de cette architecture.
Remarques relatives au déploiement
Avec NSX-T v3.x sur vSphere VDS switch version 7.0, N-VDS n'est plus nécessaire sur les hôtes ESXi. Lorsqu'il est configuré en tant que noeuds de transport, vous pouvez utiliser le commutateur VDS version 7, le cluster consolidé constituant dans ce cas une solution plus optimale.
Après le déploiement initial, l'automatisation IBM Cloud® déploie trois dispositifs virtuels gestionnaire-contrôleurs NSX-T dans le cluster de gestion. Les contrôleurs se voient affecter une adresse IP VLAN provenant du sous-réseau portable A destiné aux composants de gestion. De plus, les règles d'anti-affinité VM–VM sont créées de telle sorte que les contrôleurs soient répartis parmi les hôtes du cluster.
Vous devez déployer le cluster initial avec trois noeuds au moins afin de garantir la haute disponibilité pour les gestionnaires ou les contrôleurs. En plus des gestionnaires, l'automatisation IBM Cloud prépare le cluster de charge de travail déployé en tant que noeuds de transport NSX-T. Les noeuds de transport ESXi se voient affecté une adresse IP VLAN provenant de la plage d'adresses IP du sous-réseau portable privé A (Private A) spécifié par une plage de pool d'adresses IP NSX dérivée du récapitulatif VLAN et sous-réseau. Le trafic du nœud de transport réside sur le VLAN non balisé et est affecté au VDS NSX-T privé.
Selon la topologie NSX-T que vous choisissez, vous pouvez déployer un cluster de passerelles NSX-T soit sous la forme d'une paire de machines virtuelles, soit sous la forme d'un logiciel déployé sur des nœuds de cluster bare metal. Les serveurs de périphérie bare metal ne sont pas pris en charge par l'automatisation d'IBM Cloud et doivent être déployés et configurés manuellement. Que la paire de clusters soit virtuelle ou physique, des liaisons montantes sont configurées sur des commutateurs VDS pour les réseaux privés d'IBM Cloud et les réseaux publics (le cas échéant).
Le tableau suivant récapitule les exigences relatives à un environnement de taille moyenne, qui est la taille de départ recommandée pour les charges de travail de production.
| Ressources | Gestionnaire x3 | Cluster de services de périphérie x4 |
|---|---|---|
| Taille moyenne | Dispositif virtuel | Dispositif virtuel |
| Nombre de vCPU | 6 | 4 |
| Mémoire | 24 Go | 8 Go |
| Disque | 300 Go vSAN ou NFS de gestion | 200 Go vSAN ou NFS de gestion |
| Type de disque | Allocation dynamique | Allocation dynamique |
| Réseau | Privé A | Privé A |
Conception de commutateur distribué
La conception utilise un nombre minimal de commutateurs vDS. Les hôtes dans le cluster de gestion sont connectés aux réseaux privés et publics (en option). Les hôtes sont configurés avec deux commutateurs virtuels distribués. L'utilisation de deux commutateurs est conforme à la pratique du réseau IBM Cloud qui sépare le réseau public et le réseau privé. Tous les nouveaux déploiements de NSX et vSphere tirent parti de l'exécution du commutateur vSphere VDS version 7.0, qui permet une architecture NSX-T convergée.
Comme indiqué dans les diagrammes précédents, le vDS public *instancename*-*clustername*-public est configuré pour la connectivité du réseau public et le vDS public *instancename*-*clustername*-private est configuré
pour la connectivité du réseau privé. La séparation des différents types de trafic est nécessaire pour réduire les conflits et les temps d'attente et renforcer la sécurité.
Les VLAN sont utilisés pour segmenter les fonctions de réseau physique. Cette conception utilise VLAN, deux pour le trafic de réseau privé et l'autre pour le trafic de réseau public. Le tableau suivant illustre la séparation du trafic.
| VLAN | Désignation | Type de trafic |
|---|---|---|
| Réseau local virtuel 1 | Privé A | Gestion ESXi, gestion, Geneve (TEP), liaisons montantes de serveur de périphérie |
| Réseau local virtuel 2 | Privé B | vSAN, NFS et vMotion |
| Réseau local virtuel 3 | Public | Disponible pour l'accès à Internet |
Pour les deux clusters de passerelle d'hôte facultatifs, cette conception utilise deux VLAN, un pour le trafic de réseau privé et l'autre pour le trafic de réseau public. Ce type de cluster utilise des disques locaux comme magasin de données. Par conséquent, il n'est pas nécessaire de séparer le trafic de stockage. De plus, conformément à la conception, le trafic NSX-T Geneve (TEP) est exclu. Le tableau suivant illustre la séparation du trafic entre les VLAN pour ce type de cluster :
| VLAN | Désignation | Type de trafic |
|---|---|---|
| Réseau local virtuel 1 | Transit privé | VLAN de transit privé, gestion ESXi et vMotion |
| Réseau local virtuel 2 | Transit public | VLAN de transit public |
désignation des conventions
Les conventions de dénomination suivantes sont utilisées pour le déploiement. Pour une meilleure lisibilité, seule la dénomination détaillée est utilisée. Par exemple, instancename-dcname-clustername-tz-edge-private est référencé
sous la forme tz-edge-private.
| Description | Norme de dénomination |
|---|---|
| Machines virtuelles de gestion | instancename-nsxt-ctrlmgr0instancename-nsxt-ctrlmgr1instancename-nsxt-ctrlmgr2 |
| Profils de liaison montante | instancename-esxi-private-profileinstancename-esxi-public-profileinstancename-edge-private-profileinstancename-edge-public-profileinstancename-edge-tep-profileinstancename-mgmt-edge-private-profileinstancename-mgmt-edge-public-profileinstancename-mgmt-edge-tep-profile |
| Profils NIOC | instancename-clustername-nioc-private-profileinstancename-clustername-nioc-public-profile |
| Profils des clusters de passerelles | instancename-dcname-clustername-service-edge-cluster-profileinstancename-dcname-clustername-service-edge-cluster-profile |
| Zones de transport | instancename-tz-esxi-privateinstancename-tz-esxi-publicinstancename-tz-vm-overlayinstancename-tz-edge-privateinstancename-tz-edge-public |
| Segments | instancename-podname.dcname-customer-t0-172-16-16-0instancename-podname.dcname-customer-t1-192-168-0-0instancename-podname.dcname-customer-t1-192-168-1-0instancename-podname.dcname-customer-to-privateinstancename-podname.dcname-customer-to-publicinstancename-podname.dcname-service-to-privateinstancename-podname.dcname-service-to-publicinstancename-clustername-edge-teps |
| Pools d'adresses IP | instancename-clustername-tep-pool |
| Profils de noeuds de transport | instancename-podname.dcname-clustername-esxi-tpn-profile |
| Passerelles Tier-0 et Tier-1 | instancename-podname.dcname-clustername-T0-function (où function comprend services, workload, openshift)instancename-podname.dcname-clustername-T1-function |
Noeuds de transport
Les noeuds de transport définissent les objets serveur physique ou les machines virtuelles qui participent à la matrice de réseau virtuel. Pour comprendre la conception, revoyez le tableau suivant.
| Type de noeud de transport | Profil de liaison montante | Affectation d'IP |
|---|---|---|
| ESXi | esxi-private-profileesxi-public-profile |
tep-pool |
| Cluster de passerelles | edge-private-profileedge-public-profileedge-tep-profilemgmt-edge-private-profilemgmt-edge-public-profilemgmt-edge-tep-profile |
tep-pool |
Profils de liaison montante et groupage
Un profil de liaison montante définit des règles pour les liaisons entre les hôtes hyperviseurs et les commutateurs logiques NSX-T ou entre les noeuds Edge NSX et les commutateurs de niveau supérieur (ToR, Top-of-Rack).
| Nom du profil de liaison montante | VLAN | Règle de groupage | Liaisons montantes actives | Liaisons de secours | Unité de transmission maximale |
|---|---|---|---|---|---|
esxi-private-profile |
par défaut | Valeur par défaut - source d'équilibrage de charge | uplink-1 uplink-2 |
Géré par vCenter Serveur | |
esxi-private-profile |
par défaut | TEP - ordre de basculement | uplink-1 | uplink-2 | Géré par vCenter Serveur |
esxi-public-profile |
par défaut | Valeur par défaut - source d'équilibrage de charge | uplink-1 uplink-2 |
Géré par vCenter Serveur | |
edge-private-profile |
par défaut | uplink-1 | 9000 | ||
edge-public-profile |
par défaut | uplink-1 | 1 500 | ||
edge-tep-profile |
par défaut | Commande de basculement | uplink-1 | 9000 | |
mgmt-edge-private-profile |
par défaut | uplink-1 | 9000 | ||
mgmt-edge-public-profile |
par défaut | uplink-1 | 1 500 | ||
mgmt-edge-tep-profile |
par défaut | Commande de basculement | uplink-1 | 9000 |
Pools de VNI
Les identificateurs de réseau virtuel (VNI, Virtual Network Identifier) sont similaires aux réseaux locaux virtuels (VLAN, Virtual Local Area Network) dans un réseau physique. Ils sont automatiquement créés lors de la création d'un commutateur logique à partir d'un pool ou d'une plage d'ID. Cette conception utilise le pool de VNI par défaut déployé avec NSX-T.
Segments
Un segment NSX-T reproduit des fonctionnalités de commutation, de diffusion, d'unicast inconnu, de trafic de multidiffusion (BUM), dans un environnement virtuel découplé du matériel sous-jacent.
| Nom du segment | VLAN | Zone de transport | Règle de groupage de liaison montante |
|---|---|---|---|
edge-teps |
par défaut | tz-esxi-private |
TEP - ordre de basculement |
service-to-private |
par défaut | tz-edge-private |
|
service-to-public |
par défaut | tz-edge-public |
|
customer-to-private |
par défaut | tz-edge-private |
|
customer-to-public |
par défaut | tz-edge-public |
|
customer-t0-172-16-16-0 |
tz-vm-overlay |
||
customer-t1-192-168-0-0 |
tz-vm-overlay |
||
customer-t1-192-168-1-0 |
tz-vm-overlay |
Cluster de passerelles
Dans cette conception, deux clusters de noeud Edge virtuels sont mis à disposition, l'un pour la gestion et l'autre pour les charges de travail client. Une limite d'un T0 par noeud de transport Edge est appliquée, ce qui signifie qu'un cluster de noeuds Edge unique peut prendre en charge une passerelle T0 (en mode actif-de secours ou actif-actif).
Les figures suivantes montrent les composants fonctionnels d'un cluster de passerelles NSX-T.
Passerelle de routeur logique de niveau 0
Une passerelle logique de niveau 0 NSX-T fournit un service passerelle entre le réseau logique et le réseau physique (pour le trafic nord-sud). Dans cette conception, deux passerelles d' T0 s à haute disponibilité sont déployées dans deux clusters de passerelles NSX-T distincts, l'un pour le client et l'autre pour les services ou les besoins de gestion. D'autres services et produits sont optionnels pour les topologies choisies par le client et ils utilisent les services T0 pour leurs besoins de connectivité entrants ou sortants. Chaque passerelle logique T0 est configurée avec deux liaisons montantes pour le réseau privé et deux liaisons montantes pour le réseau public. De plus, des adresses IP virtuelles sont affectées aux liaisons montantes publiques et privées.
Passerelle logique de niveau 1
Une passerelle logique de niveau 1 NSX-T dispose de ports de liaison descendante pour se connecter aux commutateurs logiques des centres de données NSX-T et de ports de liaison montante pour se connecter aux passerelles logiques de niveau 0 des centres de données NSX-T. Ils s'exécutent au niveau du noyau de l'hyperviseur pour lequel ils sont configurés et sont des instances de routeur virtuel (vrf) du cluster de passerelles NSX-T. Dans cette conception, une ou plusieurs passerelles logiques d' T1 s peuvent être créées pour les besoins des topologies choisies par le client.
Annonces de routage du niveau 1 vers le niveau 0
Afin de fournir une connectivité de couche 3 entre les machines virtuelles connectées aux commutateurs logiques reliés à différentes passerelles logiques de niveau 1, il est nécessaire d'activer les annonces de routage du niveau 1 à destination du niveau 0. Inutile de configurer un protocole de routage ou des routes statiques entre les routeurs logiques de niveau 1 et de niveau 0. NSX-T crée automatiquement des routes statiques lorsque vous activez les annonces de routage. Pour cette conception, les annonces de routage sont toujours activées pour toutes les passerelles de niveau 1 créées par automatisation IBM Cloud® for VMware Solutions.
Topologies préconfigurées
Charge de travail vers T1 vers passerelle T0 – cluster de passerelles virtuelles
A la base, la topologie 1 est la même que celle déployée avec des passerelles NSX-V DLR et Edge. Avec NSX-T, pas de configuration de protocole de routage dynamique entre T1 et T0. L'espace d'adresse IP RFC-1891 est utilisé pour le réseau superposé de charge de travail et le réseau superposé de transport. Un espace d'adresses IP portables privées et publiques client est affecté à l'usage des clients. Un espace d'adresses IP portables privées et publiques IBM Cloud désigné par le client est affecté à T0 pour une utilisation par le client.
-
Une passerelle d' T0 s est similaire à un ESG. Elle fournit une connectivité nord-sud entre les réseaux physiques et logiques et prend en charge le routage dynamique (BGP), ECMP et les services avec état, tels que pare-feu, conversion d'adresses réseau et équilibrage de charge. Elle fournit également des services distribués pour le routage est-ouest. ↩︎
-
Une passerelle d' T1 s est semblable à une passerelle d' T0 s, mais elle ne contient normalement pas de liaisons montantes pour la connexion à un réseau physique. Sa liaison montante la connecte à un segment superposé auto-raccordé à la passerelle T0. Une passerelle T1 prend en charge les routes statiques, la conversion d'adresses réseau, l'équilibrage de charge et IPsec VPN. ↩︎