Passerelles NSX Tier-0 et Tier-1 sur IBM Cloud VPC
Un seul cluster de périphérie NSX™ d' VMware, avec deux nœuds de périphérie virtuels, est utilisé dans l'architecture consolidée. L'automatisation crée des passerelles Tier-0 (T0) et des routeurs Tier-1 (T1) avec des liaisons montantes qui sont connectées aux sous-réseaux VPC. Dans cette architecture, les clusters de bordure hébergent les passerelles T0 et T1. Les informations suivantes expliquent comment ces passerelles interagissent avec IBM Cloud VPC.
Pour plus d'informations sur le déploiement d'un cluster de périphérie, voir CF NSX design on IBM Cloud VPC.
Tier-0 passerelle
Une passerelle NSX Tier-0 assure la connectivité entre les segments logiques NSX overlay et les sous-réseaux VPC, par exemple, pour le trafic nord-sud. Dans cette architecture, une passerelle d' T0 s hautement disponible est déployée dans le cluster NSX edge. En raison d'une limitation de NSX d' VMware, ce cluster de périphérie ne peut héberger qu'une seule passerelle d' T0, qui s'exécute en mode actif-passif. Le mode actif-veille est nécessaire, par exemple, pour disposer de VIP à haute disponibilité (HA) dans l' T0.
Actuellement, le mode Actif-Actif avec T0 n'est pas pris en charge dans IBM Cloud® Virtual Private Cloud.
Lorsque l' T0 est exécuté en mode veille active, les deux participent au transport de périphérie ( Node ) et disposent de leur propre liaison montante. HA entre ces liaisons montantes utilise un VIP HA.
Le T0 est configuré avec deux types de liaison montante : deux liaisons montantes destinées à une utilisation privée et deux liaisons montante destinées à une utilisation publique. Les VIP HA sont affectés à la fois aux liaisons montantes publiques et privées pour HA. Pour les liaisons montantes publiques et privées, deux sous-réseaux VPC sont nécessaires. Ces sous-réseaux sont mis à disposition à partir du préfixe de zone, et ils peuvent tous deux utiliser les adresses privées RFC 1918, y compris le sous-réseau public. Dans l'architecture consolidée, un seul ensemble de sous-réseaux de liaison montante est fourni.
| Nom de sous-réseau | Type de trafic système | Conseils de dimensionnement de sous-réseau |
|---|---|---|
vpc-t0-public-uplink-subnet |
Sous-réseau de liaison montante publique T0 | /29 ou plus |
vpc-t0-private-uplink-subnet |
Sous-réseau de liaison montante privée T0 | /29 ou plus |
Si vous n'avez pas besoin de trafic entrant depuis Internet, vous n'avez pas besoin d'un sous-réseau de liaison montante public.
Les interfaces VLAN suivantes sont requises dans VPC pour chaque liaison montante T0. Vous devez séparer les liaisons montantes publiques et privées comme indiqué précédemment. Les interfaces VLAN avec Allow IP spoofing et Enable Infrastructure NAT réglées sur false permettent aux adresses IP flottantes publiques de traverser sans NAT jusqu'aux liaisons montantes publiques de la passerelle T0. Les interfaces VLAN avec Allow IP spoofing et Enable Infrastructure NAT définies sur true permettent aux charges de travail VMware sur la superposition NSX avec des adresses IP privées d'être acheminées vers IBM Cloud VPC. Ces fonctions ne peuvent être cumulées.
| Nom de l'interface | Type d'interface | ID de VLAN | Sous-réseau | Autoriser le flottement | Autoriser l'usurpation d'adresse IP | Activer la conversion NAT | Interface NSX | Nom du segment |
|---|---|---|---|---|---|---|---|---|
vlan-nic-t0-pub-uplink-1 |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
Liaison montante publique T0 * Edge 1 | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-pub-uplink-2 |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
Liaison montante publique T0 * Edge 2 | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-pub-uplink-vip |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 Public Uplink VIP | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-priv-uplink-1 |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
Liaison montante privée T0 * Edge 1 | vpc-zone-t0-private-*vlanid* |
vlan-nic-t0-priv-uplink-2 |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
Liaison montante privée T0 * Edge 2 | vpc-zone-t0-private-*vlanid* |
vlan-nic-t0-priv-uplink-vip |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 Private Uplink VIP | vpc-zone-t0-private-*vlanid* |
Si vous n'avez pas besoin du trafic entrant provenant d'Internet, il se peut que vous n'avez pas besoin de liaisons montantes publiques sur T0 ou d'interfaces de réseau local virtuel pour le serveur non virtualisé.
En suivant le chemin d'accès T0, vous devez prendre en compte la note précédente. Si vous disposez de liaisons montantes publiques, votre route par défaut ( 0.0.0.0/0 ) doit être acheminée via les liaisons montantes publiques, et
toute route privée doit être acheminée via des liaisons montantes privées. Configurez vos chemins statiques vers la passerelle de votre sous-réseau VPC.
Vous ne pouvez provisionner qu'une seule paire de liaisons montantes à partir de la passerelle d' T0, à partir du même cluster de périphérie dans le même sous-réseau VPC. Cette limitation inclut également les VRF T0. Chaque paire de liaison montante de l' T0 e a besoin de son propre sous-réseau VPC.
Tier-1 passerelle
Une passerelle NSX T1 possède des connexions descendantes vers les segments NSX attachés et des connexions montantes vers une seule passerelle T0. Les nœuds de périphérie NSX fournissent la capacité de calcul pour les passerelles d' T1. Chaque passerelle d' T1 s contient un routeur de service (SR) et un routeur distribué (DR), comme c'est le cas avec l' T0s. Un DR s'exécute en tant que module de noyau distribué dans les hyperviseurs et un SR est instancié en tant que VRF sur un cluster de périphérie lorsqu'un service est activé et ne peut pas être distribué.
Dans cette conception, une ou plusieurs passerelles d' T1 s peuvent être créées pour les besoins de la topologie choisie.
Vous pouvez déployer plusieurs T1s dans le même cluster de périphérie.
Services de réseau fournis par les passerelles Tier-0 et Tier-1
Le centre de données NSX prend en charge les services réseau, tels que le réseau privé virtuel IPsec (VPN IPsec), la traduction d'adresses réseau (NAT) et les pare-feu, comme le montre le diagramme suivant.
Ce sujet présente brièvement ces fonctionnalités et la manière dont elles peuvent être utilisées dans IBM Cloud VPC.
Services de réseau privé virtuel
Le réseau privé virtuel IPsec (IPsec VPN) et le VPN de couche 2 (VPN L2) s'exécutent sur un noeud NSX Edge. IPsec VPN offre une connectivité site-à-site entre un noeud de périphérie NSX et des sites distants. Avec un VPN ( L2 ), vous pouvez étendre votre centre de données en permettant aux machines virtuelles (VM) de conserver leur connectivité réseau au-delà des frontières géographiques tout en utilisant la même adresse IP.
Lorsque vous configurez le service VPN NSX dans IBM Cloud VPC, vous pouvez utiliser les adresses IP flottantes publiques /32 comme points d'extrémité VPN pour les passerelles Tier-0 et Tier-1. Vous pouvez avoir plusieurs nœuds
finaux VPN, si nécessaire. Lorsqu'un service VPN est configuré sur une passerelle Tier-1, assurez-vous que l'IP flottante est correctement annoncée entre les passerelles Tier-0 et Tier-1.
Pour plus d'informations sur le service VPN, voir VMware Documentation.
Conversion d'adresses réseau (NAT)
La traduction d'adresses réseau (NAT) est prise en charge sur les passerelles Tier-0 et Tier-1.
Par exemple, les types de NAT suivants sont pris en charge.
- NAT source (SNAT) convertit une adresse IP source de paquets sortants de sorte que les paquets sont affichés comme provenant d'un autre réseau.
- NAT de destination (DNAT) convertit l'adresse IP de destination des paquets entrants de sorte que les paquets soient livrés à une adresse cible dans un autre réseau.
Vous pouvez également désactiver SNAT ou DNAT pour une adresse IP ou une plage d'adresses. Si une adresse possède plusieurs règles NAT, la règle ayant la priorité la plus élevée est appliquée.
Lorsque vous configurez NSX NAT dans IBM Cloud VPC, vous pouvez utiliser les adresses IP flottantes publiques d' /32, comme adresses IP NAT publiques dans les passerelles Tier-0 et Tier-1. Vous pouvez avoir plusieurs adresses
IP NAT, si nécessaire. Lorsque NAT est configuré sur une passerelle Tier-1, assurez-vous que l'IP flottante est correctement annoncée entre les passerelles Tier-0 et Tier-1.
Pour plus d'informations sur la NAT dans NSX, voir VMware Documentation.
Pare-feu
Vous pouvez configurer des politiques de pare-feu est-ouest et nord-sud dans votre plate-forme NSX.
Un pare-feu de passerelle représente les règles qui sont appliquées au pare-feu de périmètre pour le trafic nord-sud qui est connecté à IBM Cloud VPC. Un pare-feu de passerelle peut être appliqué aux passerelles Tier-0 et Tier-1.
Un pare-feu distribué surveille tout le trafic est-ouest sur vos machines virtuelles. Le regroupement d'objets simplifie la gestion des règles. Les groupes comprennent différents objets qui sont ajoutés de manière statique et dynamique, et ils peuvent être utilisés comme source et destination d'une règle de pare-feu. Ils peuvent être configurés pour contenir une combinaison de machines virtuelles, d'ensembles d'adresses IP, d'ensembles d'adresses MAC, de ports de segments, de segments, de groupes d'utilisateurs AD et d'autres groupes. L'inclusion dynamique de groupes peut être basée sur une balise, un nom de machine, un nom de système d'exploitation ou un nom d'ordinateur.
Pour plus d'informations sur les pare-feu dans NSX, consultez la VMware.