Modelli di architettura per la distribuzione di un router di terze parti su un'istanza VMware Cloud Foundation for Classic - Automated
Su VMware Cloud Foundation for Classic - Automated istanza in IBM Cloud® infrastruttura classica, i carichi di lavoro sono distribuiti ed eseguiti su VMware reti overlay NSX™. Come parte della distribuzione, l'automazione distribuisce una topologia NSX di esempio. È possibile utilizzare gli esempi di provisioning come base o costruire le proprie topologie in overlay. Queste reti overlay non vengono pubblicizzate automaticamente alla IBM Cloud rete infrastrutturale classica.
L'istanza VMware Cloud Foundation for Classic - Automated è distribuita sull'infrastruttura classica IBM Cloud. Per impostazione predefinita, vengono distribuite due IBM Cloud VLAN private e una IBM Cloud VLAN pubblica (opzionale). Oltre alle VLAN, il gateway NSX T0 viene distribuito su di esse con due interfacce, una privata e una pubblica (opzionale). Se si opta per una pubblica, l'interfaccia di uplink pubblica è collegata alla VLAN pubblica e ha accesso diretto a Internet. L'interfaccia privata di T0 è collegata alla VLAN privata e utilizza l'IP privato portatile IBM Cloud.
I modelli di architettura forniscono un'introduzione ai modelli di connettività per integrare un router, un firewall o un altro dispositivo di rete di terze parti. Vengono eseguiti come appliance virtuale su VMware con l'istanza standard basata su NSX VMware Cloud Foundation for Classic - Automated.
Distribuzione di un router di terze parti in un cluster di gateway
Quando si distribuisce un'istanza VMware Cloud Foundation for Classic - Automated nell'infrastruttura classica IBM Cloud, si può opzionalmente distribuire un cluster gateway. Questo cluster può ospitare un router o un firewall di terze parti. È possibile controllare quali VLAN vengono instradate attraverso il router o il firewall in esecuzione su di esso.
Il cluster gateway non deve essere mescolato con il cluster NSX edge, che consiste in nodi di trasporto NSX edge. Il cluster gateway fornisce capacità di calcolo per router o firewall di terze parti e l'instradamento delle VLAN può essere controllato dalla configurazione dell'appliance gateway in IBM Cloud rete classica.
L'implementazione di questo modello di architettura è riassunta come segue:
- È possibile implementare un cluster di gateway per ospitare un proprio dispositivo di routing o firewall. Questo cluster è collegato sia a IBM Cloud reti private che pubbliche attraverso reti di transito.
- Il dispositivo di terze parti può instradare le VLAN assegnate attraverso di esso. È possibile scegliere le VLAN da instradare attraverso il portale IBM Cloud. È necessario configurare le interfacce VLAN e gli indirizzi IP necessari per i dispositivi, nonché le zone, le regole e i criteri del firewall.
- Se si instrada la VLAN di gestione attraverso il firewall, è possibile proteggere anche i carichi di lavoro di gestione, come vCenter e i gestori NSX. Assicuratevi di consentire il traffico per la vostra gestione.
- Il carico di lavoro T0 è collegato alla rete privata IBM Cloud. Se si instrada questa VLAN attraverso il firewall, aggiungere le regole necessarie sia sul firewall che su T0.
- Il carico di lavoro T0 è collegato alla rete pubblica IBM Cloud. Se si instrada questa VLAN attraverso il firewall, aggiungere le regole necessarie sia sul firewall che su T0.
- Se è necessario personalizzare il comportamento del routing o stabilire un routing dinamico tra il dispositivo T0 e il dispositivo di terze parti, modificare le rotte distribuite dall'automazione.
Distribuzione di un router o firewall di terze parti in cluster convergenti o di gestione
Quando si distribuisce un'istanza VMware Cloud Foundation for Classic - Automated nell'infrastruttura classica IBM Cloud, si può opzionalmente distribuire un Juniper vSRX o ospitare un router o un firewall di terze parti sui cluster convergenti o di gestione. È possibile integrare il firewall con la topologia overlay in diversi modi, utilizzando l'overlay VLAN o NSX, se il firewall lo supporta.
In questo schema, non è possibile controllare quali VLAN vengono instradate attraverso il router o il firewall in esecuzione sul firewall.
L'implementazione di questo modello di architettura è riassunta come segue:
- A seconda della selezione delle preferenze di rete, l'istanza VMware Cloud Foundation for Classic - Automated viene distribuita con connettività sia pubblica che privata o solo privata.
- È possibile implementare un cluster di gateway per ospitare Juniper vSRX o un proprio dispositivo di routing o firewall. In questo caso, si potrebbero mettere le VLAN pubbliche e private dietro il firewall.
- È possibile distribuire dispositivi di rete di terze parti in cluster di vCenter Server fornendo la propria licenza e seguendo le indicazioni sull'hardware e sul software fornite dallo specifico fornitore di terze parti. Discutere i dettagli tecnici con il fornitore.
- È possibile integrare il dispositivo di rete di terzi o un router utilizzando l'inserimento di servizi. Con l'inserimento di servizi, è possibile applicare servizi di terze parti al traffico nord-sud e al traffico est-ovest che passa attraverso un router. I servizi forniscono in genere funzioni di sicurezza avanzate, come un sistema di rilevamento delle intrusioni (IDS) o un sistema di prevenzione delle intrusioni (IPS).
- Quando si utilizza l'inserimento di servizi e successivamente si distribuisce un'istanza di servizio, è possibile configurare il tipo di traffico che il router reindirizza al servizio. La configurazione del reindirizzamento del traffico è simile alla configurazione di un firewall.
- In alternativa, è possibile aggiungere il dispositivo al percorso di traffico nord-sud e personalizzare la topologia del cliente NSX. Contattare il fornitore di terze parti per discutere la topologia di rete desiderata, ad esempio la modalità router rispetto a quella trasparente.
Il diagramma seguente presenta la topologia di routing e l'instradamento per questo schema.
L'implementazione di questo modello di architettura è riassunta come segue:
- È possibile distribuire dispositivi di rete di terze parti in cluster di vCenter Server fornendo la propria licenza e seguendo le indicazioni sull'hardware e sul software fornite dallo specifico fornitore di terze parti. Discutere i dettagli tecnici con il fornitore.
- È possibile collegare l'interfaccia privata dell'appliance alla rete privata IBM Cloud utilizzando la VLAN privata IBM Cloud. È possibile utilizzare IBM Cloud indirizzi IP privati portatili per l'appliance.
- È possibile collegare l'interfaccia pubblica dell'appliance alla rete pubblica IBM Cloud. È possibile utilizzare IBM Cloud indirizzi IP pubblici portatili per l'appliance.
- È possibile rimuovere o disattivare gli uplink pubblici su T0. In tal caso, rimuovere anche il percorso predefinito.
- Creare un segmento di overlay NSX per una rete di transito tra T0 e il dispositivo di terze parti. Aggiungere T0 uplink e un'interfaccia nel dispositivo di terze parti e stabilire un routing statico o dinamico tra di essi.
- Aggiungere le reti predefinite, IBM Cloud privata e IBM Cloud di servizi nelle definizioni di routing del dispositivo in base alle proprie esigenze di comunicazione.
- Se necessario, si possono riassegnare altri IP dalla sottorete pubblica portatile o ordinare nuove sottoreti statiche pubbliche per l'overlay. Con le sottoreti statiche pubbliche, ordinarle con un VIP successivo del dispositivo di terze parti per far fronte a situazioni di guasto.
Considerazioni
Quando si progetta o si distribuisce questo modello di architettura, bisogna considerare i seguenti passaggi:
- Consultare le specifiche hardware e software dei fornitori di terze parti per l'interoperabilità con VMware ESXi™ e NSX.
- Questo approccio supporta il BYOL solo per le licenze delle soluzioni di terze parti. Contattare il fornitore per i dettagli sulla licenza.