Progettazione di VMware NSX-T
VMware® NSX-T™ è progettato per gestire framework applicativi e architetture con endpoint e stack tecnologici eterogenei. Oltre a VMware vSphere®, questi ambienti possono includere altri hypervisor, KVM, container e server bare metal. NSX-T è progettato per estendere una rete definita dal software e un'infrastruttura di sicurezza su piattaforme diverse dall' vSphere. Mentre è possibile distribuire i componenti di NSX-T senza il bisogno di vSphere, questa progettazione si focalizza su NSX-T e la sua integrazione principalmente all'interno di una distribuzione automatizzata di vCenter Server vSphere.
A partire dalla versione 3, NSX-T può essere eseguito su vSphere virtual distributed switch (VDS) versione 7.0. Tutte le nuove distribuzioni di VMware NSX e vSphere utilizzano NSX-T su VDS e N-VDS non viene più utilizzato. A partire da NSX-T 2.4, le funzioni di manager VM e controller VM sono combinate. Di conseguenza, vengono distribuite tre macchine virtuali di controllo o di gestione. Se si trovano sulla stessa sottorete, utilizzano un bilanciatore del carico di rete interno. Se sono in più sottoreti, è necessario un programma di bilanciamento del carico esterno.
NSX-T offre molte funzionalità avanzate, come i criteri del firewall, l'inclusione dell'introspezione degli ospiti all'interno dei criteri del firewall e il tracciamento avanzato del netflow. La descrizione di queste funzioni esula dallo scopo di questo documento. In questo progetto, l'infrastruttura di gestione NSX-T viene distribuita durante la distribuzione iniziale del cluster di Server® vCenter. Per ulteriori informazioni su NSX-T, consultare la documentazione di VMware NSX.
NSX-T rispetto a NSX-V
Per VMware vSphere Network NSX (NSX-V), esaminare i seguenti oggetti NSX-T con funzioni simili alle rispettive controparti NSX-V. Vengono inoltre discusse le limitazioni e le differenze all'interno di un ambiente di e vSphere.
La tabella seguente mostra le tipiche funzioni corrispondenti tra NSX-T e NSX-V.
| NSX-V o vSphere native | NSX-T |
|---|---|
| Zona di trasporto NSX | Zona di trasporto (sovrapposizione o supportata dalla VLAN) |
| Gruppi di porte (VDS) | Segmenti o switch logico |
| VXLAN (incapsulamento L2) | GENEVE (incapsulamento L2) |
| Gateway all'avanguardia | Tier-0 (T0) Gateway[1] |
| Router logico distribuito | Tier-1 (T1) Gateway[2] |
| Server ESXi | Nodo di trasporto (ESXi, KVM, Gateway T0 Bare metal) |
Con NSX-T, sono disponibili Tier-0 (T0) Gateway e Tier-1 (T1) Gateway. Sebbene nella sezione precedente siano indicati come equivalenti a un edge services gateway (ESG) di NSX-V e a un Distributed Logical Router (DLR), ciò non è del tutto esatto.
Per NSX-T sono stati introdotti due nuovi concetti: Distributed Router (DR) e Service Router (SR).
| Tipo di router | Funzionalità |
|---|---|
| Router distribuito | Fornisce funzioni di base di inoltro dei pacchetti e di routing distribuito est-ovest Si estende a tutti i nodi di trasporto Su ESXi viene eseguito come modulo del kernel |
| Router di servizio |
Fornisce servizi di gateway
|
Alcuni concetti chiave di NSX-T non corrispondono alle funzioni di NSX-V. Per comprendere l'implementazione del progetto NSX-T, è necessario rivedere i seguenti concetti.
- Un cluster gateway è costituito da una o più macchine virtuali o fisiche che partecipano a un fabric virtuale NSX-T. Sono endpoint per le zone di trasporto della rete di sovrapposizione e di backend della VLAN. Un cluster di gateway può supportare una singola istanza di gateway T0.
- Un gateway di T0 è un'istanza di router virtuale, ma non una VM. È possibile eseguire più istanze di gateway di T0 e all'interno di un cluster di gateway, ciascuna con la propria tabella di routing e le proprie funzioni. Prima di poter creare un'istanza di router T0, deve esistere un cluster di gateway.
- Una zona di trasporto può suddividere gli endpoint tra piattaforme diverse e più istanze vSphere vCenter. Non è necessario alcun cross-vCenter collegato a NSX. Le zone di trasporto possono essere escluse da endpoint specifici.
- L'ordine di failover dell'uplink viene creato per essere indipendente da uno switch logico in particolare perché viene creato in profili come “Profili di uplink” e applicato a uno switch logico in particolare basato sulla VLAN. È possibile che sia necessario un ordine di failover diverso o un bilanciamento del carico degli uplink fisici per la stessa VLAN. Pertanto, il profilo di uplink per una particolare VLAN può contenere più voci per il "Teaming" con un diverso ordine di failover e bilanciamento del carico. Quando si assegna il profilo uplink a uno switch logico, viene scelto il profilo di teaming specifico.
- La funzione della VM manager e della VM controller sono combinate, il che si traduce in tre VM manager NSX-T distribuite. Se si trovano sulla stessa sottorete, utilizzano un bilanciatore del carico di rete interno. Se sono in più sottoreti, è necessario un programma di bilanciamento del carico esterno.
Requisiti della risorsa
In questo progetto, le macchine virtuali del controller NSX-T Manager sono distribuite sul cluster di gestione. Inoltre, a ogni manager del controller viene assegnato un indirizzo IP con supporto VLAN dal blocco di indirizzi portatili privati. Il blocco di indirizzi è designato per i componenti di gestione ed è configurato con i server DNS e NTP illustrati nella sezione 0. Nella tabella seguente è riportato un riepilogo dell'installazione di NSX Manager.
| Attributo | Specifica |
|---|---|
| Gestori o controllori SNX | Tre dispositivi virtuali |
| Numero di vCPU | 6 |
| Memoria | 24 GB |
| Disco | 300 GB |
| Tipo di disco | Thin provisioned |
| NetworkPrivate A | Privata A |
La figura seguente mostra la posizione dei gestori NSX in relazione agli altri componenti di questa architettura.
![](../../images/nsx-t-3-ra-diagrams-overview-vcs-v7-t3.svg "della rete di NSX-T ManagerSchema della rete di NSX-T " caption-side="bottom"} della rete di "){: caption="Manager
Considerazioni sulla distribuzione
Con NSX-T v3.x su switch VDS vSphere versione 7.0, N-VDS non è più necessario sugli host ESXi. Quando sono configurati come nodi di trasporto, è possibile utilizzare la VDS v7, che rende il cluster consolidato un progetto più ottimale.
Dopo la distribuzione iniziale, l'automazione dell' IBM Cloud® e distribuisce tre appliance virtuali NSX-T Manager all'interno del cluster di gestione. Ai controller viene assegnato un indirizzo IP supportato dalla VLAN VLAN dalla sottorete portatile Privata A progettato per i componenti di gestione. Inoltre, le regole di anti–affinità VM–VM vengono create in modo che i controller siano separati tra gli host nel cluster.
È necessario distribuire il cluster di gestione con un minimo di tre nodi per garantire un'elevata disponibilità per i manager o i controller. Oltre ai manager, l'automazione dell' IBM Cloud e prepara il cluster di carico di lavoro distribuito come nodi di trasporto NSX-T. Ai nodi di trasporto ESXi viene assegnato un indirizzo IP supportato da VLAN dall'intervallo di indirizzi IP privati A specificato da un pool di IP NSX derivato dal riepilogo della VLAN e della subnet. Il traffico del nodo di trasporto risiede sulla VLAN non contrassegnata e viene assegnato al VDS NSX-T privato.
A seconda della topologia NSX-T scelta, è possibile distribuire un cluster di gateway NSX-T come coppia di macchine virtuali o come software distribuito su nodi cluster bare metal. I bordi bare metal non sono supportati dall'automazione IBM Cloud e devono essere distribuiti e configurati manualmente. Indipendentemente dal fatto che la coppia di cluster sia virtuale o fisica, gli uplink sono configurati sugli switch VDS per entrambe le reti IBM Cloud private e (se presenti) pubbliche.
La tabella seguente riassume i requisiti per un ambiente di medie dimensioni, che è la dimensione iniziale consigliata per i carichi di lavoro di produzione.
| Risorse | Gestore x3 | Servizi di bordo cluster x4 |
|---|---|---|
| Dimensioni medie | Dispositivo virtuale | Dispositivo virtuale |
| Numero di vCPU | 6 | 4 |
| Memoria | 24 GB | 8 GB |
| Disco | 300 GB vSAN o gestione NFS | 200 GB vSAN o gestione NFS |
| Tipo di disco | Thin provisioned | Thin provisioned |
| Rete | Privata A | Privata A |
Progettazione di switch distribuiti
La progettazione utilizza un numero minimo di switch vDS. I computer nel cluster di gestione sono collegati alle reti private e (facoltativamente) a quelle pubbliche. Gli host sono configurati con due switch virtuali distribuiti. L'utilizzo di due switch segue la procedura della rete IBM Cloud che separa le reti pubbliche e private. Tutte le nuove implementazioni di NSX e vSphere si avvantaggiano dell'esecuzione dello switch VDS vSphere versione 7.0, che consente un'architettura NSX-T convergente.
Come mostrato nei diagrammi precedenti, il VDS pubblico *instancename*-*clustername*-public è configurato per la connettività di rete pubblica e il VDS pubblico *instancename*-*clustername*-private è configurato per
la connettività di rete privata. Separare i diversi tipi di traffico è necessario per ridurre il conflitto e la latenza e aumentare la sicurezza.
Le VLAN vengono utilizzate per segmentare le funzioni della rete fisica. Questa progettazione utilizza tre VLAN: due per il traffico della rete privata e una per il traffico della rete pubblica. La seguente tabella mostra la separazione del traffico.
| VLAN | Designazione | Tipo di traffico |
|---|---|---|
| VLAN 1 | Privata A | Gestione ESXi, gestione, Geneve (TEP), uplink edge |
| VLAN 2 | Privata B | vSAN, NFS e vMotion |
| VLAN 3 | Pubblico | Disponibile per l'accesso a Internet |
Per i cluster di gateway a due host opzionali, questo progetto utilizza due VLAN: una per il traffico della rete privata e una per il traffico della rete pubblica. Questo tipo di cluster utilizza i dischi locali come archivio dati. Pertanto, non è necessario un traffico di archiviazione separato. Inoltre, secondo il progetto, il traffico NSX-T Geneve (TEP) è escluso. La tabella seguente mostra la separazione del traffico tra le VLAN per questo tipo di cluster.
| VLAN | Designazione | Tipo di traffico |
|---|---|---|
| VLAN 1 | Trasporto privato | VLAN privata di transito, gestione ESXi e vMotion |
| VLAN 2 | Trasporto pubblico | VLAN di transito pubblica |
Convenzioni di denominazione
Per la distribuzione si utilizzano le seguenti convenzioni di denominazione. Per motivi di leggibilità, viene utilizzata solo la denominazione specifica. Ad esempio, instancename-dcname-clustername-tz-edge-private è indicato come
tz-edge-private.
| Descrizione | Standard di denominazione |
|---|---|
| VM di gestione | instancename-nsxt-ctrlmgr0instancename-nsxt-ctrlmgr1instancename-nsxt-ctrlmgr2 |
| Profili di uplink | instancename-esxi-private-profileinstancename-esxi-public-profileinstancename-edge-private-profileinstancename-edge-public-profileinstancename-edge-tep-profileinstancename-mgmt-edge-private-profileinstancename-mgmt-edge-public-profileinstancename-mgmt-edge-tep-profile |
| Profili NIOC | instancename-clustername-nioc-private-profileinstancename-clustername-nioc-public-profile |
| Profili del cluster gateway | instancename-dcname-clustername-service-edge-cluster-profileinstancename-dcname-clustername-service-edge-cluster-profile |
| Zone di trasporto | instancename-tz-esxi-privateinstancename-tz-esxi-publicinstancename-tz-vm-overlayinstancename-tz-edge-privateinstancename-tz-edge-public |
| Segmenti | instancename-podname.dcname-customer-t0-172-16-16-0instancename-podname.dcname-customer-t1-192-168-0-0instancename-podname.dcname-customer-t1-192-168-1-0instancename-podname.dcname-customer-to-privateinstancename-podname.dcname-customer-to-publicinstancename-podname.dcname-service-to-privateinstancename-podname.dcname-service-to-publicinstancename-clustername-edge-teps |
| Pool di indirizzi IP | instancename-clustername-tep-pool |
| Profili dei nodi di trasporto | instancename-podname.dcname-clustername-esxi-tpn-profile |
| Gateway Tier-0 e Tier-1 | instancename-podname.dcname-clustername-T0-function (dove function include services, workload, openshift)instancename-podname.dcname-clustername-T1-function |
Nodi di trasporto
I nodi di trasporto definiscono le VM o gli oggetti server fisici che partecipano al fabric della rete virtuale. Rivedi la seguente tabella per comprendere la progettazione.
| Tipo di nodo di trasporto | Profilo di uplink | Assegnazione IP |
|---|---|---|
| ESXi | esxi-private-profileesxi-public-profile |
tep-pool |
| Cluster gateway | edge-private-profileedge-public-profileedge-tep-profilemgmt-edge-private-profilemgmt-edge-public-profilemgmt-edge-tep-profile |
tep-pool |
Profili di uplink e teaming
Un profilo di uplink definisce le politiche per i link dagli host hypervisor agli switch logici NSX-T o dai nodi edge NSX agli switch top-of-rack.
| Nome profilo di uplink | VLAN | Politica di teaming | Uplink attivi | Link standby | MTU |
|---|---|---|---|---|---|
esxi-private-profile |
predefinito | Predefinito - Sorgente di bilanciamento del carico | uplink-1 uplink-2 |
Gestito da vCenter Server | |
esxi-private-profile |
predefinito | TEP - Ordine di sostituzione | uplink-1 | uplink-2 | Gestito da vCenter Server |
esxi-public-profile |
predefinito | Predefinito - Sorgente di bilanciamento del carico | uplink-1 uplink-2 |
Gestito da vCenter Server | |
edge-private-profile |
predefinito | uplink-1 | 9000 | ||
edge-public-profile |
predefinito | uplink-1 | 1500 | ||
edge-tep-profile |
predefinito | Ordine di failover | uplink-1 | 9000 | |
mgmt-edge-private-profile |
predefinito | uplink-1 | 9000 | ||
mgmt-edge-public-profile |
predefinito | uplink-1 | 1500 | ||
mgmt-edge-tep-profile |
predefinito | Ordine di failover | uplink-1 | 9000 |
Pool VNI
I VNI (Virtual Network Identifier) sono simili alle VLAN su una rete fisica. Vengono automaticamente creati quando viene creato uno switch logico da un pool o un intervallo di ID. Questa progettazione utilizza il pool VNI predefinito distribuito con NSX-T.
Segmenti
Un segmento NSX-T riproduce le funzioni di commutazione, broadcast, unicast sconosciuto, traffico multicast (BUM), in un ambiente virtuale disaccoppiato dall'hardware sottostante.
| Nome segmento | VLAN | Zona di trasporto | Politica di teaming uplink |
|---|---|---|---|
edge-teps |
predefinito | tz-esxi-private |
TEP - Ordine di sostituzione |
service-to-private |
predefinito | tz-edge-private |
|
service-to-public |
predefinito | tz-edge-public |
|
customer-to-private |
predefinito | tz-edge-private |
|
customer-to-public |
predefinito | tz-edge-public |
|
customer-t0-172-16-16-0 |
tz-vm-overlay |
||
customer-t1-192-168-0-0 |
tz-vm-overlay |
||
customer-t1-192-168-1-0 |
tz-vm-overlay |
Cluster gateway
In questo progetto, vengono forniti due cluster di nodi edge virtuali, uno per la gestione e l'altro per i carichi di lavoro dei clienti. Esiste una limitazione di un T0 per Edge Transport Node, il che significa che un singolo Edge Node Cluster può supportare un T0 Gateway (in active-standby o active-active).
Le figure seguenti illustrano i componenti funzionali di un cluster gateway NSX-T.
Gateway logico Tier 0
Un gateway logico NSX-T Tier-0 fornisce un servizio di gateway tra le reti logiche e fisiche (per il traffico nord-sud). In questo progetto, due gateway T0 altamente disponibili sono distribuiti in due cluster di gateway NSX-T separati, uno per il cliente e uno per i servizi o le esigenze di gestione. Altri servizi e prodotti sono opzionali per le topologie scelte dai clienti, che utilizzano i servizi T0 per le loro esigenze di connettività in entrata o in uscita. Ogni gateway logico T0 è configurato con due uplink privati e due pubblici. Inoltre, i VIP sono assegnati a uplink pubblici e privati.
Gateway logico Tier 1
Un gateway logico NSX-T Tier-1 e dispone di porte downlink per il collegamento agli switch logici NSX-T Data Center e di porte uplink per il collegamento ai gateway logici NSX-T Data Center Tier-0 i. Vengono eseguiti a livello di kernel dell'hypervisor per cui sono configurati e sono istanze di router virtuali (vrf) del cluster gateway NSX-T. In questo progetto, è possibile creare uno o più T1 gateway logici per le esigenze delle topologie scelte dal cliente.
Annuncio di rotte da Tier 1 a Tier 0
Per fornire la connettività Layer 3 tra macchine virtuali collegate a switch logici collegati a diversi gateway logici dell' tier-1, è necessario abilitare la pubblicazione del percorso dell' tier-1 e verso l' tier-0. Non è necessario configurare un protocollo di instradamento o delle rotte statiche tra i router logici tier-1 e tier-0. NSX-T crea le rotte statiche automaticamente quando abiliti l'annuncio di rotte. T1 Per questo progetto, la pubblicità di percorso è sempre abilitata per qualsiasi automazione dell' IBM Cloud® for VMware Solutions e creata sui gateway dell' e.
Topologie preconfigurate
Carico di lavoro su T1 su T0 gateway – cluster gateway virtuale
La topologia 1 è fondamentalmente la stessa topologia che viene implementata con NSX-V DLR e gateway Edge. Con NSX-T, non è presente alcuna configurazione del protocollo di instradamento dinamico tra T1 e T0. Viene utilizzato lo spazio di indirizzi IP RFC-1891 per la rete di sovrapposizione del carico di lavoro e di transito. Viene assegnato uno spazio dell'IP portatile pubblico e privato per l'utilizzo da parte del cliente. Viene assegnato uno spazio dell'IP portatile pubblico e privato IBM Cloud designato al T0 per l'utilizzo da parte del cliente.
-
Un gateway T0 è simile a un ESG. Fornisce connettività nord-sud tra reti fisiche e logiche, supporta il routing dinamico (BGP), ECMP e servizi stateful come Firewall, NAT e Load Balancing. Fornisce inoltre servizi distribuiti per l'instradamento est-ovest. ↩︎
-
Un gateway T1 è come un gateway T0, ma normalmente non contiene uplink per la connessione a una rete fisica. Il suo uplink lo collega a un segmento di overlay auto-impiantato con il gateway T0. Un T1 supporta rotte statiche, NAT, bilanciamento del carico e VPN IPsec. ↩︎