IBM Cloud Docs
在 VMware Cloud Foundation for Classic - Automated 实例上部署第三方路由器的架构模式

在 VMware Cloud Foundation for Classic - Automated 实例上部署第三方路由器的架构模式

VMware Cloud Foundation for Classic - Automated 经典基础架构中的 IBM Cloud® 实例上,您的工作负载在 VMware NSX™ 叠加网络上部署和运行。 作为部署的一部分,自动化部署了一个 NSX 拓扑示例。 您可以使用已配置的示例作为基础,也可以在叠加上构建自己的拓扑结构。 这些覆盖网络不会自动向 IBM Cloud 经典基础架构网络发布广告。

VMware Cloud Foundation for Classic - Automated 实例部署在 IBM Cloud 经典基础架构上。 默认情况下,会部署两个 IBM Cloud 专用 VLAN 和一个 IBM Cloud 公共 VLAN(可选)。 除了 VLAN 外,还在其上部署了 NSX T0 Gateway,并带有两个接口,分别为专用接口和公用接口(可选)。 如果选择公用,公用上行链路接口将连接到公用 VLAN,并可直接访问互联网。 您的 T0 专用接口连接到专用 VLAN,并使用 IBM Cloud 便携式专用 IP。

架构模式介绍了集成第三方路由器、防火墙或其他网络设备的连接模式。 它们在 VMware 上作为虚拟设备运行,并带有基于 NSX 的标准 VMware Cloud Foundation for Classic - Automated 实例。

在网关群集中部署第三方路由器

在 IBM Cloud 经典基础架构中部署 VMware Cloud Foundation for Classic - Automated 实例时,可以选择部署网关群集。 该群集可托管第三方路由器或防火墙。 您可以控制哪些 VLAN 通过路由器或防火墙路由。

网关群集不得与由 NSX 边缘传输节点组成的 NSX 边缘群集混用。 网关群集为第三方路由器或防火墙提供计算能力,VLAN 路由可由 IBM Cloud 经典网络中的 网关设备配置 控制。

在网关群集的第三方路由器或防火墙中部署第三方路由器
Deploying third-party router in third-party router or firewall in gateway cluster

该架构模式部署概述如下:

  1. 您可以选择部署一个网关群集来托管自己的路由或防火墙设备。 该群集通过中转网络连接到 IBM Cloud 专用网络和公共网络。
  2. 第三方设备可通过它路由分配的 VLAN。 您可以在 IBM Cloud 门户上选择通过它路由的 VLAN。 您必须为设备配置所需的 VLAN 接口和 IP 地址,以及防火墙区域、规则和策略。
  3. 如果通过防火墙路由管理 VLAN,还可以确保管理工作负载(如 vCenter 和 NSX 管理器)的安全。 确保您的管理允许流量。
  4. 您的工作负载 T0 连接到 IBM Cloud 专用网络。 如果通过防火墙路由此 VLAN,请在防火墙和 T0 上添加所需的规则。
  5. 您的工作负载 T0 连接到 IBM Cloud 公共网络。 如果通过防火墙路由此 VLAN,请在防火墙和 T0 上添加所需的规则。
  6. 如果需要自定义路由行为或在 T0 和第三方设备之间建立动态路由,请更改自动化部署的路由。

在融合集群或管理集群中部署第三方路由器或防火墙

当您在 VMware Cloud Foundation for Classic - Automated 经典基础架构中部署 IBM Cloud 实例时,您可以选择部署瞻博网络 vSRX 或在融合集群或管理集群上托管第三方路由器或防火墙。 如果防火墙支持 VLAN 或 NSX overlay,您可以通过多种方式将防火墙与覆盖拓扑集成。

在这种模式下,您无法控制哪些 VLAN 通过防火墙上运行的路由器或防火墙进行路由。

在融合集群或管理集群中部署第三方路由器或防火墙
Deploying third-party router or firewall in converged or management clusters

该架构模式部署概述如下:

  1. 根据网络首选项的选择,您的 VMware Cloud Foundation for Classic - Automated 实例将同时部署公共和专用连接,或仅部署专用连接。
  2. 您可以选择部署一个网关集群来托管瞻博网络vSRX或自己的路由或防火墙设备。 在这种情况下,您可以将公用和专用 VLAN 置于防火墙后面。
  3. 您可以通过引入自己的许可证并遵循特定第三方供应商提供的硬件和软件指导,在 vCenter Server 集群中部署第三方网络设备。 与供应商讨论技术细节。
  4. 您可以将第三方网络设备或路由器集成到服务插入中。 通过服务插入,您可以将第三方服务应用于南北向流量和通过路由器的东西向流量。 这些服务通常提供高级安全功能,如入侵检测系统 (IDS) 或入侵防御系统 (IPS)。
  5. 使用服务插入并部署服务实例后,可以配置路由器重定向到服务的流量类型。 配置流量重定向与配置防火墙类似。
  6. 或者,您可以将设备添加到南北流量路径中,并自定义 NSX 客户拓扑。 请联系第三方供应商,讨论所需的网络拓扑结构,例如路由器模式与透明模式。

下图展示了该模式的路由拓扑和路由。

融合集群或管理集群中带有第三方路由器或防火墙的网络拓扑
Network topology with third-party router or firewall in converged or management clusters

该架构模式部署概述如下:

  1. 您可以通过引入自己的许可证并遵循特定第三方供应商提供的硬件和软件指导,在 vCenter Server 集群中部署第三方网络设备。 与供应商讨论技术细节。
  2. 您可以使用 IBM Cloud 专用 VLAN 将设备的专用接口连接到 IBM Cloud 专用网络。 您可以为设备使用 IBM Cloud 专用便携式 IP 地址。
  3. 您可以将设备的公共接口连接到 IBM Cloud 公共网络。 您可以为设备使用 IBM Cloud 公共便携式 IP 地址。
  4. 您可以删除或禁用 T0 上的公共上行链路。 如果这样做,也要删除默认路由。
  5. 在 T0 和第三方设备之间为转接网络创建 NSX 叠加网段。 在第三方设备中添加 T0 上行链路和接口,并在它们之间建立静态或动态路由。
  6. 根据通信需求,将默认网络、IBM Cloud 专用网络和 IBM Cloud 服务网络添加到设备路由定义中。
  7. 如有需要,您可以从公共可移植子网中重新分配更多 IP,或为您的覆盖订购新的公共静态子网。 对于公共静态子网,在订购时应附带第三方设备的 VIP,以应对故障情况。

注意事项

在设计或部署这种架构模式时,请考虑以下步骤:

  • 有关与 VMware ESXi™ 和 NSX 的互操作性,请参阅特定第三方供应商硬件和软件规范。
  • 这种方法仅在第三方解决方案许可方面支持 BYOL。 请联系您的供应商了解许可详情。