IBM Cloud Docs
与 NSX 一起使用网关集群的架构模式

与 NSX 一起使用网关集群的架构模式

在 IBM Cloud® 经典基础架构中部署 VMware Cloud Foundation for Classic - Automated 实例时,可以选择部署网关群集。

例如,网关群集可以承载 Juniper® vSRX, Fortinet® FortiGate® 或其他第三方路由器或防火墙。 您可以通过 网关设备 配置来控制哪些 VLAN 与在其上运行的路由器或防火墙相关联。

网关群集不得与 NSX 边缘群集混合,后者由 VMware NSX™ 边缘传输节点组成。 网关群集为托管瞻博网络vSRX,Fortinet FortiGate,或其他第三方路由器或防火墙提供计算能力。 VLAN 路由可通过 gateway 设备配置IBM Cloud Classic 门户来控制。

使用 NSX 部署网关群集

下图概述了利用 NSX 部署网关群集的架构模式。

配备
的网关群集配备
的网关群集

以下列表是架构模式部署的概要:

  1. 您可以选择部署一个网关集群来托管瞻博网络vSRX或自己的路由或防火墙设备。 该群集通过中转网络连接到 IBM Cloud 专用网络和公共网络。
  2. vSRX 或第三方设备可通过它路由分配的 VLAN。 您可以从 IBM Cloud 门户选择要通过它路由的 VLAN。 您必须为设备、防火墙区域、规则和策略配置所需的 VLAN 接口和 IP 地址。
  3. 如果通过防火墙路由管理 VLAN,还可以确保管理工作负载(如 vCenter 和 NSX 管理器)的安全。 确保您的管理允许流量。
  4. 您的工作负载 T0 连接到 IBM Cloud 专用网络。 如果通过防火墙路由此 VLAN,请在防火墙和 T0 上添加所需的规则。
  5. 您的工作负载 T0 连接到 IBM Cloud 公共网络。 如果通过防火墙路由此 VLAN,请在防火墙和 T0 上添加所需的规则。
  6. 如果需要自定义路由行为,请更改自动化部署的路由,或在 T0 和 vSRX (或第三方设备)之间建立动态路由。

使用 NSX 为网关群集订购新 VLAN

在某些设计中,可能需要额外的 VLAN,尤其是网关集群。 在 IBM Cloud 中,您可以为经典 NSX 网络部署配置额外的 VLAN。 虽然新 VLAN 可以通过 IBM Cloud 订购,但 VMware vSphere® 网络和 NSX 配置必须由您手动或通过脚本完成。

该架构模式展示了一个示例,说明如何为 NSX T0 网关的专用上行链路使用新 VLAN。 VLAN 标记的设计和配置非常重要,可使 VLAN ID 正确通过 vSphere 分布式虚拟交换机、NSX 边缘传输节点和边缘群集,直至在这些组件上运行的 T0 网关。

使用网关群集添加 VLAN
Adding VLANs with gateway cluster

  1. 在本例中,您部署了一个可选的网关群集,以托管瞻博网络 vSRX (或您自己的路由或防火墙设备)。 该群集通过无标记的中转网络连接到 IBM Cloud 专用网络和公共网络。 这些中转网络用于静态路由,通过网关集群上的防火墙路由公共和私有流量。
  2. 通过为网关群组分配 VLAN,您可以通过 vSRX(或第三方设备)关联和路由流量。 您可以使用 IBM Cloud 经典门户选择要分配的 VLAN 并通过它路由。 您必须为 vSRX 或第三方设备手动配置所需的 VLAN 接口和 IP 地址、相关防火墙区域、规则和策略。 通过 VLAN 关联和路由的每个接口都会被标记为网关集群集群分布式端口组中的特定 VLAN ID。 因此,在防火墙设备配置中也必须使用 VLAN 标记接口。
  3. 在本例中,在专用网络中订购了一个新的 VLAN,但在公用网络中也可以遵循相同的流程和逻辑。 主要专用 VLAN 和公用 VLAN 不带标记(VLAN 0),而所有其他额外 VLAN 都带标记(例如上例中的 VLAN 2222 或 3333)。 这种标记必须在群集的分布式端口组中进行处理。 此外,您必须通过 IBM Cloud 控制台(经典基础架构 > 网络 > 网关设备)手动请求将这些 VLAN 中继到 ESXi 主机,以便在特定 vSphere 集群上运行的 NSX 边缘节点虚拟机可以访问这些 VLAN。 此外,如果向群集添加新主机,必须自行处理中继,以避免出现连接问题。
  4. 边缘传输节点虚拟机 (VM) 内部使用专用 N-VDS 主机交换机,边缘节点的虚拟网络接口连接到 vSphere 分布式端口组,例如专用 VLAN 上行链路。 边缘传输节点的专用上行链路必须连接到集群分布式端口组,允许新的 VLAN ID 通过。 如果需要,您可以指定或限制此中继端口组上允许的 VLAN。
  5. 工作负载 T0 网关(托管在边缘节点上)的专用上行链路连接到 IBM Cloud 专用网络。 默认专用 VLAN 上行链路连接到无标记 VLAN 网段(VLAN 0)。 为新的上行链路配置 T0 网关时,必须为上行链路创建一个与 VLAN ID(例如 VLAN 3333)相匹配的新 VLAN 备份 NSX 网段,并在上行链路配置中使用该网段。
  6. 除了专用侧,您的边缘传输节点虚拟机还使用公用 N-VDS 主机交换机,该交换机有一个指向无标记 VLAN(VLAN 0)的非集群分布式端口组,默认情况下只提供对该无标记 VLAN 的访问。 如果需要新的公共 VLAN,这一细节非常重要。
  7. 工作负载 T0 网关通过其公共上行链路连接到 IBM Cloud 公共网络。 主公用 VLAN 上行链路连接到无标记 VLAN 网段(VLAN 0),并为公用上行链路创建一个匹配的 VLAN 后备网段(默认设置为 VLAN 0)。

注意事项

在设计或部署这种架构模式时,请考虑以下步骤:

  • 有关与 VMware® ESXi™ 和 NSX™ 的互操作性,请参阅特定第三方供应商硬件和软件规范。
  • 您必须为第三方路由器或防火墙解决方案提供许可(BYOL)。 详情请咨询供应商。