通过带有 NSX 实例的 Direct Link 服务器在 vCenter 上使用 IPsec 的架构模式
在 VMware Cloud Foundation for Classic - Automated 经典基础架构中的 IBM Cloud® 实例上,您的工作负载在 VMware NSX™ 叠加网络上部署和运行。 作为部署的一部分,自动化部署了一个 NSX 拓扑示例。 您可以使用已配置的示例作为基础,也可以在叠加上构建自己的拓扑结构。 这些覆盖网络不会自动向 IBM Cloud 经典基础架构网络发布广告。
此架构模式为 VMware Cloud Foundation for Classic - Automated 提供了使用 IBM Cloud Direct Link 和隧道的专用连接。 此解决方案适用于 基于 NSX 的 VCF for Classic - Automated 实例,该实例在 IBM Cloud 经典基础架构中配置。 您可以将 Gateway Appliance 或 vCenter 服务器网关群集与瞻博网络® vSRX 或其他设备一起作为解决方案的一部分。
该隧道在 NSX T0 和可通过 Direct Link 路由的客户路由器之间建立。 如果网关群集中使用了 vSRX 或其他第三方设备,也可以在这些设备中终止隧道。 在这种情况下,NSX T0 通过 BGP 或静态路由在 vSRX (或其他第三方设备)中宣传路由。
使用 vCenter Server 和 NSX 通过 Direct Link 部署 IPsec
下图概述了通过 Direct Link 与 vCenter Server 和 NSX 部署 IPsec 的架构模式。
该架构模式部署概述如下:
- VCF for Classic - Automated 实例部署在 IBM Cloud 经典基础架构上。 部署了两个 IBM Cloud 专用 VLAN 和一个 IBM Cloud 公共 VLAN(可选)。 每个子网都承载多个子网。 您可以在 IBM Cloud for VMware Solutions 门户上查看详情。
- NSX T0部署有两个接口--专用接口和公用接口(可选)。 如果选择公共接口,该接口将连接到公共 VLAN 并可直接访问互联网。 T0 的专用接口连接到专用 VLAN,并使用 IBM Cloud 便携式专用 IP。
- 如果 vCenter 服务器网关群集与 vSRX (或其他第三方设备)或 IBM Cloud Gateway Appliance 部署到您的经典基础架构,您必须配置 VCF for Classic - Automated 实例的私有主 VLAN。 必须通过 vSRX 或 Gateway Appliance路由。 此外,在 NSX T0 和 vSRX, 之间建立路由,例如 BGP。
- 在您的 IBM Cloud 数据中心或区域位置创建 Direct Link 并将您的经典网络作为连接。 使用本地路由选项(或使用全局选项)对区域内的所有经典网络进行广告宣传。
- 在客户路由器与 vSRX 或 Gateway Appliance 专用 IP(IBM Cloud 专用便携式)之间配置策略或基于路由的 IPsec 连接。 确保T0、vSRX,或Gateway Appliance有一条通往此隧道端点的路由。 IBM Cloud 专用网络和 Direct Link 支持大 MTU。
- 您可以通过 BGP 交换路由,也可以通过隧道在覆盖和内部客户路由器之间交换静态路由。
- 您可以将任何其他所需的 VPC 连接附加到 Direct Link 上,例如 VPC。 您的 VPC IP 地址分配设计必须确保不与附加的经典网络或 NSX 覆盖网络重叠。
Direct Link 不提供 VPC 与 classic 之间的直接连接。 不过,根据您的路由设置,也可以在客户路由器上进行发针。 或者,在这种情况下使用中转网关。
注意事项
在设计或部署这种架构模式时,请考虑以下步骤:
- 建议使用基于路由的 IPsec VPN 进行动态路由选择。
- IPsec 隧道也可以终止到 Tier-1 网关。 在这种情况下,只支持基于策略的 VPN。 此外,确保 VPN 端点在 IBM Cloud 经典网络中已知并路由(例如,为 T1 VPN 端点使用私有便携子网中的
/32
)。