带有专用连接选项的 vCenter 服务器部署的架构模式
在 VCF for Classic - Automated 经典基础架构中部署 IBM Cloud® 实例时,部署由许多网络构造和 VMware® 管理组件组成。
这些架构模式概述了VMware Cloud Foundation for Classic - Automated部署的几种私有连接选项。
通过自动化部署专用连接
在 IBM Cloud 经典基础架构中部署 VCF for Classic - Automated 实例时,将获得下图所示的默认专用网络拓扑。
下面的列表总结了私有连接模式。
- 该自动化会在 NSX 工作负载边缘群集中部署一个 NSX Tier 0 (T0)网关。 T0 网关提供与 IBM Cloud 专用网络的连接。
- 已部署的 T0 网关有一条通往 IBM Cloud 专用网络
10.0.0.0/8和 IBM Cloud 服务网络166.8.0.0/14和161.26.0.0/16的路由,BCR 为下一跳。 - 该自动化部署了一个 NSX 叠加拓扑示例,其中包含一个 1 级 (T1) 网关和连接到 T1 和 T0 网关的几个示例网段。 您可以根据自己的需要定制拓扑结构。
- IBM Cloud 服务在使用 IBM Cloud 专用网络地址时,可通过 IBM Cloud 专用网络使用云服务端点到达。
- 在 NSX 叠加网络上使用 BYOIP 时,必须在 T0 或 T1 上使用 SNAT。 如果在 T1 中使用 SNAT,则可以将 NAT IP 地址从 T1 公告到使用代理 ARP 的 T0 中。
- 您可以在 T0 网关上创建 DNAT 规则,以便从 IBM Cloud 专用网络访问工作负载。
- 您可以将为 NSX Edge 上行链路部署的 IBM Cloud 私有可移植子网中的 IP 地址用于 NAT。 或者,您可以订购 IBM Cloud 专用静态子网,这些子网将路由T0 专用高可用性 (HA) VIP,用于 NAT 或分段。
入口专用连接
通过 NAT 或使用覆盖隧道,可实现与 NSX 覆盖的专用入口连接。 您可以将为 T0 专用上行链路配置的专用可移植子网中的 IP 地址用于这些用例。
以下步骤总结了这种架构模式的部署。
-
该自动化会在 NSX 工作负载边缘群集中部署一个 NSX T0 网关。 T0 网关提供与 IBM Cloud 专用网络的连接。
-
该自动化部署了一个 NSX 叠加拓扑示例,其中包含一个 T1 网关和连接到 T1 和 T0 网关的几个示例网段。 您可以根据自己的需要定制拓扑结构。
-
工作负载 T0 网关有一个连接到 IBM Cloud 私有 VLAN 的私有上行链路,该 VLAN 有三个 IP 地址,两个用于边缘 1 和边缘 2 中的上行链路,一个用于 HA VIP。 使用专用便携式子网的网络掩码配置接口。
NSX T0 上行链路不支持辅助 IP 地址。
-
您可以在 T0 或 T1 上为入口访问配置 DNAT 规则,或通过使用 T0 上行链路中配置的私有便携子网的 IP 地址,为来自 NSX overlay 的出口访问配置 SNAT。 您还可以配置负载平衡器 VIP、IPsec 或 L2 VPN。 这些地址都作为
/32主机 IP 地址发布。 您需要在 T1 网关上启用路由广告,以便 T0 知道这些 IP 地址,而且它们必须出现在 T0s 路由表中。 -
T0 网关在上行链路子网中对每个
/32IP 地址使用代理 ARP。 BCR 只能将入口流量路由到这些 IP 地址。 要检查 T0 的路由表,请使用 NSX GUI 或登录 NSX 边缘节点及其 T0 服务路由器 (SR) VRF。 IBM Cloud私有静态子网,整个子网都会路由到覆盖。
与网关群组的入口专用连接
通过 NAT 或使用覆盖隧道,可实现与 NSX 覆盖的专用入口连接。 您可以将为 T0 专用上行链路配置的专用可移植子网中的 IP 地址用于这些用例。 如果瞻博网络vSRX在 网关群集 上运行,您也可以将便携式 IP 地址路由到T0 HA VIP,并在覆盖中使用便携式 IP 子网。
![通过网关](../../images/arch-pattern-nsx-t-private-access-ingress-vsrx.svg "对IBM CloudNSX 叠加的专用入口访问通过网关集群对IBM CloudNSX 叠加的专用入口访问通过网关集群对 * NSX 叠加的专用入口访问*通过网关" caption-side="bottom"}对IBM CloudNSX 叠加的"){: caption="入口访问
以下列表总结了这种架构模式的部署。
-
该自动化会在 NSX 工作负载边缘群集中部署一个 NSX T0 网关。 T0 网关提供与 IBM Cloud 专用网络的连接。 通过网关群集,该上行链路 VLAN 可以通过防火墙路由,例如瞻博网络 vSRX。
-
该自动化部署了一个 NSX 叠加拓扑示例,其中包含一个 T1 网关和连接到 T1 和 T0 网关的几个示例网段。 您可以根据自己的需要定制拓扑结构。
-
工作负载 T0 网关有一个连接到 IBM Cloud 私有 VLAN 的私有上行链路,该 VLAN 有三个 IP 地址,两个用于边缘 1 和边缘 2 中的上行链路,一个用于 HA VIP。 使用专用便携式子网的网络掩码配置接口。
NSX T0 上行链路不支持辅助 IP 地址。
-
当您向由 vSRX, BCR 会通过其中转 VLAN 将该子网路由到 vSRX。
-
您可以将该子网路由到 NSX T0 HA VIP,而不是将该子网配置为 vSRX, 中接口的辅助 IP 地址。
-
然后,您可以将该子网分段或其中的特定 IP 地址用于 NAT 规则、负载平衡器 VIP 或 VPN 端点。
通过直接连接实现私人连接
vCenter 服务器的专用连接可使用 IBM Cloud Direct Link 和隧道。 此解决方案适用于 基于 NSX 的 VCF for Classic - Automated 实例,该实例在 IBM Cloud 经典基础架构中配置。 您可以选择使用 Gateway Appliance 或 vCenter 服务器网关群集,并将瞻博网络 vSRX 或其他设备作为解决方案的一部分。
该隧道在 NSX T0 和可通过 Direct Link 路由的客户路由器之间建立。 如果网关群集中使用了 vSRX 或其他第三方设备,也可以在这些设备中终止隧道。 在这种情况下,NSX T0 通过 BGP 或静态路由在 vSRX (或其他第三方设备)中宣传路由。
有关此架构模式的更多信息,请参阅 Architecture pattern for using IPsec over Direct Link with a vCenter Server with NSX instance。
通过过境网关实现私人连接
可使用 IBM Cloud® Transit Gateway 建立混合云连接。 此解决方案适用于基于 NSX 的 VCF for Classic - Automated 实例,该实例在 IBM Cloud 经典基础架构中配置。 这种模式需要使用支持 GRE 的 网关设备 或 网关群集,以及瞻博网络 vSRX 或其他第三方设备。 在此解决方案中,该设备与特定区域的转接 GW 路由器之间建立了 GRE 隧道。 NSX T0 通过 vSRX (或其他设备)向 Transit Gateway 广告路由。
有关此架构模式的更多信息,请参阅 Architecture pattern for using Transit Gateway with a vCenter Server with NSX instance。