vCenter 服务器部署默认连接选项的架构模式
在 VCF for Classic - Automated 经典基础架构中部署 IBM Cloud® 实例时,部署由许多网络构造和 VMware® 管理组件组成。
该架构模式概述了标准部署的标准专用和公用连接选项。 此模式还包括标准 VMware Cloud Foundation for Classic - Automated 组件、基本群集类型和作为 IBM Cloud 自动化一部分部署的客户拓扑的概述。
vCenter 组件概览
在 IBM Cloud 经典基础架构中部署 VCF for Classic - Automated 实例时,部署由下图所示的组件组成。
以下步骤概述了标准部署。
- 根据网络首选项的选择,您的实例将同时部署公共连接和专用连接,或仅部署专用连接。
- 选择后,VCF for Classic - Automated 实例可使用各种裸机服务器硬件选项进行部署。 您可以选择初始部署包括一个合并群集或单独的管理和工作负载群集。 您可以选择部署一个网关群集来托管瞻博网络® vSRX或自己的路由或防火墙设备。 初次部署后,可通过在现有群集中添加更多主机或添加新群集来扩展解决方案。
- 群集可以有多个数据存储。 您可以使用带有本地 SSD 的 VMware vSAN™ 或 IBM Cloud File Storage for Classic (NFS),其中您可以拥有一个或多个具有不同性能和大小特性的 LUN。 您可以根据需要扩大容量。
- 自动化会在管理集群或合并集群上部署 vCenter Server 设备。 您的 vCenter 服务器的 IP 地址来自 IBM Cloud 经典基础架构提供的
10/8
地址空间。 - 自动化部署了三个 VMware 管理器,并形成了一个集群,该集群使用NSX虚拟IP实现高可用性(HA)。 您的 NSX 管理器的 IP 地址来自 IBM Cloud 经典基础架构提供的
10/8
地址空间。 - 自动化部署了一个 Active Directory 用于身份验证和名称解析。 您可以选择 IBM Cloud IaaS 虚拟机管理程序中的单个 Windows 虚拟服务器实例,或 VMware 管理群集上的两个高度可用的专用 Windows Server 虚拟机(自带许可证)。
- 自动化会在部署中部署四个边缘节点,并形成两个 NSX 边缘群集--服务边缘群集和工作负载边缘群集。
- 服务边缘群集用于托管服务 0 级网关,为管理组件提供网络连接服务。
- 工作负载边缘集群为工作负载的 0 级和 1 级网关提供主机服务。 自动化系统提供了一个带一级网关的预定义重叠网络拓扑示例。 您可以通过更改或删除示例分段或添加新的分段,根据自己的要求对其进行定制。
vCenter 集群
vCenter Server 部署可能由多个群集组成。 下图概述了主要的群组类型。
这种聚类可归纳如下:
- 您可以选择初始部署包括一个合并群集或单独的管理和工作负载群集。
- 您可以选择部署一个网关集群来托管瞻博网络vSRX或自己的路由或防火墙设备。
- 初始部署后,您可以通过向现有群集添加更多主机、添加新群集或向实例添加 NFS 存储来扩展解决方案。
- 每个群集可能有不同的裸机服务器硬件选项和不同的存储选项。
- 自动化会在部署中部署四个边缘节点,并形成两个 NSX 边缘群集--服务边缘群集和工作负载边缘群集。
- 服务边缘群集用于托管服务 0 级网关,为管理组件提供网络连接服务。
- 工作负载边缘集群为工作负载的 0 级和 1 级网关提供主机服务。 自动化系统提供了一个带 1 级网关的预定义重叠网络拓扑示例。 您可以通过更改或删除示例分段或添加新的分段,根据自己的需要对其进行定制。
网关群集不得与 NSX 边缘群集混合,后者由 VMware NSX™ 边缘传输节点组成。 网关群集为托管瞻博网络vSRX,Fortinet FortiGate,或其他第三方路由器或防火墙提供计算能力。 VLAN 路由可通过 gateway 设备配置IBM Cloud Classic 门户来控制。
NSX 拓扑
在 IBM Cloud 经典基础架构中部署 VCF for Classic - Automated 实例时,将获得下图所示的默认网络拓扑。
默认拓扑结构可概括如下:
- 根据网络首选项的选择,您的实例将同时部署公共连接和专用连接,或仅部署专用连接。
- 该自动化会在 NSX 工作负载边缘群集中部署一个 NSX Tier 0 (T0)网关。 T0 网关会同时连接到 IBM Cloud 专用网络和公共网络,或根据选择只连接到 IBM Cloud 专用网络。
- 该自动化部署了一个 NSX 叠加拓扑示例,其中包含一个 1 级 (T1) 网关和几个连接到 T1 和 T0 网关的叠加网段示例。 您可以根据自己的需要定制拓扑结构。
- T1 和 T0 网关防火墙中有用于专用或公用连接的默认防火墙规则(拒绝任何)和 SNAT/DNAT 规则示例。 您必须对它们进行定制,以满足您的需求。
- 已部署的 T0 网关有一条指向互联网的默认路由
0.0.0.0/0
,下一跳是 FCR。 - 已部署的 T0 网关拥有到 IBM Cloud 专用网络
10.0.0.0/8
和 IBM Cloud 服务网络166.8.0.0/14
和161.26.0.0/16
的路由,BCR 为下一跳。 - IBM Cloud 服务在使用 IBM Cloud 专用网络地址时,可通过 IBM Cloud 专用网络使用云服务端点到达。 您需要 SNAT 才能访问这些端点。
专用连接
在 IBM Cloud 经典基础架构中部署 VCF for Classic - Automated 实例时,将获得下图所示的默认专用网络拓扑。
{: caption="访问 * 专用网络访问IBM Cloud专用" caption-side="bottom"}
私人连接模式概述如下:
- 该自动化会在 NSX 工作负载边缘群集中部署一个 NSX Tier 0 (T0)网关。 T0 网关提供与 IBM Cloud 专用网络的连接。
- 已部署的 T0 网关有一条通往 IBM Cloud 专用网络
10.0.0.0/8
和 IBM Cloud 服务网络166.8.0.0/14
和161.26.0.0/16
的路由,BCR 为下一跳。 - 该自动化部署了一个 NSX 叠加拓扑示例,其中包含一个 1 级 (T1) 网关和连接到 T1 和 T0 网关的几个示例网段。 您可以根据自己的需要定制拓扑结构。
- IBM Cloud 服务在使用 IBM Cloud 专用网络地址时,可通过 IBM Cloud 专用网络使用云服务端点到达。
- 在 NSX 叠加网络上使用 BYOIP 时,必须在 T0 或 T1 上使用 SNAT。 如果在 T1 上使用 SNAT,则可以将 NAT IP 地址从 T1 发送到使用代理 arp 的 T0 上。
- 您可以在 T0 网关上创建 DNAT 规则,以便从 IBM Cloud 专用网络访问工作负载。
- 您可以将为 NSX Edge Uplinks 部署的 IBM Cloud 私有可移植子网中的 IP 地址用于 NAT。 另外,您还可以订购 IBM Cloud 专用静态子网,将其路由至 T0 的专用 HA VIP,以用于 NAT 或网段。
公共连接
在 IBM Cloud 经典基础架构中部署 VCF for Classic - Automated 实例时,将获得下图所示的默认公共网络拓扑。
{: caption="访问 * 公共网络访问IBM Cloud公共" caption-side="bottom"}
公共连接模式概述如下:
- 该自动化会在 NSX 工作负载边缘群集中部署一个 NSX Tier 0 (T0)网关。 T0 网关提供与 IBM Cloud 公共网络的连接。
- 已部署的 T0 网关有一条指向互联网的默认路由
0.0.0.0/0
,下一跳是 FCR。 - 该自动化部署了一个 NSX 叠加拓扑示例,其中包含一个 1 级 (T1) 网关和连接到 T1 和 T0 网关的几个示例网段。 您可以根据自己的需要定制拓扑结构。
- 您可以使用IBM Cloud专用便携式子网中的 IP 地址,该子网部署用于 NSX Edge Uplinks 的 NAT 或 NSX 网络服务(例如 IPsec VPN)。
- 自动化部署出站互联网访问 SNAT 规则示例。 您可以根据自己的需要定制和删除这些规则。
- 您可以配置 DNAT 规则,以便通过互联网访问连接到 NSX 网段的工作负载。
- 您可以为 HA VIP 订购 IBM Cloud 公共静态子网,以便将公共子网直接分配给 NSX 网段。 它们通过 T0 公共上行链路 HA VIP 路由。