VMware NSX-T 设计
VMware® NSX-T™ 旨在解决具有异构端点和技术堆栈的应用框架和架构问题。 除了 VMware vSphere®,这些环境还可以包括其他虚拟机监控程序、KVM、容器和裸机服务器。 NSX-T旨在跨越软件定义的网络和安全基础设施,而不仅仅是 vSphere。 虽然可以在不需要 vSphere 的情况下部署 NSX-T 组件,但此设计主要关注的是 NSX-T 及其在 vCenter Server vSphere 自动部署中的集成。
从版本 3 开始,NSX-T 可以在 vSphere 虚拟分布式交换机 (VDS) 版本 7.0 上运行。 VMware NSX 和 vSphere 的所有新部署都使用 VDS 上的 NSX-T,不再使用 N-VDS。 从NSX-T 2.4 开始,管理器虚拟机(VM)和控制器虚拟机(VM)的功能被合并。 因此,部署了三个控制器或管理器虚拟机。 如果位于同一子网中,则使用内部网络负载均衡器。 如果位于不同子网上,那么需要外部负载均衡器。
NSX-T 带来了许多高级功能,如防火墙策略、在防火墙策略中加入访客自省功能以及高级网流跟踪。 对这些功能的描述超出了本文档的范围。 在此设计中,NSX-T管理基础设施在初始 vCenter Server®集群部署期间部署。 有关 NSX-T 的更多信息,请参阅 VMware NSX 文档。
NSX-T 与 NSX-V
对于 VMware vSphere 网络 NSX (NSX-V),请查看以下具有与 NSX-V 对应对象类似功能的 NSX-T 对象。 此外,还讨论了 vSphere 环境中的局限性和差异。
下表列出了 NSX-T 和 NSX-V 之间的典型对应功能。
| NSX-V 或 vSphere 本机 | NSX-T |
|---|---|
| NSX 传输专区 | 传输专区(覆盖或支持 VLAN) |
| 端口组 (VDS) | 网段或逻辑交换机 |
| VXLAN(L2 封装) | GENEVE(L2 封装) |
| 边缘网关 | Tier-0 (T0) 网关[1] |
| 分布式逻辑路由器 | Tier-1 (T1) 网关[2] |
| ESXi 服务器 | 传输节点(ESXi、KVM、裸机 T0 网关) |
通过 NSX-T,您可以使用 Tier-0 (T0) 网关和 Tier-1 (T1) 网关。 虽然在上一节中,它们相当于 NSX-V 边缘服务网关(ESG)和分布式逻辑路由器(DLR),但这并不完全准确。
NSX-T 引入了两个新概念:分布式路由器(DR)和服务路由器(SR)。
| 路由器类型 | 功能 |
|---|---|
| 分布式路由器 | 提供基本的数据包转发和分布式东西向路由功能 跨所有传输节点 在 ESXi 上作为内核模块运行 |
| 服务路由器 |
提供网关服务
|
某些关键的 NSX-T 概念与 NSX-V 功能不对应。 您需要复习以下概念,以便理解 NSX-T 的设计实现。
- 网关集群是指参与NSX-T虚拟结构的1个或多个虚拟机或物理机。 它们是用于覆盖网络传输专区和支持 VLAN 的传输专区的端点。 网关群集可支持单个 T0 网关实例。
- T0 网关是一种虚拟路由器实例,但不是虚拟机。 多个 T0 网关实例可以在网关集群中运行,每个实例都有自己的路由表和功能。 在创建 T0 路由器实例之前,网关群集必须存在。
- 传输专区可以跨不同平台上的端点以及多个 vSphere vCenter 实例。 无需cross-vCenter链接 NSX。 可以排除特定端点中的传输专区。
- 上行链路故障转移顺序独立于特定逻辑交换机创建,因为它们是以概要文件形式创建为“上行链路概要文件”,并且应用于基于 VLAN 的特定逻辑交换机。 同一 VLAN 可能需要不同的故障转移顺序或物理上行链路负载平衡。 因此,特定 VLAN 的上行链路配置文件可以包含多个具有不同故障切换顺序和负载平衡的 "Teaming "条目。 当您将上行配置文件分配给逻辑交换机时,将选择特定的团队配置文件。
- 管理器虚拟机和控制器虚拟机功能合并后,部署了三个 NSX-T 管理器虚拟机。 如果位于同一子网中,则使用内部网络负载均衡器。 如果位于不同子网上,那么需要外部负载均衡器。
资源需求
在此设计中,NSX-T控制器管理器虚拟机部署在管理集群上。 此外,每个控制器管理器都会从专用可移植地址块中分配一个 VLAN 支持的 IP 地址。 该地址块指定用于管理组件,并与第 0 节中讨论的 DNS 和 NTP 服务器一起配置。 NSX Manager 安装概要如下表所示。
| 属性 | 规范 |
|---|---|
| NSX管理器或控制器 | 三个虚拟设备 |
| vCPU 数量 | 6 |
| 内存 | 24 GB |
| 磁盘 | 340 GB |
| 磁盘类型 | 自动精简配置 |
| 网络 | 专用 A |
下图显示了NSX经理在这个架构中与其他组成部分的关系。
![NSX-T 管理器网络概述](../../images/nsx-t-3-ra-diagrams-overview-vcs-v7-t3.svg "NSX-T 管理器网络概述NSX-T 管理器网络" caption-side="bottom"}"){: caption="管理器网络概述
部署注意事项
使用 NSX-T v3.x on vSphere VDS 交换机版本 7.0 时,ESXi 主机上不再需要 N-VDS。 当配置为传输节点时,您可以使用 v7 VDS,这将使合并群集成为更优化的设计。
在初始部署后,IBM Cloud® 自动化将在管理集群中部署三个NSX-T Manager虚拟设备。 将从指定用于管理组件的专用 A 可移植子网中为 Controller 分配支持 VLAN 的 IP 地址。 此外,会创建 VM-VM 反亲缘关系规则,以在集群中的各主机之间分隔 Controller。
您必须部署至少包含三个节点的管理集群,以确保管理人员或控制人员的高可用性。 除了管理人员之外,IBM Cloud 自动化还把部署的工作负载集群作为NSX-T传输节点。 ESXi传输节点分配一个VLAN支持的IP地址,该地址来自专用A便携式IP地址范围,该范围由NSX IP池指定,该IP池来自VLAN和子网摘要。 交通节点流量位于未标记的VLAN上,并被分配到私有NSX-T VDS。
根据您选择的 NSX-T 拓扑,您可以将 NSX-T 网关集群部署为一对虚拟机,也可以将其部署为裸机集群节点上的软件。 IBM Cloud 自动化不支持裸机边缘,必须手动部署和配置。 无论群集对是虚拟的还是物理的,上行链路都会配置到 IBM Cloud 专用网络和(如有)公共网络的 VDS 交换机。
下表总结了中等规模环境的要求,这是生产工作负载的推荐起始规模。
| 资源 | 管理器 x3 | 边缘服务 集群 x4 |
|---|---|---|
| 中等大小 | 虚拟设备 | 虚拟设备 |
| vCPU 数量 | 6 | 4 |
| 内存 | 24 GB | 8 GB |
| 磁盘 | 300 GB vSAN 或管理 NFS | 200 GB vSAN 或管理 NFS |
| 磁盘类型 | 自动精简配置 | 自动精简配置 |
| 网络 | 专用 A | 专用 A |
分布式交换机设计
该设计使用最小数量的 vDS 交换机。 管理集群中的主机连接到专用网络和(可选的)公共网络。 这些主机均配置有两个分布式虚拟交换机。 两个交换机的使用遵循的是用于将公用和专用网络分隔开的 IBM Cloud 网络实践。 NSX 和 vSphere 的所有新部署都利用了运行 vSphere VDS 交换机版本 7.0 的优势,从而实现了融合的 NSX-T 体系结构。
如上图所示,公共 VDS *instancename*-*clustername*-public 配置为公共网络连接,公共 VDS *instancename*-*clustername*-private 配置为专用网络连接。 不同类型的流量需要进行分隔,以减少争用和等待时间并提高安全性。
VLAN 用于对物理网络功能进行分段。 此设计使用三个 VLAN:两个用于专用网络流量,一个用于公用网络流量。 下表显示了流量分隔。
| VLAN | 名称 | 流量类型 |
|---|---|---|
| VLAN 1 | 专用 A | ESXi 管理、管理、Geneve (TEP)、边缘上行链路 |
| VLAN 2 | 专用 B | vSAN、NFS 和 vMotion |
| VLAN 3 | 公用 | 可用于因特网访问 |
对于可选的两个主机网关群集,该设计使用两个 VLAN:一个用于专用网络流量,另一个用于公共网络流量。 这种群集类型使用本地磁盘作为数据存储。 因此,您不需要单独的存储流量。 此外,根据设计,NSX-T Geneve(TEP)流量被排除在外。 下表显示了该群集类型 VLAN 之间的流量分隔。
| VLAN | 名称 | 流量类型 |
|---|---|---|
| VLAN 1 | 专用传输 | 专用中转 VLAN、ESXi 管理和 vMotion |
| VLAN 2 | 公共传输 | 公共传输 VLAN |
命名约定
部署时使用以下命名约定。 为便于阅读,仅使用具体命名。 例如,instancename-dcname-clustername-tz-edge-private 被称为 tz-edge-private。
| 描述 | 命名标准 |
|---|---|
| 管理 VM | instancename-nsxt-ctrlmgr0instancename-nsxt-ctrlmgr1instancename-nsxt-ctrlmgr2 |
| 上行链路概要文件 | instancename-esxi-private-profileinstancename-esxi-public-profileinstancename-edge-private-profileinstancename-edge-public-profileinstancename-edge-tep-profileinstancename-mgmt-edge-private-profileinstancename-mgmt-edge-public-profileinstancename-mgmt-edge-tep-profile |
| NIOC 概要文件 | instancename-clustername-nioc-private-profileinstancename-clustername-nioc-public-profile |
| 网关群组配置文件 | instancename-dcname-clustername-service-edge-cluster-profileinstancename-dcname-clustername-service-edge-cluster-profile |
| 传输专区 | instancename-tz-esxi-privateinstancename-tz-esxi-publicinstancename-tz-vm-overlayinstancename-tz-edge-privateinstancename-tz-edge-public |
| 分段 | instancename-podname.dcname-customer-t0-172-16-16-0instancename-podname.dcname-customer-t1-192-168-0-0instancename-podname.dcname-customer-t1-192-168-1-0instancename-podname.dcname-customer-to-privateinstancename-podname.dcname-customer-to-publicinstancename-podname.dcname-service-to-privateinstancename-podname.dcname-service-to-publicinstancename-clustername-edge-teps |
| IP 地址池 | instancename-clustername-tep-pool |
| 传输节点概要文件 | instancename-podname.dcname-clustername-esxi-tpn-profile |
| 第 0 层和第 1 层网关 | instancename-podname.dcname-clustername-T0-function(其中 function 包括 services、workload、openshift)instancename-podname.dcname-clustername-T1-function |
传输节点
传输节点定义参与虚拟网络光纤网的物理服务器对象或 VM。 查看下表可了解该设计。
| 传输节点类型 | 上行链路概要文件 | IP 分配 |
|---|---|---|
| ESXi | esxi-private-profileesxi-public-profile |
tep-pool |
| 网关集群 | edge-private-profileedge-public-profileedge-tep-profilemgmt-edge-private-profilemgmt-edge-public-profilemgmt-edge-tep-profile |
tep-pool |
上行链路概要文件和组队
上行链路概要文件针对从系统管理程序主机到 NSX-T 逻辑交换机的链路,或针对从 NSX Edge 节点到机顶接入交换机的链路定义了策略。
| 上行链路概要文件名称 | VLAN | 组队策略 | 活动的上行链路 | 备用链路 | MTU |
|---|---|---|---|---|---|
esxi-private-profile |
缺省 | 默认 - 负载平衡源 | uplink-1 uplink-2 |
由 vCenter 服务器管理 | |
esxi-private-profile |
缺省 | TEP - 故障切换命令 | uplink-1 | uplink-2 | 由 vCenter 服务器管理 |
esxi-public-profile |
缺省 | 默认 - 负载平衡源 | uplink-1 uplink-2 |
由 vCenter 服务器管理 | |
edge-private-profile |
缺省 | uplink-1 | 9000 | ||
edge-public-profile |
缺省 | uplink-1 | 1500 | ||
edge-tep-profile |
缺省 | 故障转移顺序 | uplink-1 | 9000 | |
mgmt-edge-private-profile |
缺省 | uplink-1 | 9000 | ||
mgmt-edge-public-profile |
缺省 | uplink-1 | 1500 | ||
mgmt-edge-tep-profile |
缺省 | 故障转移顺序 | uplink-1 | 9000 |
VNI 池
虚拟网络标识 (VNI) 类似于物理网络的 VLAN。 通过池或标识范围创建逻辑交换机时,会自动创建 VNI。 此设计使用通过 NSX-T 部署的缺省 VNI 池。
分段
NSX-T部分在虚拟环境中再现了切换功能、广播、未知单播、多播(BUM)流量,该虚拟环境与底层硬件分离。
| 分段名称 | VLAN | 传输区域 | 上行链路组队策略 |
|---|---|---|---|
edge-teps |
缺省 | tz-esxi-private |
TEP - 故障切换命令 |
service-to-private |
缺省 | tz-edge-private |
|
service-to-public |
缺省 | tz-edge-public |
|
customer-to-private |
缺省 | tz-edge-private |
|
customer-to-public |
缺省 | tz-edge-public |
|
customer-t0-172-16-16-0 |
tz-vm-overlay |
||
customer-t1-192-168-0-0 |
tz-vm-overlay |
||
customer-t1-192-168-1-0 |
tz-vm-overlay |
网关集群
在这种设计中,配置了两个虚拟边缘节点集群,一个用于管理,另一个用于客户工作负载。 每个边缘传输 T0 存在一个 Node 的限制,这意味着单个边缘 Node 群集可支持一个 T0 网关(主动-备用或主动-主动)。
下图显示了 NSX-T 网关群集的功能组件。
{: caption="网关集群拓扑网关集群" caption-side="bottom"}
第 0 层逻辑网关
NSX-T Tier-0逻辑网关在逻辑网络和物理网络(南北流量)之间提供网关服务。 在此设计中,两个高可用 T0 网关分别部署在两个独立的 NSX-T 网关群集中,一个用于满足客户需求,另一个用于满足服务或管理需求。 对于客户选择的拓扑结构,更多的服务和产品是可选的,他们使用 T0 服务来满足入站或出站连接需求。 每个 T0 逻辑网关都配置了两个专用上行链路和两个公用上行链路。 此外,VIP 还可分配给公共和专用上行链路。
第 1 层逻辑网关
NSX-T Tier-1 逻辑网关具有下行链路端口,用于连接NSX-T数据中心逻辑交换机,并具有上行链路端口,用于连接NSX-T数据中心 Tier-0 逻辑网关。 它们在为其配置的管理程序内核级别运行,是 NSX-T 网关群集的虚拟路由器实例(vrf)。 在这种设计中,可以创建一个或多个 T1 逻辑网关,以满足客户所选拓扑的需要。
第 1 层到第 0 层的路径公布
为了在连接到逻辑交换机的虚拟机之间提供第3层连接,这些交换机连接到不同的 tier-1 逻辑网关,有必要启用 tier-1 路由通告,使其指向 tier-0。 无需配置第 1 层和第 0 层逻辑路由器之间的路由协议或静态路由。 启用路径公布时,NSX-T 会自动创建静态路由。 对于此设计,任何通过 T1 网关创建的 IBM Cloud® for VMware Solutions 自动化都始终启用路线广告。
预配置的拓扑
工作量 发送至 T1 发送至 T0 网关——虚拟网关集群
拓扑结构1与NSX-V DLR和边缘网关部署的拓扑结构基本相同。 使用 NSX-T 时,T1 和 T0 之间没有动态路由协议配置。 RFC-1891 IP 地址空间用于工作负载覆盖网络和传输覆盖网络。 将分配客户专用和公共可移植 IP 空间,以供客户使用。 客户指定的 IBM Cloud 专用和公共可移植 IP 空间会分配给 T0,以供客户使用。