从 VMware 共享 迁移到 VCF as a Service 的技术注意事项
自 2024 年 3 月 28 日起,VMware 共享 不再用于新的部署,对现有实例的支持也于 2025 年 2 月 28 日结束。 自 2025 年 3 月 4 日起,所有虚拟机都将关闭电源,自 2025 年 4 月 6 日起,所有客户和管理数据都将删除。 为避免永久删除 VMware 共享 备份,并将 VMware 共享 资源迁移到 IBM Cloud® for VMware Cloud Foundation as a Service,请在 2025 年 4 月 6 日之前打开 IBM 支持票据。 更多信息,请参阅 VMware 共享 部署的支持终止。
VMware Cloud Foundation (VCF) as a Service 可视为 IBM Cloud 对 VMware 共享 的演进。VCF as a Service 提供相同的 VMware Cloud Director™ 平台,但有两种类型,即专用或共享托管服务。IBM® 以相同的方式执行 VMware® by Broadcom 软件的配置、托管、操作和生命周期管理,因此您可以快速部署基于 VMware 的云计算环境。 计算资源可以作为专用主机或使用 IBM Cloud 裸机服务器的多租户主机提供。 专用单租户 VMware 站点提供额外的隔离并支持多个主机配置选项,以便支持灵活的工作负载需求。
VCF as a Service 多租户实例通过 IBM 部署到所有支持的区域。 您可以在 IBM 受管理的基础架构上创建虚拟数据中心 (VDC)。VCF as a Service 单租户实例由您的组织调配和管理。
由于底层 VMware Cloud Director™ 平台及其软件定义网络的新版本,以及附加服务选项的更改,您可能需要更改设计的某些组件。 以下信息介绍了平台最重要的变化,并列出了迁移虚拟数据中心的设计和实施注意事项。 在将 IBM Cloud® for VMware Solutions 共享虚拟数据中心迁移到 VCF as a Service 之前,请查看此信息。
网络边缘类型
虚拟专用数据中心通过边缘连接到公共和 IBM 专用网络。 边缘还可用于将多个 VDC 网络连接在一起。 您可以在有或没有网络边缘的情况下创建 VDC。 网络边缘类型包括效率型、性能 - M 型、性能 - L 型和性能 - XL 型。
性能边缘专用于单个虚拟数据中心 (VDC),可提供最稳定的性能。 更大的性能边缘可支持更多的网络服务使用和吞吐量。 效率边缘可由多达 64 个独立的虚拟数据中心共享,在大型部署中具有成本效益,但在一定程度上会牺牲网络性能的一致性。
| 边缘类型 | 详细信息 |
|---|---|
| 效率 | 这些边缘分配的网络资源最多可供 100 个 VDC 使用,然后才需要创建另一个效率边缘。 首次选择效率边缘时,需要新的 CPU、RAM 和存储资源。 CPU 和 RAM 由单个租户站点使用。 新的边缘存储空间的分配是有成本的。 其后的 VDC(不超过 100 个)可免费使用该边缘。 该选项适用于通过每个 VDC 的独立联网控制来节省资源和成本。 |
| 性能 - M | 该选项适用于只需要 L2 至 L4 功能(如 NAT、路由、L4 防火墙、L4 负载平衡器),且总吞吐量要求低于 2 Gbps 的情况。 |
| 性能 - L | 该选项适用于只需要 L2 至 L4 功能(如 NAT、路由、L4 防火墙、L4 负载平衡器),且总吞吐量在 2 - 10 Gbps 之间的情况。 |
| 性能 - XL | 当 L7 和 VPN 所需的总吞吐量为多个 Gbps 时,适合使用此选项。 |
公用网络连接
部署新的 VCF as a Service VDC 数据中心时,会获得新的公共 IP 地址。 IBM Cloud® for VMware Solutions 共享 VDC 的现有公共 IP 地址无法移动到新的 VCF as a Service VDC。
- 如果使用 NAT 规则或其他路由安排访问 VDC 工作负载,则必须重新配置 DNS 规则和其他可能的远程防火墙及其规则。
- 如果使用 IPsec 隧道访问 VDC 工作负载,则必须将 VPN 隧道重新配置为新的公共 IP 地址。
专用网络连接
VCF as a Service 多租户和单租户虚拟数据中心 (VDC) 可使用 IBM Cloud® Transit Gateway 与其他 VCF as a Service 虚拟数据中心、IBM Cloud 经典和虚拟专用云 (VPC) IaaS 基础设施以及您的内部地点通过使用 Transit Gateway 附加 Direct Link 连接进行安全互连。
- Transit Gateway 使用通用路由封装 (GRE) 隧道将单租户和多租户虚拟数据中心 (VDC) 连接到 Transit Gateway 资源。
- 使用六条非绑定 GRE 隧道和 BGP 动态路由来建立与每个区域的冗余连接。
- 这样,在新的虚拟数据中心中,您的专用连接选项就会得到增强。
要使用此功能,首先使用 VMware Solutions 控制台配置 GRE 隧道连接,并向 VDC 添加由六个未绑定 GRE 隧道组成的连接组。 然后,可以将每个 GRE 隧道添加到 Transit Gateway 中,以附加属于连接组的隧道。 有关更多信息,请参阅 使用 Transit Gateway 将 VCF as a Service 与 IBM Cloud 服务互连。
NSX 版本更改
VCF as a Service 虚拟数据中心网络使用最新版本的 VMware NSX(也称为 NSX-T),而 VMware 共享 则基于 NSX-V。 这一变化增强了虚拟数据中心的联网能力。
如果使用自动化(如 Terraform),API 和 Terraform 资源是不同的。 有关详细信息,请参阅 vCloud Director API 和 Terraform VMware Cloud Director Provider 文档。
VDC 网关
NSX 更改后,网关功能被分成两个部分:提供商网关和边缘网关。 您可以查看专用于 VDC 的提供商网关,但这些网关没有配置选项。 网关为已连接的边缘网关提供与专用和公用网络的逻辑和物理连接。
提供商网关支持 BGP,边缘网关支持静态路由。 不支持其他路由协议。
VDC 网络
VDC 网络概念相同,路由或隔离 VDC 网络的概念没有变化。 使用手动、静态 IP 池和 DHCP 配置的 IP 地址分配在逻辑上保持不变。
防火墙规则
NSX 防火墙规则必须迁移到新模式。 要允许或拒绝来自特定来源或目的地的流量,必须使用防火墙组。 无法在规则中直接使用 IP 地址。
要获取更多信息,请参阅:
虚拟专用网
IPsec VPN 在边缘网关和同样使用 NSX 或拥有支持 IPsec 的第三方硬件路由器或 VPN 网关的远程站点之间提供站点到站点的连接。
基于策略的 IPsec VPN 要求对数据包应用 VPN 策略,以便在流量通过 VPN 隧道之前确定哪些流量应受 IPsec 保护。 这种类型的 VPN 被认为是静态的,因为当本地网络拓扑和配置发生变化时,VPN 策略设置也必须更新以适应变化。
VCF as a Service 虚拟数据中心仅支持基于策略的 IPsec VPN。 不支持基于路由的 IPsec VPN。 如需了解更多信息,请访问 VMware 云总监租户门户,了解NSX边缘网关的基于IPsec策略的VPN。
NAT 规则
要将源 IP 地址从专用 IP 地址改为公用 IP 地址,需要创建一条源 NAT (SNAT) 规则。 要将目标 IP 地址从公用 IP 地址改为专用 IP 地址,需要创建目标 NAT (DNAT) 规则。
以下信息列出了 VCF as a Service 边缘网关中可能的 NAT 选项:
- 当您在 VMware Cloud Director 环境中的边缘网关上配置
SNAT或DNAT规则时,您总是从组织 VDC 的角度来配置规则。 SNAT规则会转换从组织 VDC 网络发送到外部网络或其他组织 VDC 网络的数据包源 IP 地址。NO SNAT规则可防止翻译从组织 VDC 发送到外部网络或其他组织 VDC 网络的数据包的内部 IP 地址。DNAT规则会转换组织 VDC 网络接收到的来自外部网络或其他组织 VDC 网络的数据包的 IP 地址和可选端口。NO DNAT规则可防止翻译组织 VDC 从外部网络或其他组织 VDC 网络接收的数据包的外部 IP 地址。
更多信息,请参阅 VMware 云总监租户门户中的向 NSX Edge Gateway 添加 SNAT 或 DNAT 规则。
访问 IBM Cloud 服务网络或使用 IBM Cloud® Transit Gateway 专用网络连接时,请考虑以下信息:
- 使用 VDC 的任意公共 IP 地址,为 IBM Cloud 服务网络(
161.26.0.0/16和166.8.0.0/14)创建 SNAT 规则。 尽管使用的是公共源 IP,但访问使用的是专用网络。 - 当您使用 IBM Cloud® Transit Gateway 的专用网络连接时,可能需要为通过专用 Transit Gateway 连接可访问的专用网络创建
NO SNAT规则。
数据中心群
由 NSX 支持的数据中心组网络可提供level-2网络共享、单个活动出口点配置以及适用于整个数据中心组的分布式防火墙 (DFW) 规则。 数据中心群作为跨VDC 路由器,提供集中的网络管理、出口点配置以及群内所有网络之间的东西向流量。
- 创建具有 NSX 网络提供商类型的数据中心组后,可以向组中添加数据中心、删除数据中心并编辑组设置。
- 一个数据中心组最多可包括 16 个虚拟数据中心。
- VCF as a Service 中至少有一个虚拟数据中心必须启用边缘网络。 您可以在效率和性能边缘之间进行选择。 有关更多信息,请参阅 网络边缘类型。
- 您可以选择在 VCF as a Service 中订购不带边缘网络的虚拟数据中心。 有关详细信息,请参阅 订购虚拟数据中心实例。
- 从数据中心组中删除的 VDC 必须没有工作负载连接到参与数据中心组的任何网络。
迁移工具
您可以使用 VMware Cloud Director Availability (VCDA) 将虚拟机从您的 IBM Cloud® for VMware Solutions 共享虚拟数据中心迁移到您的 VCF as a Service 站点中的新虚拟数据中心,这种方法简单、安全且经济高效。
VCDA 服务默认包含在所有多租户虚拟数据中心 (VDC) 中,也可选择免费包含在单租户 VCF as a Service Cloud Director 站点订单中。
有关更多信息,请参阅 VMware Cloud Director Availability for VCF as a Service 概述。
在 VCF as a Service 中保护虚拟机
在您的 VCF as a Service 实例中,Veeam® 备份和复制服务可用并可随时使用。 该服务可作为托管解决方案无缝集成,帮助企业实现高可用性,并为应用程序和数据提供恢复点。 使用此服务,您可以直接从Veeam控制台控制基础设施中所有虚拟机(VM)的备份。
- 现有备份不会从 IBM Cloud® for VMware Solutions 共享虚拟数据中心移动。
- 迁移后在新的 VCF as a Service VDC 中重新配置备份。
- VCF as a Service 中不提供 Veeam Cloud Connect Replication。
- VCF as a Service 中不提供 Zerto 服务。
有关详细信息,请参阅 Managing Veeam for VCF as a Service。