vSRX 单数据中心边缘
部署 vSRX 高可用性(HA)集群有两种选择:
- 在裸机服务器上部署网关 - 在基于 KVM 的主机上部署 vSRX。
- 作为 IBM Cloud® for VMware Solutions 产品(网关群集)的一部分部署网关 - 在 VMware vSphere® ESXi™ 虚拟机管理程序上部署 vSRX。
两个vSRX节点绑定在一个高可用性机箱集群中,提供一个可靠的网关解决方案,在支持节点的主机或vSRX节点丢失的情况下提供连续的网络流量。
以下是两种部署类型的共同特点:
- 在单个数据中心内提供 HA 对:
- 一对 vSRX 网关设备主机
- NFS 主机之间共享的存储空间
- 实施了完整的 vSRX 防火墙和路由功能。
以下功能是将 ESXi 作为主机操作系统进行部署时独有的:
- VXLAN 连接到 VMware Cloud Foundation for Classic - Automated 实例
- 在网关群集上托管额外虚拟机(VM)的能力
- NSX 边缘和负载平衡器
基本的 vSRX 产品架构将 vSRX 放在部署到客户账户中的所有 VLAN 前面。 vSRX 是一款功能强大的 Vyatta 替代设备,适用于需要客户控制网关设备的情况。
下图表示典型的 vSRX 部署。
在下达 vSRX 边缘网关设备订单之前,需要部署 VMware Cloud Foundation for Classic - Automated 实例。
了解 VMware Solutions的默认 vSRX 配置
了解默认配置有助于了解 vSRX HA 机箱群集和 IBM Cloud 底层网络。 默认配置是所有进一步集成的基础。 有关您可能希望包含的额外配置选项的更多信息,请参阅 IBM Cloud IaaS vSRX 默认配置。 此信息并不能说明您的配置。 您自己的配置有所不同。
有关更多信息,请参阅 理解 vSRX 默认配置 和 IBM Cloud IaaS vSRX 默认配置。
vSRX 和 VCF for Classic - Automated 集成设计
vSRX HA 机箱集群与 VCF for Classic - Automated 实例的紧密集成在几个关键领域扩展了 VCF for Classic - Automated 的基本架构。
VCF for Classic - Automated 集群设计
当 VCF for Classic - Automated 实例部署到客户账户时,它通常是一个单一的超融合集群,其中计算、管理和边缘功能由一个单一的三 ESXi 主机( NFS 共享存储)或四节点( vSAN 共享存储)集群配置提供。
通过将边缘网关从超融合集群移到专用的两个 ESXi 主机集群上,ESXi 上新增的 vSRX 产品对基本的 VCF for Classic - Automated 设计产生了影响。 网关群集由与初始 VCF for Classic - Automated 实例一起部署的现有 VMware vCenter® 管理。
主机大小设置
当前 vSRX 产品用于部署的硬件选项有限。 由于这些选项不固定,建议您查看 IBM Cloud 基础架构客户门户 中的可用选项。
网络设计
VCF for Classic - Automated 产品旨在通过使用 NSX Tier-1 和每个 ESXi 主机上的虚拟隧道端点 (VTEP) 在 SDN 层管理东西向网络流量,并通过 NSX Tier-0 管理南北向流量。 vSRX 不能替代 NSX-T Tier0/1 边缘集群,但可以协助或可能替代 Tier-0 防火墙服务管理南北流量。
所需的网络设计变更不大,包括所有客户虚拟机流量(无论目的地如何)、平台管理流量、直接链路流量(如适用)以及与互联网绑定的流量。 明确排除的流量包括 VTEP 流量、存储流量和 vMotion 流量。
您可以将 NSX 从计算群集扩展到网关群集,也可以在 IPsec VPN 上使用 BGP 实现边缘群集和计算群集之间的连接。 当 VCF for Classic - Automated 计算群集和网关群集之间流动的流量与 IBM Cloud 基础架构分配的子网不冲突时,您可以使用本地 VLAN 和子网作为中转链路。
BGP over IPsec VPN 是连接客户内部数据中心的首选方法,无论该连接是穿越互联网,还是通过 IBM Cloud 基础设施直接链接产品在客户和 IBM Cloud 之间传递。
建议您查看 Architecture pattern for using gateway cluster with NSX-T 中的架构模式。
VMware 上 vSRX 的接口映射
VCF for Classic - Automated 实例中的 vSRX 有特定的连接要求,以启用和维护 HA 底盘群集。
vSRX 上定义的每个网络适配器都会映射到特定接口,具体取决于 vSRX 实例是独立虚拟机还是用于 HA 的集群对之一。
请注意以下有关单机模式的信息:
fxp0接口是带外管理接口。ge-0/0/0接口是第一个流量(收入)接口。
请注意以下有关群集模式的信息:
fxp0接口是带外管理接口。em0接口是两个节点的群集控制链路。- 任何流量接口都可指定为结构链路,如
ge-0/0/0用于node 0上的fab0,ge-7/0/0用于node 1上的fab1。
下表列出了独立 vSRX 虚拟机的信息。
| 网络适配器 | Junos 操作系统中的接口名称 |
|---|---|
| 1 | fxp0 |
| 2 | ge-0/0/0 |
| 3 | ge-0/0/1 |
| 4 | ge-0/0/2 |
| 5 | ge-0/0/3 |
| 6 | ge-0/0/4 |
| 7 | ge-0/0/5 |
| 8 | ge-0/0/6 |
下表显示了集群中一对 vSRX VM(节点 0 和节点 1)的信息。
| 网络适配器 | Junos 操作系统中的接口名称 |
|---|---|
| 1 | fxp0 (节点 0 和 1) |
| 2 | em0 (节点 0 和 1) |
| 3 | ge-0/0/0 (节点 0)和 (节点 1) ge-7/0/0 |
| 4 | ge-0/0/1 (节点 0)和 (节点 1) ge-7/0/1 |
| 5 | ge-0/0/2 (节点 0)和 (节点 1) ge-7/0/2 |
| 6 | ge-0/0/3 (节点 0)和 (节点 1) ge-7/0/3 |
| 7 | ge-0/0/4 (节点 0)和 (节点 1) ge-7/0/4 |
| 8 | ge-0/0/5 (节点 0)和 (节点 1) ge-7/0/5 |
缺省安全专区配置
下表显示了安全策略的出厂缺省设置。
| 源专区 | 目标专区 | 策略操作 |
|---|---|---|
| 信任 | 不信任 | 许可 |
| 信任 | 信任 | 许可 |
| 不信任 | 信任 | 拒绝 |
如前所述,默认配置只是一个起点,我们可以在此基础上建立所需的配置,以满足您的要求。 为支持开户免费送彩金38元中存在的各种交通流模式,通常有必要建立额外的安全区。
vSRX 到客户机的内部部署连接
将 VCF for Classic - Automated 实例链接到客户现有内部数据中心的首选方法是 BGP。
如果客户打算使用 eBGP, 通过互联网连接,则必须获得公共自治系统号(ASN),或通过 IPsec VPN 使用 BGP,以允许使用专用 ASN。
如果客户端使用 Direct Link,则可通过使用专用 ASN 实现 BGP。
该图说明了从内部部署数据中心到 IBM Cloud 的 BGP 潜在实现方式之一。
来自客户设施的流量通过 AT&T NetBond 或其他提供商进入 GNPP 路由器。 GNPP 路由器通过 BGP 与部署在客户 IBM Cloud 账户中的 vSRX 网关对等,所有流量都通过 BGP 封装在 GRE 隧道中。 退出隧道进入 vSRX 的数据包会通过边缘网关路由到 NSX 叠加网络。