NSX Tier-0 和 Tier-1 网关上的 IBM Cloud VPC
在整合架构中,单个 VMware NSX™边缘集群带有两个虚拟边缘节点。 自动化会创建 Tier-0 (T0) 网关和 Tier-1 (T1) 路由器,并将其上行链路连接到 VPC 子网。 在此架构中,边缘集群同时托管 T0 和 T1 网关。 以下信息将讨论这些网关如何与 IBM Cloud VPC 交互。
有关边缘群集部署的更多信息,请参阅 IBM Cloud VPC 上的 CF NSX 设计。
Tier-0网关
NSX Tier-0网关提供逻辑 NSX 覆盖网段和 VPC 子网之间的连接,例如,用于南北流量。 在此架构中,NSX 边缘群集中部署了一个高可用 T0 网关。 由于 VMware NSX 的限制,该边缘群集只能承载单个 T0 网关,该网关以主动-备用模式运行。 例如,为了T0实现高可用性(HA)VIP,需要启用主动-待机模式。
目前,IBM Cloud® Virtual Private Cloud 中不支持 T0 的 Active-Active 模式。
当 T0 以主动-备用模式运行时,参与边缘传输的 Node 都有自己的上行链路。 这些上行链路之间的HA使用HA VIP。
T0配置有 两种上行链路类型:两个上行链路供 private 使用,两个上行链路供 public 使用。 HA VIPs 同时被分配到 HA 的公共和私人上行链路。 对于公共和专用上行链路,需要两个 VPC 子网。 这些子网由 Zone 前缀提供,它们都可以使用 RFC 1918 专用地址,包括公共子网。 在综合架构中,只配置一套上行链路子网。
| 子网名称 | 系统流量类型 | 子网规模指南 |
|---|---|---|
vpc-t0-public-uplink-subnet |
T0 公共上行链路子网 | /29 或更大 |
vpc-t0-private-uplink-subnet |
T0 专用上行链路子网 | /29 或更大 |
如果不需要来自互联网的入站流量,就不需要公共上行链路子网。
在 VPC 中,每个 T0 上行链路都需要以下 VLAN 接口。 您必须按照前面的规定将公共上行链路和专用上行链路分开。 将 Allow IP spoofing 和 Enable Infrastructure NAT 设置为 false 的 VLAN 接口允许公共浮动 IP 地址以非 NAT 方式穿越到 T0 网关的公共上行链路。 将 Allow IP spoofing 和
Enable Infrastructure NAT 设置为 true 的 VLAN 接口允许将 NSX overlay 上具有私有 IP 地址的 VMware 工作负载路由到 IBM Cloud VPC。 这些功能不能合二为一。
| 接口名称 | 接口类型 | VLAN 标识 | Subnet | 允许浮动 | 允许 IP 电子欺骗 | 启用内部 NAT | NSX 接口 | 分段名称 |
|---|---|---|---|---|---|---|---|---|
vlan-nic-t0-pub-uplink-1 |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 公共上行链路 * 边缘 1 | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-pub-uplink-2 |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 公共上行链路 * 边缘 2 | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-pub-uplink-vip |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 公共上行链路 VIP | vpc-zone-t0-public-*vlanid* |
vlan-nic-t0-priv-uplink-1 |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 专用上行链路 * 边缘 1 | vpc-zone-t0-private-*vlanid* |
vlan-nic-t0-priv-uplink-2 |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 专用上行链路 * 边缘 2 | vpc-zone-t0-private-*vlanid* |
vlan-nic-t0-priv-uplink-vip |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 专用上行链路 VIP | vpc-zone-t0-private-*vlanid* |
如果不需要来自互联网的入站流量,则可能不需要 T0 上的公共上行链路或裸机服务器的公共 VLAN 接口。
在 T0 中路由时,需要考虑到前面的注释。 如果有公共上行链路,默认路由 0.0.0.0/0 必须通过公共上行链路路由,而任何私有路由必须通过私有上行链路路由。 配置到 VPC 子网网关的静态路由。
您只能从同一 VPC 子网中来自同一边缘群集的 T0 网关提供一对上行链路。 此限制还包括 T0 VRF。 每个 T0 上行链路对都需要自己的 VPC 子网。
Tier-1网关
NSX T1 网关具有与所附 NSX 网段的下行链路连接,以及与单个 T0 网关的上行链路连接。 NSX 边缘节点为 T1 网关提供计算能力。 每个 T1 网关都包含一个服务路由器 (SR) 和一个分布式路由器 (DR),这与 T0s 相同。 DR 作为内核模块在管理程序中分布式运行,而 SR 则在启用服务时作为 VRF 在边缘集群上实例化,不能分布式运行。
在这种设计中,可以创建一个或多个 T1 网关,以满足所选拓扑的需要。
您可以在同一个边缘群集中部署多个 T1s。
由 Tier-0 和 Tier-1 网关提供的网络服务
如下图所示,NSX 数据中心支持 IPsec 虚拟专用网络(IPsec VPN)、网络地址转换(NAT)和防火墙等网络服务。
该主题简要介绍了这些功能以及如何在 IBM Cloud VPC 中使用它们。
VPN 服务
IPsec 虚拟专用网络(IPsec VPN)和第 2 层 VPNL2VPN)在 NSX 边缘节点上运行。 IPsec VPN可在NSX Edge节点和远程站点之间提供站点到站点的连接。 利用L2VPN,您可以扩展数据中心,让虚拟机(VM)在使用相同 IP 地址的情况下保持跨地域的网络连接。
在 IBM Cloud VPC 中配置 NSX VPN 服务时,可以将公共 /32 浮动 IP 地址用作 Tier-0 和 Tier-1 网关的 VPN 端点。 如有需要,您可以拥有多个 VPN 端点。 在 Tier-1 网关上配置 VPN 服务时,请确保浮动 IP 在 Tier-0 和 Tier-1 网关之间正确广告。
有关 VPN 服务的更多信息,请参阅 VMware 文档。
网络地址转换
Tier-0 和 Tier-1 网关支持网络地址转换 (NAT)。
例如,支持以下类型的 NAT。
- 源 NAT (SNAT) 转换出站数据包的源 IP 地址,使数据包显示为来自不同的网络。
- 目标 NAT (DNAT) 转换入站数据包的目标 IP 地址,以便将数据包传送到另一个网络的目标地址。
您还可以对一个 IP 地址或地址范围禁用 SNAT 或 DNAT。 如果一个地址有多个 NAT 规则,则应用优先级最高的规则。
在 IBM Cloud VPC 中配置 NSX NAT 时,您可以在 Tier-0 和 Tier-1 网关中使用公共 /32 浮动 IP 地址作为公共 NAT IP 地址。 如有需要,您可以拥有多个 NAT IP 地址。 在 Tier-1 网关上配置 NAT 时,请确保浮动 IP 在 Tier-0 和 Tier-1 网关之间正确发布。
有关 NSX 中 NAT 的更多信息,请参阅 VMware 文档。
防火墙
您可以在 NSX 平台中配置东西向和南北向防火墙策略。
网关防火墙表示针对连接到 IBM Cloud VPC 的南北流量应用于外围防火墙的规则。 网关防火墙可同时应用于 Tier-0 和 Tier-1 网关。
分布式防火墙可监控虚拟机上的所有东西向流量。 对对象进行分组可简化规则管理。 组包括静态和动态添加的不同对象,可用作防火墙规则的源和目标。 它们可以配置为包含虚拟机、IP 集、MAC 集、网段端口、网段、AD 用户组和其他组的组合。 可根据标签、机器名称、操作系统名称或计算机名称动态加入群组。
有关 NSX 中防火墙的更多信息,请参阅 VMware 文档。