NSX 和 IBM Cloud VPC 上的 IP 路由
在 IBM Cloud® Virtual Private Cloud 托管的 VMware NSX™ 环境中部署逻辑网络拓扑时,必须决定如何在 NSX 覆盖、IBM Cloud VPC 和公共互联网之间路由流量。 下图概述了 NSX Tier-0 网关和 IBM Cloud VPC 之间的路由设置。
![使用 NSX 网关进行 VPC 路由](../../images/vcf-vpc-v2-overlay-routing.svg "使用 NSX 网关进行 VPC 路由使用 NSX 网关进行 VPC 路由使用 NSX" caption-side="bottom"}进行"){: caption="路由
VMware Cloud Foundation for VPC 自动化根据客户提供的变量部署这些路由。 以下信息解释了在 VPC 和 NSX Tier-0 和 Tier-1 网关中完成这些路由配置的核心原则。
在合并部署中,只有一个边缘群集和一个 Tier-0 网关。
如果您的设计不需要直接的入站公共访问,您可以定制架构并移除公共上行链路。
Tier-0 和 VPC 之间的公共流量
如果您的工作负载需要直接的公共流量,并且有不使用任何网络转换的入站公共流量,则必须配置公共上行链路子网和公共 T0 上行链路 VLAN 接口。 此外,您必须按照主题 Tier-0 网关 中的描述,将 T0 配置为公共上行链路。
由于 T0 使用主动-待机,高可用性(HA)VIP为VPC T0 和您的NSX工作负载之间的公共流量路由提供高可用性。 需要公共 IP 地址时,可向 HA VIP VLAN 接口订购浮动 IP 地址。 每个浮动 IP 地址都是一个 /32 IP 地址,您可以在 VPC 配额 范围内根据需要订购任意数量的 IP 地址。
| 接口名称 | 接口类型 | VLAN 标识 | Subnet | 允许浮动 | 允许 IP 电子欺骗 | 启用内部 NAT | NSX 接口 | 分段名称 |
|---|---|---|---|---|---|---|---|---|
vlan-nic-t0-pub-uplink-vip |
vlan |
2711 | vpc-t0-public-uplink-subnet |
true |
false |
false |
T0 公共上行链路 VIP | vpc-zone-t0-public-vlanid |
将 Allow IP spoofing 和 Enable Infrastructure NAT 设置为 false 的 VLAN 接口允许公共浮动 IP 地址以非 NAT 方式穿越到 T0 网关的公共上行链路。 对于HA与 T0 网关,可以使用HA VIP。 为公共上行链路订购浮动 IP 地址时,应始终使用 VIP VLAN 接口,而不是为实际边缘节点预留的上行链路。
您可以将公共 IP 地址用于以下用途:
- 要在Tier-0或Tier-1网关中为进入 NSX overlay 的公共流量执行目标 NAT。
- 要在 Tier-0 或 Tier-1 网关中对来自 NSX overlay 的出站公共流量执行源 NAT。
- 要在 Tier-0 或 Tier-1 中建立 VPN。
对于公共 IP 地址,目前可以使用一个或多个 /32 IP 地址,但不能使用子网,如 /29 或 /26。
在这种情况下,NSX T0 网关中的默认路由 0.0.0.0/0 必须指向 vpc-t0-public-uplink-subnet 的默认网关。
| 路线描述 | 设备 | CIDR | 下一跳 |
|---|---|---|---|
| 缺省路由 | 边缘集群 | 0.0.0.0/0 |
vpc-t0-public-uplink-subnet 的默认 GW |
如果不需要来自互联网的入站流量,就不需要 T0 上的公共上行链路,也不需要公共 VLAN 接口。 或者,您也可以使用 IBM Cloud VPC 中的公共网关,该网关为您提供来自 NSX overlay 网段的出站互联网访问,并为该流量使用 T0s 专用上行链路。 在这种情况下,NSX T0 网关中的默认路由 0.0.0.0/0 必须指向 vpc-t0-private-uplink-subnet 的默认网关。
| 路线描述 | 设备 | CIDR | 下一跳 |
|---|---|---|---|
| 缺省路由 | 边缘集群 | 0.0.0.0/0 |
vpc-t0-private-uplink-subnet 的默认 GW |
Tier-0 和 VPC 之间的专用流量
如果同时拥有公用和专用上行链路,首先必须在 NSX T0 中创建指向专用网络的路由。 您必须将其连接到连接到 NSX 叠加网段的 VMware 工作负载。 然后,这些网络必须可以通过 VPC 或 VPC 所连接的 DL/TGW 到达。 下表显示了一个示例,其中内部使用私有前缀 172.16.0.0/16 并且 VMware Cloud Foundation VPC 直接或通过附加 Direct Link (DL) 或 Transit Gateway (TGW)。
| 路线描述 | 设备 | CIDR | 下一跳 |
|---|---|---|---|
| 专用网络 | 边缘集群 | 172.16.0.0/16 |
vpc-t0-private-uplink-subnet 的默认 GW |
如果只使用专用路由,则 NSX T0 网关中的默认路由 0.0.0.0/0 会将所有流量路由到 VPC。
您必须定义来自 VPC 的入站流量。 然后,您必须在“区域”中创建一条 VPC 路由,将其指向 NSX 叠加中使用的 IP 子网或前缀。 由于 T0 使用主动-待机,HA VIP为VPC和您的NSX叠加网络之间的专用流量路由提供HA。 因此,VPC 路由的下一跳必须是 HA VIP,如下表所示。
| 接口名称 | 接口类型 | VLAN 标识 | Subnet | 允许浮动 | 允许 IP 电子欺骗 | 启用 Infra NAT | NSX 接口 | 分段名称 |
|---|---|---|---|---|---|---|---|---|
vlan-nic-t0-priv-uplink-vip |
vlan |
2712 | vpc-t0-private-uplink-subnet |
true |
true |
true |
T0 专用上行链路 VIP | vpc-zone-t0-private-vlanid |
将 Allow IP spoofing 和 Enable Infrastructure NAT 设置为 true 的 VLAN 接口允许将 NSX overlay 上具有私有 IP 地址的 VMware 工作负载路由到 IBM Cloud VPC。 要启用此操作,需要创建一条 VPC 路由,将私有上行链路 HA VIP vlan-nic-t0-priv-uplink-vip 的 IP 地址作为 IBM Cloud VPC 区域中配置的下一跳。
规划路由时,请汇总 NSX 覆盖子网或前缀,以便将所需路由的数量保持在最低水平。 创建指向 NSX overlay 的路由时,下表提供了一个示例,说明连接到 T1 的 NSX overlay 子网 192.168.4.0/24、192.168.5.0/24、192.168.6.0/24 和 192.168.7.0/24 所需的参数。 进一步归纳为前缀 192.168.4.0/22 并使用区域 us-south-2 中的 NSX HA VIP 192.168.0.10 作为下一跳。 有关 VPC 路由的更多信息,请参阅 VPC 路由表和路由。
| 路线描述 | 区域 | 流量类型 | CIDR | 操作 | Type | 下一跳 |
|---|---|---|---|---|---|---|
| NSX 叠加网络 | us-south-1 |
Egress | 192.168.4.0/22 |
交付 | IP | 192.168.0.10 |
| NSX 叠加网络 | us-south-2 |
Egress | 192.168.4.0/22 |
交付 | IP | 192.168.0.10 |
| NSX 叠加网络 | us-south-3 |
Egress | 192.168.4.0/22 |
交付 | IP | 192.168.0.10 |
VPC 路由针对特定区域。
创建 VPC 路由时,它会根据创建方式启用区域或 VPC 内的流量。
在互联互通用例中,会创建一个入口路由表。
| 表描述 | Type | 流量源 |
|---|---|---|
| 入境路线 | Ingress | Direct Link, Transit Gateway |
还将在部署 VMware Cloud Foundation 的区域中创建入口路由。 例如,如果部署在 us-south-1 上,叠加前缀为 192.168.4.0/22:
| 路线描述 | 区域 | 流量类型 | CIDR | 操作 | Type | 下一跳 |
|---|---|---|---|---|---|---|
| NSX 叠加网络 | us-south-1 |
Ingress | 192.168.4.0/22 |
交付 | IP | 192.168.0.10 |
如果使用任何互连选项(如 Direct Link 或 Transit Gateway ),并且需要从连接到 TGW 的另一个 VPC 进行连接,那么除了 VPC 路由外,还可以创建一个带有广告标记的 VPC(入口)路由。 此操作允许 DL 和 TGW 向连接的 TGW 连接或 DL 宣传您的 NSX 覆盖子网或前缀。
有关 VPC 路由的更多信息,请参阅 VPC 路由表和路由。
Tier-0 和 Tier-1 网关之间的路由选择
T0 和 T1 网关在它们之间提供本机 NSX 路由,但您必须在 NSX 内部进行配置。 在此模型中,工作负载通常连接到 T1 后面的 NSX 覆盖网段,当 T1 连接到其父级 T0 时,它有一个指向 T0 的默认路由。 默认情况下,T0 不会看到连接到 T1 网关的网段前缀,除非 T1 中启用了路由广告以允许这样做。
如果要在 T1 中不使用 NAT 而使用 IBM Cloud VPC 子网和其他连接服务进行本地路由,请在特定 T1 中启用 All Connected Segments & Service Ports 的路由广告。 您无需在 T1 和 T0 网关之间配置路由协议或静态路由。 启用路由广告后,NSX 会自动显示和创建这些路由。 通过这种方法,您可以将 T1 的所有连接网段路由到 T0,然后决定如何处理 T0 中的公共和私有流量。
例如,如果您在 T0 的 HA VIP 上配置和供应了公共浮动 IP,您可能需要决定是在 T1 中创建 NAT 规则,还是在 T1 中创建 NAT 规则。 或在其中任一个上创建 VPN 服务器端点。
对于私有流量,您可以配置一个从私有 VPC 前缀中分割出来的子网,例如使用前缀 192.168.4.0/22 并在连接到 T1 的两个网段上配置子网 192.168.4.0/26 和 192.168.4.64/26。 然后,VPC 将指向 192.168.4.0/22 的流量引导至 T0 的专用上行链路,T0 将其转发至 T1。 返回路径遵循反向路径:T1 发送到 T0,后者的私有流量路由指向
VPC 私有上行链路子网的默认网关。
互连
互联性包括多种服务和产品,使客户能够从其远程网络位置连接到 IBM Cloud® 部署以及在 IBM Cloud 中运行的工作负载和服务之间。
可分为以下几类:
- 与内部网络互联
- 互联 VPC 和其他 IBM Cloud 基础设施服务
下图显示了互联解决方案的概览。
通过 IBM Cloud® Transit Gateway (TGW),您可以创建一个或多个中转网关,将 VPC 连接在一起。 您还可以将 IBM Cloud 经典基础架构连接到 Transit Gateway 以提供与经典基础架构资源的无缝通信。 任何连接到 Transit Gateway 的新网络都会自动提供给连接到该网络的其他网络。
IBM Cloud Direct Link 服务是路由OSI Layer-3 服务。 它提供与 IBM Cloud 专用网络主干的直接连接。IBM Cloud Direct Link 可以直接连接到 VPC,也可以将其附加到 TGW。
有关详细信息,请参阅 About IBM Cloud Transit Gateway 和 About IBM Cloud Direct Link(2.0)。