VMware NSX-T 設計
VMware® NSX-T™ 旨在處理具有異質端點和技術堆疊的應用程式架構和體系結構。 除了 VMware vSphere® 之外,這些環境還可包括其他管理程序、KVM、容器和裸金屬伺服器。 NSX-T 旨在跨平台的軟體定義網路與安全基礎架構,而不僅僅是 vSphere。 雖然可以在不需要 vSphere 的情況下部署 NSX-T 元件,但此設計著重在 NSX-T 上,且其整合主要在 vCenter Server vSphere 自動化部署內。
從版本 3 開始,NSX-T 可以在vSphere Virtual Distributed Switch (VDS) 版本7.0上運作。 VMware NSX 和vSphere的所有新部署均在 VDS 上使用 NSX-T,不再使用 N-VDS。 從 NSX-T 2.4 開始,管理員虛擬機器和控制器虛擬機器的功能會合併。 因此,部署了三個控制器或管理器虛擬機器。 如果在同一個子網路,它們會使用內部網路負載平衡器。 如果分散在不同的子網路,則需要外部負載平衡器。
NSX-T 帶來了許多進階功能,例如防火牆策略、在防火牆策略中包含訪客自省以及進階網路串流追蹤。 說明這些特性不在本文件的範圍內。 在此設計中,NSX-T 管理基礎架構是在初始 vCenter Server® 群集部署期間部署。 有關 NSX-T 的更多信息,請參閱 VMware NSX 文件。
NSX-T 與 NSX-V
對於VMware vSphere Network NSX (NSX-V),請查看下列具有與其 NSX-V 對應項類似功能的 NSX-T 物件。 vSphere 環境中的限制和差異也在討論之列。
下表顯示了 NSX-T 和 NSX-V 之間的典型對應功能。
| NSX-V 或 vSphere 原生 | NSX-T |
|---|---|
| NSX 傳輸區域 | 傳輸區域(層疊或 VLAN 支援) |
| 連接埠組 (VDS) | 段或邏輯開關 |
| VXLAN(L2 封裝) | GENEVE(L2 封裝) |
| 邊緣閘道 | Tier-0( T0 ) 閘道[1] |
| 分散式邏輯路由器 | Tier-1( T1 ) 閘道[2] |
| ESXi 伺服器 | 傳輸節點(ESXi、KVM 祼機 T0 閘道) |
借助 NSX-T,您可以擁有Tier-0( T0 ) 閘道器和Tier-1( T1 ) 閘道。 雖然在上一節中它們被顯示為相當於 NSX-V 邊緣服務閘道 (ESG) 和分散式邏輯路由器 (DLR),但這並不完全準確。
對於 NSX-T,引入了兩個新概念:分散式路由器 (DR) 和服務路由器 (SR)。
| 路由器類型 | 功能 |
|---|---|
| 分散式路由器 | 提供基本資料包轉送和分散式東西向路由功能 跨越所有傳輸節點 在 ESXi 上作為核心模組運行 |
| 服務路由器 |
提供網關服務
|
一些關鍵 NSX-T 概念與 NSX-V 功能不對應。 您需要查看以下概念,以便了解 NSX-T 設計實作。
- 閘道群集是參與 NSX-T 虛擬架構的一個或多個虛擬機器或實體機器。 它們是層疊網路傳輸區域和 VLAN 支援之傳輸區域的端點。 網關叢集可以支援單一T0網關實例。
- T0 閘道是虛擬路由器實例,但不是虛擬機器。 閘道群集中可執行多個 T0 閘道實體,每個實體都有自己的路由表和功能。 在建立T0路由器實例之前,網關叢集必須存在。
- 傳輸區域可以跨越不同平台及多個 vSphere vCenter 實例之間的端點。 不需要cross-vCenter連結的 NSX。 可以排除特定端點中的傳輸區域。
- 系統會建立與特定邏輯交換器無關的上行鏈路失效接手順序,因為這些邏輯交換器會在設定檔中建立為「上行鏈路設定檔」,並根據 VLAN 套用至特定邏輯交換器。 同一 VLAN 的實體上行鏈路可能需要不同的故障轉移順序或負載平衡。 因此,特定 VLAN 的上行鏈路設定檔可以包含具有不同故障轉移順序和負載平衡的「分組」的多個條目。 為邏輯交換器指定上行鏈路設定檔時,會選擇特定的組合設定檔。
- 管理器虛擬機器和控制器虛擬機器功能結合,從而部署三個 NSX-T 管理器虛擬機器。 如果在同一個子網路,它們會使用內部網路負載平衡器。 如果分散在不同的子網路,則需要外部負載平衡器。
資源需求
在此設計中,NSX-T 控制器 Manager 虛擬機器部署在管理群集上。 此外,每個控制器管理器都從專用可移植位址區塊中分配了一個支援 VLAN 的 IP 位址。 位址區塊指定用於管理元件,並使用第 0 節中討論的 DNS 和 NTP 伺服器進行設定。 下表顯示了 NSX Manager 安裝的摘要。
| 屬性 | 規格 |
|---|---|
| NSX 管理器或控制器 | 三個虛擬應用裝置 |
| vCPU 數目 | 6 |
| 記憶體 | 24 GB |
| 磁碟 | 300 GB |
| 磁碟類型 | 精簡佈建 |
| NetworkPrivate A | 專用 A |
下圖顯示 NSX 管理員與此架構中其他元件的位置關係。
部署考量
透過vSphere VDS 交換器版本7.0上的 NSX-T v3.x,ESXi 主機上不再需要 N-VDS。 當配置為傳輸節點時,您可以使用v7 VDS,這使得整合叢集成為更優化的設計。
初始部署後,IBM Cloud® 自動化會在管理群集中部署三個 NSX-T Manager 虛擬裝置。 控制器會獲指派「專用 A」可攜式子網路中的 VLAN 支援 IP 位址(這個子網路已指定給管理元件)。 此外,還會建立 VM-VM 反親緣性規則,以在叢集裡的各主機間區隔控制器。
您必須部署至少有三個節點的管理群集,以確保管理員或控制器的高可用性。 除了管理器之外,IBM Cloud自動化也會將已部署的工作負載叢集準備為 NSX-T 傳輸節點。 ESXi 傳輸節點會從 Private A 可攜式 IP 位址範圍指定一個 VLAN 支援的 IP 位址,該 IP 位址範圍由從 VLAN 和子網路摘要得出的 NSX IP 池範圍指定。 傳輸節點流量位於無標記 VLAN 上,並指定給私有 NSX-T VDS。
根據您選擇的 NSX-T 拓撲,您可以將 NSX-T 網關叢集部署為一對虛擬機器或部署在裸機叢集節點上的軟體。 IBM Cloud自動化不支援裸機邊緣,必須手動部署和設定。 無論叢集對是虛擬的還是實體的,上行鏈路都會配置為IBM Cloud專用網路和(如果存在)公共網路的 VDS 交換器。
下表總結了中型環境的要求,這是生產工作負載的建議起始大小。
| 資源 | 經理x3 | 邊緣服務 集群x4 |
|---|---|---|
| 中型 | 虛擬應用裝置 | 虛擬應用裝置 |
| vCPU 數目 | 6 | 4 |
| 記憶體 | 24 GB | 8 GB |
| 磁碟 | 300 GB vSAN或管理NFS | 200 GB vSAN或管理NFS |
| 磁碟類型 | 精簡佈建 | 精簡佈建 |
| 網路 | 專用 A | 專用 A |
分散式交換器設計
此設計使用最少數目的「vDS 交換器」。 管理叢集中的主機連接到專用網路和(可選)公共網路。 主機已配置兩台分散式虛擬交換器。 兩台交換器的使用遵循區隔公用與專用網路的 IBM Cloud 網路作法。 NSX 和vSphere的所有新部署都利用執行vSphere VDS 交換器版本7.0的優勢,從而實現融合的 NSX-T 架構。
如上圖所示,公共 VDS *instancename*-*clustername*-public 配置為公共網路連接,公共 VDS *instancename*-*clustername*-private 配置為專用網路連接。 需要區隔不同類型的資料流量,以降低競用及延遲並提高安全。
VLAN 用來區隔實體網路功能。 此設計使用三個 VLAN:兩個用於專用網路資料流量,一個用於公用網路資料流量。 下表顯示資料流量區隔。
| VLAN | 指定 | 資料流量類型 |
|---|---|---|
| VLAN 1 | 專用 A | ESXi 管理、管理、Geneve (TEP)、邊緣上行鏈路 |
| VLAN 2 | 專用 B | vSAN、NFS 和 vMotion |
| VLAN 3 | 公用 | 可用於網際網路存取 |
對於可選的兩個主機網關集群,此設計使用兩個 VLAN:一個用於專用網路流量,一個用於公共網路流量。 此叢集類型使用本機磁碟作為資料儲存。 因此,您不需要單獨的儲存流量。 此外,根據設計,NSX-T Geneve (TEP) 流量被排除在外。 下表顯示了此叢集類型的 VLAN 之間的流量分離。
| VLAN | 指定 | 資料流量類型 |
|---|---|---|
| VLAN 1 | 專用 Transit | 專用傳輸 VLAN、ESXi 管理和vMotion |
| VLAN 2 | 公用 Transit | 公用傳輸 VLAN |
命名慣例
以下命名約定用於部署。 為了便於閱讀,僅使用特定的命名。 例如,instancename-dcname-clustername-tz-edge-private 被稱為 tz-edge-private。
| 說明 | 命名標準 |
|---|---|
| 管理 VM | instancename-nsxt-ctrlmgr0instancename-nsxt-ctrlmgr1instancename-nsxt-ctrlmgr2 |
| 上行鏈路設定檔 | instancename-esxi-private-profileinstancename-esxi-public-profileinstancename-edge-private-profileinstancename-edge-public-profileinstancename-edge-tep-profileinstancename-mgmt-edge-private-profileinstancename-mgmt-edge-public-profileinstancename-mgmt-edge-tep-profile |
| NIOC簡介 | instancename-clustername-nioc-private-profileinstancename-clustername-nioc-public-profile |
| 網關叢集設定檔 | instancename-dcname-clustername-service-edge-cluster-profileinstancename-dcname-clustername-service-edge-cluster-profile |
| 運輸區 | instancename-tz-esxi-privateinstancename-tz-esxi-publicinstancename-tz-vm-overlayinstancename-tz-edge-privateinstancename-tz-edge-public |
| 區段 | instancename-podname.dcname-customer-t0-172-16-16-0instancename-podname.dcname-customer-t1-192-168-0-0instancename-podname.dcname-customer-t1-192-168-1-0instancename-podname.dcname-customer-to-privateinstancename-podname.dcname-customer-to-publicinstancename-podname.dcname-service-to-privateinstancename-podname.dcname-service-to-publicinstancename-clustername-edge-teps |
| IP位址池 | instancename-clustername-tep-pool |
| 傳輸節點設定檔 | instancename-podname.dcname-clustername-esxi-tpn-profile |
| Tier-0和Tier-1網關 | instancename-podname.dcname-clustername-T0-function (其中 function 包括 services、workload、openshift instancename-podname.dcname-clustername-T1-function |
傳輸節點
傳輸節點定義參與虛擬網路光纖的實體伺服器物件或 VM。 請檢閱下表以瞭解設計。
| 傳輸節點類型 | 上行鏈路設定檔 | IP 指派 |
|---|---|---|
| ESXi | esxi-private-profileesxi-public-profile |
tep-pool |
| 閘道叢集 | edge-private-profileedge-public-profileedge-tep-profilemgmt-edge-private-profilemgmt-edge-public-profilemgmt-edge-tep-profile |
tep-pool |
上行鏈路設定檔和分組
上行鏈路設定檔可為從 Hypervisor 主機至 NSX-T 邏輯交換器的鏈結,或從 NSX Edge 節點至框架頂端交換器的鏈結定義原則。
| 上行鏈路設定檔名稱 | VLAN | 組隊政策 | 作用中的上行鏈路 | 備用連結 | MTU |
|---|---|---|---|---|---|
esxi-private-profile |
預設 | 預設 - 負載平衡來源 | uplink-1 uplink-2 |
由 vCenter 伺服器管理 | |
esxi-private-profile |
預設 | TEP - 故障轉移順序 | uplink-1 | uplink-2 | 由 vCenter 伺服器管理 |
esxi-public-profile |
預設 | 預設 - 負載平衡來源 | uplink-1 uplink-2 |
由 vCenter 伺服器管理 | |
edge-private-profile |
預設 | uplink-1 | 9000 | ||
edge-public-profile |
預設 | uplink-1 | 1500 | ||
edge-tep-profile |
預設 | 失效接手順序 | uplink-1 | 9000 | |
mgmt-edge-private-profile |
預設 | uplink-1 | 9000 | ||
mgmt-edge-public-profile |
預設 | uplink-1 | 1500 | ||
mgmt-edge-tep-profile |
預設 | 失效接手順序 | uplink-1 | 9000 |
VNI 儲存區
「虛擬網路 ID (VNI)」類似於實體網路的 VLAN。 從儲存區或 ID 範圍建立邏輯交換器時,會自動建立它們。 此設計會使用以 NSX-T 部署的預設 VNI 儲存區。
區段
NSX-T 網段可在與底層硬體脫鈎的虛擬環境中,重現交換功能、廣播、未知單播、多播 (BUM) 流量。
| 區段名稱 | VLAN | 傳輸區域 | 上行鏈路團隊原則 |
|---|---|---|---|
edge-teps |
預設 | tz-esxi-private |
TEP - 故障轉移順序 |
service-to-private |
預設 | tz-edge-private |
|
service-to-public |
預設 | tz-edge-public |
|
customer-to-private |
預設 | tz-edge-private |
|
customer-to-public |
預設 | tz-edge-public |
|
customer-t0-172-16-16-0 |
tz-vm-overlay |
||
customer-t1-192-168-0-0 |
tz-vm-overlay |
||
customer-t1-192-168-1-0 |
tz-vm-overlay |
閘道叢集
在此設計中,配置了兩個虛擬邊緣節點集群,一個用於管理,另一個用於客戶工作負載。 每個邊緣傳輸Node存在一個T0的限制,這意味著單一邊緣Node叢集可以支援一個T0網關(主用-備用或主用-主用)。
下圖顯示了 NSX-T 網關叢集的功能元件。
層級 0 邏輯閘道
NSX-TTier-0邏輯閘道在邏輯網路和實體網路之間提供閘道服務(針對南北向流量)。 在此設計中,兩個高可用性T0網關部署在兩個獨立的 NSX-T 網關叢集中,一個用於客戶,另一個用於服務或管理需求。 對於客戶選擇的拓撲,更多服務和產品是可選的,他們使用服務T0來滿足其入站或出站連接需求。 每個T0邏輯閘道配置有兩個專用上行鏈路和兩個公共上行鏈路。 此外,VIP 也分配給公有和私有上行鏈路。
層級 1 邏輯閘道
NSX-T Tier-1 邏輯閘道具有連接至 NSX-T Data Center 邏輯交換器的下行連接埠,以及連接至 NSX-T Data Center Tier-0 邏輯閘道的上行連接埠。 它們在為其配置的虛擬機器管理程式的核心層級運行,並且它們是 NSX-T 網關叢集的虛擬路由器實例 (vrf)。 在此設計中,可以根據客戶選擇的拓撲的需要建立一個或多個T1邏輯閘道。
層級 1 至層級 0 路徑公告
為了在連接至不同 tier-1 邏輯閘道的邏輯交換器的虛擬機器之間提供第 3 層連線,必須啟用 tier-1 路由廣告,朝向 tier-0。 不需要在層級 1 與層級 0 邏輯路由器之間配置遞送通訊協定或靜態路徑。 當您啟用路徑公告時,NSX-T 會自動建立靜態路徑。 在此設計中,任何 IBM Cloud® for VMware Solutions 自動化建立的 T1 閘道都會啟用路由廣告。
預先配置的拓蹼
工作負載 T1 至 T0 閘道 - 虛擬閘道群集
拓樸 1 基本上與 NSX-V DLR 和 Edge 閘道部署的拓樸相同。 使用 NSX-T 時,在 T1 與 T0 之間沒有任何動態遞送通訊協定配置。 RFC-1891 IP 位址空間用於工作負載層疊網路和傳輸層疊網路。 會指派客戶專用和公用可攜式 IP 空間,以供客戶使用。 將客戶指定的 IBM Cloud 專用和公用可攜式 IP 空間指派給 T0,以供客戶使用。