VMware NSX-T 設計
VMware NSX-T™ 旨在處理具有異質端點和技術堆疊的應用程式架構和體系結構。 除了 VMware vSphere® 之外,這些環境還可包括其他管理程序、KVM、容器和裸金屬伺服器。 NSX-T 旨在跨平台的軟體定義網路與安全基礎架構,而不僅僅是 vSphere。 雖然可以在不需要 vSphere 的情況下部署 NSX-T 元件,但此設計著重在 NSX-T 上,且其整合主要在 vCenter Server vSphere 自動化部署內。
NSX-T 版本 3 及更新版本可在 vSphere 虛擬分散式交換器 (VDS) 版本 7.0 上執行。 VMware NSX 和 vSphere 的所有新部署都使用 VDS 上的 NSX-T(不使用 N-VDS)。 對於 NSX-T 版本 2.4 及更新版本,管理員虛擬機器與控制器虛擬機器的功能會合併。 因此,部署了三個控制器或管理員虛擬機器。 如果在同一個子網路,它們會使用內部網路負載平衡器。 如果分散在不同的子網路,則需要外部負載平衡器。
NSX-T 帶來許多進階功能,例如防火牆政策、在防火牆政策中納入訪客自省功能,以及進階的網路流追蹤。 說明這些特性不在本文件的範圍內。 在此設計中,NSX-T 管理基礎架構是在初始 vCenter Server® 群集部署期間部署。 如需 NSX-T 的詳細資訊,請參閱 VMware NSX 文件。
資源需求
在此設計中,NSX-T 控制器 Manager 虛擬機器部署在管理群集上。 此外,每個控制器管理員都會被指派給私有可攜式位址區塊中的 VLAN 支援 IP 位址。 位址區塊指定用於管理元件,並與第 0 節討論的 DNS 和 NTP 伺服器設定。 NSX Manager 安裝摘要如下表所示。
| 屬性 | 規格 |
|---|---|
| NSX 管理員或控制器 | 三個虛擬應用裝置 |
| vCPU 數目 | 6 |
| 記憶體 | 24 GB |
| 磁碟 | 300 GB |
| 磁碟類型 | 精簡佈建 |
| NetworkPrivate A | 專用 A |
下圖顯示 NSX 管理員與此架構中其他元件的位置關係。
部署考量
使用 vSphere VDS 交換器版本 7.0 上的 NSX-T v3.x,ESXi 主機上不再需要 N-VDS。 當配置為傳輸節點時,您可以使用 v7 VDS,這使得整合群集成為更優化的設計。
初始部署後,IBM Cloud® 自動化會在管理群集中部署三個 NSX-T Manager 虛擬裝置。 控制器從指定用於管理元件的 Private A 可攜式子網路指派至 VLAN 支援的 IP 位址。 此外,還會建立 VM-VM 反親緣性規則,以在叢集裡的各主機間區隔控制器。
您必須部署至少有三個節點的管理群集,以確保管理員或控制器的高可用性。 除了管理員之外,IBM Cloud 自動化還會將所部署的工作負載群集準備為 NSX-T 傳輸節點。 ESXi 傳輸節點被指派給來自私有 A 可攜式 IP 位址範圍的 VLAN 支援 IP 位址,該 IP 位址範圍由從 VLAN 和子網路摘要得出的 NSX IP 池範圍指定。 傳輸節點流量位於無標記 VLAN 上,並指定給私有 NSX-T VDS。
根據您選擇的 NSX-T 擴充架構,您可以將 NSX-T 閘道群集部署為一對虛擬機器,或部署為裸金屬群集節點上的軟體。 IBM Cloud 自動化不支援裸金屬邊緣,必須手動部署和設定。 無論群集對是虛擬或實體,上行鏈路都會設定為 IBM Cloud 專用網路和(若有)公用網路的 VDS 交換器。
下表總結了中等規模環境的需求,這是生產工作負載的建議起始規模。
| 資源 | 經理 x3 | 邊緣服務 集群 x4 |
|---|---|---|
| 中型 | 虛擬應用裝置 | 虛擬應用裝置 |
| vCPU 數目 | 6 | 4 |
| 記憶體 | 24 GB | 8 GB |
| 磁碟 | 300 GB vSAN 或管理 NFS | 200 GB vSAN 或管理 NFS |
| 磁碟類型 | 精簡佈建 | 精簡佈建 |
| 網路 | 專用 A | 專用 A |
分散式交換器設計
此設計使用最少數目的「vDS 交換器」。 管理群集中的主機連接至專用和(可選)公用網路。 主機已配置兩台分散式虛擬交換器。 兩台交換器的使用遵循區隔公用與專用網路的 IBM Cloud 網路作法。 所有 NSX 和 vSphere 的新部署都利用運行 vSphere VDS 交換器版本 7.0.的優勢,可實現融合的 NSX-T 架構。
如前圖所示,公用 VDS *instancename*-*clustername*-public 設定為公用網路連線,公用 VDS *instancename*-*clustername*-private 設定為專用網路連線。 需要區隔不同類型的資料流量,以降低競用及延遲並提高安全。
VLAN 用來區隔實體網路功能。 此設計使用三個 VLAN:兩個用於專用網路資料流量,一個用於公用網路資料流量。 下表顯示資料流量區隔。
| VLAN | 指定 | 資料流量類型 |
|---|---|---|
| VLAN 1 | 專用 A | ESXi 管理、管理、Geneve (TEP)、邊緣上行鏈路 |
| VLAN 2 | 專用 B | vSAN、NFS 和 vMotion |
| VLAN 3 | 公用 | 可用於網際網路存取 |
對於選用的兩個主機閘道群集,此設計使用兩個 VLAN:一個用於私人網路流量,另一個用於公共網路流量。 此叢集類型使用本機磁碟作為資料儲存。 因此,您不需要獨立的儲存流量。 此外,根據設計,NSX-T Geneve (TEP) 流量被排除在外。 下表顯示此群集類型的 VLAN 之間的流量分隔。
| VLAN | 指定 | 資料流量類型 |
|---|---|---|
| VLAN 1 | 專用 Transit | 私人傳輸 VLAN、ESXi 管理和 vMotion |
| VLAN 2 | 公用 Transit | 公用傳輸 VLAN |
命名慣例
以下命名慣例用於部署。 為了方便閱讀,只使用特定的命名。 例如,instancename-dcname-clustername-tz-edge-private 稱為 tz-edge-private。
| 說明 | 命名標準 |
|---|---|
| 管理 VM | instancename-nsxt-ctrlmgr0instancename-nsxt-ctrlmgr1instancename-nsxt-ctrlmgr2 |
| 上行鏈路設定檔 | instancename-esxi-private-profileinstancename-esxi-public-profileinstancename-edge-private-profileinstancename-edge-public-profileinstancename-edge-tep-profileinstancename-mgmt-edge-private-profileinstancename-mgmt-edge-public-profileinstancename-mgmt-edge-tep-profile |
| NIOC 簡介 | instancename-clustername-nioc-private-profileinstancename-clustername-nioc-public-profile |
| 閘道群組設定檔 | instancename-dcname-clustername-service-edge-cluster-profileinstancename-dcname-clustername-service-edge-cluster-profile |
| 運輸區 | instancename-tz-esxi-privateinstancename-tz-esxi-publicinstancename-tz-vm-overlayinstancename-tz-edge-privateinstancename-tz-edge-public |
| 區段 | instancename-podname.dcname-customer-t0-172-16-16-0instancename-podname.dcname-customer-t1-192-168-0-0instancename-podname.dcname-customer-t1-192-168-1-0instancename-podname.dcname-customer-to-privateinstancename-podname.dcname-customer-to-publicinstancename-podname.dcname-service-to-privateinstancename-podname.dcname-service-to-publicinstancename-clustername-edge-teps |
| IP 位址池 | instancename-clustername-tep-pool |
| 傳輸節點設定檔 | instancename-podname.dcname-clustername-esxi-tpn-profile |
| Tier-0 和 閘道 Tier-1 | instancename-podname.dcname-clustername-T0-function (其中 包括,, ) function services workload openshiftinstancename-podname.dcname-clustername-T1-function |
傳輸節點
傳輸節點定義參與虛擬網路光纖的實體伺服器物件或 VM。 請檢閱下表以瞭解設計。
| 傳輸節點類型 | 上行鏈路設定檔 | IP 指派 |
|---|---|---|
| ESXi | esxi-private-profileesxi-public-profile |
tep-pool |
| 閘道叢集 | edge-private-profileedge-public-profileedge-tep-profilemgmt-edge-private-profilemgmt-edge-public-profilemgmt-edge-tep-profile |
tep-pool |
上行鏈路設定檔和團隊
上行鏈路設定檔定義從管理程序主機到 NSX-T 邏輯交換器或從 NSX Edge 節點到 TOR(機架頂部)交換器的鏈路政策。
| 上行鏈路設定檔名稱 | VLAN | 團隊政策 | 作用中的上行鏈路 | 備用連結 | MTU |
|---|---|---|---|---|---|
esxi-private-profile |
預設值 | 預設 - 負載平衡來源 | uplink-1 uplink-2 |
由 vCenter 伺服器管理 | |
esxi-private-profile |
預設值 | TEP - 故障移轉順序 | uplink-1 | uplink-2 | 由 vCenter 伺服器管理 |
esxi-public-profile |
預設值 | 預設 - 負載平衡來源 | uplink-1 uplink-2 |
由 vCenter 伺服器管理 | |
edge-private-profile |
預設值 | uplink-1 | 9000 | ||
edge-public-profile |
預設值 | uplink-1 | 1500 | ||
edge-tep-profile |
預設值 | 失效接手順序 | uplink-1 | 9000 | |
mgmt-edge-private-profile |
預設值 | uplink-1 | 9000 | ||
mgmt-edge-public-profile |
預設值 | uplink-1 | 1500 | ||
mgmt-edge-tep-profile |
預設值 | 失效接手順序 | uplink-1 | 9000 |
VNI 儲存區
「虛擬網路 ID (VNI)」類似於實體網路的 VLAN。 從儲存區或 ID 範圍建立邏輯交換器時,會自動建立它們。 此設計會使用以 NSX-T 部署的預設 VNI 儲存區。
區段
NSX-T 網段可在與底層硬體脫鈎的虛擬環境中,重現交換功能、廣播、未知單播、多播 (BUM) 流量。
| 區段名稱 | VLAN | 傳輸區域 | 上行鏈路團隊原則 |
|---|---|---|---|
edge-teps |
預設值 | tz-esxi-private |
TEP - 故障移轉順序 |
service-to-private |
預設值 | tz-edge-private |
|
service-to-public |
預設值 | tz-edge-public |
|
customer-to-private |
預設值 | tz-edge-private |
|
customer-to-public |
預設值 | tz-edge-public |
|
customer-t0-172-16-16-0 |
tz-vm-overlay |
||
customer-t1-192-168-0-0 |
tz-vm-overlay |
||
customer-t1-192-168-1-0 |
tz-vm-overlay |
閘道叢集
在此設計中,配置了兩個虛擬邊緣節點群集,一個用於管理,另一個用於客戶工作負載。 每個 Edge Transport Node 有一個 T0 的限制,也就是說,一個 Edge Node Cluster 只能支援一個 T0 Gateway (在主動-備用或主動-主用狀態下)。
下圖顯示 NSX-T 閘道群集的功能元件。
層級 0 邏輯閘道
NSX-T Tier-0 邏輯閘道提供邏輯與實體網路之間的閘道服務 (用於南北流量)。 在此設計中,兩個高可用性的 T0 閘道部署在兩個獨立的 NSX-T 閘道群集中,一個用於客戶,另一個用於服務或管理需求。 更多的服務和產品是客戶選擇拓樸的選項,他們使用 T0 的服務來滿足入站(inbound)或出站(outbound)的連線需求。 每個 T0 邏輯閘道配置了兩個專用上行鏈路和兩個公用上行鏈路。 此外,VIP 會被指派到公用和專用上行鏈路。
層級 1 邏輯閘道
NSX-T Tier-1 邏輯閘道具有連接至 NSX-T Data Center 邏輯交換器的下行連接埠,以及連接至 NSX-T Data Center Tier-0 邏輯閘道的上行連接埠。 它們在所設定的管理程序核心層級中執行,是 NSX-T 閘道群集的虛擬路由器實體 (vrf)。 在此設計中,可以建立一個或多個 T1 邏輯閘道,以滿足客戶選擇拓樸的需求。
層級 1 至層級 0 路徑公告
若要在連接至不同 tier-1 邏輯閘道的邏輯交換器的虛擬機器之間提供第 3 層連線,就必須啟用 tier-1 路由廣告,朝向 tier-0。 不需要在層級 1 與層級 0 邏輯路由器之間配置遞送通訊協定或靜態路徑。 當您啟用路徑公告時,NSX-T 會自動建立靜態路徑。 在此設計中,任何 IBM Cloud® for VMware Solutions 自動化建立的 T1 閘道都會啟用路由廣告。
預先配置的拓蹼
工作負載 T1 至 T0 閘道 - 虛擬閘道群集
使用 NSX-T 時,在 T1 與 T0 之間沒有任何動態遞送通訊協定配置。 RFC-1891 IP 位址空間用於工作負載層疊網路和傳輸層疊網路。 會指派客戶專用和公用可攜式 IP 空間,以供客戶使用。 將客戶指定的 IBM Cloud 專用和公用可攜式 IP 空間指派給 T0,以供客戶使用。