VMware NSX 是 VMware 的网络功能虚拟化 (NFV) 技术。NSX 不仅可以实现网络虚拟化,还可以通过其微观细分防火墙功能提供重要的安全优势。NSX 还能灵活地将许多第三方网络功能插入到 NSX 网络流中。
由于 NSX 提供的灵活性和安全性,许多公司正在自己的数据中心内采用 NSX。即使您未在自己的数据中心内使用 NSX,在云中部署 VMware 时也应使用它。通过在云中使用 NSX,您能够更灵活地控制您的环境中的网络和地址,而且您今后还能利用 NSX 的其他优势。
如果您已经部署了多站点 VMware Cloud Foundation 拓扑结构,您的 vCenter 服务器会链接在一起,但不会链接您的 NSX 管理器。在这一步中,我们将各个实例之间的 NSX 管理器关联起来,以便能够创建贯穿您的各个站点的逻辑网络 (VXLAN)。这简化了您的工作负载之间的通信,使您的工作负载能在站点之间无缝迁移,就像 Acme Freight 的案例中一样。有关跨 vCenter NSX 设计和架构的更多信息,请参考 VMware 的 NSX 跨 vCenter 设计指南。
这一步要求您选择一个站点用作主要 NSX 管理器,并删除其他所有连接站点上的 NSX 控制器。为了保持一致性和简单性,我们推荐使用主要 VCF 实例作为主要 NSX 管理器。您应该在任何辅助站点上创建任何逻辑交换机之前执行这一步:
完成上述操作后,会列出一个 NSX 管理器作为主要管理器,并列出另一个管理器作为辅助管理器。您应该在 NSX Controller 节点表中看到 6 行,但只有 3 个唯一 IP 地址,因为现在主要站点和辅助站点共享了这 3 个控制器。控制器花几分钟才能进入连接状态;如果没有进入连接状态,请选择 Secondary Manager 并单击 Actions > Update Controller State。图 3 显示了结果。
点击查看大图
对您想要包含在通用传输区域中的其他任何辅助实例重复第 5-12 步。
在这一步中,我们将设置一个通用传输区域,使您的站点能共享 NSX 逻辑交换机和路由器。
。
- UniversalTransportZone
在这一步中,我们创建逻辑交换机来用作我们的解决方案的虚拟网络。可以将每个逻辑交换机视为一个物理 VLAN 的等效虚拟 LAN。如果在主机之间路由,流往这些交换机的流量会封装在 VXLAN 包中。
您需要针对自己的网络需求制定计划,这些需求包括逻辑交换机的数量和它们使用的子网。在 Acme Freight 的案例中,我们创建了以下逻辑交换机:
在后面一步中,我们将创建逻辑路由器,以便在这些网络之间路由流量。
按照以下步骤创建每个逻辑交换机:
在上一步中,我们创建了多个逻辑(或虚拟)网络。您可以立即开始将虚拟机部署在这些网络上,但是这些虚拟机仅能与同一个网络上的其他虚拟机进行通信。要在虚拟网络之间路由流量,需要部署一个逻辑路由器。
VMware NSX 为单站点配置提供了逻辑(或分布式)路由器 (DLR),还提供了通用逻辑路由器 (UDLR) 来路由通用逻辑交换机(比如我们前面创建的交换机)上的流量。在这一步中,我们部署了一个带本地出口的通用逻辑路由器。我们将部署一个 UDLR,它在每个站点中有一对路由器设备。
现在让我们在您的辅助站点上部署 UDLR 的设备。对于每个辅助站点,请执行以下步骤:
在这一步中,我们将部署 NSX Edge Services Gateway (ESG) 设备,它们将充当您的逻辑网络与公有网络之间的网关。我们将配置这些网关,将源自工作负载的出站流量通过 NAT 转换至公有网络。VMware 将这个出站 NAT 称为源 NAT (SNAT)。根据您的需求,还可以配置源自公有网络通过 NAT 转换至您的工作负载的入站流量,这称为目标 NAT (DNAT)。我们将在每个站点中部署一个单独的高可用 ESG 对,因为每个站点都有自己的主要网络。
首先,必须从 IBM Cloud 订购公有子网,以用于您的 ESG:
您会发现,这些 VLAN 上已有一个 CIDR–28 公有可移植子网,IBM Cloud 管理组件使用它与 IBM Cloud 门户进行通信。在 IBM Cloud SoftLayer 门户中,导航到 Network > IP Management > Subnets,检查您订购的 CIDR–30 子网的细节。应该向这些子网添加一条备注来表明它们的用途;例如“Workload NAT”。单击查看每个子网的细节。记下网关地址和可供您使用的地址。我们将对 NSX ESG 使用后一个地址。应该向这个地址添加一条备注来表明它的用途;例如“NSX ESG 公有 IP”。
现在,我们使用您订购的地址来部署您的 ESG:
在这一步中,我们将在 ESG 与 UDLR 之间启用 OSPF 动态路由。这会让 UDLR 动态发现每个站点中可用的网关路由,从而根据运行您的工作负载的站点来识别最近的活动网关。
首先,我们将配置每个 UDLR 设备来识别运行它的地区。因为我们在 UDLR 上启用了本地出口,所以 UDLR 将使用该地区 ID 来过滤它在您的管理程序上配置的路由。此配置将允许它在每个站点上配置不同的首选路由:
现在我们需要为每个 UDLR 设备启用 OSPF:
最后,我们需要对 NSX ESG 启用 OSPF,以便它们能够与 UDLR 进行通信。
最后,我们将配置 NSX 边缘网关(已在第 5 步中部署),以便允许使用地址转换从您的应用程序建立出站连接。
在本教程中,我们设置了一个跨 vCenter NSX,创建了通用逻辑交换机来允许工作负载和通信流量通过虚拟网络在您的站点间进行传输。我们还设置了一个通用逻辑路由器在这些网络之间路由流量,在每个位置创建了网关来允许将出站流量连接到公有网络。通过所有这些步骤,您可以扩展自己的 VMware 应用程序来使用公共 IBM Cloud 服务,比如 Watson Personality Insights 或 Watson IoT Platform。
因为我们对出站连接使用了 NAT,所以当您在站点之间执行实时迁移时,您的工作负载会暂时断开连接。这次断开连接是由连接源 IP 地址导致的(可从外部网络看到),您从一个站点转移到另一个站点时,地址就会发生改变。但是您的工作负载会立即重新建立连接。
本教程只简单介绍了 IBM Cloud 中的 VMware NSX 带来的各种可能性。我们为 NSX Edge 创建了防火墙规则,但您可以创建应用于所有流量(包括交换机内部流量)的防火墙规则。根据您的需求,可能还需要考虑替代性拓扑结构。如果需要与您的应用程序建立入站连接,还需要考虑 NAT 配置(包括单和双 NAT),有可能会需要一个跨站点负载平衡器。VMware 的 NSX 跨 vCenter 设计指南介绍了各种推荐的拓扑结构和每种拓扑结构的设计考虑因素。
现在您可以享受新发现的虚拟网络的强大功能,IBM Cloud 服务的强大阵容已静候您的使用!
衷心感谢 Daniel De Araujo 和 Frank Chodacki 设置了多站点测试环境并提供了 NSX 架构指导。
来源: http://www.ibm.com/developerworks/cn/linux/l-infrastructure-for-sas/index.html