在 IBM Cloud 中安全连接您的私有 VMware 工作负载
了解如何保护私有的多站点 VCF 实例,同时扩展 VMware 应用程序来使用公共 IBM Cloud 服务
IBM® 和 VMware® 于 2016 年宣布开展一次新的合作,他们最终发布了 VMware Cloud Foundation on IBM Cloud ,这是一个完整的 VMware 虚拟化环境在 IBM
Cloud 中的自动化、标准化部署,该部署涉及 VMware vSphere、VMware NSX 和 VMware vSAN
技术。自上次合作后,IBM 和 VMware 继续通过新的特性和服务来增强产品。IBM Cloud 的 VMware Cloud
Foundation 和 VMware vCenter Server 产品是在 IBM Cloud 中部署一个全功能的 VMware
虚拟化环境的最快方式。
"任何对迁移数据、创建防火墙规则和构建拓扑结构等感兴趣的人都可以阅读本教程。"
连接到公有云
最初部署 IBM Cloud 中的 VMware vCenter Server (vCS) 或 VMware Cloud Foundation
(VCF) 实例时,仅为 IBM 软件组件和任何需要使用报告访问权限的服务(比如 Zerto Virtual
Replication)分配了最低的公有网络访问权限。
许多 IBM Cloud 服务均可通过私有网络应用于您的 VMware
工作负载,这些服务包括文件存储、块存储、对象存储、负载平衡、电子邮件传送和数字转码。
但是,其他许多 IBM Cloud 服务,比如 Cloudant®、IBM Cloud Functions(以前称为
OpenWhisk)、API Connect™ 和 Weather Company®
Data,仅能通过公有网络进行访问。
在本教程中,我们将展示如何安全地将私有多站点 VCF 实例连接到 IBM Cloud
公共服务。本教程将采用为多站点工作负载设置公共连接的最复杂案例。对于单站点部署,或者使用 VLAN 而不是 VXLAN
的部署,一些步骤没必要执行。完成本教程后,您将知道如何轻松安全地将私有 VMware 工作负载连接到公共 IBM Cloud 服务。
IBM Cloud:在迁移工作负载的同时保护您的数据安全
本教程基于 IBM Code 的虚构的 Acme Freight 公司和它的转型案例。可以 查看完整案例(并在查看时获取样本代码) ,看看 Acme Freight
是如何实现网络拓扑结构的。了解他们如何能在数据中心之间迁移工作负载,支持从工作负载到 IBM Cloud 服务的外部访问
—同时保护在其私有 IBM Cloud 虚拟网络中运行的工作负载的安全。
还有其他许多 IBM Cloud
服务可供使用,其中包括:云服务和开发人员服务(比如区块链)、允许您从现有数据中获取宝贵洞察的数据服务、让您能利用 Watson® 的
AI 服务,等等。
请访问 IBM Cloud 目录 来查看完整的服务列表,包括区块链、数据服务等。
Acme Freight 的 VMware 应用程序使用多个 IBM Cloud 服务来实现其基于天气的路线推荐引擎。他们的推荐引擎是使用 IBM Cloud Functions(以前称为 OpenWhisk)编程服务 来实现的,这有助于以非常低的成本开展快速创新和开发。他们订阅 IBM Cloud Weather Company Data 来获得天气预报和提醒。他们使用 IBM Cloud 的 API Connect 服务 为其 API 提供额外的安全、治理和分析能力。所有这些组件都使得 Acme
Freight 在扩展其业务的过程中能从其服务中获利并限制服务速率。图 1 是 Acme Freight 的 API Connect
监控界面的示例。
图 1.API Connect 监控界面
图 2 显示了在 IBM Cloud 上的 VMware Cloud Foundation 上运行的 Acme Freight
应用程序的拓扑结构。
图 2.Acme Freight 网络拓扑结构
下列步骤展示了我们如何构建图 2 中的拓扑结构。请注意,该应用程序可以在两个数据中心之间迁移,因此我们将配置每个数据中心,使其拥有一个指向公有网络的 本地出口 。
网络拓扑结构:构建您的内部网络
VMware NSX 是 VMware 的网络功能虚拟化 (NFV) 技术。NSX
不仅可以实现网络虚拟化,还可以通过其微观细分防火墙功能提供重要的安全优势。NSX 还能灵活地将许多第三方网络功能插入到 NSX 网络流中。
由于 NSX 提供的灵活性和安全性,许多公司正在自己的数据中心内采用 NSX。即使您未在自己的数据中心内使用 NSX,在云中部署 VMware
时也应使用它。通过在云中使用 NSX,您能够更灵活地控制您的环境中的网络和地址,而且您今后还能利用 NSX 的其他优势。
如果您已经部署了多站点 VMware Cloud Foundation 拓扑结构,您的 vCenter 服务器会链接在一起,但不会链接您的 NSX
管理器。在这一步中,我们将各个实例之间的 NSX 管理器关联起来,以便能够创建贯穿您的各个站点的逻辑网络
(VXLAN)。这简化了您的工作负载之间的通信,使您的工作负载能在站点之间无缝迁移,就像 Acme Freight 的案例中一样。有关跨
vCenter NSX 设计和架构的更多信息,请参考 VMware 的 NSX 跨 vCenter 设计指南 。
这一步要求您选择一个站点用作主要 NSX 管理器,并删除其他所有连接站点上的 NSX 控制器。为了保持一致性和简单性,我们推荐使用主要 VCF
实例作为主要 NSX 管理器。您应该在任何辅助站点上创建任何逻辑交换机之前执行这一步:
- 使用 vSphere web Client 登录到 vCenter。
- 配置跨 vCenter NSX 之前,确保所有站点都为其逻辑交换机提供了唯一网段 ID 范围。为每个逻辑网络分配一个网段
ID,这非常类似于一个 VLAN 有一个 ID。
- 确定网段 ID
范围,您将在每个站点上为本地交换机和通用交换机配置该范围。您的选择决定了可在每个站点上创建多少个交换机,以及可以创建多少个通用网络。在
Acme Freight 的案例中,我们选择了以下配置:
- 主要站点:6000–6499
- 辅助站点:6500-6999
- 通用:7000-7999
- 导航到 Networking & Security >
Installation。选择 Logical Network
Preparation 选项卡,然后选择 Segment ID
窗格。
- 选择将用作主要管理器的 NSX 管理器的 IP 地址。
- 单击 Edit 并将网段 ID 池调节到您想要的范围。
- 对每个辅助 NSX 管理器重复步骤 c 和 d。我们将在后面的一个步骤中配置通用网段 ID。
- 导航到 Networking & Security > Installation,并选择
Management 选项卡。
- 选择将用作主要管理器的 NSX 管理器的 IP 地址。
- 单击 Actions > Assign Primary Role,并在提示时单击
Yes。
- 在 NSX Controller 节点表中,找到将用作辅助管理器的 NSX 管理器所管理的 3 个 NSX 控制器的位置。对于每个控制器:
- 选择该控制器。
- 单击红色的 X 图标来删除它。
- 等完成删除后再继续操作。
- 如果无法单击删除按钮,请刷新屏幕。
- 登录到 IBM Cloud for VMware Solutions 门户。
- 单击 Deployed Instances 并选择您的辅助实例。记下 MSX 管理器 IP 地址、HTTP
用户名和 HTTP 密码。
- 返回到 vSphere Web Client NSX 安装页面。
- 选择 Primary NSX Manager。
- 选择 Actions > Add Secondary NSX Manager。
- 输入在第 8 步中记下的 IP 地址、HTTP 用户名和 HTTP 密码。
完成上述操作后,会列出一个 NSX 管理器作为主要管理器,并列出另一个管理器作为辅助管理器。您应该在 NSX Controller 节点表中看到 6
行,但只有 3 个唯一 IP 地址,因为现在主要站点和辅助站点共享了这 3 个控制器。控制器花几分钟才能进入连接状态;如果没有进入连接状态,请选择
Secondary Manager 并单击 Actions > Update
Controller State。图 3 显示了结果。
图 3.NSX 管理器和控制器
对您想要包含在通用传输区域中的其他任何辅助实例重复第 5-12 步。
在这一步中,我们将设置一个通用传输区域,使您的站点能共享 NSX 逻辑交换机和路由器。
- 在 vSphere Web Client 中,导航到 Networking & Security >
Installation 并选择 Logical Network
Preparation 选项卡。
- 确保在下拉列表中选择了 Primary NSX Manager,单击 Segment ID 窗格,然后单击
Edit。
- 选择一个与您的本地网段 ID 无关的通用网段 ID 池。在 Acme Freight 的案例中,我们选择了范围 7000–7999
作为我们的网段 ID,如图 4 所示。
图 4. 网段 ID
- 选择 Transport Zones 窗格。
- 单击绿色的加号图标添加一个传输区域。选择 Mark this object for Universal
Synchronization,以便将它创建为一个通用传输区域。选择您的集群,以便将它连接到该传输区域。在
Acme Freight 的案例中,我们将它命名为
- UniversalTransportZone
。图 5. 通用传输区域
- 从下拉列表中选择您的 Secondary NSX Manager。选择
UniversalTransportZone,然后选择 Action >
Connect Cluster 来将您的辅助 vCenter 连接到此传输区域。
- 选择该集群并单击 OK。
- 对您环境中的其他任何辅助 NSX 管理器重复第 6-7 步。
在这一步中,我们创建逻辑交换机来用作我们的解决方案的虚拟网络。可以将每个逻辑交换机视为一个物理 VLAN 的等效虚拟
LAN。如果在主机之间路由,流往这些交换机的流量会封装在 VXLAN 包中。
您需要针对自己的网络需求制定计划,这些需求包括逻辑交换机的数量和它们使用的子网。在
Acme Freight 的案例中,我们创建了以下逻辑交换机:
- Universal Web-Tier
这个网络提供了 Acme Freight 的 Web 服务器。它的子网为
172.16.10.0/24。 - Universal App-Tier
这个网络提供了 Acme Freight 的应用服务器。它的子网为
172.16.20.0/24。 - Universal Primary-Transit
这个网络是一个传输网络,它将流量路由到主要站点的公有网络。它的子网为
172.16.100.0/27。 - Universal Secondary-Transit
这个网络是一个传输网络,它将流量路由到辅助站点的公有网络。它的子网为
172.16.200.0/27。
在后面一步中,我们将创建逻辑路由器,以便在这些网络之间路由流量。
按照以下步骤创建每个逻辑交换机:
- 在 vSphere Web Client 中,导航到 Networking & Security >
Logical Switches。
- 确保在下拉列表中选择了 Primary NSX Manager。
- 单击绿色的加号图标创建一个逻辑交换机。
- 为您的交换机命名。
- 对于 Transport Zone,请单击 Change 并选择您的通用传输区域。
- 确保选择了 Unicast,如图 6 所示。
- 单击 OK。
图 6. 逻辑交换机
在上一步中,我们创建了多个逻辑(或虚拟)网络。您可以立即开始将虚拟机部署在这些网络上,但是这些虚拟机仅能与同一个网络上的其他虚拟机进行通信。要在虚拟网络之间路由流量,需要部署一个逻辑路由器。
VMware NSX 为单站点配置提供了逻辑(或分布式)路由器 (DLR),还提供了通用逻辑路由器 (UDLR)
来路由通用逻辑交换机(比如我们前面创建的交换机)上的流量。在这一步中,我们部署了一个带本地出口的通用逻辑路由器。我们将部署一个
UDLR,它在每个站点中有一对路由器设备。
- 在 vSphere Web Client 中,导航到 Networking & Security > NSX
Edges。
- 确保在下拉列表中选择了 Primary NSX Manager。
- 单击绿色的加号图标。
- 第一个面板如图 7 所示。
- 为 Install Type 选择 Universal Logical (Distributed) Router。
- 选择 Enable Local Egress。
- 为您的路由器命名。
- 勾选 Enable High
Availability。我们将部署两个设备,以确保即使一台设备由于主机故障而中断,流量的路由也会继续。
图 7.UDLR 名称和描述
- 在第二个面板中,选择用于管理设备的用户名和密码。
- 在第 3 个面板上,单击绿色的加号图标来配置 UDLR 设备的部署。向主要站点中的适当位置总共配置两个设备,如图 8
所示。在后面的步骤中,我们将为辅助站点部署设备。
图 8.UDLR 部署配置
- 在第 4 个面板中,配置逻辑路由器的接口。
- 即使没有勾选 Enable High Availability,也必须分配一个 HA
接口。这个接口供设备用于检测彼此的可用性。可以使用主要传输网络作为 HA 接口。
- 为每个逻辑交换机配置一个接口,包括辅助传输网络。这样,即使辅助站点的公有链接失败,主要站点也能路由辅助站点的公有网络流量。确保您的子网配置与之前您为每个逻辑交换机规划的网络架构相匹配。传输网络应该是上行链路接口;其他所有网络应该是内部接口。
- 我们稍后会在传输网络上部署一个网关设备,所以不应在传输网络上为我们的 UDLR 分配一个网关地址(根据约定为第 1
个地址)。但是,UDLR 将用作其他所有逻辑交换机的网关。我们在 Acme Freight 的案例中分配的地址如下,如图 9
所示:
- Universal Web-Tier
内部接口,172.16.10.1/24 - Universal App-Tier
内部接口,172.16.20.1/24 - Universal
Primary-Transit
上行链路接口,172.16.100.2/27 - Universal Secondary-Transit
上行链路接口,172.16.200.2/27 图 9.UDLR 接口
- 在第 5 个面板中,配置这个 UDLR 设备的默认网关。指定主要传输网络的网关地址;稍后我们会在该地址上部署一个网关设备。图 10
显示了已为 Acme Freight 配置的网关。
图 10.UDLR 默认网关
- 完成 UDLR 及其主要设备的创建。
- 如果将设备部署到了同一个集群、资源池和数据存储中,应该配置一条 DRS 关联规则来确保这些设备在单独的主机上运行。
现在让我们在您的辅助站点上部署 UDLR 的设备。对于每个辅助站点,请执行以下步骤:
- 在 vSphere Web Client 中,导航到 Networking & Security > NSX
Edges。
- 在下拉列表中选择 Secondary NSX Manager。
- 在列表中选择您的 UDLR。
- 在 Manage 选项卡中,选择 Settings 窗格并选择
Configuration。
- 单击绿色的加号图标配置一个新的 UDLR 设备,并为它选择一个合适的位置。
- 在 HA Configuration 面板中,单击 Change 来配置 HA。选择 Enable,然后选择您的辅助传输网络作为 HA
接口。
- 单击绿色的加号图标配置您的辅助 UDLR 设备,并为它选择一个合适的位置。
- 如果将设备部署到了同一个集群、资源池和数据存储中,应该配置一条 DRS 关联规则来确保这些设备在单独的主机上运行。
网络拓扑结构:构建您的外部网络
在这一步中,我们将部署 NSX Edge Services Gateway (ESG)
设备,它们将充当您的逻辑网络与公有网络之间的网关。我们将配置这些网关,将源自工作负载的出站流量通过 NAT 转换至公有网络。VMware 将这个出站
NAT 称为源 NAT (SNAT)。根据您的需求,还可以配置源自公有网络通过 NAT
转换至您的工作负载的入站流量,这称为目标 NAT (DNAT)。我们将在每个站点中部署一个单独的高可用 ESG
对,因为每个站点都有自己的主要网络。
首先,必须从 IBM Cloud 订购公有子网,以用于您的 ESG:
- 登录到 IBM Cloud SoftLayer® 门户。
- 首先,确保您知道自己的 vSphere 主机的公有 VLAN。请执行以下步骤:
- 导航到 Devices > Device List。
- 识别您的主要站点上的一个 vSphere 主机并选择它。
- 在 Network 部分中的 Public 标题下,记下该站点和 VLAN。例如
wdc04.fcf03a.1165。
- 对每个辅助站点重复步骤 2a-2c。
- 导航到 Network > IP Management > Subnets。
- 选择 Order IP Addresses。
- 选择一个可移植公有子网
- 选择 4 个可移植公共 IP 地址并单击 Continue。
- 选择您之前为主要站点确定的 VLAN。
- 填充 RFC 2050 信息并下单。
- 对每个辅助站点重复第 4-8 步。
您会发现,这些 VLAN 上已有一个 CIDR–28 公有可移植子网,IBM Cloud 管理组件使用它与 IBM Cloud 门户进行通信。在
IBM Cloud SoftLayer 门户中,导航到 Network > IP Management >
Subnets,检查您订购的 CIDR–30
子网的细节。应该向这些子网添加一条备注来表明它们的用途;例如 "Workload
NAT"。单击查看每个子网的细节。记下网关地址和可供您使用的地址。我们将对 NSX ESG
使用后一个地址。应该向这个地址添加一条备注来表明它的用途;例如 "NSX ESG 公有 IP"。
现在,我们使用您订购的地址来部署您的 ESG:
- 在 vSphere Web Client 中,导航到 Networking & Security > NSX
Edges。
- 在下拉列表中选择您的 Primary NSX Manager。
- 单击绿色的加号图标部署一个新的 NSX ESG。
- 在第一个面板中,选择 Edge Services Gateway,为您的 ESG 命名,然后选择
Enable High Availability,如图 11 所示。
图 11.NSX ESG 名称和描述
- 在第二个面板中,选择用于管理设备的用户名和密码。
- 在第 3 个面板上,单击绿色加号图标来配置一个网关设备的部署。向主要站点中的合适位置总共配置两个设备,如图 12 所示。
图 12. 配置 NSX ESG 部署
- 在第 4 个面板中,配置您的网关的接口,如图 13 所示。
- 上行链路接口应该是您的公有网络。从分布式端口组列表中选择 SDDC-DPortGroup-External
分布式端口组。为您从 IBM Cloud 订购的 IP 地址配置子网前缀 30。
- 内部接口应该是您的主要传输网络。配置您为主要传输网络确定的网关地址。在 Acme Freight 的案例中,该地址为
172.16.100.1/27。
图 13.ESG 接口
- 在第 5 个面板中,配置这个设备的默认网关。为您之前从 IBM Cloud 订购的子网指定网关地址。图 14 显示了已为 Acme
Freight 配置的网关。
图 14.ESG 默认网关
- 在第 6 个面板中,配置您的默认防火墙策略,并将 HA 接口设置为内部接口。
- 完成 ESG 的创建。
- 如果将设备部署到了同一个集群、资源池和数据存储中,应该配置一条 DRS 关联规则来确保这些设备在单独的主机上运行。
- 对每个辅助站点重复这些步骤,在合适的传输网络中,使用您为这些站点订购的子网在这些站点中部署一个 NSX ESG 对。
在这一步中,我们将在 ESG 与 UDLR 之间启用 OSPF 动态路由。这会让 UDLR
动态发现每个站点中可用的网关路由,从而根据运行您的工作负载的站点来识别最近的活动网关。
首先,我们将配置每个 UDLR 设备来识别运行它的地区。因为我们在 UDLR 上启用了本地出口,所以 UDLR 将使用该地区 ID
来过滤它在您的管理程序上配置的路由。此配置将允许它在每个站点上配置不同的首选路由:
- 在 vSphere Web Client 中,导航到 Networking & Security > NSX
Managers。
- 双击您的主要站点的 NSX 管理器,选择 Summary 选项卡。
- 复制 ID 字段,如图 15 所示。
图 15.NSX 管理器 ID
- 导航到 Networking & Security > NSX Edges,从下拉列表中选择
Primary NSX Manager。
- 双击您的 UDLR。
- 选择 Manage 选项卡和 Routing 窗格,然后选择
Global configuration。
- 单击 Routing Configuration 旁边的 Edit,并输入路由器 ID。
- 单击 Publish Changes 提交您的更改。
图 16. 发布地区 ID 更改
- 对每个辅助 NSX 管理器以及与它们相关的 UDLR 设备重复这些步骤,注意在第 2 和第 4 步中选择正确的 NSX 管理器。
现在我们需要为每个 UDLR 设备启用 OSPF:
- 在 vSphere Web Client 中,导航到 Networking & Security > NSX
Edges,从下拉列表中选择 Primary NSX Manager。
- 双击您的 UDLR 并选择 Manage 选项卡。
- 在 Routing 窗格中,选择 Global Configuration 选项。
- 单击 Dynamic Routing Configuration 旁边的 Edit,确保为 Router
ID 选择了主要传输网络,如图 17 所示。
图 17.UDLR 路由器 ID
- 单击 Publish Changes 提交您的更改。
- 在 Routing 窗格中,选择 OSPF 选项。
- 配置 OSPF 设置。
- 单击 Edit 来配置设置。
- 将它设置为 Enabled。
- 输入主要传输网络中的一个未用的地址作为协议地址。UDLR 将用此地址发送和接收 OSPF 流量。
- 转发地址是 UDLR 用来发送和接收路由流量的地址。输入 UDLR 在主要传输网络上的现有地址。
图 18.Acme Freight 的 UDLR OSPF
设置
- 创建一个区域定义,如图 19 所示。
图 19.UDLR OSPF 区域
- 将该区域映射到主要传输接口,如图 20 所示。
图 20.OSPF 的 UDLR 接口映射
- 单击 Publish Changes 提交您对 OSPF 配置所做的更改。
- 对每个辅助站点重复这些步骤,为这些站点中的 UDLR 设备配置 OSPF。一定要在第 1 步中选择合适的辅助 NSX 管理器,在第 4、7
和 9 步中选择合适的辅助网络和地址。
最后,我们需要对 NSX ESG 启用 OSPF,以便它们能够与 UDLR 进行通信。
- 在 vSphere Web Client 中,导航到 Networking & Security > NSX
Edges,从下拉列表中选择 Primary NSX Manager。
- 双击您的 NSX ESG 并选择 Manage 选项卡。
- 在 Routing 窗格中,选择 Global Configuration 选项。
- 单击 Dynamic Routing Configuration 旁边的 Edit,确保为 Router
ID 选择了主要上行链路网络,如图 21 所示。
图 21.NSX ESG 路由器 ID
- 单击 Publish Changes 提交您的更改。
- 在 Routing 窗格中,选择 Enable OSPF 选项,如图 22 所示。
图 22.NSX ESG OSPF 设置
- 创建一个与您的 UDLR 区域定义匹配的区域定义,如图 23 所示。
图 23.NSX ESG OSPF 区域
- 将该区域映射到主要传输接口,如图 24 所示。
图 24.OSPF 的 NSX ESG 接口映射
- 单击 Publish Changes 提交您对 OSPF 配置所做的更改。
- 对每个辅助站点重复这些步骤,为这些站点中的 ESG 配置 OSPF。一定要在第 1 步中选择合适的辅助 NSX 管理器,并在第 4 和
9 步中选择合适的辅助网络。
最后,我们将配置 NSX 边缘网关(已在第 5 步中部署),以便允许使用地址转换从您的应用程序建立出站连接。
- 在 vSphere Web Client 中,导航到 Networking & Security > NSX
Edges。
- 确保在下拉列表中选择了 Primary NSX Manager,双击您为主要站点上的公共连接创建的 NSX ESG。
- 在 Manage 选项卡中,选择 Firewall 面板。
- 单击绿色的加号图标,创建一个新的防火墙规则来允许出站流量,如图 25 所示。
- 源 IP 地址可能包含您的应用程序的原始地址(防火墙规则在 NAT
规则之前应用)。可以采用各种构造来选择源地址,包括集群、逻辑交换机、vApp、虚拟机和 IP 地址规范。
- 如果需要的话,还可以对目标地址和服务加以限制。
图 25. 防火墙规则
- 发布您的更改
- 在 Manage 选项卡中,选择 NAT 面板。
- 单击绿色的加号图标并选择 Add SNAT Rule,创建一条新规则来将私有 IP 地址转换为公共 IP
地址,如图 26 所示。
- 原始源 IP 地址将是分配给虚拟网络上的虚拟机的地址范围,即 172.16.0.0/16。
- 转换后的源 IP 地址来自 ESG 的上行链路接口。
图 26.SNAT 规则
- 发布您的更改
- 对您的每个辅助 NSX 管理器和 ESG 重复第 2-8 步。一定要从辅助站点的 ESG 上的上行链路接口指定转换后的源 IP
地址。
结束语
在本教程中,我们设置了一个跨 vCenter
NSX,创建了通用逻辑交换机来允许工作负载和通信流量通过虚拟网络在您的站点间进行传输。我们还设置了一个通用逻辑路由器在这些网络之间路由流量,在每个位置创建了网关来允许将出站流量连接到公有网络。通过所有这些步骤,您可以扩展自己的
VMware 应用程序来使用公共 IBM Cloud 服务,比如 Watson Personality Insights 或 Watson IoT
Platform。
因为我们对出站连接使用了 NAT,所以当您在站点之间执行实时迁移时,您的工作负载会暂时断开连接。这次断开连接是由连接源 IP
地址导致的(可从外部网络看到),您从一个站点转移到另一个站点时,地址就会发生改变。但是您的工作负载会立即重新建立连接。
本教程只简单介绍了 IBM Cloud 中的 VMware NSX 带来的各种可能性。我们为 NSX Edge
创建了防火墙规则,但您可以创建应用于所有流量(包括交换机内部流量)的防火墙规则。根据您的需求,可能还需要考虑替代性拓扑结构。如果需要与您的应用程序建立入站连接,还需要考虑
NAT 配置(包括单和双 NAT),有可能会需要一个跨站点负载平衡器。VMware 的 NSX 跨 vCenter 设计指南 介绍了各种推荐的拓扑结构和每种拓扑结构的设计考虑因素。
现在您可以享受新发现的虚拟网络的强大功能,IBM Cloud 服务的强大阵容已静候您的使用!
致谢
衷心感谢 Daniel De Araujo 和 Frank Chodacki 设置了多站点测试环境并提供了 NSX 架构指导。
来源: http://www.ibm.com/developerworks/cn/security/library/se-securely-connect-private-vmware-workloads-ibm-cloud/index.html