本文由 VMware by Broadcom 资深网络和安全方案架构师 张浩 编写
VCF概述
VMware Cloud Foundation(以下简称VCF)为传统企业应用和现代应用提供了一个无处不在的私有云平台。它整合了vSphere、vSAN、NSX、Tanzu以及Aria Suite云管平台的所有功能,为企业提供了一个全面的、自动化的云端基础设施平台,让企业能够更加便利高效地搭建和管理私有云。VCF不是简单地把现有的软件组合在一起,而是包括了一个全新的SDDC Manager,将vSphere、vSAN和NSX深度整合在一起,可以对服务器和相关的网络进行统一配置管理。SDDC Manager 是VCF中独有的功能,它自动化了整个系统的生命周期(从配置和供应到升级和补丁),并简化了日常管理和操作。这种深度的整合和统一配置大大提升了私有云的管理和部署的效率,使用VCF可以使私有云部署时间缩短到几个小时。
VCF中的组件
在中大规模的VCF私有云部署中,通常情况下都会部署两种类型的工作域,一种是管理域,至少4台ESX主机,并且支持vSAN,管理域通常用于部署管理相关的组件,例如SDDC Manager、vCenter、NSX Manager等,另外一种是VI工作负载域,用于部署用于生产的工作负载虚拟机或者Tanzu集群。如下图所示:
整个一个VCF的实例是由一个管理域和多个VI工作负载域组成的。要部署一个VCF,首先需要部署管理域,管理域部署完成后,需要通过管理域中部署的SDDC Manager部署VCF VI工作负载域。
VCF网络的重要性
在VCF的部署中,会涉及到主机节点之间以及相关管理组件之间的互联互通,底层的物理网络作为主机节点间的高速公路,只要求物理网络具备高速转发和基本的路由能力即可。NSX做为VCF中的核心组件之一,提供了管理组件、边缘节点、应用工作负载的互联互通以及安全隔离能力。
网络(NSX)作为VCF的核心组件之一,其重要性主要体现在以下几个方面:
1) 实现网络流量的灵活控制:VCF中的网络部分基于软件定义网络(SDN)技术,将网络设备的控制层面与转发层面分离,从而实现对网络流量的灵活控制。这为用户提供了更高的灵活性,以适应不同业务场景的需求。
2) 实现云安全性:VCF中的NSX通过纯软件方式实现零信任,可以实现任意类型的工作负载的微隔离、多租户隔离及安全可见性。
3) 提供混合云解决连接:VCF中的NSX网络部分支持混合云架构,通过NSX HCX可以实现私有云和公有云之间的无缝连接和协同工作。
4) 提高业务敏捷性和灵活性:通过VCF中的NSX网络部分,通过与Aria Suite云管平台集成,企业可以更快地响应业务需求的变化,实现业务应用的快速部署和扩展。
VCF网络规划
深入理解NSX网络,是成功部署VCF的关键。因为VCF部署采用了标准化的部署方式,需要考虑VCF管理组件、TEP以及边缘Edge节点的互通,所以在部署VCF之前确保网络连通是非常重要的,所以需要对网络做出详细的规划设计,并且将规划的网络相关参数填入到“vcf-ems-deployment-parameter.xlsx”,接下来的部分将介绍VCF中的网络设计以及参数表中的相关参数的含义。
在准备vcf参数表之前,需要对VCF管理域的网络做出规划。如上图所示,至少需要规划5个网段,并且在底层的物理交换机配置这5个网段的VLAN ID以及网关IP,物理交换机连接ESX主机的端口全部启用Trunk。每个网段的作用分别是:
1) VM Management VLAN:主要用于连接管理域中的SDDC Manager、vCenter以前NSX Manager;
2)(Host)Management VLAN:这个VLAN主要是ESX主机的管理网,安装ESX主机需要配置这个网段的IP地址以及VLAN ID;
3)vMotion VLAN:用于提供在VCF管理域中的管理相关的组件或工作负载的vMotion网段;
4) vSAN VLAN:用于VCF管理域vSAN节点的通信;
5)NSX Host TEP VLAN:用于ESX主机Overlay TEP地址的分配
除了以上的5个网段之外,要部署一个完整的VCF管理域,还需要VCF Edge集群节点的网络规划,只不过这些规划不需要填写到vcf的参数表中。本文后续会介绍如何部署VCF Edge集群。
填写部署VCF的参数表
参数表的第一个sheet是“Credentials”,主要提供VCF中各个组件登陆信息。如下图所示:
参数表的第二个sheet是“Host and Networks“,在这张表中主要填写每个网段的分配以及ESX主机相关的参数,如下图所示:
表格中的第一部分主要填写VM Management Network、Management Network、vMotion Network以及vSAN Network所使用的CIDR以及VLAN ID,并且配置了每个网段网关的IP地址。
表格的第二部分主要填写VCF管理域中ESX主机的名字以及主机的管理IP地址以及vMotion网段和vSAN网段所使用的地址池。当部署VCF管理域的时候,每台ESX主机所需的vMotion以及vSAN VMkernel的地址会从这个地址池中进行分配。
表格的第三部分主要是针对VCF管理域中的VDS进行配置的参数,也就是在VCF部署中需要部署多少个VDS,每个VDS关联几个服务器物理网卡以及VDS上的流量分配情况,在表格中默认带了三个vds配置文件。分别是Profile-1、Profile-2和Profile-3。
通过Profile-1创建一个VDS,此VDS上联2个NIC或4个NIC,用于承载所有的流量,包括管理网络流量、vMotion、vSAN以及Host Host Overlay的流量。
通过Profile-2创建两个VDS,每个VDS上联2个NIC,一个VDS承载管理流量、vMotion以及Host Overlay流量,另外一个VDS仅用于承载vSAN流量。
通过Profile-3也是创建两个,每个VDS上联2个NIC,一个VDS用于承载管理流量、vMotion流量以及vSAN流量,另一个VDS仅用于承载Host Overlay的流量。
在vcf参数表的第一个sheet “Host and Networks”的第四部分,主要是Host TEP地址池以及VLAN的规划。
接下来介绍vcf参数表中的第三个sheet “Deploy Parameters”,在这张表中主要填写是具体每个VCF组件的IP地址以及名称,这些名称必须事先在DNS服务器上创建正反解的DNS记录。如下图所示:
这张表主要介绍五个部分。
第一个部分需要填写部署VCF时所使用的DNS和NTP服务器,在DNS上首先需要创建vCenter、SDDC Manager以及NSX Manager的正反解记录。
第二部分是License key部分,如果部署VCF的时候,需要License,选择License Now为Yes,然后填入各个组件的License,如果打算部署VCF之后,再License,选择License Now为No即可。
第三部分主要输入vSphere的相关信息。包括vCenter的IP地址以及vCenter的名字以及vCenter的规格。接下来选择VCF部署的架构,有两种部架构可以选择,一种架构是Standard,代表管理域和工作域分别部署,管理域由ClouderBuilder部署完成后,由管理域上的SDDC Manager再部署工作负载域。另外一种架构是Consolidated,即整合的架构,管理域和工作负载域合一,适合于小型的私有云环境。
第四部分主要输入NSX Manager的相关信息,在部署VCF管理域的时候,为了提供NSX控制平台的可靠性,直接部署三个NSX Manager节点的集群,这里需要配置一个NSX Manager集群的管理VIP地址。
第五部分主要输入SDDC Manager的信息,包括SDDC Manager的名字以及IP地址等。
VCF部署流程概述
要部署VCF管理域,首先需要在官方网站下载一个叫Cloud Builder的ova格式虚拟机,通过这个Cloud Builder的虚拟机,可以部署VCF的管理域,然后再下载一个名称为“vcf-ems-deployment-parameter.xlsx”,所有管理域的部署参数全部存在这张xlsx的表格中,更新这张表中的参数后,将它上传到Cloud Builder的虚拟机就可以实现自动化部署VCF管理域。Clould Builder可以安装在任何位置,只要能管理到ESX主机即可。
当完成vcf的参数表后,就可以部署VCF的管理域了。
在浏览器中打开Cloud Builder的管理界面,上传vcf参数表。如下图所示:
上传vcf参数表后,开始进行整个环境的验证,验证每个网段是可通的,在DNS服务器上是否有相关的正反解DNS记录以及密码等相关的验证。如下图所示:
验证通过后,验证通过后,可以点击“NEXT”开始进行VCF管理域的部署。如下图所示:
当部署完成后,可以打开SDDC Manager,可以确认部署成功
在SDDC Manager中可以查看管理域的状态等。
登陆到vCenter,可以查看到管理域的主机。
VCF管理域中的NSX Edge集群部署
NSX Edge 为VCF提供了网络服务,也就是说提供了虚拟网络到物理网络之间的连通性。NSX Edge 节点提供了一个用于运行集中式服务的容量池;在这个容量池之上,可以部署逻辑的Tier-0 Gateway和Tier-1 Gateway。Tier-0 Gateway负责与物理网络对接,可以理解成是一个虚拟网络到物理网络的边界网关,而Tier-1 Gateway可以挂在Tier-0 Gateway的下边做为VPC边界网关,一个Tier-0 Gateway下边可以挂多个Tier-1 Gateway。如下图所示:
通过SDDC Manager部署Edge集群,每个Edge集群中至少要部署两个Edge节点。而且Edge节点的TEP网络与Host TEP网络不在一个网段。如下图所示:
如上图所示,部署Edge集群需要规划至少4个网段:
1) Edge节点的管理IP地址段,每个Edge节点一个IP管理地址,可以与VM Management Network一个网段,详见上图的数字1处;
2) NSX Edge TEP网段,这个地址段不能与Host TEP网络在一个网段,需要通过物理网络的路由器或三层交换机将NSX Edge TEP网络和Host TEP网络打通。详见上图中的数字2和5;
3) NSX Edge节点1和NSX Edge节点2与TOR1互联地址段,详见上图中的数字3
4) NSX Edge节点1和NSX Edge节点2与TOR2互联地址段,详见上图中的数字4
Edge集群的IP规划完成后,就可以通过SDDC Manager部署Edge集群了。注:在部署Edge集群之前,需要提前在DNS服务器中配置Edge集群中的Edge节点DNS正向和反向解析记录。部署Edge集群的步骤如下:
1) 在Web浏览器中打开SDDC Manager,然后在左侧找到“清单”–>”工作负载域“,点击要创建Edge集群的管理域旁边的三个小点点,然后点”添加Edge集群“,如下图所示:
2) 点击”添加Edge集群“后,会提示创建Edge集群的必要条件。这里主要就是提示Edge TEP IP要与Host TEP IP不在同一个网段、Edge TEP IP与Host TEP IP之间能够路由以及需要有DNS正反解记录等,如下图所示:
3) 点击上图中的“开始”后,就开始输入创建Edge集群相关的信息了。
数字1处输入Edge集群的名称,Edge集群的名称不能超过20个字符。数字2处输入Tier-0网关的名称,数字3处输入Tier-1网关的名称,数字4输入Edge虚拟机的密码,密码应至少包含一个大小写字符。点击“下一步”后,进入Edge集群设置选项卡。
4) 进入Edge集群设置选项卡后,配置Edge集群的用途,Edge的规格等。如下图所示:
数字1处需要选择Edge集群的用途,如果没有特别的用途,选择“自定义”就可以。数字2处需要选择Edge的规格,有“小型”、“中型”、“大型”、“超大型”可以选择。每种规格占用的CPU和内存是不同的。Tier-0服务的高可用性可以选择多活的主备方式。数字3处需要选择Tier-0网关与物理网络对接采用静态路由还是EBGP,如果是中小型的环境选择“静态”就可以。点击“下一步”,进入Edge节点选项卡。
5) 在Edge节点选项卡,需要配置Edge的管理IP、TEP地址、Tier-0 Uplink及所在VLAN的相关信息,这一步非常关键。如果配置错误,最终会导致网络不通。
数字1处填入第一个Edge节点的FQDN,这个FQDN需要在DNS服务器上有正反解DNS记录。数字2处选择要把这个Edge节点放到哪个域里,这里选择放到管理域的集群里。数字3处的集群类型选择“L2一致”即可。接下来需要输入Edge节点的详细信息。数字4和5处需要输入Edge节点的管理IP和网关地址。数字6、7、8、9处需要输入Edge节点的Edge TEP IP地址、Edge TEP所在的网关地址以及VLAN ID,这个Edge TEP所在的网段一定不能与Host TEP所在的网段是相同的。
接下来需要输入Tier-0上行链路的配置。数字11和12输入这个Tier-0的第一个上行链路的VLAN和接口地址。数字13和14输入Tier-0的第二个上行链路的VLAN和接口地址。第一个上行链路连接TOR1,第二个上行链接连接TOR2,这两个地址不能在同一个VLAN.
所有信息输入完成之后,点击数字15处的”添加Edge节点”,完成第一个Edge节点的信息的输入。
按照同样的方法,加入第二个Edge节点。两台Edge节点加入成功后,如下图所示:
接下来点击“下一步”查看配置摘要。
点击“下一步”之后,进行相关的配置验证,验证通过后,才能开始创建Edge集群。
点击“完成”之后,开始创建Edge集群及集群中的Edge节点,创建成功后,登陆到vCenter可以查看到通过SDDC Manager创建了一个vsphere资源池,并在资源池内部创建了两个Edge节点。如下图所示:
再登陆到NSX Manager,也可以查看到创建的Edge节点。如下图所示:
除了Edge集群以及Edge节点以后,还创建了Tier-0和Tier-1网关。如下图所示:
最终创建的逻辑拓扑图如下:
至此,在Tier-0上配置好缺省路由后,南北向就可达了。
以上是VCF管理域的网络规划及简要的部署流程。VCF管理域部署成功后,如果部署VCF管理域时部署的是Standard,后续还要通过SDDC Manager部署VCF VI工作负载域。VCF VI工作负载域的创建,将在后续的文章中介绍。
注:本文的配置基于VCF 5.1.1
感谢您的耐心阅读,更多内容敬请参阅:VMware Cloud Foundation 网络设计及部署流程简介(下)