作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。

在本篇網誌裡我們要和大家簡介NSX for vSphere版本內,支援多個vCenter的架構是如何,各管理構件彼此的關係為何。也就是說,我們要討論NSX的Cross-VC架構。但開始之前,問大家一個問題:在本系列討論跨資料中心的第一篇文章,我們有討論過三種常見的跨中心虛擬化架構:

  • 延伸式叢集 (Stretched Cluster)
  • 單一vCenter管理不同資料中心內叢集 (Single vCenter with Seperated Cluster)
  • 不同vCenter各自管理不同資料中心內叢集 (Cross-vCenter Architecture)

在本篇以及後面的網誌,我們主要都僅會專注在第三種架構:NSX如何支援Cross-vCenter Architecture。那第一和第二種的跨中心架構怎麼跑NSX我們就不管了嗎?

當然不是,但是第一和第二種架構,就都只會有一個vCenter,而這就和標準單一資料中心內的NSX設計架構是一模一樣的。大家唯一要注意的是各台vSphere Host與NSX Manager / NSX Controller間的網路延遲時間應該要小於150 ms。如果企業採用延伸式叢集,這完全不是問題。如果採用第二種架構,除非大家的資料中心距離超遠跨國跨洲,不然如果都是在島內,這樣的Latency需求也不會是問題。

回歸到NSX for Cross-VC架構。NSX在Cross-VC的架構內有完整的部署方式文件,詳細的資訊請大家參考標準的Cross-vCenter NSX Installation Guide。而首先,當企業採用Cross-vCenter NSX時,管理者到底可以取得什麼功能呢:

  • 跨越多個vCenter資源池,各個資源池內虛機都能夠接取並二層連通的通用邏輯交換器 (Universal Logical Switch)
  • 直接在多個vCenter資源池內部署於各台vSphere內,進行最短路徑三層路由交換的通用分散式邏輯路由器 (Universal Distributed Logical Router)
  • 跨vCenter資源池集中進行東西向安全防護的通用分散式防火牆 (Universal Distributed Firewall)

各項功能我們在後面網誌會陸續做介紹。而如果要打造這樣的方案,需要安裝的管理構件會是如何呢?用下面這張圖和大家做說明

  • NSX for vSphere產品內,NSX Manager與vCenter必定是一對一的關係。環境內要將多少個vCenter資源池內集中進行跨中心邏輯網路部署與安全管理,就需要部署多少台NSX Manager。NSX Manager的數目同時最多是8台。也就是說,同時最多可以把8個vCenter環境集中進行NSX管理
  • NSX Manager在Cross-VC架構內,有分成Primary與Secondary的角色。Primary NSX Manager僅能有一個,其他的NSX Manager都是Secondary角色。如果管理者要進行Universal構件的部署像是Universal Logical SW / Universal DFW,必須要到Primary NSX Manager上進行。但如果是僅限於單一vCenter資源池內的本地配置,比如說僅限於單一vCenter資源池內虛機可接取的本地邏輯交換器、本地邏輯路由器等,就直接在對應此vCenter的NSX Manager來設定就好
  • 所有的NSX Manager均共用一組Universal Controller Cluster。與單一vCenter環境配置一樣,這組Controller Cluster內應該有三台controller虛機安裝在三台不同的vSphere Host,並部署在與Primary NSX Manager相同的資料中心內

各管理構件間的關係可由下圖說明如下:

  • 黑色線:在進行各種Universal網路功能配置時,管理者或雲平台以UI / API的方式對Primary NSX Manager下指令
  • 深綠色線:Primary NSX Manager會將相關的配置同步至各台Secondary NSX Manager
  • 淺綠色線:各台NSX Manager均連往共通的Controller Cluster進行各自的邏輯網路配置部署
  • 紅色線:包含Host-Preparation以及本地端網路構件的安裝,由各NSX Manager直接告知所負責資源池內的各台vSphere Host
  • 紫色線:進行NSX Controller對網路流的配置,如VTEP-Table / Mac-Table等等不同的查詢與運算,各台vSphere Host直接往Universal Controller Cluster進行連結與查詢

而如果是要進行Universal DFW的設定呢?同樣地,管理者用UI或API對Primary NSX Manager下指令(黑色線),相關的配置會同步到其他台Secondary NSX Manager(綠色線),然後各台NSX Manager會把這些防火牆與安全群組的配置送到所管理的本地資源池內(紅色線),如下圖:

以上和大家說明了NSX Cross-VC的管理構件架構。下篇網誌內,我們要和大家討論於Cross-VC內的邏輯交換器及邏輯路由器功能,以及相關應用時的注意項目。