posted

0 Comments

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

如果你原本就已經相當熟悉NSX for vSphere,有安裝部署除錯過,有考到VCP-NV甚至VCIX-NV,想必很多NSX-T的基本觀念都可以很快理解與融會貫通。但有一個功能要特別小心:請不要用NSX for vSphere的概念來想NSX-T的邏輯路由器。NSX-T的邏輯路由器在概念與實作上和前代版本完全不一樣,NSX-T的Edge與NSX for vSphere的Edge-Router沒有一點毛關係,NSX-T內與Logical Distributed Router的對應也並不直接。

所以在接下來幾篇,我們要認真,但不希望講太細節地和大家討論下面的NSX-T邏輯路由器相關概念:
  • 什麼是T0 / T1路由器
  • 什麼是SR (Service Router) / DR (Distributed Router)
  • NSX-T邏輯路由器如何配置
  • NSX-T邏輯路由器的高可用度機制
那我們直接進入主題。NSX-T管理者配置時,我們會需要各自去建立T0 / T1路由器。這邊的T代表Tier,定義上通常是這樣解釋:
  • Tier-0 Router又稱為Provider Logical Router,由NSX管理者建立與配置,用來作為整個NSX-T管控的邏輯網路環境,與外部實體網路環境間的連接邊界
  • Tier-1 Router又稱為Tenant Logical Router,通常代表一個租戶、部門、特定應用程式的邊界路由器。Tier-1 Router負責一個租戶應用前端與其他租戶間的網路連接、南北向安全防護、NAT、負載平衡等功能。Tier-1 Router可以由NSX管理者建立,但更常的狀況是由自動化平台如vRealize Automation / Openstack / VMware PKS等呼叫API來建立
請大家先不要管Tier-0 / Tier-1 Router『位在哪邊』這個問題。T0 / T1 Router是邏輯概念,請大家就像是畫網路架構圖的方法來看這個概念。在下圖內:
  • 圖內的最上面是實體路由器,通常是企業的核心L3交換器
  • 中上很大一顆是T0邏輯路由器。T0 Router可以用標準vlan的方式與實體網路介接,而且通常會與企業實體L3交換器間跑路由協定,進行NSX邏輯網路與企業實體網路間的路由繞送
  • 下面大家看到有多顆不同的T1邏輯路由器。一個T0路由器下面可以接多台T1路由器,不同的T1路由器通常代表的是不同的租戶、部門、應用、Kubernetes內不同的namespace、Openstack裡面不同的project
  • 針對一個單一的租戶或應用,對內部不同網段的路由連接,與其他應用的網路接取、南北向防火牆配置 (請類比一下Openstack內的FWaaS)、NAT (NATaaS)與負載平衡 (LBaaS) 設定等,都可以在這個租戶自己的Tier-1 Router上面來設定。
為什麼要有這樣的設計?透過T0 / T1路由器的區分,我們能夠很容易地在NSX-T環境內建立多層次路由架構 (Multi-Tier Routing),這個架構可以帶來的主要效益在於
  • 我們能夠很容易地做到不同租戶或應用間的管理與安全隔離
  • 我們可以在NSX內非常容易區分出整個NSX環境Infra管理者(建立T0 Router,建立與實體網路的連接)以及Tenant管理者(建立T1 Router,負責單一租戶或業務的配置與服務)的責任分配
  • 我們可以很容易地讓要呼叫NSX-T的自動化系統,完全不需要去考慮實體網路與設備的配置(像是建立vlan / 對外IP / EBGP設定 / 路由備援與同時使用)這些問題。Infra管理者手動配置完T0路由器後,上面這些問題都已經解決了。而無論是vRealize Automation / Openstack / VMware PKS等等在呼叫NSX-T時,只要在現有的T0上加掛一個新的T1 Router,就可以在此T1 Router上進行所有需求的網路二層到七層服務配置,架構變得極度單純。
  • 我們能大幅簡化NSX環境內的路由設計。T0 / T1間的路由配置不需要管理者費心,NSX-T自行會去做T0 / T1間的路由配置與交換。自動化系統不需要考慮路由問題,Infra管理者也只需要費心建立好T0路由器與外面世界間的路由配置即可。
下一篇網誌內,我們會就T0 / T1的概念與特性,作更進一步的說明與比較。