虛擬雲網路

網路虛擬化NSX 技術文章系列一百七十一 : NSX-T的 Multisite 災備策略討論(三)

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

接續前篇。前面我們介紹了在兩個中心進行災備時,NSX-T以自動方式切換的架構簡述。但要達成這樣的架構,底層有需要配合的條件,包含企業在兩座資料中心間的延遲時間必須低於10 ms,兩中心間需要建置Stretch Cluster、儲存同步需求頻寬必須夠大等。上述情境如果無法滿足,但企業可以接受用手動的方式來回復,此時下面的機制便可以考慮了:

 

NSX-T Data Center 的手動災備回復機制

 

在手動回復機制內,因為不像自動回復機制的管理叢集可以跨雙中心建立vSphere stretch cluster,因此當主中心失效時,我們無法依賴vSphere HA,而需要手動在災備中心回復 NSX Management Cluster。此時的流程與需要討論的細節如下:

 

  • 此機制內,我們需要持續透過NSX定期Backup機制,定時將主中心NSX Management Cluster內的配置送往備援中心內的FTP伺服器

 

  • 在主中心與災備中心的管理網路如果有二層打通,那控制層的回復機制就會變得單純。災備需求發生時,在災備中心將現有的NSX備份透過Restore機制,管理者在同樣的管理網段上可以回復原本三台NSX Managers,且使用一模一樣的IP。當NSX Management Cluster在災備中心重新建立完成後,原本於災備中心這邊的Edge / vSphere Transport Nodes就可以與控制層重新建立連線

 

  • 一個變數是如果主中心與災備中心的管理網路無法二層打通,兩組管理網段僅有三層連通,此時NSX Managers的回復就無法以同樣IP在災備中心建立。若企業現有架構如此,則

 

  • 在NSX Management Cluster我們需以API修改”publish_fqdn”參數,要求Edge / vSphere Nodes要以DNS FQDN的方式與NSX Manager連接,而非採用原生的IP方式
  • 災備啟用時,在災備中心以新的網段IP搭配NSX Restore機制回復NSX Management Cluster
  • 修改DNS設定,手動將DNS內各台NSX Manager的紀錄修改為災備中心內的新IP。此時,災備中心這邊的Edge / vSphere Transport Nodes就可與控制層重新建立連線
  • NSX Edge Cluster這邊的配置方式可以與自動化的配置大致相同。但如果兩個中心之間距離較遠,而且網路跨三層,此時T0路由器設計上較不會與自動化配置環境一般,同時與兩個中心的實體路由器做BGP路由連接,並在主中心失效時以Active-Standby機制自動切換。在手動架構內,通常建議是先在災備中心預先建立好另一組獨立的T0路由器,並預先建立災備端的南北向BGP路由配置。此時,T0路由器就沒有限制得用Active-Standby了。既然我們會在主中心以及災備中心各自建立獨立的T0路由器,這些T0路由器底層可以藉由多台Edge提供與實體網路間的多路徑連接。

 

  • 當主中心失效時,首先完成NSX Management Cluster的回復。接著,管理者手動以API或是於UI介面內,將現有的T1路由器由原有的主中心T0,改接到災備中心之前已建置的T0路由器。此時,所有T1下的業務網段就可透過災備區的T0 / 實體路由器,取得對外連通了。

 

  • 與自動機制相同,於災備中心在運算層的vSphere資源池,本來的網路配置仍可運作,且在NSX Management Cluster回復 / T0路由器改接後可恢復通訊。當主中心失效時,用戶僅需啟用SRM機制,將原本主中心的虛機在災備中心的資源池重新部署,且網路配置完全不需改變。

 

手動回復的配置機制示意如下圖:

手動回復機制仍有部分底層環境條件需要滿足:

 

  • 兩中心間的網路延遲必須要低於150 ms。兩邊的管理網路可以L2打通在同一個網段最好,如果不行的話,兩邊的管理網段必須要路由連通。

 

  • 如果是對外服務,此對外服務的Public IP必須可由企業或同一家電信服務商在災備時進行切換。

 

  • 支援兩中心運算資源連接的實體線路建議支援大於1 Gbps的頻寬,以及必須配置至少1700 的 IP MTU。

 

  • SRM在進行虛機資料抄寫時也會使用到網路頻寬,同樣需要考量。

 

在前兩篇是針對兩種回復機制的簡單說明,各自仍有對應的需求限制。因此接下來的本系列最後一篇,我想就幾個在與客戶討論NSX-T Multisite架構時,常被詢問的問題與大家進行進一步說明。

相关文章

评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注