作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。
上篇討論了在vCenter/vSphere Cloud內的網路配置觀念,本篇我們要介紹NSX Advanced Load Balancer (Avi Networks) 在 NSX-T Cloud裡面的網路架構。
NSX-T Cloud
Avi從20.1版開始正式支援NSX-T Cloud,這代表了
- Avi 服務引擎可以連接到NSX-T的Overlay交換器上了
- Avi Controller可以直接連動NSX-T Manager,取得NSX-T網路的相關資訊並且配置需要的路由、安全群組等構件
後續Avi會逐步取代NSX-T原生的Load Balancer功能,變成NSX-T環境內的主要應用遞送服務方案。當然各位如果生產環境內有在使用NSX-T原生Load Balancer的話也無須擔憂,VMware會持續提供需求的維護。但若以進階、完整的應用遞送功能,後續就會是作在Avi方案內了。
這邊要討論的是使用NSX-T Cloud時的網路配置架構。在前篇,我們談到vCenter / vSphere Cloud內,需要配置三種網路:管理、對前端VIP的網路、對後端Backend Server的網路。而目前在NSX-T Cloud內,網路架構如下:
簡單的說明:
- 在NSX-T Cloud架構內,配置時只有兩種網路:管理網路,以及業務網路。上圖的左方是管理網路的示意圖,管理者應該預先配置好一個Tier-1 Gateway以及指定的Management Segment。當服務引擎虛機被動態建立時,會有一個vnic連接到Management Segment上,並取得管理使用的IP。
- NSX-T Cloud內業務網路僅能是One-Arm架構,也就是說,用戶端連往VIP的網路流,以及服務引擎往後端Backend Server的連線,必須使用同一個介面。管理者應該預先配置好一個Tier-1 Gateway以及指定的Data Segment。當Virtual Service被指定到服務引擎上時,服務引擎會有一個vnic連接到Data Segment上,並取得業務網路流傳送的IP。
- 這個Data Segment可以是一個獨立的空網段專門用來接取服務引擎,也可以與Backend Server在同一個網段,如上圖右方所示。
- 與vCenter / vSphere Cloud相同,管理者應該透過配置DHCP或是在Avi環境內指定IP Pool,提供服務引擎接取到Management / Data Segment上的IP配置。
NSX-T Cloud裡面一個特殊的網路設計這邊也和大家討論。當我們配置出一個Virtual Service以及裡面的VIP時,Virtual Service內指定的Tier-1 Gateway會透過Route-Advertisement往Tier-0 Gateway宣告自己擁有這個/32的VIP,並透過Tier-0與外部實體網路的路由發佈至企業網路。此外,這個Tier-1 Gateway上會同時配置靜態路由,將往VIP的封包轉送到服務引擎上。透過這個架構,當我們以Active / Active架構要服務一個Virtual Service時,所有往VIP的連線會先送到指定的Tier-1 Gateway,然後透過Static Route ECMP的機制,底層就可以有多台服務引擎來提供應用遞送服務,如下圖左方。
抓幾個實際的NSX-T Cloud的網路配置畫面。首先,在設定Cloud的配置時,下圖內大家可看出,
- Management Network Segment內就是指定服務引擎的管理介面要接取的Tier-1 Gateway與Segment。
- Tier-1 Segment內就是指定業務網路使用的Tier-1 Gateway與Segment。
在Avi的配置內,我們設定了這兩個網路所配置的IP Pool,以及對應的Gateway。
然後下圖則是實際在NSX-T Cloud內產出的服務引擎虛機的網路配置。大家可以看到,兩張網卡分別接往Management網路 (AVI-SE-Segment) 以及業務網路 (AVI-SDDC-VIP-Segment)。前面的是Out-of-Band的管理網路,後端的業務網路則負責實際的應用遞送網路流。
以上和大家介紹Avi在NSX-T Overlay環境內的網路配置架構。下一篇內,我們要說明AWS Cloud的網路配置,並對網路相關的設定做簡單的總結說明。
Comments
0 Comments have been added so far