作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

在前篇我們說明了NSX Federation的架構內會有Local Manager以及Global Manager的配置,也談到如果管理者要建立一個跨站點的網路或安全配置,就直接到Active Global Manager內建立此物件,Global Manager會將物件的配置送到每個站點的Local Manager內。這裡我們把前面的圖再抓進來:

在本篇網誌內我想直接用一個實際的Federation網路環境為例,直接抓配置畫面給大家看。下圖內是一個很基礎的跨站點Federation網路配置,環境內有台北新竹兩個站點,各自配有對應的Local Managers。Active Global Managers位於台北Site,Standby在新竹。

在此環境內我們的重要業務Web / AP / DB都位於台北,但是

  • 基於災備需求,如果台北Site整個crash,業務要能夠在新竹Site重啟,而且虛機可以運作在相同網路上,無需更動IP地址
  • 由於台北Site這邊的資源有限,此業務需要擴充時希望能夠運用到新竹Site的資源,在上圖內,大家可以看到Web-02虛機是在新竹Site。

要達到上述的目的,我們要建立下面的構件:

  • 一個Global T0 Gateway。這個T0 Gateway的Primary位於台北,Secondary位於新竹,在正常運作時間,由Primary提供服務
  • 一個Global T1 Gateway。這個T1 Gateway的Primary位於台北,Secondary位於新竹,在正常運作時間,由Primary提供服務
  • 一個Global Segment。這個Segment橫跨台北與新竹,二層可以連通。

在上圖內,大家可以看到這個配置下,所有業務的進出口位於台北(綠色線),但如果用戶連往Web-02,網路流由台北進來,但可以透過跨地域的封裝傳往新竹。而此業務的Web / AP / DB可以在同一個網段內,跨兩地配置。

下圖是實際Global T0 Gateway的配置。這個配置我們是在台北的Active Global Manager裡面建立一個叫Fed-T0的Global Gateway。大家可以看到

  • 這個T0應該要位於兩個Location (Taipei / Hsinchu) ,在台北這邊配置於TPE-Edge-Cluster內,在新竹要配置於HSC-Edge-Cluster內,這代表此T0在兩個站點分別有獨立的Edge機器提供資源
  • Taipei被選為Primary Mode,Hsinchu為Secondary。這裡代表T0南北向的進出口應該在台北,除非發生災備要進行切換,才會到新竹。
  • 於Interface及路由這邊本篇先不細寫,但下圖內可看到,這個T0在台北有4個對外介面,在新竹也有4個。

當我們在Global Manager內進行了這樣的配置後,如前所述,相關的配置會發送給各台Local Manager。下圖是台北的Local Manager內的T0配置畫面,這個”Fed-T0″ Gateway會自動出現,大家可以看到

  • 在名稱”Fed-T0″後面有特別寫GM兩字,這代表此配置是由Global Manager下發的,管理者無法在Local Manager進行變更
  • 在Edge Cluster以及Interface等都僅有列出台北本地的資源

同樣的下圖為新竹Site的配置顯示

這裡也很快讓大家看一下T1的配置。同樣我們在Global Manager上建立了T1,上行接到前面配置出的T0上。此Global T1配置到Taipei / Hsinchu兩個location,而且選擇Taipei為Primary,新竹為Secondary。在兩地分別是不同的Edge Cluster來運作此T1之功能。

而下面兩張圖則是台北與新竹的Local Manager上出現的這個Global T1 Gateway的配置。相同的,名稱後有出現GM的標記,代表這是由Global Manager下發的配置。

所以接下來這三張圖就是跨站點的Global Segment配置摟。這個Segment是172.28.100.0/24網段,接到前面的T1 Gateway上。其他不多作說明,大家請看圖。

好,在本篇的重點其實是希望讓大家看到,於NSX Federation架構內,我們仍舊是照常配置T0 / T1 / Segment,但是改為在Global Manager內進行設定,而Global Manager會把這些配置下放到各台Local Manager內。包含網路以及安全部分的設定均是如此。但本篇掠過許多網路配置的細節不談,比如說跨站點與實體網路如何連接等。在下篇我們會把這裡的網路定址、路由等細節設定與大家進一步討論。