VMWare NSX SDN部署最佳实践.pdf

NSX SDN部署最佳实践 1NSX部署架构概述 2NSX在传统数据中心部署和迁移最佳实践 场景一:Micro-segmentation without Overlays 场景二:Micro-segmentation with Overlays 3NSX在新建数据中心部署和迁移最佳实践 4总结 Agenda 2 NSX部署架构概述部署架构概述 3 WAN Internet vCenter 计算集群 管理集群 (Storage, vCenter and Cloud Management、 nsx manager Controllers) 边界集群 (Logical Router Control VMs and NSX Edges) Leaf Spine Edge Leaf (L3 to DC Fabric, L2 to External Networks) L3 L2 L3 L2 L3 L2 1NSX部署架构概述 2NSX在传统数据中心部署和迁移最佳实践 场景一:Micro-segmentation without Overlays 场景二:Micro-segmentation with Overlays 3NSX在新建数据中心部署和迁移最佳实践 4总结 Agenda 4 NSX在传统数据中心的部署在传统数据中心的部署 5 场景一场景一:Micro-segmentation without Overlays 6 迁移前的考虑迁移前的考虑 初始的所有防火墙安全策略都部署在物理防火 墙上 部署NSX的一个主要的需求是所有相关主机必 须迁移到VDS ESXi主机需求： 管理集群：假设负责管理集群的vCenter已经部 署完成，DFW的部署不需要部署控制器，仅需要 部署NSX Manager即可 计算集群：现有集群的VM可以保持不变，仅需 要NSX Manager把VIB推送给每台主机以支持 DFW功能，新增主机可以加入到现有集群或创建 新的计算集群并完成VIBs推送即可 7 迁移目标迁移目标 采用NSX的微分段功能为东西流量提供精细防 火墙安全防护 如网关在物理防火墙上，把虚拟机网关迁移到 汇聚层交换机上，以提升东西向路由的扩展性 根据需要移除或保留南北向物理防火墙 场景一场景一:Micro-segmentation without Overlays a.确认相关主机的VM已经迁移到了VDS，如果没有，进行必要的虚拟机迁移（VSS to VDS或 N1KV to VDS) b.在现有的管理集群上部署NSX Manager并完成NSX Manager到vCenter的注册 c.计算集群的NSX准备（向计算集群主机推送Vibs) d.部署相应的防火墙策略（注意提前把vCenter和AD、NTP等服务器加入exclusion 列表 ） 8 场景一场景一:Micro-segmentation without Overlays 具体迁移步骤具体迁移步骤 e.移除物理防火墙上的相关东西向防火墙安全策略 f.在汇聚层交换机为各业务网段配置东西向路由 并保持这些SVI端口处于shutdown状态，因为此时 各业务网关的网关仍然在防火墙上 场景一场景一:Micro-segmentation without Overlays 具体迁移步骤具体迁移步骤 g.完成各业务网关从防火墙到汇聚层交换机的切换 根据情况可以保留或移除物理防火墙 场景一场景一:Micro-segmentation without Overlays 具体迁移步骤具体迁移步骤 场景二场景二:Micro-segmentation with Overlays 迁移前的考虑迁移前的考虑 迁移前的考虑迁移前的考虑 服务器需求： 管理集群：除了部署NSX Manager以外,管理集 群内还需要部署三个工作在集群模式的控制器， 控制器部署的最佳实践是每台物理主机一台，因 此管理集群建议采用最少三台物理主机 计算集群：计算集群保持不变可以根据需求增加 边界集群：最佳实践是另外部署一个边界集群来 提供边界网关服务和DLR的控制平面服务 管理集群如资源不足也可以把控制器部署在边界 集群 场景二场景二:Micro-segmentation with Overlays 目标目标 把VM迁移到VXLAN网络以提供更多的软件定 义网络的好处（交换、路由、防火墙、负载均 衡等） 把东西向路由和防火墙安全策略迁移到NSX 根据需要保留VXLAN二层网络和传统VLAN上 物理机之间的二层通信 简化物理网络的配置：移除VM数据VLAN和相 应的网关 需要新增加一个VLAN用于汇聚层交换机和 NSX EDGE之间的南北向路由互通 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 a.确认相关主机的VM已经迁移到了VDS，如果没有，进行必要的虚拟机迁移（VSS to VDS或 N1KV to VDS) b.在现有的管理集群上部署NSX Manager并完成NSX Manager到vCenter的注册 c.在管理集群部署创建部署三个NSX 控制器，推荐部署在不同物理主机 d.计算和边界集群的NSX准备（向计算和边界集群主机推送Vibs，绝大多少情况下不会影响到现有 业务流) e.部署相应的防火墙策略（注意提前把venter和AD、ntp等服务器加入exclusion列表） 13 f. 移除物理防火墙上的相关东西向防火墙安全策略，此时所有东西向业务流量的安全都由DFW进 行控制，但所有VM所在VLAN的缺省网关仍然是硬件防火墙（根据客户防火墙部署方式，也可能 缺省网关是在汇聚层交换机的SVI) 14 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 g. 在所有的计算和边界集群配置VXLAN:这个配置操作不会影响到现有连接在传统VLAN的VM业 务。

需要注意的是为了给每台主机VTEP Vmkernal提供网络连接可能根据需要另外创建一个或多 个VLAN，这些VLAN的网关位于汇聚层交换机 15 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 16 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 h. 增加物理网络中VTEP相关VLAN的二层和三层的MTU.因为VXLAN流量需要横跨所有VTEP 相 关VLAN的物理网络，因此需要在强制把以下相关接口的MTU配置成大于1600bytes: TOR柜顶接入交换机的VTE相关端口，包括面向服务器的、上联汇聚层交换机的 汇聚层交换机的相关二层和三层端口，包括向下连接TOR接入层交换机和汇聚层交换机互联的二层端口、 相关VLAN的三层SVI接口还有跨三层路由提供VTEP互通的所有路由端口 17 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 h. 增加物理网络中VTEP相关VLAN的二层和三层的MTU.因为VXLAN流量需要横跨所有VTEP 相 关VLAN的物理网络，因此需要在强制把以下相关接口的MTU配置成大于1600bytes: TOR柜顶接入交换机的VTE相关端口，包括面向服务器的、上联汇聚层交换机的 汇聚层交换机的相关二层和三层端口，包括向下连接TOR接入层交换机和汇聚层交换机互联的二层端口、 相关VLAN的三层SVI接口还有跨三层路由提供VTEP互通的所有路由端口 18 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 i. 通过NSX Manager创建逻辑交换机，这些逻辑交换机将用来取代传统的VM连接的业务VLAN 需要注意的是此步骤所创建的逻辑交换机不连接任何的VM，同时也不连接分布式路由器 j. 在Edge集群内配置L2 Bridge功能，实现原有业务VLAN到VXLAN的一一映射，所有需要迁移 的VM的VLAN都需要进行这一配置以实现平滑迁移。

L2 Bridge可以根据需要灵活得部署在计算 集群或Edge集群 19 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 k.其实VM从传统VLAN到VXLAN逻辑交换机的迁移，这一操作通过简单地把相关VM的vnic从传 统vlan的port group变成新的vxlan port group实现，上述操作不影响数据的正常转发 在这一迁移的中间步骤中： 属于同一二层域的VM可以通过vlan_to_vxlan的l2 bridge正常通信 所有VM的网关仍然在原来的物理防火墙上 不同子网之间的路由仍然由物理防火墙完成 20 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 l.完全VM的迁移，在Edge集群完成DLR 控制平面和NSX Edge的部署 注意：此处的最佳实践是配置专用的DLR用于分布式路由，和原来的L2 bridge功能分开 另外需要注意的是此处DLR向内还没有和任何逻辑交换机相连，DLR和Edge之间可以配置动态路 由或静态路由，Edge向上可以静态或动态路由和物理防火墙或汇聚层交换机互联 21 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 m.此步操作会导致业务中断的操作，因此需要在维持窗口时间进行，此步骤的目标是把各vxlan 网段的网关从原来的物理防火墙迁移到分布式路由DLR。

为了实现以上目标，需要断掉物理防火墙 和原有业务VLAN的连接，断掉VXLAN和VLAN的l2 bridge（除少数仍然有物理机的VLAN以外）， 然后把相应VXLAN的逻辑交换机连接的相应DLR至此所有VM流量已经切换到了DLR,而原来物理 防火墙的部署有以下两种选择： 1、采用inline模式用于南北向安全防护2、撤销物理防火墙，由Edge提供南北向安全防护 场景二场景二:Micro-segmentation with Overlays 具体迁移步骤具体迁移步骤 n.最后一步主要是清除原来网络段存在的原来VM使用的VLAN,包括接入层交换机、汇聚层环境 和物理防火墙，同时也清除掉vCenter内相对应的port group 1NSX部署架构概述 2NSX在传统数据中心部署和迁移最佳实践 场景一:Micro-segmentation without Overlays 场景二:Micro-segmentation with Overlays 3NSX在新建数据中心部署和迁移最佳实践 4总结 Agenda 23 在新建的数据中心部署在新建的数据中心部署NSX 部署考虑：部署考虑： 新区域的部署可以参考我们的NSX Reference Design Guide： 假设没有计算资源需要部署在原有老的数据中心区 域，这意味着老的数据中心可以采用老的vsphere和 vcenter版本。

但原有数据中心的VM需要可以迁移到 新的数据中心 新老数据中心通过三层路由互联，并通过VXLAN打 通，并通过老数据中心配置的L2 Bridge实现平滑迁 移 在新建的数据中心部署在新建的数据中心部署NSX 26 在新建的数据中心部署在新建的数据中心部署NSX 目标：目标： 实现业务应用从老数据中心到新数据中心的业务迁 移 确保业务所需要的各种网络服务和安全服务等可以 在新的数据中心按需提供 对于仍然有物理机的网段，保留新数据中心和老数 据中心的L2 Bridge连接 借助NSX优化应用的性能，包括：东西向路由、安 全等 在新建数据中心部署在新建数据中心部署NSX 具体迁移步骤具体迁移步骤 27 在迁移之前，假设在Greenfield数据中心，NSX各个功能组件已经部署完成，包括逻辑交换机。