收藏
下载资源

VMware NSX部署最佳实践

上传人:lcm****801 文档编号:93361197 上传时间:2019-07-20 格式:PPT 页数:34 大小:4.75MB
返回 下载 相关 举报
VMware NSX部署最佳实践_第1页
第1页 / 共34页
VMware NSX部署最佳实践_第2页
第2页 / 共34页
VMware NSX部署最佳实践_第3页
第3页 / 共34页
VMware NSX部署最佳实践_第4页
第4页 / 共34页
VMware NSX部署最佳实践_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《VMware NSX部署最佳实践》由会员分享,可在线阅读,更多相关《VMware NSX部署最佳实践(34页珍藏版)》请在金锄头文库上搜索。

1、NSX部署最佳实践,Oct 29th,2015 | Beijing, China,1 2 3 4,NSX部署架构概述 NSX在传统数据中心部署和迁移最佳实践 场景一:Micro-segmentation without Overlays 场景二:Micro-segmentation with Overlays NSX在新建数据中心部署和迁移最佳实践 总结,Agenda,2,3,WAN Internet,vCenter,计算集群,管理集群 (Storage, vCenter and Cloud Management、 nsx manager Controllers),边界集群 (Logical

2、Router Control VMs and NSX Edges),Leaf,NSX部署架构概述 Spine,Edge Leaf (L3 to DC Fabric, L2 to External,Networks),L3 L2,L3 L2,L3 L2,1 2 3 4,NSX部署架构概述 NSX在传统数据中心部署和迁移最佳实践 场景一:Micro-segmentation without Overlays 场景二:Micro-segmentation with Overlays NSX在新建数据中心部署和迁移最佳实践 总结,Agenda,4,NSX在传统数据中心的部署,5,场景一:Micro-s

3、egmentation without Overlays,6,迁移前的考虑, 初始的所有防火墙安全策略都部署在物理防火,墙上, 部署NSX的一个主要的需求是所有相关主机必,须迁移到VDS, ESXi主机需求:, 管理集群:假设负责管理集群的vCenter已经部 署完成,DFW的部署不需要部署控制器,仅需要 部署NSX Manager即可, 计算集群:现有集群的VM可以保持不变,仅需 要NSX Manager把VIB推送给每台主机以支持 DFW功能,新增主机可以加入到现有集群或创建 新的计算集群并完成VIBs推送即可,7,迁移目标 采用NSX的微分段功能为东西流量提供精细防 火墙安全防护 如网关

4、在物理防火墙上,把虚拟机网关迁移到 汇聚层交换机上,以提升东西向路由的扩展性 根据需要移除或保留南北向物理防火墙,场景一:Micro-segmentation without Overlays,8,场景一:Micro-segmentation without Overlays 具体迁移步骤 a.确认相关主机的VM已经迁移到了VDS,如果没有,进行必要的虚拟机迁移(VSS to VDS或 N1KV to VDS) b.在现有的管理集群上部署NSX Manager并完成NSX Manager到vCenter的注册 c.计算集群的NSX准备(向计算集群主机推送Vibs) d.部署相应的防火墙策略(注

5、意提前把vCenter和AD、NTP等服务器加入exclusion list ), e.移除物理防火墙上的相关东西向防火墙安全策略, f.在汇聚层交换机为各业务网段配置东西向路由 并保持这些SVI端口处于shutdown状态,因为此时 各业务网关的网关仍然在防火墙上,场景一:Micro-segmentation without Overlays 具体迁移步骤, g.完成各业务网关从防火墙到汇聚层交换机的切换,根据情况可以保留或移除物理防火墙,场景一:Micro-segmentation without Overlays,具体迁移步骤,场景二:Micro-segmentation with Ov

6、erlays 迁移前的考虑,迁移前的考虑 服务器需求: 管理集群:除了部署NSX Manager以外,管理集 群内还需要部署三个工作在集群模式的控制器, 控制器部署的最佳实践是每台物理主机一台,因 此管理集群建议采用最少三台物理主机 计算集群:计算集群保持不变可以根据需求增加 边界集群:最佳实践是另外部署一个边界集群来 提供边界网关服务和DLR的控制平面服务 管理集群如资源不足也可以把控制器部署在边界 集群,场景二:Micro-segmentation with Overlays,目标 把VM迁移到VXLAN网络以提供更多的软件定 义网络的好处(交换、路由、防火墙、负载均 衡等) 把东西向路由

7、和防火墙安全策略迁移到NSX 根据需要保留VXLAN二层网络和传统VLAN上 物理机之间的二层通信 简化物理网络的配置:移除VM数据VLAN和相 应的网关 需要新增加一个VLAN用于汇聚层交换机和 NSX EDGE之间的南北向路由互通,场景二:Micro-segmentation with Overlays 具体迁移步骤 a.确认相关主机的VM已经迁移到了VDS,如果没有,进行必要的虚拟机迁移(VSS to VDS或 N1KV to VDS) b.在现有的管理集群上部署NSX Manager并完成NSX Manager到vCenter的注册 c.在管理集群部署创建部署三个NSX 控制器,推荐部

8、署在不同物理主机 d.计算和边界集群的NSX准备(向计算和边界集群主机推送Vibs,绝大多少情况下不会影响到现有 业务流) e.部署相应的防火墙策略(注意提前把venter和AD、ntp等服务器加入exceptional 列表),13,14,场景二:Micro-segmentation with Overlays 具体迁移步骤 f. 移除物理防火墙上的相关东西向防火墙安全策略,此时所有东西向业务流量的安全都由DFW进 行控制,但所有VM所在VLAN的缺省网关仍然是硬件防火墙(根据客户防火墙部署方式,也可能 缺省网关是在汇聚层交换机的SVI),15,场景二:Micro-segmentation

9、with Overlays 具体迁移步骤 g. 在所有的计算和边界集群配置VXLAN:这个配置操作不会影响到现有连接在传统VLAN的VM业 务。需要注意的是为了给每台主机VTEP Vmkernal提供网络连接可能根据需要另外创建一个或多 个VLAN,这些VLAN的网关位于汇聚层交换机。,CONFIDENTIAL,16,场景二:Micro-segmentation with Overlays 具体迁移步骤 h. 增加物理网络中VTEP相关VLAN的二层和三层的MTU.因为VXLAN流量需要横跨所有VTEP 相 关VLAN的物理网络,因此需要在强制把以下相关接口的MTU配置成大于1600bytes

10、: TOR柜顶接入交换机的VTE相关端口,包括面向服务器的、上联汇聚层交换机的 汇聚层交换机的相关二层和三层端口,包括向下连接TOR接入层交换机和汇聚层交换机互联的二层端口、 相关VLAN的三层SVI接口还有跨三层路由提供VTEP互通的所有路由端口,CONFIDENTIAL,17,场景二:Micro-segmentation with Overlays 具体迁移步骤 h. 增加物理网络中VTEP相关VLAN的二层和三层的MTU.因为VXLAN流量需要横跨所有VTEP 相 关VLAN的物理网络,因此需要在强制把以下相关接口的MTU配置成大于1600bytes: TOR柜顶接入交换机的VTE相关端

11、口,包括面向服务器的、上联汇聚层交换机的 汇聚层交换机的相关二层和三层端口,包括向下连接TOR接入层交换机和汇聚层交换机互联的二层端口、 相关VLAN的三层SVI接口还有跨三层路由提供VTEP互通的所有路由端口,CONFIDENTIAL,18,场景二:Micro-segmentation with Overlays 具体迁移步骤 i. 通过NSX Manager创建逻辑交换机,这些逻辑交换机将用来取代传统的VM连接的业务VLAN 需要注意的是此步骤所创建的逻辑交换机不连接任何的VM,同时也不连接分布式路由器 j. 在Edge集群内配置L2 Bridge功能,实现原有业务VLAN到VXLAN的一

12、一映射,所有需要迁移的 VM的VLAN都需要进行这一配置以实现平滑迁移。L2 Bridge可以根据需要灵活得部署在计算集 群或Edge集群,19,场景二:Micro-segmentation with Overlays 具体迁移步骤 k.其实VM从传统VLAN到VXLAN逻辑交换机的迁移,这一操作通过简单地把相关VM的vnic从传 统vlan的port group变成新的vxlan port group实现,上述操作不影响数据的正常转发 在这一迁移的中间步骤中: 属于同一二层域的VM可以通过vlan_to_vxlan的l2 bridge正常通信 所有VM的网关仍然在原来的物理防火墙上 不同子网

13、之间的路由仍然由物理防火墙完成,CONFIDENTIAL,20,场景二:Micro-segmentation with Overlays 具体迁移步骤 l.完全VM的迁移,在Edge集群完成DLR 控制平面和NSX Edge的部署 注意:此处的最佳实践是配置专用的DLR用于分布式路由,和原来的L2 bridge功能分开 另外需要注意的是此处DLR向内还没有和任何逻辑交换机相连,DLR和Edge之间可以配置动态路 由或静态路由,Edge向上可以静态或动态路由和物理防火墙或汇聚层交换机互联,21,场景二:Micro-segmentation with Overlays 具体迁移步骤 m.此步操作会

14、导致业务中断的操作,因此需要在维持窗口时间进行,此步骤的目标是把各vxlan 网段的网关从原来的物理防火墙迁移到分布式路由DLR。为了实现以上目标,需要断掉物理防火墙 和原有业务VLAN的连接,断掉VXLAN和VLAN的l2 bridge(除少数仍然有物理机的VLAN以外), 然后把相应VXLAN的逻辑交换机连接的相应DLR。至此所有VM流量已经切换到了DLR,而原来物理 防火墙的部署有以下两种选择:,1、采用inline模式用于南北向安全防护,2、撤销物理防火墙,由Edge提供南北向安全防护,场景二:Micro-segmentation with Overlays,具体迁移步骤, n.最后一

15、步主要是清除原来网络段存在的原来VM使用的VLAN,包括接入层交换机、汇聚层环境,和物理防火墙,同时也清除掉vCenter内相对应的port group,1 2 3 4,NSX部署架构概述 NSX在传统数据中心部署和迁移最佳实践 场景一:Micro-segmentation without Overlays 场景二:Micro-segmentation with Overlays NSX在新建数据中心部署和迁移最佳实践 总结,Agenda,23,在新建的数据中心部署NSX,部署考虑: 新区域的部署可以参考我们的NSX Reference Design Guide:https:/ 假设没有计算资源需要部署在原有老的数据中心区 域,这意味着老的数据中心可以采用老的vsphere和 vcenter版本。但原有数据中心的VM需要可以迁移到 新的数据中心 新老数据中心通过三层路由互联,并通过VXLAN打 通,并通过老数据中心配置的L2 Bridge实现平滑迁 移,在新建的数据中心部署NSX,26,在新建的数据中心部署NSX,目标: 实现业务应用从老数据中心到新数据中心的业务迁 移 确保业务所需要的各种网络服务和安全服务

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号