VMware NSX部署最佳实践

NSX部署最佳实践Oct29th,2015|Beijing,China1234NSX部署架构概述NSX在传统数据中心部署和迁移最佳实践场景一:Micro-segmentationwithoutOverlays场景二:Micro-segmentationwithOverlaysNSX在新建数据中心部署和迁移最佳实践总结Agenda23WANInternetvCenter计算集群管理集群(Storage,vCenterandCloudManagement、nsxmanagerControllers)边界集群(LogicalRouterControlVMsandNSXEdges)LeafNSX部署架构概述SpineEdgeLeaf(L3toDCFabric,L2toExternalNetworks)L3L2L3L2L3L21234NSX部署架构概述NSX在传统数据中心部署和迁移最佳实践场景一:Micro-segmentationwithoutOverlays场景二:Micro-segmentationwithOverlaysNSX在新建数据中心部署和迁移最佳实践总结Agenda4NSX在传统数据中心的部署5场景一:Micro-segmentationwithoutOverlays6迁移前的考虑§ 初始的所有防火墙安全策略都部署在物理防火墙上§ 部署NSX的一个主要的需求是所有相关主机必须迁移到VDS§ ESXi主机需求：§ 管理集群：假设负责管理集群的vCenter已经部署完成，DFW的部署不需要部署控制器，仅需要部署NSXManager即可§ 计算集群：现有集群的VM可以保持不变，仅需要NSXManager把VIB推送给每台主机以支持DFW功能，新增主机可以加入到现有集群或创建新的计算集群并完成VIBs推送即可7迁移目标§ 采用NSX的微分段功能为东西流量提供精细防火墙安全防护§ 如网关在物理防火墙上，把虚拟机网关迁移到汇聚层交换机上，以提升东西向路由的扩展性§ 根据需要移除或保留南北向物理防火墙场景一:Micro-segmentationwithoutOverlays8场景一:Micro-segmentationwithoutOverlays具体迁移步骤• a.确认相关主机的VM已经迁移到了VDS，如果没有，进行必要的虚拟机迁移（VSStoVDS或N1KVtoVDS)• b.在现有的管理集群上部署NSXManager并完成NSXManager到vCenter的注册• c.计算集群的NSX准备（向计算集群主机推送Vibs)• d.部署相应的防火墙策略（注意提前把vCenter和AD、NTP等服务器加入exclusionlist）• e.移除物理防火墙上的相关东西向防火墙安全策略• f.在汇聚层交换机为各业务网段配置东西向路由并保持这些SVI端口处于shutdown状态，因为此时各业务网关的网关仍然在防火墙上场景一:Micro-segmentationwithoutOverlays具体迁移步骤• g.完成各业务网关从防火墙到汇聚层交换机的切换根据情况可以保留或移除物理防火墙场景一:Micro-segmentationwithoutOverlays具体迁移步骤场景二:Micro-segmentationwithOverlays迁移前的考虑迁移前的考虑服务器需求：管理集群：除了部署NSXManager以外,管理集群内还需要部署三个工作在集群模式的控制器，控制器部署的最佳实践是每台物理主机一台，因此管理集群建议采用最少三台物理主机计算集群：计算集群保持不变可以根据需求增加边界集群：最佳实践是另外部署一个边界集群来提供边界网关服务和DLR的控制平面服务管理集群如资源不足也可以把控制器部署在边界集群场景二:Micro-segmentationwithOverlays目标§ 把VM迁移到VXLAN网络以提供更多的软件定义网络的好处（交换、路由、防火墙、负载均衡等）§ 把东西向路由和防火墙安全策略迁移到NSX§ 根据需要保留VXLAN二层网络和传统VLAN上物理机之间的二层通信§ 简化物理网络的配置：移除VM数据VLAN和相应的网关§ 需要新增加一个VLAN用于汇聚层交换机和NSXEDGE之间的南北向路由互通场景二:Micro-segmentationwithOverlays具体迁移步骤• a.确认相关主机的VM已经迁移到了VDS，如果没有，进行必要的虚拟机迁移（VSStoVDS或N1KVtoVDS)• b.在现有的管理集群上部署NSXManager并完成NSXManager到vCenter的注册• c.在管理集群部署创建部署三个NSX控制器，推荐部署在不同物理主机• d.计算和边界集群的NSX准备（向计算和边界集群主机推送Vibs，绝大多少情况下不会影响到现有业务流)• e.部署相应的防火墙策略（注意提前把venter和AD、ntp等服务器加入exceptional列表）1314场景二:Micro-segmentationwithOverlays具体迁移步骤• f.移除物理防火墙上的相关东西向防火墙安全策略，此时所有东西向业务流量的安全都由DFW进行控制，但所有VM所在VLAN的缺省网关仍然是硬件防火墙（根据客户防火墙部署方式，也可能缺省网关是在汇聚层交换机的SVI)15场景二:Micro-segmentationwithOverlays具体迁移步骤• g.在所有的计算和边界集群配置VXLAN:这个配置操作不会影响到现有连接在传统VLAN的VM业务。需要注意的是为了给每台主机VTEPVmkernal提供网络连接可能根据需要另外创建一个或多个VLAN，这些VLAN的网关位于汇聚层交换机。CONFIDENTIAL16场景二:Micro-segmentationwithOverlays具体迁移步骤• h.增加物理网络中VTEP相关VLAN的二层和三层的MTU.因为VXLAN流量需要横跨所有VTEP相关VLAN的物理网络，因此需要在强制把以下相关接口的MTU配置成大于1600bytes:– TOR柜顶接入交换机的VTE相关端口，包括面向服务器的、上联汇聚层交换机的– 汇聚层交换机的相关二层和三层端口，包括向下连接TOR接入层交换机和汇聚层交换机互联的二层端口、相关VLAN的三层SVI接口还有跨三层路由提供VTEP互通的所有路由端口CONFIDENTIAL17场景二:Micro-segmentationwithOverlays具体迁移步骤• h.增加物理网络中VTEP相关VLAN的二层和三层的MTU.因为VXLAN流量需要横跨所有VTEP相关VLAN的物理网络，因此需要在强制把以下相关接口的MTU配置成大于1600bytes:– TOR柜顶接入交换机的VTE相关端口，包括面向服务器的、上联汇聚层交换机的– 汇聚层交换机的相关二层和三层端口，包括向下连接TOR接入层交换机和汇聚层交换机互联的二层端口、相关VLAN的三层SVI接口还有跨三层路由提供VTEP互通的所有路由端口CONFIDENTIAL18场景二:Micro-segmentationwithOverlays具体迁移步骤• i.通过NSXManager创建逻辑交换机，这些逻辑交换机将用来取代传统的VM连接的业务VLAN需要注意的是此步骤所创建的逻辑交换机不连接任何的VM，同时也不连接分布式路由器• j.在Edge集群内配置L2Bridge功能，实现原有业务VLAN到VXLAN的一一映射，所有需要迁移的VM的VLAN都需要进行这一配置以实现平滑迁移。L2Bridge可以根据需要灵活得部署在计算集群或Edge集群19场景二:Micro-segmentationwithOverlays具体迁移步骤• k.其实VM从传统VLAN到VXLAN逻辑交换机的迁移，这一操作通过简单地把相关VM的vnic从传统vlan的portgroup变成新的vxlanportgroup实现，上述操作不影响数据的正常转发在这一迁移的中间步骤中：– 属于同一二层域的VM可以通过vlan_to_vxlan的l2bridge正常通信– 所有VM的网关仍然在原来的物理防火墙上– 不同子网之间的路由仍然由物理防火墙完成CONFIDENTIAL20场景二:Micro-segmentationwithOverlays具体迁移步骤• l.完全VM的迁移，在Edge集群完成DLR控制平面和NSXEdge的部署注意：此处的最佳实践是配置专用的DLR用于分布式路由，和原来的L2bridge功能分开另外需要注意的是此处DLR向内还没有和任何逻辑交换机相连，DLR和Edge之间可以配置动态路由或静态路由，Edge向上可以静态或动态路由和物理防火墙或汇聚层交换机互联21场景二:Micro-segmentationwithOverlays具体迁移步骤• m.此步操作会导致业务中断的操作，因此需要在维持窗口时间进行，此步骤的目标是把各vxlan网段的网关从原来的物理防火墙迁移到分布式路由DLR。为了实现以上目标，需要断掉物理防火墙和原有业务VLAN的连接，断掉VXLAN和VLAN的l2bridge（除少数仍然有物理机的VLAN以外），然后把相应VXLAN的逻辑交换机连接的相应DLR。至此所有VM流量已经切换到了DLR,而原来物理防火墙的部署有以下两种选择：1、采用inline模式用于南北向安全防护2、撤销物理防火墙，由Edge提供南北向安全防护场景二:Micro-segmentationwithOverlays具体迁移步骤• n.最后一步主要是清除原来网络段存在的原来VM使用的VLAN,包括接入层交换机、汇聚层环境和物理防火墙，同时也清除掉vCenter内相对应的portgroup1234NSX部署架构概述NSX在传统数据中心部署和迁移最佳实践场景一:Micro-segmentationwithoutOverlays场景二:Micro-segmentationwithOverlaysNSX在新建数据中心部署和迁移最佳实践总结Agenda23在新建的数据中心部署NSX部署考虑：• 新区域的部署可以参考我们的NSXReferenceDesignGuide：• 假设没有计算资源需要部署在原有老的数据中心区域，这意味着老的数据中心可以采用老的vsphere和vcenter版本。但原有数据中心的VM需要可以迁移到新的数据中心• 新老数据中心通过三层路由互联，并通过VXLAN打通，并通过老数据中心配置的L2Bridge实现平滑迁移在新建的数据中心部署NSX26在新建的数据中心部署NSX目标：• 实现业务应用从老数据中心到新数据中心的业务迁移• 确保业务所需要的各种网络服务和安全服务等可以在新的数据中心按需提供• 对于仍然有物理机的网段，保留新数据中心和老数据中心的L2Bridge连接• 借助NSX优化应用的性能，包括：东西向路由、安全等27在新建数据中心部署NSX具体迁移步骤在迁移之前，假设在Greenfield数据中心，NSX各个功能组件已经部署完成，包括逻辑交换机、分布式路由器、NSXEdge，Edge已经和外网进行路由打通。分布式路由器向下已经和逻辑交换机互联，但相应的下联端口处于shutdown状态28在新建数据中心部署NSX具体迁移步骤a.迁移的第一步是在brownfield和greenfield数据中心之间部署L2Bridge实现VLAN和VXLAN的桥接负责L2bridge的主机部署在brownfieldDC，建议是两台vsphere版本和greenfield一样的主机，由greenfield的vcenter统一管理29在新建数据中心部署NSX具体迁移步骤b.配置DFW安全规则用于一但VM从brownfield迁移到greenfield后保护东西向流量访问的安全c.配置NSXEdge上的防火墙规则用于保护南北向访问的安全d.启动