选择迁移策略

Teh 更新时间 2025年2月13日

连续6年不跑路的安全速度最适合国人VPN

免费试用了解更多

在NSX PSO实践中，作为顾问，与客户的对话中经常会涉及NSX如何支持从传统数据中心迁移到NSX管理的数据中心。最近有一位客户希望迁出一个即将退役的数据中心。问题在于，客户的工作负载需要迁移到新数据中心的逻辑交换机中，而不改变IP地址，并且希望最小化停机时间。

NSX的四种迁移方法

我们可以利用NSX for vSphere提供以下四种方法来解决这个问题：

通用逻辑交换（Universal Logical Switching） – 我们可以将NSX部署到远程站点，并使用跨vCenter NSX和通用逻辑交换机扩展L2网络，然后迁移工作负载。
本地L2桥接（Native L2 Bridging） – 在同一数据中心内，我们可以利用NSX分布式逻辑路由器的原生功能，在VLAN和逻辑交换机之间创建一个二层桥接。
硬件VTEP（Hardware VTEP） – 使用来自VMware合作伙伴的兼容硬件设备作为VXLAN隧道端点，可以在VLAN和逻辑交换机之间进行桥接。
二层VPN（Layer 2 VPN） – 使用NSX管理的边缘设备，或在远程数据中心的独立NSX边缘L2VPN客户端，可以将远程VLAN桥接到本地逻辑交换机。

在我客户的案例中，部署NSX到远程数据中心并不合理，因为桥接需求并不是长期的，而准备传统站点所需的工作量将会很大，包括投资新硬件。使用分布式逻辑路由器的原生桥接功能需要在数据中心之间扩展VLAN。使用硬件VTEP同样需要对即将退役的数据中心进行投资。

选择L2VPN解决方案

所选择的解决方案无需对即将退役的数据中心进行投资，即L2VPN。正如其名称所示，二层VPN通过在两个NSX边缘设备之间创建VPN隧道，将二层流量在每侧接口之间进行桥接。虽然L2VPN并不是一个理想的长期解决方案，但作为迁移工作负载进出数据中心的解决方案，它表现良好。

从传统数据中心迁移

从数据中心迁移的高层次过程如下：

在NSX管理站点部署NSX边缘作为二层VPN服务器。
在独立站点部署NSX独立边缘作为二层VPN客户端。
将工作负载从独立站点迁移到NSX管理站点。
将网关和路由从独立站点迁移到NSX管理站点。

下图展示了两个站点的初始配置——NSX管理站点配置了一个典型的提供者逻辑路由器（PLR），为数据中心提供南北向路由，并在其下方连接了分布式逻辑路由器（DLR）及逻辑交换机。在独立站点，客户工作负载部署在VLAN 20上，默认网关由物理路由器提供。

部署NSX边缘二层VPN服务器

在NSX管理站点，我们部署一个逻辑交换机（将与VLAN桥接）以及配置了二层VPN服务器的NSX边缘。此示例中，它的上行连接到一个“传输”逻辑交换机，实际上只需要一个可路由并可用的IP地址从独立站点访问。内部接口连接到一个干线端口组，子接口连接到逻辑交换机。子接口从将要桥接的VLAN中分配一个空闲IP地址。

部署NSX独立边缘L2VPN客户端

NSX独立边缘客户端被部署到独立站点，并与VLAN 10（可路由网络）连接。它的内部接口同样配置为干线端口组，子接口连接到VLAN 20。

此时，独立站点中的两个虚拟机没有发生变化——它们仍然在二层上相邻，并通过VLAN将路由流量发送到物理路由器的接口上的默认网关。然而，二层VPN客户端已经与二层VPN服务器建立了隧道，虚拟机现在在NSX管理站点的逻辑交换机接口上相邻。

迁移工作负载

现在，使用VMware Site Recovery Manager、跨vCenter vMotion的扩展存储或类似工具，工作负载可以开始迁移到NSX管理站点。网络的默认网关仍然位于独立站点，因此虚拟机的南北向流量的路由并不高效——然而，连接性仍然保持，以及与VLAN 20上其他工作负载的二层相邻性。

下图追踪了从NSX管理站点的虚拟机到远程站点的虚拟机（蓝色箭头）以及北向（绿色箭头）的数据包。在这两种情况下，数据包都通过二层VPN（红色箭头）传输。