$1.99 立即免費試用

選擇遷移策略

更新時間
快连VPN:速度和安全性最佳的VPN服务
快连VPN:速度和安全性最佳的VPN服务
免费试用 了解更多

在NSX PSO實踐中,作為顧問,與客戶的對話中經常涉及NSX如何支援從傳統資料中心遷移到NSX管理的資料中心。最近有一位客戶希望遷出一個即將退休的資料中心。問題在於,客戶的工作負載需要遷移到新資料中心的邏輯交換器中,而不改變IP位址,並且希望最小化停機時間。

NSX的四種遷移方法

我們可以利用NSX for vSphere提供以下四種方法來解決這個問題:

  1. 通用邏輯交換(Universal Logical Switching) – 我們可以將NSX部署到遠端站點,並使用跨vCenter NSX和通用邏輯交換器擴展L2網絡,然後遷移工作負載。

  2. 本地L2橋接(Native L2 Bridging) – 在同一資料中心內,我們可以利用NSX分散式邏輯路由器的原生功能,在VLAN和邏輯交換器之間建立一個二層橋接。

  3. 硬體VTEP(Hardware VTEP) – 使用來自VMware合作夥伴的相容硬體設備作為VXLAN隧道端點,可在VLAN和邏輯交換器之間進行橋接。

  4. 二層VPN(Layer 2 VPN) – 使用NSX管理的邊緣設備,或在遠端資料中心的獨立NSX邊緣L2VPN用戶端,可將遠端VLAN橋接到本機邏輯交換器。

在我客戶的案例中,部署NSX到遠端資料中心並不合理,因為橋接需求並不是長期的,而準備傳統站點所需的工作量將會很大,包括投資新硬體。使用分散式邏輯路由器的原生橋接功能需要在資料中心之間擴充VLAN。使用硬體VTEP同樣需要對即將退役的資料中心進行投資。

選擇L2VPN解決方案

所選的解決方案無需對即將退役的資料中心進行投資,即L2VPN。如其名稱所示,二層VPN透過在兩個NSX邊緣設備之間建立VPN隧道,將二層流量在每側介面之間進行橋接。雖然L2VPN並不是理想的長期解決方案,但作為遷移工作負載進出資料中心的解決方案,它表現良好。

從傳統資料中心遷移

從資料中心遷移的高層次過程如下:

  1. 在NSX管理站點部署NSX邊緣作為二層VPN伺服器。
  2. 在獨立站點部署NSX獨立邊緣作為二層VPN用戶端。
  3. 將工作負載從獨立站點遷移到NSX管理站點。
  4. 將網關和路由從獨立站點遷移到NSX管理站點。

下圖展示了兩個站點的初始配置-NSX管理站點配置了一個典型的提供者邏輯路由器(PLR),為資料中心提供南北向路由,並在其下方連接了分散式邏輯路由器(DLR)及邏輯交換器。在獨立站點,客戶工作負載部署在VLAN 20上,預設閘道由實體路由器提供。

部署NSX邊緣二層VPN伺服器

在NSX管理站點,我們部署一個邏輯交換器(將與VLAN橋接)以及配置了二層VPN伺服器的NSX邊緣。此範例中,它的上行連接到一個「傳輸」邏輯交換機,實際上只需要一個可路由並可用的IP位址從獨立站點存取。內部介面連接到一個幹線連接埠群組,子介面連接到邏輯交換器。子介面從將要橋接的VLAN中分配一個空閒IP位址。

部署NSX獨立邊緣L2VPN用戶端

NSX獨立邊緣用戶端部署到獨立站點,並與VLAN 10(可路由網路)連接。它的內部介面同樣配置為幹線連接埠群組,子介面連接到VLAN 20。

此時,獨立站點中的兩個虛擬機器沒有發生變化——它們仍然在二層上相鄰,並透過VLAN將路由流量傳送到實體路由器的介面上的預設閘道。然而,二層VPN用戶端已經與二層VPN伺服器建立了隧道,虛擬機器現在在NSX管理站點的邏輯交換器介面上相鄰。

遷移工作負載

現在,使用VMware Site Recovery Manager、跨vCenter vMotion的擴充儲存或類似工具,工作負載可以開始遷移到NSX管理站點。網路的預設閘道仍然位於獨立站點,因此虛擬機器的南北向流量的路由並不高效——然而,連接性仍然保持,以及與VLAN 20上其他工作負載的二層相鄰性。

下圖追蹤了從NSX管理站點的虛擬機器到遠端站點的虛擬機器(藍色箭頭)以及北向(綠色箭頭)的封包。在這兩種情況下,資料包都會透過二層VPN(紅色箭頭)傳輸。

  1. 資料包由L2VPN伺服器接收,封裝後透過PLR傳送。
  2. PLR將封裝的封包轉送到實體路由器。
  3. 實體路由器將封包透過WAN轉送到獨立站點的實體路由器。
  4. 獨立站點的路由器將封包轉送到L2VPN用戶端。
  5. L2VPN用戶端解封裝封包。
  6. 如果封包是傳送給VLAN 20上的虛擬機,則轉送至虛擬機的介面(藍色箭頭)。
  7. 或者,如果封包需要被路由,則轉送回實體路由器在VLAN 20上的介面(綠色箭頭)。

遷移預設網關

隨著更多工作負載遷移到NSX管理站點,穿越L2VPN的流量將增加。當達到某個「臨界點」時,重新定位閘道到分散式邏輯路由器將更有效率。

此時,獨立站點中的實體路由器將移除VLAN的介面。 NSX管理站點中的邏輯交換器連接到分散式邏輯路由器,並在分散式邏輯路由器介面上設定預設閘道的IP位址。實體路由器的路由表可以手動更新或使用動態路由協定更新,以確保流量現在被路由到該子網路的分散式邏輯路由器。

NSX管理站點中的虛擬機器現在使用分散式邏輯路由器作為預設網關,而獨立站點中的虛擬機器則透過二層VPN到達其預設閘道或位於邏輯交換器上的其他虛擬機器。

遷移完成

當所有虛擬機器都遷移到NSX管理站點後,可以關閉並從獨立站點刪除獨立邊緣用戶端,二層VPN伺服器也可以從NSX管理站點移除。

設計考慮

在使用二層VPN時,有一些設計考量需要牢記。作為長期解決方案,我並不推薦其作為L2橋接的選擇。如果您需要更持久或高效能的選項,可以考慮本文開頭列出的其他解決方案。

效能– 顯而易見,這種解決方案的效能將受到邊緣設備的限制,這些設備需要封裝、加密、解密和解封裝數據,並維護橋接VLAN和邏輯交換器所需的所有資訊。許多變數會影響L2VPN的吞吐量,包括發送的流量類型、所穿越的網路以及主機本身。

管理– 儘管L2VPN的設定相對簡單,但有一些設定要求(例如配置匯聚連接埠)並不簡單。這增加了解決方案的複雜性,這種配置的影響需要清楚理解。

可用性– 二層VPN解決方案的兩端都可以設定為NSX邊緣HA模式,採用主動/被動部署。

更新時間

VPN常見問題