VCF中的网络和安全架构概述

1、VCF-4中的网络和安全架构概述VCF工作域私有云构建基本模块包含SDDC所有元素扩缩部署升级VMware Cloud Foundation网络计算存储2管理和工作域交付可扩展的私有云平台可扩展基础架构云Management DomainWorkload DomainWorkload DomainSDDCManagervCenterServerNSXManagerManagement Components35vSphere 7.0U1(vCenter /ESXi 7.0U1)vRealize Operations 8.1.1*Workspace ONE Access 3.3.2*vRealiz

2、e SuiteLifecycle Manager 8.1p1*vRealize Automation 8.1.0p2*SDDC Manager 4.1VIA Integrated into Cloud BuilderNSX-T 3.0.2vSAN 7.0U1VCF 4.1 软件清单vRealize Log Insight 8.1.1*Prescriptive guidance/Licensed separately* VCF SDDC Manager installs vRSLCM, which then installs the vRS component productsVCF 管理域网络

3、架构以及Bringup中的网络因素5o For information on VSAN Ready Node configuration and what can be changed kb52084VMware Cloud Foundation初始化构建（管理域）快速搭建完整的SDDC平台Cloud Builder初始化程序配置参数表的 填写和上传快速部署管理域组件标准x86服务器vSAN ReadyNodes标准交换机SWSWVSANVSANVSANVSANSDDC ManagerNSXvRealizehrsManagement Domain(管理域)vSAN DatastoreESXi0

4、1Virtual Distributed SwitchESXi02ESXi03ESXi04vSphere Cluster with SANCloud Foundation架构管理虚拟机vCenterNSX-TManagersSDDCManagerNSX-TManagersNSX-TManagersNSX-TEdge Node （可选）6VCF管理域中的功能组件Management DomainvSAN DatastoreESXi01ESXi02ESXi03ESXi04vSphere&vSAN集群管理组件虚拟机vCenterSDDCManagerNSX CtrlNSX CtrlNSX-T Mgr

5、比上一个版本极大简化PSC已经内置在vCenter 7中支持多达15个vCenter/工作域基于NSX-T 3.0 构建虚拟网络自选Edge的部署时机和位置Edge部署自动化vSAN 7作为管理域的存储至少由4个服务器节点组成集群所有vRealize组件的安装流程可以 在BringUp之后通过vRSLCM启动Edge NodevSphere Distributed Switch 7PSCvRealize Suite7支持物理网卡的数量和方式CloudBuilder可自动配置4块物理网卡xlsx配置表中，有3种预设Profile可选自动部署之后，最多可手工6个物理网卡VCF管理域的服务器网卡设计

6、Profile-2vmnic0vmnic1TORTORuplink1uplink2Management PGvMotion PGVSAN PGvmnic2vmnic3VDS-2uplink1uplink2Host TEP Edge vTEP VLAN NetworkOverlay NetworksVDS-1Profile-3vmnic0vmnic1TORTORuplink1uplink2Management PGvMotion PGVSAN PGvmnic2vmnic3VDS-2uplink1uplink2Host TEP Edge vTEP VLAN NetworkOverlay Netwo

7、rksVDS-1Profile-1vmnic0vmnic1TORTORuplink1uplink2Management PGvMotion PGVSAN PGvmnic2vmnic3uplink3uplink4Host TEPEdge vTEP VLAN NetworkOverlay NetworksVDS-18自动化部署NSX-T Manager自动化创建Vlan-TZ，Overlay-TZ 自动化将ESXi加入TN自动化创建mgmt，vmotion， vsan Segment自动化创建主机uplink profile自动化添加WLD VC至NSX- T分布式路由器/交换机：在管理域和工作域

8、创建时，可自动配置T0、T1和相关分段 路由协议：在管理域和工作域的Edge创建时，可自动配置BGP参数负载均衡器：根据不同用途，可以部分自动部署并配置9在VCF中的自动NSX配置Uplink-TZm01-ec01(Edge Cluster)VCF管理域中的“应用虚拟网络（AVN）”架构物理网络ASN: 65001VLAN 16475454VLAN 1648Segment_1647Segment_1647VLAN: 32GW: 54VLAN: 32GW: 54Uplink1m01-en011Uplink22Uplink1m01-en021Uplink2192.168.32.22Tier-0AS

9、N: 65003/31/31B10G PRegion A LS /24xRegion LS /2410.1.1.254Tier-110.1.2.25412NSX-T Manager中查看自动生成的管理域拓扑VCF 工作域 网络架构12EdgeCentralized Data Center管理 管理生产K8S K8S开发测试 开发测试对云规模的弹性扩展根据您的应用程序需求量身定制的工作负载域规模快速部署完整的SDDC通过在单个管理域中融合的小规模 工作负载开始按需创建新的多集群工作负载域使用自动化工具对工作负载域和集 群进行按需扩/缩容，以及重新定 义基础架构的用途延伸工作负载域和群集，或将工作

10、 负载域和群集扩展到边缘VDI VDIVDIEdge13支持物理网卡的数量和方式最多可支持6个物理网卡通过API方式配置MGMT/vMotion/vSAN分 配在不同网卡上VCF工作域的服务器多网卡设计vmnic0vmnic1TORTORuplink1uplink2Management PGvMotion PGVSAN PGCorp VLANsvmnic2vmnic4vmnic3vmnic5VDS-2uplink5uplink6Corp VLANsVDS-3Corp OverlayNetworks14ESXi Host uplink3uplink4Example Showing 6 pNICs

11、VDS-1工作域部署模式在管理域和业务工作域中使用NSX的几种选项 管理域具有专用NSX Manager和Edge群集管理域：（可选）在第 X天再部署NSX Edge群 集（安装在管理域服务 器上）管理工作域管理域vCenterNSX-T ManagersNSX-T ManagersNSX-T ManagersNSXESGNSXEdge15工作域部署模式在管理域和业务工作域中使用NSX的几种选项管理域具有专用NSX Manager和Edge群集管理域：（可选）在第 X天再部署NSX Edge群 集（安装在管理域服务 器上）工作负载域：创建新的 或 重 复 使 用 NSX Manager （都安

12、装在管 理域服务器上）管理工作域管理域vCenterNSX-T ManagersNSX-T ManagersNSX-T ManagersNSXESGNSXEdge业务工作域 1 vCenterNSX-T ManagersNSX-T ManagersNSX-T ManagersNSX Manager 作用区域Cluster 1Cluster 2APP OSAPP OSAPP OS业务工作域 1. NSX -TAPP OSAPP OSAPP OSAPP OSESXiESXiESXiESXiAPP OSAPP OSAPP OSAPP OSAPP OSNSXESGNSXEdge16选择“新建”或“利旧

13、” NSX-T Manager17工作域部署模式在管理域和业务工作域中使用NSX的几种选项管理域具有专用NSX Manager和Edge群集管理域：（可选）在第 X天再部署NSX Edge群 集（安装在管理域服务 器上）工作负载域：创建新的 或 重 复 使 用 NSX Manager（都安装在管 理域服务器上）管理工作域管理域vCenterNSX-T ManagersNSX-T ManagersNSX-T ManagersNSXESGNSXEdge业务工作域 1 vCenterNSX-T ManagersNSX-T ManagersNSX-T ManagersNSX Manager 作用区域C

14、luster 1Cluster 2APP OSAPP OSAPP OS业务工作域 1. NSX -TAPP OSAPP OSAPP OSAPP OSESXiESXiESXiESXiAPP OSAPP OSAPP OSAPP OSAPP OS业务工作域 2. NSX-TCluster 1APP OSAPP OSESXiDB OSDB OSESXiESXiESXi业务工作域 3. NSX-TCluster 1Cluster 2VDIVDIVDIVDINSX-T ManagersNSX-T ManagersNSX-T ManagersNSX Manager 作用区域业务工作域 2 vCenter业务

15、工作域 3 vCenterNSXESGNSXEdge18工作域部署模式在管理域和业务工作域中使用NSX的几种选项管理域具有专用NSX Manager和Edge群集管理域：（可选）在第 X天再部署NSX Edge群 集（安装在管理域服务 器上）工作负载域：创建新的 或 重 复 使 用 NSX Manager（都安装在管 理域服务器上）NSX Edge可以有选择 地部署WLD或 Cluster级别（安装在工 作域服务器上）管理工作域管理域vCenterNSX-T ManagersNSX-T ManagersNSX-T ManagersNSXESGNSXEdge业务工作域 1 vCenterNSX-

16、T ManagersNSX-T ManagersNSX-T ManagersNSX Manager 作用区域Cluster 1Cluster 2APP OSAPP OSAPP OS业务工作域 1. NSX -TAPP OSAPP OSAPP OSAPP OSESXiESXiESXiESXiAPP OSAPP OSAPP OSAPP OSAPP OS业务工作域 2. NSX-TCluster 1APP OSAPP OSESXiDB OSDB OSESXiESXiESXi业务工作域 3. NSX-TCluster 1Cluster 2VDIVDIVDIVDI业务工作域 2 vCenter业务工作域

17、 3 vCenterNSX-T ManagersNSX-T ManagersNSX-T ManagersNSX Manager 作用区域NSXESGNSXEdgeNSXESGNSXEdgeNSXESGNSXEdgeNSXESGNSXEdge1921VCF Edge 自动化安装SDDC Manager support for NSX-T Edge Cluster creation管理域:最佳实践：可以作为Bringup（AVN）的一部分， 自动部署Edge Cluster到Mgmt群集中Overlay网络可用于vRealize等解决方案 注意：在启动AVN的情况下，SDDC Manager会意

18、识到已部署了AVN必需的数据（网络信息，BGP设置等）被添加到Bringup配置文件中（可选）可以在Bring-up后部署EdgeVI工作域: Day X 自动化工作流在工作流程开始之前进行验证先决条件（DNS条目，Host网络连通性）部署Edge Node并设置DRS规则创建Edge Cluster创建Edge上行链路细分创建和配置T0BGP PeerService HA模式（A-A / A-S）创建和配置T1Edge配置文件符合WCP的要求删除VI工作域/vSphere集群之前，必须先删 除Edge Cluster和Edge Node；目前SDDC 图形界面中没有此功能，需要手工删除或使 用以下工具：/s/article/78635远程集群21VCF远程站点部署为工作负载域1VCF远程站点部署为集群2每个远程位置都部署为共享公共vCenter Server的站点群集vCentervCenter管理域WLD 1ClusterClusterClusterWLD 2ClusterClusterClusterSite ASite BSite CvCenter每个远程位置都部署为具有专用vCenter Server的独立工作负载域WLD 1管理域ClusterWLD 2vCentervCente