platform

Облако VMware

tocdepth

2

Объекты виртуальной сети платформы Облако VMware

Виртуальная сеть платформы Облако VMware включает следующие объекты:

  • cетевые сегменты NSX-T;

  • маршрутизаторы Provider Gateway/T0/Edge/T1 в VMware NSX-T;

  • сети организации;

  • сети vApp;

  • виртуальные компоненты Edge Gateway;

  • сетевые сервисы.

На схеме изображены основные архитектурные модули сети. Зеленым цветом выделены модули, которые видны клиенту.

../../_images/sch__network-overview.svg

Сетевой сегмент в VMware NSX-T

Сеть платформы Облако VMware построена на базе решения VMware NSX-T. VMware NSX-T — решение для виртуализации сети в виртуальном ЦОД. VMware NSX-T включает виртуальные и физические серверы, которые обеспечивают сетевую связность всех виртуальных компонентов платформы Облако VMware. Сети организуются за счет сетевых сегментов, которые использует VMware NSX-T.

Сетевой сегмент VMware NSX-T — один виртуальный широковещательный домен L2 в VMware NSX-T. Сетевой сегмент обеспечивает соединение между портами VM по L2 внутри хостов. Сетевой сегмент создается внутри транспортной зоны и не может выйти за ее пределы. Транспортная зона указывает, на каких хостах будет доступен определенный L2 сегмент.

Сегменты бывают двух типов:

  • VLAN сегменты — используют 802.1Q заголовок для разделения L2 доменов. VLAN сегменты просты и не имеют возможности пользоваться распределенной маршрутизацией VMware NSX-T.

  • Overlay-сегменты — могут пользоваться всеми функциями VMware NSX-T, предоставляют больше гибкости и масштабируемости. Overlay-сегменты работают поверх одного транспортного VLAN, который нужен для транспортировки пакетов в пределах Overlay-сегмента по физической сети. Overlay-сегменты — основа для каждой создаваемой сети платформы Облако VMware.

Доступ к решению VMware NSX-T имеют только системные администраторы Cloud.ru.

Маршрутизаторы Provider Gateway/T0/Edge/T1

Маршрутизаторы уровня Provider Gateway/T0 и Edge/T1 — основные компоненты VMware NSX-T. Provider Gateway/T0 и Edge/T1 логически разделены внутри объекта Edge Gateway и связаны сетью 100.64.x.x/31.

Маршрутизатор уровня Provider Gateway/T0

Маршрутизатор уровня Edge/T1

Provider Gateway/T0 управляется Cloud.ru

Управляется арендатором. Edge/T1 отдается арендатору в виде Edge Gateway, который можно увидеть в консоли VMware Cloud Director Availability

Подключается к физическим устройствам (внешний мир) через восходяющие каналы

Соединяет нисходящие каналы или VM с маршрутизаторами уровня Provider Gateway/T0 в многоуровневой архитектуре

Поддерживает статическую и динамическую маршрутизацию

Поддерживает только статическую маршрутизацию

Поддерживает ECMP (Equal-cost multi-path routing) с физическими шлюзами восходящего канала

Поддерживает маршрутизацию East-West в многоуровневой архитектуре. Edge/T1 подключается к уровню Provider Gateway/T0 для связи North-South.

Маршрутизатор уровня Provider Gateway/T0 используется внутри платформы Облако VMware. На уровне Provider Gateway/T0 осуществляется соединение облачной платформы с сетью интернет

Сети организации

В организации существуют следующие сети:

  • Direct Connect — сеть, подключенная напрямую к External Network.

  • Routed — маршрутизируемая сеть, подключенная к Edge Gateway в OrgVDC. Сеть обеспечивает доступ к сетям вне виртуального ЦОД организации.

  • Isolated — немаршрутизируемая частная сеть, доступная только внутри OrgVDC. К сети подключаются VM виртуального ЦОД.

Подробнее сети описаны в статье Настройка локальной сети организации (ORG VCD Network).

Сети организации необходимо назначить на vApp для подключения vApp и входящих в нее VM к сети организации.

Сети vApp

Сеть уровня vApp находится внутри конкретного vApp и помогает VM взаимодействовать. К сети могут подключаться только VM, размещенные в vApp. Один vApp может содержать несколько сетей.

Сети vApp могут быть:

  • Isolated — изолированная, доступна только в рамках определенного vApp.

  • Direct — напрямую подключена к сети организации. Подключение к сети организации помогает vApp взаимодействовать между собой внутри и за пределами организации.

Если одна сеть организации назначена на несколько vApp, VM из разных vApp могут взаимодействовать друг с другом по локальной сети в рамках одного OrgVDC. Чтобы соединить VM из разных OrgVDC, используются сетевые службы маршрутизации или NAT, Firewall и VPN, организуемые на объекте Edge Gateway.

Подробнее сети vApp описаны в следующих статьях:

Виртуальные компоненты Edge Gateway

Виртуальный маршрутизатор Edge Gateway — служебная VM, выполняющая функцию граничного маршрутизатора вашей виртуальной инфраструктуры.

Edge Gateway отвечает за North-South трафик и обеспечивает выход в интернет, построение VPN-туннелей, настройку функционала межсетевого экранирования, трансляции адресов и балансировщика нагрузки. На Edge Gateway базируется большая часть сетевых служб VMware NSX-T.

NAT

Для связи VM из сети тенанта с интернетом необходимо настроить трансляцию сетевых адресов SNAT и DNAT на объекте Edge Gateway.

SNAT — трансляция внутреннего приватного адреса в публичный адрес, для доступа из сети тенанта в интернет. Все VM могут выходить в интернет через один публичный адрес, который назначается тенанту автоматически.

Подробнее SNAT описан в статье Настройка доступа в интернет (SNAT).

DNAT — трансляция внутреннего приватного адреса в публичный адрес для доступа из интернета в сеть тенанта.

Подробнее DNAT описан в статье Настройка доступа из интернета (DNAT).

Публичный адрес можно назначить одной VM и ее TCP/UDP портам или нескольким VM. Если адрес назначен нескольким VM, машины предоставляют сервис в интернет через разные TCP/UDP порты.

Firewall

Firewall (межсетевой экран) как функция Edge Gateway служит для управления доступом между сетями тенанта и внешними сетями. Межсетевое экранирование может работать из сети тенанта во внешнюю сеть и в обратном направлении.

При создании правил Firewall на Edge Gateway необходимо сначала создать IP Set. IP Set — группы объектов, к которым применяются правила Firewall.

Подробнее Firewall и IP Set описаны в статье Настройка Edge Gateway Firewall.

Внешние подключения

Процесс настройки внешних подключений к VM описан в статьях Настройка доступа к VM по RDP и Настройка доступа к VM по SSH.

Организация сети с помощью объектов Provider Gateway/T0 и Edge/T1 в VMware NSX-T

Для обеспечения сетевой связности используется статическая или динамическая маршрутизация. С помощью маршрутов можно пустить часть трафика через прокси-сервер или настроить связность с инфраструктурой вне сети Cloud.ru.

Статическая маршрутизация — вид маршрутизации, при которой маршруты указываются в явном виде при конфигурации маршрутизатора.

Для создания статических маршрутов обратитесь в техническую поддержку и укажите:

  • адрес сети, на который необходимо маршрутизировать трафик;

  • маску сети;

  • адрес шлюза, который способствует дальнейшей маршрутизации.

Динамическая маршрутизация — сетевая технология, обеспечивающая оптимальную маршрутизацию данных.

При динамической маршрутизации маршрутизаторы выбирают пути в соответствии с изменениями структуры логической сети в реальном времени. Протокол, работающий на динамическом маршрутизаторе, отвечает за создание, обслуживание и обновление таблицы динамической маршрутизации. В статической маршрутизации эти задачи необходимо выполнять вручную.

VMware NSX-T поддерживает статическую маршрутизацию и протокол динамической маршрутизации BGP на маршрутизаторах Provider Gateway/T0, а также создает динамический сеанс iBGP между своими компонентами сервисного маршрутизатора. Маршрутизатор Edge/T1 поддерживает статические маршруты, но не работает с протоколами динамической маршрутизации.

При сетевой связности в направлении East-West маршрутизация полностью распределена в гипервизоре. Каждый гипервизор в транспортной зоне работает со своим распределенным маршрутизатором.

Для реализации сервисов SDN Provider Gateway/T0 и Edge/T1 делится на:

  • Распределенный маршрутизатор (Distributed Router) — отвечает за функцию маршрутизации.

  • Сервисный маршрутизатор (Service Router) — предоставляет сервисные или централизованные услуги, например NAT, балансировка нагрузки или брандмауэры.

Между Provider Gateway/T0 и Edge/T1 нет динамической маршрутизации, вместо нее реализовано автоподключение следующих типов:

Маршрутизатор Т0:

  • Connected — подключение маршрутов на Т0, включая внешние и служебные интерфейсы подсети;

  • Static — настроенные пользователем статические маршруты на Т0;

  • NAT IP — NAT IP-адреса, полученные Т0 по настроенным на этом маршрутизаторе правилам NAT;

  • BGP — маршруты, полученные из BGP-окружения;

  • IPSec Local IP — локальный IP-адрес конечной точки IPSec для установления VPN-сессий;

  • DNS Forwarder IP — IP-адрес получателя при клиентских DNS-запросах, используемый в качестве исходного айпишника для пересылки этих запросов на вышестоящий DNS-сервер.

Маршрутизатор Т1:

  • Connected — подключение маршрутов на Т1, включая служебные интерфейсы подсети;

  • Static — настроенные пользователем статические маршруты на Т1;

  • NAT IP — NAT IP-адреса, полученные Т1 по настроенным на этом маршрутизаторе правилам NAT;

  • LB VIP — IP-адреса виртуального сервера балансировщика нагрузок;

  • LB SNAT — IP-адреса из диапазона IP-адресов, используемых балансировщиком нагрузок для Source NAT;

  • IPSec Local IP — локальный IP-адрес конечной точки IPSec для установления VPN-сессий;

  • DNS Forwarder IP — IP-адрес получателя при клиентских DNS-запросах, используемый и в качестве исходного айпишника для пересылки этих запросов на вышестоящий DNS-сервер.

Запустили Evolution free tier
для Dev & Test
Получить