网络架构介绍
组件 | 说明 |
管理网络 | 专属VMware环境的管理网段,包含ESXi管理、vMotion、vSAN等子网在内的Underlay网段。该管理网络是从专属VMware环境网段切分出来的子网。具体详细情况可以参见同账号创建实例。 |
管理虚拟机 | VMware服务管理组件,包括vCenter Server、NSX Manager、NSX Edge等虚拟机。 |
业务网络 | 用于承载用户业务虚拟机的业务网络。用户在VMware服务产品控制台完成NSX Overlay网段添加后,再登录NSX Manager控制台添加网络分段。 |
业务虚拟机 | 用户基于业务需求创建的虚拟机,连接虚拟机的网卡至业务网络。 |
T1 MGW | VMware NSX T1类别的逻辑路由器,名称为MGW的T1逻辑路由器连通专属VMware环境的管理网络至T0逻辑路由,并为管理网络提供管理网关的南北防火墙服务。 |
T1 CGW | VMware NSX T1类别的逻辑路由器,名称为CGW的T1逻辑路由器连通业务网络至T0逻辑路由。 |
T0 VMC | VMware NSX T0类别的逻辑路由器,连通NSX的逻辑网络至ACVS租户隔离网络,并提供公网访问的NAT服务及3个类别的uplink。 |
Internet uplink | VMware NSX T0逻辑路由器的上行链接接口,用于承载访问公网的网络流量。 |
Intranet uplink | VMware NSX T0逻辑路由器的上行链接接口,用于承载访问VPC环境和云下IDC环境的网络流量。 |
Service uplink | VMware NSX T0逻辑路由器的上行链接接口,该接口目前暂未启用。 |
NSX NAT | 当用户的业务需要访问公网时,业务网络数据经过T0逻辑路由器上的NAT服务,通过SNAT源地址转换为中间地址,然后再路由至阿里云公网NAT网关,再次SNAT源地址转换后,再通过EIP访问公网。也可以通过NSX NAT和阿里云公网NAT网关的二次DNAT目的地址转换实现用户业务的公网发布。 |
ACVS租户隔离网络 | 不同用户之间相互隔离的网络环境,用于连接VMware NSX虚拟网络和云企业网。 |
访问VPC专有网络路径(同一地域)
业务网络和VPC专有网络通过路由方式相互连通,中间的网络路径不经过NAT地址转换。要实现此目的,需要满足如下要求:
VPC专有网络加入云企业网。
VMware服务的4条高速通道以关联转发形式绑定的转发路由器路由表包含VPC专有网络的路由条目。
VPC专有网络以关联转发形式绑定的转发路由器路由表包含VMware服务的业务网络的路由条目。
以上两个条目仅适用于企业版的转发路由器。而基础版的转发路由器下,VMware服务的冗余高速通道的VBR和VPC自动绑定到同一个路由表里。
VPC专有网络的路由表包含VMware服务的路由条目(手工添加静态路由或在云企业网打开路由同步功能)。
在VMware服务产品控制台的互联配置下的自定义路由添加VPC专有网络网段信息。
如果云企业网的转发路由器为基础版,则在VMware服务产品控制台的互联配置下的访问VPC添加VPC专有网络网段信息。
在NSX Manager控制台的网关防火墙-计算网关下添加访问VPC专有网络的防火墙规则。
访问云下IDC网络路径(同一地域,高速通道连通)
业务网络和云下IDC网络通过路由方式相互连通,中间的网络路径不经过NAT地址转换。要实现此目的,需要满足如下要求:
云下IDC通过高速通道连接至云企业网。
VMware服务的4条高速通道以关联转发形式绑定的转发路由器路由表包含云下IDC网络的路由条目。
用户云下IDC的高速通道以关联转发形式绑定的转发路由器路由表包含VMware服务的业务网络的路由条目。
以上两个条目仅适用于企业版的转发路由器。而基础版的转发路由器下,VMware服务的冗余高速通道的VBR和用户云下IDC高速通道的VBR自动绑定到同一个路由表里。
在云下IDC的网络环境添加访问VMware服务的业务网络路由信息。
在VMware服务产品控制台的互联配置下的云下互联添加云下IDC网段。
在NSX Manager控制台的网关防火墙-计算网关下添加访问云下IDC的网段的防火墙规则。
访问云下IDC网络路径(同一地域,公网VPN连通)
业务网络和云下IDC网络通过路由方式相互连通,中间的网络路径不经过NAT地址转换。要实现此目的,需要满足如下要求:
云下IDC通过公网VPN网关连接至VPC专有网络。
如果公网VPN网关绑定至云企业网的转发路由器,网络路径和访问云下IDC网络路径(同一地域,高速通道连通)类似。
IPsec VPN本端或对端网络需要包含VMware服务的业务网络。
云下IDC的网关设备的IPsec VPN连接配置里的对端网络需要包含VMware服务的业务网段,阿里云公网VPN网关的IPsec VPN连接配置里的本端网络需要包含VMware服务的业务网段。
在云下IDC的网络环境添加访问VMware服务的业务网络路由信息。
发布VPC专有网络的路由表里的云下IDC网络的路由条目至CEN。
VMware服务的4条高速通道以关联转发形式绑定的转发路由器路由表包含云下IDC网络的路由条目。
VPC专有网络以关联转发形式绑定的转发路由器路由表包含VMware服务的业务网络的路由条目。
以上两个条目仅适用于企业版的转发路由器。而基础版的转发路由器下,VMware服务的冗余高速通道的VBR和用户云下IDC的高速通道的VBR自动绑定到同一个路由表里。
在VMware服务产品控制台的互联配置下的云下互联添加云下网段。
在NSX Manager控制台的网关防火墙-计算网关下添加访问云下IDC的网段的防火墙规则。
访问公网网络路径示意图
当用户的业务数据在VMware NSX T0的逻辑路由器上没有匹配精确路由条目,只和0.0.0.0/0默认路由匹配成功,用户的业务数据会经过T0逻辑路由器上的NSX NAT进行SNAT源地址转换,再经过Internet uplink、ACVS租户隔离网络、高速通道、转发路由器,再根据转发路由器的路由表中的0.0.0.0/0默认路由转发至对应的VPC1上的公网NAT网关,再次经过SNAT源地址转换后访问公网。要实现此目的,需要满足如下要求:
需要在ACVS绑定的VPC专有网络(比如示意图中的VPC1)创建公网NAT网关,并绑定EIP地址。
发布0.0.0.0/0默认路由到云企业网CEN。
在NSX Manager控制台的网关防火墙-计算网关下添加访问公网的防火墙规则,且应用对象设置为Internet interface。
在VMware服务产品控制台的公网访问选项页面下,允许公网访问出方向的访问。
- 本页导读 (0)