VMwareNSX部署最佳实践.pptx

NSX部署最佳实践
Oct 29th,2015 | Beijing, China
1
2
3
4
NSX部署架构概述
NSX在传统数据中心部署和迁移最佳实践
场景一:Micro-segmentation without Overlays
场景二:Micro-segmentation with Overlays
NSX在新建数据中心部署和迁移最佳实践
总结
Agenda
2
3
WAN
vCenter
计算集群
管理集群
(Storage, vCenter and
Cloud Management、
nsx manager
Controllers)
边界集群(Logical
Router Control VMs and
NSX Edges)
Leaf
NSX部署架构概述
Spine
Edge Leaf
(L3 to DC
Fabric, L2 to
External
Networks)
L3
L2
L3
L2
L3
L2
1
2
3
4
NSX部署架构概述
NSX在传统数据中心部署和迁移最佳实践
场景一:Micro-segmentation without Overlays
场景二:Micro-segmentation with Overlays
NSX在新建数据中心部署和迁移最佳实践
总结
Agenda
4
NSX在传统数据中心的部署
5
场景一:Micro-segmentation without Overlays
6
迁移前的考虑
§ 初始的所有防火墙安全策略都部署在物理防火
墙上
§ 部署NSX的一个主要的需求是所有相关主机必
须迁移到VDS
§  ESXi主机需求:
§ 管理集群:假设负责管理集群的vCenter已经部
署完成,DFW的部署不需要部署控制器,仅需要
部署NSX Manager即可
§ 计算集群:现有集群的VM可以保持不变,仅需
要NSX Manager把VIB推送给每台主机以支持
DFW功能,新增主机可以加入到现有集群或创建
新的计算集群并完成VIBs推送即可
7
迁移目标
§ 采用NSX的微分段功能为东西流量提供精细防
火墙安全防护
§ 如网关在物理防火墙上,把虚拟机网关迁移到
汇聚层交换机上,以提升东西向路由的扩展性
§ 根据需要移除或保留南北向物理防火墙
场景一:Micro-segmentation without Overlays
8
场景一:Micro-segmentation without Overlays
具体迁移步骤
•  ,如果没有,进行必要的虚拟机迁移(VSS to VDS或
N1KV to VDS)
•  Manager并完成NSX Manager到vCenter的注册
•  (向计算集群主机推送Vibs)
•  (注意提前把vCenter和AD、NTP等服务器加入exclusion list )
• 
• 
并保持这些SVI端口处于shutdown状态,因为此时
各业务网关的网关仍然在防火墙上
场景一:Micro-segmentation without Overlays
具体迁移步骤
• 
根据情况可以保留或移除物理防火墙
场景一:Micro-segmentation without Overlays
具体迁移步骤