VMware NSX [Lab 10] - Tạo Tier-0 Gateway và cấu hình định tuyến trên Tier-0

Tài liệu này sẽ hướng dẫn tạo Tier-0 và cấu hình định tuyến static ra Net cho các máy ảo trên Tier-0 bao gồm cả NAT.

1. Tier-0 Gateway là gì ?​

Tier-0 Gateway là một bộ định tuyến logic đóng vai trò cung cấp kết nối Bắc-Nam (North-South connectivity).
Chức năng chính: Nó kết nối các Tier-1 Gateway bên dưới với các bộ định tuyến vật lý (Physical Routers) bên ngoà
Kiến trúc bên trong (DR và SR):
Giống như Tier-1, một Tier-0 Gateway được cấu tạo từ hai thành phần logic :

• Distributed Router (DR): Thành phần định tuyến phân tán chạy trên tất cả các Transport Node (bao gồm cả ESXi Host và Edge Node). Nó giúp xử lý lưu lượng ngay tại nguồn.
• Service Router (SR): Thành phần định tuyến dịch vụ tập trung, chỉ chạy trên các Edge Cluster Nodes. SR được khởi tạo khi bạn liên kết Gateway với một Edge Cluster và tạo các giao diện kết nối ra ngoài (External Interfaces). Đây là nơi thực hiện các kết nối vật lý và các dịch vụ stateful.

Các chế độ hoạt động (High Availability Modes)
Active-Active:

• Cơ chế: Lưu lượng được cân bằng tải (Load Balanced) qua tất cả các Edge Node thành viên. Tận dụng tối đa băng thông và hỗ trợ ECMP (Equal-Cost Multi-Path)
• Stateful Services: Từ phiên bản NSX 4.0.1.1, chế độ này đã hỗ trợ các dịch vụ có trạng thái (Stateful services) như Gateway Firewall, NAT. Tuy nhiên, IPSec VPN vẫn chưa được hỗ trợ trên Active-Active trong phiên bản này

Active-Standby:

• Cơ chế: Toàn bộ lưu lượng được xử lý bởi một node Active được bầu chọn. Nếu node này lỗi, node Standby sẽ lên thay thế.
• Bắt buộc dùng khi: Bạn cần sử dụng các dịch vụ stateful mà chế độ Active-Active chưa hỗ trợ đầy đủ hoặc trong các phiên bản cũ, ví dụ như IPSec VPN, DNAT, SNAT (legacy).

2. Tạo Tier-0 Gateway và cấu hình HA mode A-A cho site A và A-S cho site B​

Từ các Edge Node mà ta đã tạo theo sơ đồ Lab 1 là 6 edge thì sẽ chia 3 Cluster gồm 2 Cluster Site A (A-A và A-S) và 1 Cluster Site B (A-S)



Ta có thể thấy được thông qua sơ đồ Lab 1 thì Tier-0 site A sẽ sử dụng Cluster site A A-A cho mode HA A-A và Tier-0 Site B thì dùng Custer site B A-S. Điều quan trọng ở đây là ta phải tạo thêm một Cluster A-S cho site A vì không thể dùng nhưng node đã cấu hình HA A-A cho cấu hình HA A-S nên nếu các Tier-0 cấu hình HA A-A thì vẫn dùng chung Cluster nhưng ở đây mình sử dụng Tier-1 A-S nên phải dùng một Cluster khác.

A. Tạo Tier-0 Gateway cho Site A​

Vào mục Networking > Tier-0 Gateways, nhấn vào ADD GATEWAY



Nhập vào các mục như :

• Name : Tên Tier-0 Gateway
• HA Mode : thì có 2 mode Active - Active, Active - Standby, Chúng ta sẽ sử dụng mode A-A cho site A
• Edge Cluster : là cluster chứa 2 node edge đã được tạo
• Stateful : bật lên để sử dụng được các dịch vụ như NAT,...

Để có thể kết nối ra mạng vật lý thì phải sử dụng các External Interface, vào Interfaces and Interface Groups và vào phần External and Service Interfaces tạo các External Interface để giao tiếp với mạng vật lý. Ta sẽ đặt IP cùng lớp mạng vật lý bên ngoài và sử dụng Segment VLAN và gắn tag nó là VLAN 0.



Phần Edge Node thì chọn các node trong cluster đã thêm vào Tier-0
Ở HA mode thì sẽ không có HA VIP mà thay vào đó là các Interface Groups. Vào Interfaces and Interface Groups và vào phần Interface Groups và ADD INTERFACE GROUP, nhập tên và chọn các External Interface đã tạo.
Vậy là chúng ta đã tạo xong Tier-0 bên site A


Có thể vào phần Network Topology để xem

B. Tạo Tier-0 Gateway cho Site B​

Tương tự như site A nhưng khác cái là sẽ không có Interface Group mà thay vào đó là HA VIP, nó là High Availability Virtual IP sẽ được gắn vào node đang Active và sẽ di chuyển theo node dang Active. Phần Fail Over thì sẽ có 2 tab là Non Preemptive và Preemptive có nghĩa là nếu chọn Preemptive thì node đang sử dụng gặp một sự có bị down thì node khác sẽ lên thay và nếu node kia up trở lại thì nó sẽ chiểm quyền up trở lại, còn Non Preemptive thì k chiếm quyền node đang up.

Chúng ta vào phần Interface and Gre Tunnels và vào phần External and Service Interfaces tạo 2 interface như bên site A.
Bên mode HA A-S thì không có Interface Group mà có HA VIP, ta sẽ vào mục HA VIP Configuration và tạo HA VIP, chức năng của nó ta đã giải thích ở trên.
Và xong, vậy là ta đã tạo được 2 Tier-0 Gateways cho 2 Site A,B

3. Định tuyến cho VMs ra ngoài Internet​

Đầu tiên ta sẽ làm với Site A, Site B tương tự nhá. Vào mục Routing > Static Routes (ở Lab này mình xin sử dùng static route cho đơn giản)



chúng ta sẽ add static route network 0.0.0.0/0 thì ra internet và tiếp tục config phần Next Hops thì qua qua gateway chính là 10.30.195.250

Vậy là xong phần định tuyến tĩnh ra Net nhưng còn một phần nửa là NAT cho phép các máy ảo ra Net với IP External Interface. Vào Networking > NAT và chọn Tier-0 Site A tạo NAT và chọn SNAT vì nat source ra ngoài net qua translated IP External Interface.



Tiếp đến chọn phần Apply To và chọn Interface Group để apply vào các External Interface trong Group.
Site B thì tương tự nhưng phần SNAT thì khác tí


Ta kiểm tra thử 2 site 2 bên ping ra Net.





Done