Thiết kế sơ đồ Lab Nested VMware NSX
Tài liệu này sẽ giới thiệu về mô hình trước khi đi vào các bước triển khai :
1. Thành phần quản trị
- NSX Manager Cluster: Có 3 node NSX Manager để đảm bảo tính sẵn sàng cao (HA), quản lý toàn bộ cấu hình mạng và bảo mật.
- vCenter Server: Đóng vai trò quản lý các tài nguyên Host ESXi vật lý.
- vRealize Log Insight: Được sử dụng để thu thập và phân tích log của toàn hệ thống.
- Windows Server : Sẽ cài DNS Manager và Active Directory lên đây để quản lý và thuận tiện cho việc triển khai Identity Firewall sau này và nó sẽ cài đặt vCenter Server Appliance (VCSA) để triển khai lab Nested.
2. Tầng kết nối vật lý
- Host ESXi:Bạn có tổng cộng 6 host (Các host ở đây chính là các máy ảo được quản lý bởi vCenter 10.30.100.100 tạo trên các host 10.30.120.101/102/103 và sau khi tạo xong thi ta import host từ vCenter Nested bên dưới và bản thân máy ảo đó sẽ chính là host cho Lab chính của chúng ta).
- Host (.1, .2, .3, .20) sẽ có 5 card mạng.
- Host (.30, .31) sẽ có 4 card mạng.
- vmnics: Các biểu tượng card mạng màu xanh lá đại diện cho các vNIC trên các máy ảo VMware ESXi.
3. vSphere Distributed Switch (vDS)
Đây là phần quan trọng trong ảnh, đóng vai trò là switch ảo tập trung để quản lý mạng cho tất cả các host thay vì cấu hình lẻ tẻ trên từng máy.- Uplink Mapping:
- Site A: Sử dụng 5 Uplinks (từ uplink1 đến uplink5).
- Site B: Sử dụng 4 Uplinks (từ uplink1 đến uplink4).
4. Distributed Port Group
Đây chính là các nhóm cổng mạng trên switch đó, nơi mà các máy ảo thực sự "cắm dây" vào để kết nối mạng có thể cấu hình: VLAN, bảo mật, và giới hạn băng thông,....Tên Port Group | Mục đích |
PG-Mgmt | Dùng cho lưu lượng quản lý ESXi, vCenter và NSX Manager. |
PG-vMotion | Dùng để di chuyển các VM đang chạy giữa các host mà không bị gián đoạn. |
Host-Uplink | Thường dùng cho đường truyền chính của Host hoặc kết nối TEP (Tunnel Endpoint) để đóng gói gói tin Overlay (GENEVE). |
PG-Edge | Dành riêng cho các giao diện quản lý và giao tiếp nội bộ của các Node Edge với nhau hoặc giữa Node Edge và Host Transport Node. |
Edge-Uplink | Đường ra internet |
NET-A / NET-B | Đại diện cho Transport Zone (VLAN 0). Sẽ gắn vào các External Interface trên Tier-0 để ra NET. |
5. Cấu trúc mạng logic
Mô hình chia làm hai khu vực chính với cấu hình Gateway khác nhau:- Site A (Bên phải):
- Sử dụng Tier-0 Gateway chạy chế độ Active-Activevà gắn vào nó 2 external uplink.
- Dịch vụ đi kèm : NAT (SNAT,DNAT)
- Tier-1 Gateway được cấu hình chạy Active-Standby. Đặc biệt, tại đây có tích hợp thêm tính năng IDS/IPSđể kiểm soát và ngăn chặn xâm nhập cho các phân đoạn mạng bên dưới.
- Các dịch vụ đi kèm: DHCP, IPsec VPN và Load Balancer.
- Sử dụng Tier-0 Gateway chạy chế độ Active-Activevà gắn vào nó 2 external uplink.
- Site B (Bên trái):
- Cả Tier-0 và Tier-1 Gateway đều chạy ở chế độ Active-Standby.
- Các dịch vụ: NAT, DHCP và IPsec VPN.
6. Thành phần thực thi (Edge Nodes & Transport Nodes)
- Edge Clusters: Đây là nơi các Gateway (T0/T1) thực sự chạy. Có các máy chủ ESXi vật lý (.3, .20, .31) chay các Edge Node (Edge-1 đến Edge-6) được nhóm lại để xử lý các dịch vụ tập trung (Centralized Services).
- Host Transport Nodes: Các máy chủ ESXi vật lý (.1, .2, .30) được cấu hình để tham gia vào mạng NSX, cho phép các máy ảo (VM) bên trong giao tiếp với nhau qua mạng Overlay.