部署模式

以下是针对 NSX-T 管理的基础架构上的 NSX Advanced Load Balancer 建议的部署模式：

具有覆盖网络 VIP 分段的单臂模式 - 单个 Tier-1

简单 NSX-T 环境中典型 NSX Advanced Load Balancer 部署的示意图如下所示，其中所有服务器分段都连接到单个 Tier-1 路由器：

您需要手动创建 VIP/数据分段。服务引擎虚拟机的网络适配器 1 是为管理连接预留的。您只能将服务引擎虚拟机的其余 9 个数据接口（网络适配器 2-10）中的一个连接到 VIP/数据分段。其余接口必须保持断开连接状态。服务引擎以单臂模式部署；即，客户端和后端服务器流量使用相同的接口。SE 会通过 Tier-1 路由器路由到后端服务器。

您可以从与服务引擎的 VIP/数据接口相同的子网分配 VIP。您应当在分配给 VIP/数据分段的子网中预留一系列静态 IP 地址以用作 VIP。对 VIP 使用专用分段时，可以更轻松地独立于其他子网管理 IP 范围。

（可选）如果不需要单独的 VIP 分段，可以将服务引擎的数据接口放置在其中一个服务器分段上。分配给服务器分段的子网必须拥有足够的可用静态 IP 地址来用作 VIP。

在这两种情况下，SE 到池服务器的流量由位于所有 ESX 传输节点上的 Tier-1 DR（分布式路由器）进行处理。因此，在对 VIP/数据使用专用分段或共享分段时，这两种情况之间并没有出现显著的性能差异。

具有覆盖网络 VIP 分段的单臂模式 - 多个 Tier-1

在 NSX-T 环境中，不同应用程序的 Web 服务器会连接到其各自的 Tier-1 路由器，您需要在每个 Tier-1 上创建一个 VIP/数据分段。

服务引擎虚拟机的网络适配器 1 是为管理连接预留的。一个数据接口（网络适配器 2）连接到 VIP/数据分段 1，还有一个数据接口（网络适配器 3）连接到 VIP/数据分段 2。其余接口保持断开连接状态。

您可以从与 SE 的 VIP/数据接口相同的子网分配 VIP。您应当在分配给每个 VIP/数据分段的子网中预留一系列静态 IP 地址以用作 VIP。对 VIP 使用专用分段时，可以更轻松地独立于其他服务器子网管理 IP 范围。您需要在每个 Tier-1 的 NSX Advanced Load Balancer 上配置单独的 VRF，并将数据接口添加到与它连接到的 Tier-1 分段对应的 VRF。例如，在上图中，您应为 Tier-1 A 和 Tier-1 B 分别配置 VRF-A 和 VRF-B。此外，还应将连接到 VIP/数据分段 1 的 SE 接口添加到 VRF-A，并将连接到 VIP/数据分段 2 的接口添加到 VRF-B。在为池创建虚拟服务时，您应该选择相应的 VRF。

例如，在为池 1 创建虚拟服务时选择 VRF-A，在为池 2 创建虚拟服务时选择 VRF-B。这样，管理池 1 的虚拟服务的 VIP 将位于 VIP/数据分段 1 上，而管理池 2 的虚拟服务的 VIP 将位于 VIP/数据分段 2 上。这是必需的，其原因是：您可以通过 Tier-1 DR 路由 SE 到池服务器的流量，而不必将流量发送到 Tier-0；此外，您还可以将不同 Tier-1 上的逻辑分段配置为具有相同的子网。因此，每个 Tier-1 流量都必须包含在自己的 VRF 中。

（可选）如果不需要单独的 VIP 分段，您可以将服务引擎的数据接口放置在其中一个服务器分段上。分配给服务器分段的子网必须拥有足够的可用静态 IP 地址来用作 VIP。

具有 VLAN VIP 分段的单臂模式

在 NSX-T 逻辑分段为 VLAN 类型的情况下，也可以部署 NSX Advanced Load Balancer SE。

您需要手动创建 VIP/数据分段。服务引擎虚拟机的网络适配器 1 是为管理连接预留的。您只能将 SE 虚拟机的其余 9 个数据接口（网络适配器 2-10）中的一个连接到 VIP/数据分段。其余接口必须保持断开连接状态。SE 以单臂模式部署；即，客户端和后端服务器流量使用相同的接口。SE 将通过外部物理路由器路由到后端服务器。在此模式下，您可以从与 SE 的 VIP/数据接口相同的子网分配 VIP，也可以从完全不同的子网（未在网络中的任何其他位置使用）分配 VIP。在第一种情况下，您需要在分配给每个 VIP/数据分段的子网中预留一系列静态 IP 地址以用作 VIP。

第二种情况下，您可以在 NSX Advanced Load Balancer 上配置 BGP，以将 SE 配置为与物理路由器对等互连（前提是路由器支持 BGP）。SE 将通告 VIP 路由并将 SE 数据接口 IP 作为下一跃点。如果扩展 VIP，路由器将在 SE 之间执行 ECMP。您可以从与 SE 的 VIP/数据接口相同的子网分配 VIP。您应当在分配给 VIP/数据分段的子网中预留一系列静态 IP 地址以用作 VIP。对 VIP 使用专用分段时，可以更轻松地独立于其他子网管理 IP 范围。

（可选）如果不需要单独的 VIP 分段，可以将 SE 的数据接口放置在其中一个服务器分段上。分配给服务器分段的子网必须拥有足够的可用静态 IP 地址来用作 VIP。

NSX Advanced Load Balancer Controller 部署和管理连接

您应在 NSX-T 附近部署 NSX Advanced Load Balancer Controller 集群虚拟机，并将其连接到管理端口组。此外，还应为 NSX Advanced Load Balancer SE 管理连接创建单独的 Tier-1 和连接的管理分段。

SE 虚拟机的网络接口 1 连接到管理分段。您应配置管理 Tier-1，以将连接的子网路由重新分发到 Tier-0。Tier-0 必须使用 BGP 向外部对等体通告 VIP。

NSX 安全配置

排除列表

在使用 L2 扩展模式时，NSX Advanced Load Balancer SE 会将流量从主 SE 重定向到辅助 SE。这会导致不对称流量，分布式防火墙可能会因为其有状态特性而阻止该流量。因此，为了确保在虚拟服务扩展时不会丢弃流量，您应该将连接到 VIP/数据分段的 SE 接口添加到排除列表中。

可以通过在 NSX-T 上创建 NSG 并将 VIP/数据分段添加为成员来执行此操作。然后，可以将此 NSG 添加到排除列表中。这样，在部署了新的 SE 时，其 VIP/数据接口将动态添加到排除列表中。如果 SE 连接到服务器分段，则无法将该分段添加到排除列表中，因为这样也会将所有服务器都添加到列表中。您需要将单个 SE 虚拟机作为成员添加到 NSG。

分布式防火墙

NSX Advanced Load Balancer Controller 和 SE 要求允许某些协议/端口传输管理流量，如端口和协议部分中所列。如果已启用分布式防火墙，并且默认规则为全部阻止/拒绝，请在 DFW 上创建以下允许规则：

控制器 UI 访问

• 源 - 任意（可以更改以限制 UI 访问权限）

• 目标 - NSX Advanced Load Balancer Controller 管理 IP 和集群 IP 服务 - TCP（80、443）

• 操作 - 允许

控制器集群通信

• 源 - NSX Advanced Load Balancer Controller 管理 IP

• 目标 - NSX Advanced Load Balancer Controller 管理 IP

• 服务 - TCP（22、8443）

• 操作 - 允许

SE 到控制器的安全通道

• 源 - NSX Advanced Load Balancer SE 管理 IP

• 目标 - NSX Advanced Load Balancer Controller 管理 IP

• 服务 - TCP（22、8443）、UDP (123)

• 操作 - 允许

SE 到后端

• 源 - NSX Advanced Load Balancer SE 数据 IP

• 目标 - 后端服务器 IP

• 服务 - 任意（可以限制为服务端口，例如 TCP 80）

• 操作 - 允许

南北向 VIP

如果某些 VIP 需要具有南北向访问权限，以允许外部客户端访问应用程序，则需要在 NSX-T Manager 上进行其他配置。

• 您应配置 Tier-1 以将 VIP IP (/32) 重新分发到 Tier-0。

• Tier-0 必须使用 BGP 向外部对等体通告 VIP。