在NSX 联合中,您可以部署仅限于一个位置的 Tier-0 网关,也可以将 Tier-0 网关延伸为跨多个位置。
Tier-0 网关可以具有以下配置之一:
- 非延伸 Tier-0 网关。
- 延伸活动-活动,具有主位置和辅助位置。
- 延伸活动-活动,全部为主位置。
- 延伸活动-备用,具有主位置和辅助位置。
注: 从 NSX-T Data Center 3.0.1 开始,支持活动-备用 Tier-0 网关。
非延伸 Tier-0 网关
您可以从仅跨一个位置的全局管理器中创建 Tier-0 网关。这类似于直接在本地管理器上创建 Tier-0 网关,但具有一个好处,即,可以从全局管理器中管理该网关。
具有主位置和辅助位置的延伸活动-活动 Tier-0 网关
在具有主位置和辅助位置的活动-活动 Tier-0 网关中,以下要求适用:
- 所有 Edge 节点同时处于活动状态,因此,Tier-0 网关无法运行有状态服务。
- 所有流量都通过主位置中的 Edge 节点流入和流出。
如果 Tier-0 网关和链接的 Tier-1 网关都具有主位置和辅助位置,请将同一个位置配置为这两个网关的主位置,以减少跨位置流量。
重要说明: 在此拓扑中,
NSX-T Data Center 可确保所有输出流量都通过主位置流出。
如果您的环境在物理网络上具有有状态服务(如外部防火墙),则必须确保返回流量通过主位置进入。例如,您可以在辅助位置中的 BGP 对等体上添加 AS 路径前置。
如果在物理网络上没有有状态服务,并且您选择使用非对称路由,则必须在所有外部 Tier-0 接口上禁用单播反向路径转发 (Unicast Reverse Path Forwarding, uRPF)。
全部为主位置的延伸活动-活动 Tier-0 网关
在全部为主位置的活动-活动 Tier-0 网关中,以下要求适用:
- 所有 Edge 节点同时处于活动状态,因此,Tier-0 网关无法运行有状态服务。
- 所有流量都通过与工作负载位于同一位置的 Edge 节点流入和流出。
重要说明: 此拓扑允许流量从每个位置本地输出。您必须确保返回流量进入同一位置以允许有状态流量,例如,防火墙。例如,您可以配置特定于位置的 NAT IP,以便始终将返回流量路由回其流出的位置。
具有主位置和辅助位置的延伸活动-备用 Tier-0 网关
在具有主位置和辅助位置的活动-备用 Tier-0 网关中,以下要求适用:
- 每次只有一个 Edge 节点处于活动状态,因此,Tier-0 可以运行有状态服务。
- 所有流量都通过主位置中的活动 Edge 节点流入和流出。
对于活动-备用 Tier-0 网关,支持以下服务:
- 网络地址转换 (NAT)
- 网关防火墙
- DNS
- DHCP