Tier-0 网关是 NSX 逻辑路由器,为 NSX 逻辑网络提供到物理基础架构的南北向连接。vSphere IaaS control plane 在同一个传输区域中的多个 NSX Edge 集群上支持多个 Tier-0 网关。

有关在 Edge Tier-0 路由器上配置 NSX 路由映射的详细信息,请参见 《VMware Cloud Foundation 操作和管理指南》,网址为 https://docs.vmware.com/cn/VMware-Cloud-Foundation/4.0/vcf-40-doc.zip

前提条件

确认您已创建 NSX Edge 集群。

过程

  1. 登录到 NSX Manager
  2. 选择网络 > Tier-0 网关
  3. 单击添加网关
  4. 输入 Tier-0 网关的名称。
    例如, ContainerT0
  5. 选择活动-备用 HA 模式。
    默认模式为活动-活动。在活动-备用模式下,选定的活动成员将处理所有流量。如果活动成员出现故障,则会选择一个新成员并使其成为活动成员。
  6. 如果 HA 模式为活动-备用,请选择故障切换模式。
    选项 描述
    主动 如果首选节点发生故障并恢复,它将取代对等节点并变为活动节点。对等节点将其状态更改为备用。
    非主动 如果首选节点发生故障并恢复,它将检查对等节点是否为活动节点。如果是,首选节点不会取代对等节点并作为备用节点。
  7. 选择之前创建的 NSX Edge 集群。
    例如,选择 Cluster Profile - 1
  8. 单击保存
    Tier-0 网关已创建。
  9. 选择继续进行配置。
  10. 配置接口。
    1. 展开接口,然后单击设置
    2. 单击添加接口
    3. 输入名称。
      例如,输入名称 TIER-0_VWT-UPLINK1
    4. 选择外部作为类型
    5. 输入 Edge 逻辑路由器 - 上行链路 VLAN 的 IP 地址。此 IP 地址必须不同于为之前创建的 NSX Edge 虚拟机配置的管理 IP 地址。
      例如, 10.197.154.1/24
    6. 已连接到中,选择之前创建的 Tier-0 上行链路分段。
      例如, TIER-0-LS-UPLINK
    7. 从列表中选择 NSX Edge 节点。
      例如, nsx-edge-1
    8. 单击保存
    9. 对第二个接口重复步骤 a - h。
      例如,使用连接到 nsx-edge-2 Edge 节点的 IP 地址 10.197.154.2/24 创建第二个上行链路 TIER-0_VWT-UPLINK2
    10. 单击关闭
  11. 要配置高可用性,请单击 HA VIP 配置中的设置
    1. 单击添加 HA VIP 配置
    2. 输入 IP 地址。
      例如, 10.197.154.3/24
    3. 选择接口。
      例如, TIER-0_WVT-UPLINK1TIER-0_WVT-UPLINK2
    4. 单击添加,然后单击应用
  12. 要配置路由,请单击路由
    1. 单击“静态路由”中的设置
    2. 单击添加静态路由
    3. 输入名称。
      例如, DEFAULT-STATIC-ROUTE
    4. 输入 0.0.0.0/0 作为网络 IP 地址。
    5. 要配置下一跃点,请单击设置下一跃点,然后单击添加下一跃点
    6. 输入下一个跃点路由器的 IP 地址。通常,这是 NSX Edge 逻辑路由器上行链路 VLAN 中的管理网络 VLAN 的默认网关。
      例如, 10.197.154.253
    7. 依次单击添加应用保存
    8. 单击关闭
  13. (可选) 选择 BGP,以配置 BGP 本地和对等体详细信息。
  14. 要验证连接,请确保物理架构中的外部设备可以对您配置的上行链路执行 ping 操作。

在 Edge Tier-0 网关上配置NSX路由映射

部署 vSphere IaaS control plane 时,在 eBGP 模式下的 Edge Tier-0 网关上创建的路由映射包含一个只有拒绝规则的 IP 前缀。这会阻止向 ToR 交换机通告路由。

如果仅将 Edge 集群用于 Kubernetes - 工作负载管理,请按照选项 1 操作并停用 Tier-1 路由通告。如果使用 Edge 集群执行其他任务,请按照选项 2 进行操作,并创建新的允许规则。

选项 1:停用经过 Tier-0 网关的 Tier-1 连接网络的通告

连接到 Tier-1 网关的网络不会从 Tier-0 网关通告到外部网络。

  1. 登录到 NSX Manager
  2. 选择网络 > Tier-0 网关
  3. 单击编辑
  4. 在“通告的 Tier-1 子网”部分中,取消选择连接的接口和分段
  5. 单击应用,然后单击保存

选项 2:创建新的允许规则并将其应用于路由重新分发

部署 vSphere IaaS control plane 时,将在路由映射后面附加一个新的拒绝规则。因此,您必须向路由映射添加新的允许规则,以允许任何 IP 前缀列表和路由映射,并将其作为最后一个规则应用于路由重新分发规则。

  1. 登录到 NSX Manager
  2. 选择网络 > Tier-0 网关
  3. 创建新的 IP 前缀列表。
    1. 展开路由
    2. 单击“IP 前缀列表”旁边的 1。
    3. 在“设置 IP 前缀列表”对话框中,单击添加 IP 前缀列表
    4. 输入名称,例如 test,然后单击设置
    5. 单击添加前缀
    6. 在“网络”中,单击任意,然后在“操作”中选择允许
    7. 单击应用,然后单击保存
  4. 为在步骤 3 中创建的 IP 前缀列表创建路由映射。
    1. 单击“路由映射”旁边的设置
    2. 单击添加路由映射
    3. 为 IP 前缀添加新的匹配条件。
    4. 选择在步骤 3 中创建的 IP 前缀,并选择允许操作。
    5. 单击应用,然后单击保存
  5. 将编辑后的路由映射应用于路由重新分发。
    1. Tier-0 网关页面上,展开路由重新分发,然后单击“编辑”
    2. 从“路由映射”列的下拉菜单中,选择在步骤 4 中创建的路由映射。
    3. 单击应用,然后单击保存

创建 Tier-1 网关

Tier-1 网关通常在北向方向连接到 Tier-0 网关,在南向方向连接到分段。

前提条件

确认已创建 Tier-0 网关。

过程

  1. 登录到 NSX Manager
  2. 选择网络 > Tier-1 网关
  3. 单击添加 TIER-1 网关
  4. 输入网关的名称。例如,ContainerAviT1
  5. 选择一个 Tier-0 网关以连接到该 Tier-1 网关。例如,ContainerT0
  6. 选择 NSX Edge 集群。例如,选择 EDGECLUSTER1
  7. 选择 NSX Edge 集群后,将显示一个切换开关,供您选择 NSX Edge 节点。
  8. 选择故障切换模式,或接受默认选项非主动式
  9. 其余设置接受默认选项。
  10. 单击保存
  11. (可选) 配置服务接口、静态路由和多播设置。通常可以接受默认值。

创建 Tier-0 上行链路分段和覆盖网络分段

Tier-0 上行链路分段提供从 NSX 到物理基础架构的南北向连接。覆盖网络分段为服务引擎管理网卡通过 IP 地址。

前提条件

确认已创建 Tier-0 网关。

过程

  1. 登录到 NSX Manager
  2. 选择网络 > 分段 > 添加分段
  3. 输入分段的名称。
    例如, TIER-0-LS-UPLINK
  4. 选择之前创建的传输区域。
    例如,选择 vlanTZ
  5. 切换管理状态以将其启用。
  6. 输入 Tier-0 网关的 VLAN ID。
    例如, 1089
  7. 单击保存
  8. 重复步骤 2 到 7,以创建具有传输区域 nsx-overlay-transportzone 的覆盖网络分段 nsxoverlaysegment