Berücksichtigen Sie die Anforderungen für die Konfiguration von Tier-0- und Tier-1-Gateways für die Implementierung von BGP-Routing in VMware Cloud Foundation sowie die Best Practices für optimales Routing des Datenverkehrs in einem Standard- oder Stretched Cluster in einer Umgebung mit einer oder mehreren VMware Cloud Foundation-Instanzen.

BGP-Routing

Das BGP-Routing-Design weist die folgenden Merkmale auf:

  • Aktiviert dynamisches Routing mithilfe von NSX.

  • Bietet verbesserte Skalierung und Flexibilität.

  • Ein bewährtes Protokoll, das für Peering zwischen Netzwerken unter unabhängiger administrativer Kontrolle entwickelt wurde: Datencenter-Netzwerke und das NSX-SDN.

Hinweis:

Diese Designempfehlungen beinhalten kein BFD. Wenn eine schnellere Konvergenz als bei BGP-Timern erforderlich ist, müssen Sie BFD im physischen Netzwerk und auch auf dem NSX Tier-0-Gateway aktivieren.

Anforderungen an das BGP-Routing-Design

Sie müssen die folgenden Designanforderungen für Standard- und Stretched Cluster in Ihrem Routing-Design für eine einzelne VMware Cloud Foundation-Instanz erfüllen. Für den NSX-Verbund gelten zusätzliche Anforderungen.

Tabelle 1. Anforderungen an das BGP-Routing-Design für VMware Cloud Foundation

Anforderungs-ID

Designanforderung

Begründung

Auswirkung

VCF-NSX-BGP-REQD-CFG-001

Erstellen Sie zwei VLANs, um ECMP zwischen dem Tier-0-Gateway und den Layer-3-Geräten (ToR-Switches oder Upstream-Geräte) zu aktivieren.

Die ToR-Switches oder Upstream-Layer-3-Geräte verfügen über einen SVI auf einem der beiden VLANs, und jeder Edge-Knoten im Cluster verfügt über eine Schnittstelle in jedem VLAN.

Unterstützt mehrere Equal-Cost-Routen auf dem Tier-0-Gateway und bietet höhere Ausfallsicherheit und eine bessere Bandbreitennutzung im Netzwerk.

Zusätzliche VLANs sind erforderlich.

VCF-NSX-BGP-REQD-CFG-002

Weisen Sie den VLAN-Segmenten eine benannte Teaming-Richtlinie für das Layer-3-Gerätepaar zu.

Verbindet den VLAN-Datenverkehr in jedem Segment mit der Schnittstelle seines Ziel-Edge-Knotens. Von dort aus wird der Datenverkehr an die physische Netzwerkkarte des Hosts geleitet, die mit dem zielseitigen Top-of-Rack-Switch verbunden ist.

Keine.

VCF-NSX-BGP-REQD-CFG-003

Erstellen Sie eine VLAN-Transportzone für Edge-Uplink-Datenverkehr.

Aktiviert die Konfiguration von VLAN-Segmenten auf dem N-VDS in den Edge-Knoten.

Zusätzliche VLAN-Transportzonen sind unter Umständen erforderlich, wenn die Edge-Knoten nicht mit demselben Top-of-Rack-Switch-Paar verbunden sind.

VCF-NSX-BGP-REQD-CFG-004

Stellen Sie ein Tier-1-Gateway bereit und verbinden Sie es mit dem Tier-0-Gateway.

Erstellt eine Routing-Architektur mit zwei Ebenen.

Trennt die logischen NSX-Komponenten, die mit dem physischen Datencenter interagieren, von den logischen Komponenten, die SDN-Dienste bereitstellen.

Ein Tier-1-Gateway kann nur mit einem einzelnen Tier-0-Gateway verbunden werden.

In Fällen, in denen mehrere Tier-0-Gateways erforderlich sind, müssen Sie mehrere Tier-1-Gateways erstellen.

VCF-NSX-BGP-REQD-CFG-005

Stellen Sie ein Tier-1-Gateway für den NSX Edge-Cluster bereit.

Aktiviert statusbehaftete Dienste wie Lastausgleichsdienste und NAT für SDDC-Verwaltungskomponenten.

Da ein Tier-1-Gateway immer im Aktiv/Standby-Modus arbeitet, unterstützt das Gateway statusbehaftete Dienste.

Keine.

Tabelle 2. Anforderungen an das BGP-Routing-Design für Stretched Cluster in VMware Cloud Foundation

Anforderungs-ID

Designanforderung

Begründung

Auswirkung

VCF-NSX-BGP-REQD-CFG-006

Erweitern Sie die Uplink-VLANs auf die Top-of-Rack-Switches, sodass die VLANs zwischen beiden Verfügbarkeitszonen ausgeweitet werden.

Da ein Failover der NSX Edge-Knoten zwischen den Verfügbarkeitszonen erfolgt, wird die Uplink-Konnektivität zu den Top-of-Rack-Switches in beiden Verfügbarkeitszonen unabhängig von der Zone, in der sich die NSX Edge-Knoten zurzeit befinden, sichergestellt.

Sie müssen ein ausgeweitetes Layer-2-Netzwerk mithilfe einer physischen Netzwerkinfrastruktur zwischen den Verfügbarkeitszonen konfigurieren.

VCF-NSX-BGP-REQD-CFG-007

Stellen Sie diese SVI-Konfiguration auf den Top-of-Rack-Switches bereit.

  • Konfigurieren Sie im zweiten Verfügbarkeitsbereich die Top-of-Rack-Switches oder Upstream-Layer-3-Geräte mit einem SVI auf jedem der beiden Uplink-VLANs.

  • Legen Sie den Top-of-Rack-SVI in beiden Verfügbarkeitszonen als Teil eines gemeinsamen ausgedehnten Layer-2-Netzwerks zwischen den Verfügbarkeitszonen fest.

Ermöglicht die Kommunikation der NSX Edge-Knoten mit den Top-of-Rack-Switches in beiden Verfügbarkeitszonen über dieselben Uplink-VLANs.

Sie müssen ein ausgeweitetes Layer-2-Netzwerk mithilfe der physischen Netzwerkstruktur zwischen den Verfügbarkeitszonen konfigurieren.

VCF-NSX-BGP-REQD-CFG-008

Stellen Sie die folgende VLAN-Konfiguration bereit:

  • Verwenden Sie zwei VLANs, um ECMP zwischen dem Tier-0-Gateway und den Layer-3-Geräten (Top-of-Rack-Switches) zu aktivieren.

  • Die ToR-Switches oder Upstream-Layer-3-Geräte verfügen über einen SVI zu einem der beiden VLANs, und jeder NSX Edge-Knoten hat über eine Schnittstelle zu jedem VLAN.

Unterstützt mehrere Equal-Cost-Routen auf dem Tier-0-Gateway und bietet höhere Ausfallsicherheit und eine bessere Bandbreitennutzung im Netzwerk.

  • Zusätzliche VLANs sind erforderlich.

  • Uplink-VLANs müssen zwischen Verfügbarkeitszonen ausgedehnt werden.

VCF-NSX-BGP-REQD-CFG-009

Erstellen Sie eine IP-Präfixliste, die den Zugriff auf die Routenankündigung durch das any-Netzwerk zulässt, anstatt die Standard-IP-Präfixliste zu verwenden.

Wird in einer Routenzuordnung verwendet, um einen Pfad zu einem oder mehreren autonomen Systemen (AS für Pfad voranstellen) für BGP-Nachbarn in der zweiten Verfügbarkeitszone voranzustellen.

Sie müssen manuell eine IP-Präfixliste erstellen, die mit der Standardliste identisch ist.

VCF-NSX-BGP-REQD-CFG-010

Erstellen Sie eine ausgehende Routenzuordnung, die die benutzerdefinierte IP-Präfixliste und einen Wert des Typs „AS für Pfad voranstellen“ enthält, der auf das zweimal hinzugefügte lokale Tier-0-AS festgelegt ist.

  • Wird zum Konfigurieren von Nachbarschaftsbeziehungen mit den Layer-3-Geräten in der zweiten Verfügbarkeitszone verwendet.

  • Stellen Sie sicher, dass der gesamte eingehende Datenverkehr die erste Verfügbarkeitszone durchläuft.

Sie müssen die Routenzuordnung manuell erstellen.

Die beiden NSX Edge-Knoten leiten den Nord-Süd-Datenverkehr nur dann durch die zweite Verfügbarkeitszone, wenn die Verbindung zu ihren BGP-Nachbarn in der ersten Verfügbarkeitszone unterbrochen wird, beispielsweise bei einem Ausfall des Top-of-Rack-Switch-Paars oder in der Verfügbarkeitszone.

VCF-NSX-BGP-REQD-CFG-011

Erstellen Sie eine IP-Präfixliste, die den Zugriff auf Routenankündigungen durch das Netzwerk 0.0.0.0/0 zulässt, anstatt die standardmäßige IP-Präfixliste zu verwenden.

Wird in einer Routenzuordnung verwendet, um für BGP-Nachbarn in der zweiten Verfügbarkeitszone einen lokalen Verweis auf die erlernte Standardroute zu konfigurieren.

Sie müssen manuell eine IP-Präfixliste erstellen, die mit der Standardliste identisch ist.

VCF-NSX-BGP-REQD-CFG-012

Wenden Sie eine eingehende Routenzuordnung an, die die IP-Präfixliste für die Standardroute 0.0.0.0/0 enthält, und weisen Sie der erlernten Standardroute eine niedrigere lokale Präferenz zu, z. B. 80, und allen erlernten Routen eine niedrigere lokale Präferenz, z. B. 90.

  • Wird zum Konfigurieren von Nachbarschaftsbeziehungen mit den Layer-3-Geräten in der zweiten Verfügbarkeitszone verwendet.

  • Stellt sicher, dass der gesamte ausgehende Datenverkehr durch die erste Verfügbarkeitszone fließt.

Sie müssen die Routenzuordnung manuell erstellen.

Die beiden NSX Edge-Knoten leiten den Nord-Süd-Datenverkehr nur dann durch die zweite Verfügbarkeitszone, wenn die Verbindung zu ihren BGP-Nachbarn in der ersten Verfügbarkeitszone unterbrochen wird, beispielsweise bei einem Ausfall des Top-of-Rack-Switch-Paars oder in der Verfügbarkeitszone.

VCF-NSX-BGP-REQD-CFG-013

Konfigurieren Sie die Nachbarn der zweiten Verfügbarkeitszone so, dass sie die Routenzuordnungen als Eingangs- bzw. Ausgangsfilter verwenden.

Der ein- und ausgehende Pfad der zweiten Verfügbarkeitszone wird weniger bevorzugt, da der AS-Pfad länger und die lokale Präferenz geringer ist. Dies führt dazu, dass der gesamte Datenverkehr durch die erste Zone fließt.

Die beiden NSX Edge-Knoten leiten den Nord-Süd-Datenverkehr nur dann durch die zweite Verfügbarkeitszone, wenn die Verbindung zu ihren BGP-Nachbarn in der ersten Verfügbarkeitszone unterbrochen wird, beispielsweise bei einem Ausfall des Top-of-Rack-Switch-Paars oder in der Verfügbarkeitszone.

Tabelle 3. Anforderungen an das BGP-Routing-Design für NSX-Verbund in VMware Cloud Foundation

Anforderungs-ID

Designanforderung

Begründung

Auswirkung

VCF-NSX-BGP-REQD-CFG-014

Erweitern Sie das Tier-0-Gateway auf die zweite VMware Cloud Foundation-Instanz.

  • Unterstützt ECMP-Nord-Süd-Routing auf allen Knoten im NSX Edge-Cluster.

  • Ermöglicht die Unterstützung für instanzübergreifende Tier-1-Gateways und instanzübergreifende Netzwerksegmente.

Das in der zweiten Instanz bereitgestellte Tier-0-Gateway wird entfernt.

VCF-NSX-BGP-REQD-CFG-015

Legen Sie das Tier-0-Gateway für alle VMware Cloud Foundation-Instanzen als primäres Gateway fest.

  • Im NSX-Verbund lässt ein Tier-0-Gateway ausgehenden Egress-Datenverkehr von verbundenen Tier-1-Gateways nur an seinen primären Standorten zu.

  • Lokaler eingehender und ausgehender Datenverkehr wird unabhängig auf der Tier-1-Ebene gesteuert. Es werden keine Segmente direkt für das Tier-0-Gateway bereitgestellt.

  • Eine Kombination aus Netzwerkausdehnungen (lokal für eine VMware Cloud Foundation-Instanz oder sich über mehrere Instanzen erstreckend) ist möglich, ohne dass zusätzliche Tier-0-Gateways und somit Edge-Knoten erforderlich sind.

  • Wenn ein Fehler in einer VMware Cloud Foundation-Instanz auftritt, bleibt das Netzwerk der lokalen Instanz ohne manuellen Eingriff in der anderen Instanz verfügbar.

Keine.

VCF-NSX-BGP-REQD-CFG-016

Richten Sie vom globalen Tier-0-Gateway aus BGP-Nachbar-Peering zu den mit der zweiten VMware Cloud Foundation-Instanz verbundenen ToR-Switches ein.

  • Ermöglicht das Erlernen und die Ankündigung von Routen in der zweiten VMware Cloud Foundation-Instanz.

  • Erleichtert ein potenzielles automatisiertes Failover von Netzwerken von der ersten auf die zweite VMware Cloud Foundation-Instanz.

Keine.

VCF-NSX-BGP-REQD-CFG-017

Verwenden Sie ein ausgeweitetes Tier-1-Gateway und verbinden Sie es mit dem Tier-0-Gateway für instanzübergreifende Netzwerke.

  • Ermöglicht eine Ausdehnung des Netzwerks zwischen den VMware Cloud Foundation-Instanzen, da NSX-Netzwerksegmente der Ausdehnung des Gateways folgen, mit dem sie verbunden sind.

  • Erstellt eine Routing-Architektur mit zwei Ebenen.

Keine.

VCF-NSX-BGP-REQD-CFG-018

Weisen Sie den NSX Edge-Cluster in jeder VMware Cloud Foundation-Instanz dem ausgeweiteten Tier-1-Gateway zu. Legen Sie die erste VMware Cloud Foundation-Instanz als primäre und die zweite Instanz als sekundäre Instanz fest.

  • Ermöglicht eine instanzübergreifende Netzwerkausdehnung zwischen der ersten und der zweiten VMware Cloud Foundation-Instanz.

  • Ermöglicht deterministischen eingehenden und ausgehenden Datenverkehr für das instanzübergreifende Netzwerk.

  • Wenn eine VMware Cloud Foundation-Instanz ausfällt, wird das deterministische Failover des Tier-1-Datenverkehrsflusses aktiviert.

  • Bei der Wiederherstellung der VMware Cloud Foundation-Instanz, auf die kein Zugriff möglich ist, wird das deterministische Failback des Tier-1-Datenverkehrsflusses aktiviert und somit unbeabsichtigtes asymmetrisches Routing verhindert.

  • Dadurch entfällt die Notwendigkeit, BGP-Attribute in der ersten und zweiten VMware Cloud Foundation-Instanzen zu verwenden, um Standortpräferenz und Failover zu beeinflussen.

Sie müssen Failover und Failback des instanzübergreifenden Netzwerks manuell vom Standby-NSX Global Manager aus durchführen.

VCF-NSX-BGP-REQD-CFG-019

Weisen Sie den NSX Edge-Cluster in jeder VMware Cloud Foundation-Instanz dem lokalen Tier-1-Gateway für diese VMware Cloud Foundation-Instanz zu.

  • Ermöglicht die Isolierung instanzspezifischer Netzwerke für ihre spezifischen Instanzen.

  • Ermöglicht den deterministischen Fluss des eingehenden und ausgehenden Datenverkehrs für die instanzspezifischen Netzwerke.

Sie können den Dienstrouter verwenden, der für das Tier-1-Gateway für Netzwerkdienste erstellt wurde. Eine solche Konfiguration ist jedoch für die Netzwerkkonnektivität nicht erforderlich.

VCF-NSX-BGP-REQD-CFG-020

Legen Sie jedes lokale Tier-1-Gateway nur als primär in dieser Instanz fest. Vermeiden Sie es, das Gateway in den anderen Instanzen als sekundär festzulegen.

Verhindert, dass BGP-Attribute in primären und sekundären Instanzen verwendet werden müssen, um die Ingress/Egress-Präferenz der Instanz zu beeinflussen.

Keine.

Tabelle 4. Anforderungen an das BGP-Routing-Design für NSX Edge-Multi-Rack-Verfügbarkeit für VMware Cloud Foundation

Anforderungs-ID

Designanforderung

Begründung

Auswirkung

VCF-NSX-MRE-BGP-REQD-CFG-001

Zum Aktivieren von ECMP zwischen dem Tier-0-Gateway und den Layer-3-Geräten, wie z. B. Leaf-Switches oder Upstream-Geräten, erstellen Sie zwei separate Uplink-VLANs für die Edge-Knoten in jedem Rack.

Die Leaf-Switches oder Layer-3-Upstream-Geräte verfügen über einen SVI auf einem der beiden VLANs Rack, und jeder Edge-Knoten im Rack verfügt über eine Schnittstelle in jedem VLAN.

Unterstützt mehrere Equal-Cost-Routen auf dem Tier-0-Gateway und verbessert Ausfallsicherheit und Bandbreitennutzung im Netzwerk über mehrere Racks hinweg mit einem Leaf-Switch-Paar in jedem Rack.

Zusätzliche VLANs sind erforderlich.

VCF-NSX-MRE-BGP-REQD-CFG-002

Weisen Sie den VLAN-Segmenten eine benannte Teaming-Richtlinie für das Layer-3-Gerätepaar pro Rack zu.

Verbindet den VLAN-Datenverkehr in jedem Segment mit der Schnittstelle seines Ziel-Edge-Knotens. Von dort aus wird der Datenverkehr an die physische Netzwerkkarte des Hosts geleitet, die mit dem zielseitigen Leaf-Switch im Rack verbunden ist.

Keine.

Empfehlungen für BGP-Routing-Design

In Ihrem Routing-Design für eine einzelne VMware Cloud Foundation-Instanz können Sie bestimmte Best Practices für Standard- und Stretched Cluster anwenden. Für NSX-Verbund sind zusätzliche Empfehlungen verfügbar.

Tabelle 5. Empfehlungen für das BGP-Routing-Design für VMware Cloud Foundation

Empfehlungs-ID

Designempfehlung

Empfehlung – Begründung

Empfehlung – Auswirkung

VCF-NSX-BGP-RCMD-CFG-001

Stellen Sie ein Aktiv/Aktiv-Tier-0-Gateway bereit.

Unterstützt ECMP-Nord-Süd-Routing auf allen Edge-Knoten im NSX Edge-Cluster.

Aktiv/Aktiv-Tier-0-Gateways können keine statusbehafteten Dienste wie NAT bereitstellen.

VCF-NSX-BGP-RCMD-CFG-002

Konfigurieren Sie den BGP Keep Alive-Timer auf 4 und den Hold Down-Timer auf 12 oder niedriger zwischen den Top-of-Rack-Switches und dem Tier-0-Gateway.

Sorgt für ein Gleichgewicht zwischen der Erkennung von Fehlern zwischen den Top-of-Rack-Switches und dem Tier-0-Gateway und der Überlastung der Top-of-Rack-Switches mit Keep-Alive-Datenverkehr.

Wenn Sie Timer für längere Zeiträume verwenden, um zu erkennen, ob ein Router nicht antwortet, bleiben die Daten zu einem solchen Router länger in der Routing-Tabelle. Dies führt dazu, dass der aktive Router weiterhin Datenverkehr an einen inaktiven Router sendet.

Diese Timer müssen mit dem Fabric-Design des Datencenters Ihrer Organisation abgestimmt sein.

VCF-NSX-BGP-RCMD-CFG-003

Aktivieren Sie Graceful Restart zwischen BGP-Nachbarn nicht.

Verhindert Verlust des Datenverkehrs.

Auf dem Tier-0-Gateway sind BGP-Peers aus allen Gateways immer aktiv. Bei einem Failover erhöht die Funktion „Graceful Restart“ den Zeitraum, in dem ein Remote-Nachbar ein alternatives Tier-0-Gateway auswählt. Dies führt dazu, dass die BFD-basierte Konvergenz verzögert wird.

Keine.

VCF-NSX-BGP-RCMD-CFG-004

Aktivieren Sie den Hilfsmodus für den Graceful Restart-Modus zwischen BGP-Nachbarn.

Verhindert Verlust des Datenverkehrs.

Während eines Router-Neustarts wird die Funktion „Graceful Restart“ von Upstream-Routern im Hilfsmodus genutzt, um die Weiterleitungstabelle beizubehalten, die wiederum Pakete an einen ausgefallenen Nachbarn weiterleitet, selbst wenn die BGP-Timer abgelaufen sind, was zu Datenverkehrsverlusten führt.

Keine.

VCF-NSX-BGP-RCMD-CFG-005

Aktivieren Sie SR-übergreifendes iBGP-Routing.

Falls bei einem Edge-Knoten alle nordwärts gerichteten eBGP-Sitzungen ausfallen, fließt der Nord-Süd-Datenverkehr weiter, indem Datenverkehr an einen anderen Edge-Knoten geleitet wird.

Keine.

VCF-NSX-BGP-RCMD-CFG-006

Stellen Sie ein Tier-1-Gateway im nicht präemptiven Failover-Modus bereit.

Stellt sicher, dass ein ausgefallener NSX Edge-Transportknoten, nachdem er wieder online ist, nicht die Gateway-Dienste übernimmt und verhindert somit einen kurzzeitigen Dienstausfall.

Keine.

VCF-NSX-BGP-RCMD-CFG-007

Aktivieren Sie die Standby-Verlagerung des Tier-1-Gateways.

Stellt sicher, dass bei einem Edge-Ausfall ein Tier-1-Standby-Gateway auf einem anderen Edge-Knoten erstellt wird.

Keine.

Tabelle 6. Empfehlungen für das BGP-Routing-Designs für NSX-Verbund in VMware Cloud Foundation

Empfehlungs-ID

Designempfehlung

Begründung

Auswirkung

VCF-NSX-BGP-RCMD-CFG-008

Verwenden Sie Tier-1-Gateways, um die Ausdehnung von Netzwerken sowie den eingehenden und ausgehenden Datenverkehr in den VMware Cloud Foundation-Instanzen zu steuern.

Ermöglicht eine Kombination aus Netzwerkausdehnungen (isoliert auf eine VMware Cloud Foundation-Instanz oder mehrere Instanzen umfassend), ohne dass zusätzliche Tier-0-Gateways und somit Edge-Knoten erforderlich sind.

Zum Steuern der Standortausdehnung muss ein Tier-1-Gateway einem Edge-Cluster zugewiesen werden und verfügt daher über die Tier-1-SR-Komponente. Ost-West-Datenverkehr zwischen Tier-1-Gateways mit SRs muss einen Edge-Knoten physisch durchlaufen.

VCF-NSX-BGP-RCMD-CFG-009

Teilen Sie in jeder -Instanz ein Tier-1-Gateway für instanzspezifische Netzwerke zu und verbinden Sie es mit dem ausgeweiteten Tier-0-Gateway.

  • Erstellt eine Routing-Architektur mit zwei Ebenen.

  • Aktiviert Netzwerke der lokalen Instanz, die sich nicht zwischen den VMware Cloud Foundation-Instanzen erstrecken sollen.

  • Garantiert, dass die Netzwerke der lokalen Instanz verfügbar bleiben, wenn in einer anderen VMware Cloud Foundation-Instanz ein Fehler auftritt.

Keine.