Перспективность выпуска версии 10.2 VMware Cloud Director бесспорна. Если вкратце перечислить все ее улучшения и исправления, получим следующее:
- Сократилась пропасть между NSX-V и NSX-T. Теперь в некоторых случаях организации на NSX-T могут похвастаться даже большим количеством сетевых возможностей, чем те, что на NSX-V.
- Доработан пользовательский интерфейс. Дополнился относящимися к сетям разделами, правда, ряд новшеств доступен исключительно в API.
- Для лучшего понимания знаковых изменений, стоит привести сравнительную таблицу функций NSX-V и NSX-T в VMware Cloud Director 10.2 (все новшества выделены зеленым):
Узнаем о них больше.
Поддержка Advanced Load Balancing (Avi) в NSX-T
С 15 октября Org VDC на NSX-T могут использовать службы балансировки сетевой нагрузки ALB / Avi в версии 10.2:
Distributed Firewall и Data Center Groups
В этом обновлении Cloud Director появилась еще одна важная функция, касающаяся Cross VDC сетей, расшаренных сетей и функционала DFW. На практике ее работа выглядит следующим образом. Вначале провайдер сервисов создает Compute Provider Scope. По сути, этот тэг представляет собой некую абстракцию сбоя вычислений в домене или в зонах доступа, которая выполняется на уровне VDC провайдера либо на уровне сервера vCenter:
Аналогичное можно проделать для каждого NSX-T Manager с определенной областью сетевого провайдера:
Как только это назначение сделано, провайдер может создавать Data Center Group (одну или множество) для каждого клиента. Дальнейшее происходит из нового пользовательского интерфейса на портале клиента, где он может сам выбирать один или несколько Org VDC. После этого Data Center Group становится доменом маршрутизации сетей, охватывающим все являющиеся частью группы Org VDC с одной лишь точкой выхода (Org VDC Gateway) и распределенным файерволом:
Маршрутизированные сети автоматически добавляются в Security Groups, если они подключены к Org VDC Edge Gateway. Автономные сети туда включаются только явно. Интересно, что Org VDC может состоять сразу в нескольких Data Center Group.
Если организации-клиенту необходимо использовать DFW, ей нужно быть включенной явно и у нее должны быть соответствующие права. DFW поддерживает комплекты IP и Security Groups с сетевыми объектами, и при этом они применяют установленные правила ко всем подключенным виртуальным машинам.
К Data Center Group можно добавить только единственный Org VDC Edge Gateway из-за ограничения в присоединении и маршрутизации единственного логического сегмента NSX-T через один шлюз первого уровня. Такой Gateway находится в активном либо резервном режиме и в теории может охватывать сразу несколько сайтов. Однако одновременно активным из них должен быть только один (запрет на множественные выходы).
Поддержка VRF-Lite
VRF-Lite – это объект, делящий один шлюз NSX-T нулевого уровня на 100 (или менее) независимых виртуальных зон маршрутизации. «Lite» – это отсылка к тому, что хоть они и весьма схожи с настоящим гейтвеем нулевого уровня, поддерживают они лишь часть его функций. А именно: межсетевой экран, маршрутизацию и NAT.
В прошлом провайдеру приходилось выделять в VCD целую поддерживаемую шлюзом первого уровня внешнюю сеть для клиента, который требовал прямого подключения к локальной сети WAN/MPLS с полностью маршрутизируемыми сетями. После этого обновления все можно сделать посредством VRF, благодаря чему масштабируемость функции существенно выросла.
Немного об ограничениях:
- VRF целиком наследует родительский режим развертывания нулевого тира (HA A/A vs A/S, Edge Cluster), локальный ASN BGP и настройку постепенного перезапуска.
- Все VRF разделяют физическую пропускную способность родительских каналов связи.
- Восходящие каналы VRF и пиринг с восходящими маршрутизаторами должны индивидуально настраиваться, используя VLAN из магистрали или уникальных сегментов Geneve (если восходящий роутер не является нулевым уровнем).
- Можно использовать альтернативу предыдущей точке EVPN – она разрешает подключиться к автономной сессии MP BGP для всех VRF и восходящих маршрутизаторов при инкапсуляции данных VXLAN. Логично, что восходящие роутеры обязаны поддерживать EVPN.
- Провайдер может импортировать в VCD в качестве внешней сети либо родительский гейтвей первого уровня, либо его дочерние VRF, но не в смешанном режиме.
IPv6
С этого обновления VMware Cloud Director поддерживает двойной стек IPv4/IPv6 (сети с поддержкой NSX-V и NSX-T). Сейчас это включается через API v35, назначается в момент создания сети или же через PUT в сетевом объекте OpenAPI путем указания:
«EnableDualSubnetNetwork»: true
Там же следует добавить и определение второй подсети:
Пользовательский интерфейс при этом по-прежнему будет отражать только основную подсеть и IP-адрес. Выделение вторичного IP-адреса для виртуальной машины должно происходить либо из гостевой ОС, либо путем автоматического сетевого назначения (DHCP, DHCPv6 or SLAAC). DHCPv6 and SLAAC доступны исключительно для сетей Org VDC на NSX-T, хотя для сетей с поддержкой NSX-V можно применять и IPv6 как первичную подсеть (с пулом IPv6) и IPv4 с DHCP-адресацией в качестве вторичной.
Для включения вариантов с IPv6 в NSX-T провайдер должен разрешить их в Global Networking Config:
VCD автоматически создает профили ND в NSX-T для каждого Org VDC Edge GW, поддерживаемого NSX-T. А через /1.0.0/edgeGateways/{gatewayId}/slaacProfile API клиент может установить профиль Edge GW либо на DHCPv6, либо на SLAAC. Например:
А вот соответствующий вид из NSX-T:
И, наконец, вот как это выглядит на развернутом сетевом стеке виртуальной машины:
DHCP
Что касается DHCP, NSX-T поддерживает два режима: сетевой (служба DHCP подключена непосредственно к сети и требует IP из этой же сети) и пограничный (служба DHCP управляет обратной связью первого уровня гейтвея). После обновления VCD поддерживает оба режима через API. Сетевой режим DHCP будет функционировать для изолированных сетей и портироваться вместе с сетью (сеть может быть подключена или отключена от Org VDC Edge GW) без прерывания работы DHCP. Правда, до разворачивания службы DHCP в сетевом режиме, необходимо будет определить Services Edge Cluster (для пограничного режима это не требуется, так как служба работает только на первом уровне Edge GW). Определяется кластер через профиль сети на уровне Org VDC.
Для использования DHCPv6 сеть следует настроить в сетевом режиме и подключить к Org VDC Edge GW с SLAAC-профилем, настроенным в режиме DHCPv6.
Другие функции
- Поддержка vSphere Distributed Switch для сегментов NSX-T (конвергентные VDS) – мы знакомы с этой функцией еще с 10.1.1+, но, в 10.2 она, наконец, стала отрабатывать без нареканий.
- Поддержка NSX-T IPSec VPN в пользовательском интерфейсе.
- Поддержка NSX-T L2VPN в API (и только там).
- Внешние сети с поддержкой группы портов (для Org VDC на NSX-V) теперь могут содержать сразу несколько групп портов из такой же vCenter Server зоны (полезно, если VDC на каждом кластере, например).
- Поддержка /31 внешней подсети.
- Объекты Org VDC Edge GW теперь поддерживают метаданные.