Bom pessoal, resolvi fazer uma serie curta de posts sobre algumas considerações que observei ao realizar o deploy do NSX-T.
Antes de mais nada, essa série de posts não tem a intenção de ser um guia de instalação do NSX-T do zero, existem vários blogs já com esse tipo de conteúdo, desta forma, não vou aprofundar em arquitetura da solução, como plano de dados, controle, quem é responsável pelo quê.
Porém, vejo que a maioria dos guias (step-by-step) seguem uma receitinha de bolo, e maioria deixa vaga algumas definições, simplesmente dizem, configure assim, mas não especificam o porquê, o intuito destes posts são exemplificar algumas observações de uma forma mais didática, ou ao menos mais compreensível, principalmente no que tange à roteamento.
Honestamente, a arquitetura do NSX-T a principio me causou certa estranheza, vamos a uma rápida lembrança de como funcionava o roteamento no NSX-V:
No NSX-V, temos basicamente duas figuras que executam roteamento, um executando roteamento Leste/Oeste (dentro dos clusters virtuais) e Norte/Sul (ambiente virtual para o físico).
O primeiro objeto são os DLR (Distributed Logical Router), que são executados no kernel do VMware ESXi e são responsáveis por rotear o tráfego entre os Logical Switches (VNI), promovendo assim o roteamento entre as redes virtuais sem que o tráfego tenha que ir à um roteador físico ou a qualquer outro dispositivo que execute o roteamento, permitindo assim que duas VM’s por exemplo que residam em redes diferentes possam se comunicar dentro do mesmo Host físico, sem a necessidade do tráfego sair do host.
O segundo objeto são os Edge Gateways, que são VM’s responsáveis por prover serviços como VPN, NAT, Load Balancing entre outros, e claro, permitir a comunicação do mundo virtual com o mundo físico, lembrando sempre que com os DLR’s , não existe uma VM onde o tráfego passa através desse objeto, tudo é a nível de kernel do ESXi, existe apenas uma VM de controle dos DLR’s, já nos Edge Gateways, para realizar funções de NAT, LB e conexão com o mundo externo, o tráfego deve necessariamente passar através desta VM.
Já no NSX-T, as coisas mudam um pouco, e a arquitetura torna-se na minha opinião, um “pouco mais confusa”.
No NSX-T, não temos mais um objeto notadamente responsável pelo roteamento Leste/Oeste e outro Norte/Sul, e sim Logical Routers, que podem ser do tipo Tier0 (T0) e Tier1 (T1), e estes, podem estar executando serviços de DR (Distributed Router) e/ou SR (Service Router).
Sim, a primeira vista parece confuso.
Mas, vamos tentar fazer algumas analogias para ficar mais claro.
DR (Distributed Router):
Como disse anteriormente, no NSX-V temos os Logical Switches (LS), que funcionam como VLAN’s (porém VXLAN) segregando o tráfego, e para que exista roteamento entre os LS’s diretamente entre os hosts (in kernel), ou seja, para que o tráfego entre dois LS diferentes tenha que ser roteado externamente, precisamos de um Logical Router, no NSX-T precisamos que um Logical Router esteja executando o serviço de DR, seja ele um T0 ou T1.
Um DR abrange hypervisors cujas VMs estão conectadas a este roteador lógico, funcionalmente, o DR é responsável pelo roteamento distribuído entre logical switches.
SR (Service Router):
O SR é responsável por fornecer serviços que não são implementados de forma distribuída, como NAT, Balanceamento de carga, DHCP Server ou Firewall de perímetro do ambiente por exemplo.
Um Logical Router, seja ele T0 ou T1, poderá executar tanto o serviço de DR quanto SR, ou até mesmo os dois:
Na imagem anterior, perceba que do lado esquerdo temos somente um LR executando tanto os serviços de DR quanto SR, já que ele está executando roteamento distribuído entre os logical switches Web1, Web2 e App1, e também está executando a conexão com o mundo físico (norte/sul), ou seja, para que o tráfego saia para o mundo externo, necessariamente ele está passando por esse LR, podendo nesse caso ser utilizado NAT, LB etc.
Já do lado direito, temos um LR executando apenas o serviço de DR, realizando o roteamento distribuído entre os LS’s Web1, Web2 e App1, e temos outro LR executando o serviço de SR, sendo a interface entre o mundo virtual e físico.
Ok, falamos sobre os serviços de DR e SR que devem ser executados em Logical Routers, mas quais são esses logical routers? Eles podem ser do tipo Tier0 ou Tier1, no NSX-T sempre teremos ao menos um T0, mas nem sempre teremos um T1, a escolha de quando utilizar cada um deles será abordado na parte 2.
Já na parte 3, o intuito será abordar com mais afinco os Edge-Nodes e Transport-Nodes, abordaremos como os serviços de SR são de fato executados nos Edge-nodes, como tráfego Norte/Sul, LB etc, é através deles que o tráfego flui para o ambiente físico, você nunca verá no vCenter por exemplo, uma VM de um LR, ou de um T0 ou T1, e sim um Edge-node, calma, falaremos mais sobre isso na parte 3.
E na quarta e ultima parte, falaremos um pouco sobre os tipos de Transporte Zones (Overlay e VLAN) contidos no NSX-T.
Obrigado e até a próxima.