VMware NSX 部署指南

VMware NSX 部署指南技術白皮書

VMware NSX 部署指南

技術白皮書 / 2

目錄

目標對象 ........................................................................................................................................... 3

概觀 ................................................................................................................................................... 3

在非全新 DC 網路中部署 NSX .......................................................................................................... 3

案例 1：無重疊的微分段 .............................................................................................................. 4

預先移轉考量事項 .................................................................................................................... 4

詳細移轉程序 ........................................................................................................................... 6

案例 2：有重疊的微分段 ............................................................................................................ 10

部署考量事項 ......................................................................................................................... 11

詳細移轉程序 ......................................................................................................................... 13

案例 3：在全新 DC 網路中部署 NSX ......................................................................................... 19

部署考量事項 ......................................................................................................................... 19

詳細移轉程序 ......................................................................................................................... 21

結論 ................................................................................................................................................. 24

參考資料 ......................................................................................................................................... 24


技術白皮書 / 3

目標對象本文件的目標對象為有興趣在 vSphere 非全新環境中部署 VMware® NSX 網路虛擬化解決方案的虛擬化

和網路架構設計師。

概觀 VMware 的軟體定義的資料中心架構會擴充整個實體資料中心基礎架構的虛擬化技術。VMware NSX

是網路虛擬化平台，它是軟體定義的資料中心架構內的關鍵產品。

NSX 能部署在任何 IP 網路上，包括現有的傳統網路模式，以及任何廠商提供的新一代網路架構，因此

NSX 是完全不中斷的解決方案。事實上有了 NSX，即代表實體網路基礎架構和您現有的服務就是您部署

軟體定義的資料中心所需的一切。在非全新環境中，NSX 可以透過 L2 橋接或 L3 路由來提供程式設計連

線，以及提供現有實體服務的服務接入功能 (例如負載平衡器和防火牆)，好讓這類舊版服務可由 NSX 邏

輯網路加以整合及使用。

注意：在本文的其餘內容中，「NSX」和「NSX-v」這兩個詞彙會交替使用，因為兩者指的都是使用

vSphere 部署 NSX。

在非全新 DC 網路中部署 NSX 在本文的其餘內容中，我們將會分析可以在現有的非全新網路中順暢引進 NSX 功能的不同客戶移轉案例，

並讓中斷降到最低以及讓資料中心設計擁有更多功能。

第一個部署案例的目標是要在非全新網路基礎架構之上引進 NSX；我們假設網路基礎架構本身不需要進行

任何重大修改。針對這部分討論內容考量的特定案例為傳統的 3 層 DC 網路 (存取、彙總、核心)，如圖 1

所標示：

圖 1：傳統 3 層 DC 網路設計


技術白皮書 / 4

這類網路的主要特性如下：

• L2 與 L3 網路網域之間的界限位於彙總層；更具體而言，連接彙總層裝置的實體防火牆 (FW) 代表

DC 子網路的預設閘道 (此範例中為 Web、應用程式和資料庫層級)。

• 存取層交換器會當做單純的 L2 裝置運作，負責交換本機與其他存取層裝置之間的流量。 • 虛擬化運算資源會連接 VLAN 支援的連接埠群組。VLAN 會橫跨不同存取層交換器，以針對部署的虛擬

機發揮 L2 機動性。

• 在此特定範例中，我們會考量部署單一 POD (POD 是由彙總交換及連接的存取層裝置的配對來表示)。

大型 DC 部署通常會透過核心路由器運用在 L3 相互連接的多個 POD。

本文考量此非全新案例的兩個特定移轉使用情境：微分段應用於實體 VLAN網路及微分段應用於邏輯

VXLAN網路。

案例 1：微分段應用於實體 VLAN 網路第一個移轉案例著重於變更針對連接 VLAN 分段的虛擬機強制執行安全性原則的方式。引進 NSX 所提供

的分散式防火牆保護 (DFW) 功能可確保能以最佳方式針對東西向通訊套用安全性原則 (零信任安全性原則)，

而無須對實體網路基礎架構執行任何變更。

可以提供多個選項來針對南北向通訊套用安全性原則，「詳細移轉程序」一節中將會有更詳細的討論內容。

在所有情境下，最終目標之一就是要從實體 FW 移除預設閘道，並將它置於彙總層裝置上，這樣才能夠同

時最佳化東西向通訊的處理方式。

預先移轉考量事項 • 最初所有流量的安全性原則都會部署在集中化的 FW 應用裝置上。FW 通常會部署為虛擬機的預設閘

道，好讓每個 IP 子網路都與運用集中化 FW 上所設定之安全性原則的其他子網路區隔開來。在這個

模式下，實體 FW 會執行路由與原則施行這兩項功能。

圖 2：實體防火牆上的集中化安全性原則


技術白皮書 / 5

請注意，在連接相同區域網路區段的虛擬機之間的通訊方式不受任何原則施行所規範，除非在實體交換基

礎架構中引進了硬體特有的功能 (例如 L2 ACL 或 PVLAN)。

• 設定 NSX 的其中一個主要要求就是所有運算主機必須已經連接 vSphere Distributed Switch (VDS)。如

果不是這樣，而且主機改為連接本機 vNetwork 標準交換器 (VSS)，就必須先將其移轉至 VDS。假設每

個 ESXi 主機都至少有兩個實體上行 (vmnics) 一開始就連接 VSS，則可以確定從 VSS 移轉至 VDS 的

作業能以對應用程式而言不中斷的方式來完成。

如需有關 VSS-VDS 移轉之建議程序的詳細資訊，請參閱底下的連結：

http://www.vmware.com/files/pdf/vsphere-vnetwork-ds-migration-configuration-wp.pdf

如果 ESXi 主機最初是連接 Nexus 1000v vSwitch，則適用類似的考量，而且在此情況下也必須移轉至

VDS 當做移轉程序的第一個步驟。

• ESXi 主機需求：

➢管理叢集：假設已經部署 vCenter 來管理運算叢集。引進 NSX 來啟用 DFW 功能並不需要佈建 NSX

控制器，所以只需要在現有的管理叢集上部署 NSX Manager。

➢ 運算叢集：不需要在現有的運算叢集外部移轉虛擬機；唯一的要求是將 NSX VIB 推送至運算叢集來啟

用 DFW 功能。之後可以將其他 ESXi 主機新增至現有的運算叢集，或是用這些主機來建立新的運算叢

集。在前者的情境下，一旦 VIB 加入叢集之後就會自動推送至主機；在後者的情境下，則必須從 NSX

Manager UI 為 NSX 準備新的叢集。

圖 3：運算叢集、管理叢集和 VDS

• 移轉程序的目標：

➢採用 NSX DFW 以獲得東西向通訊的最佳安全性原則施行 (微分段或零信任安全性)。

注意：DFW 是微周邊 FW，它可以將安全性原則套用至源自於或要送至每個給定虛擬機的所有流量，

與通訊在 DC 內部受限 (也就是東西向流量) 或是使用外部網路建立通訊 (亦即南北向) 的事實無關。我

們想要澄清，在本文的內容中我們特別著重於套用至東西向通訊的 DFW 安全性篩選，這是鑑於通常會

針對南北向原則施行部署個別 FW 裝置 (邏輯或實體) 的事實。



技術白皮書 / 6

➢將虛擬機預設閘道轉移至彙總層裝置會從實體 FW 中移除這項任務，並且提升東西向路由延展性。 ➢提供幾個替代部署選項來處理南北向安全性原則施行，這會根據是否想要利用既有的實體 FW 而定。

詳細移轉程序底下描述在這個環境中整合 NSX 的逐步程序：

a. 確認需要為 NSX 準備的所有 ESXi 主機都已連接 VDS。如果沒有的話，請執行必要的移轉程序 (VSS 至

VDS 或 N1Kv 至 VDS)。

b. 在現有的管理叢集上部署 NSX Manager，並將 NSX Manager 連結至已使用的 vCenter (已經用來管

理現有的管理叢集與運算叢集)。在此提醒您，管理運算叢集資源的 vCenter Server 與 NSX Manager

之間必須為一對一的關係。

c. 為 NSX 準備運算叢集 (將 NSX VIB 推送至這些叢集)：對於連接原有 VLAN 環境的現有應用程式而

言，這應該不是中斷的作業；事實上當 VIB 推送至叢集時，就會套用 DFW 安全性原則施行，但有一

個預設規則允許所有通訊 (圖 4)。

圖 4：預設 DFW 安全性規則

注意：目前當推送 VIB 時會遇到 4-10 秒的資料平台中斷，似乎只有將 VIB 推送至使用 Intel 網路卡的

ESXi 主機時才會發生這個狀況 (因為目前會自動啟用接收端延展 – RSS)。我們正在調查這個行為模式，

將來的版本中可能會加以更正。

d. 部署分散式 DFW 原則。協力廠商解決方案 (例如像是 AlgoSec) 在未來將會與 NSX 整合，以便能夠從

實體 FW 收集 FW 規則，並將這些規則直接套用至 DFW 組態設定。這對每個應用程式而言將會是可行

的，這也十分合理，因為移轉作業一次必須執行一個應用程式。也就是說，使用 DFW 可允許建立運用

進階結構的安全性規則，像是安全性群組和 vCenter 物件等結構，以及傳統 IP 或 MAC 位址。因此，建

議的做法為盡量在可能的情況下利用這些項目，這也暗示必須針對每個應用程式重新建立安全性原則

(這也表示有機會清除及審查現有的 FW 原則)。

目前依然會在兩個地方施行安全性原則：DFW 和實體 FW。但是，在 DFW 上設定之原則所不允許的

流量將會直接在 HV 層級捨棄 (已經減少傳送至實體網路基礎架構的流量)。這個中繼步驟也允許驗證

DFW 原則是否依設計運作；設定錯誤的 DFW 安全性原則可能不慎允許的通訊依然會在實體 FW 層捨

棄，以免產生任何安全性弱點


技術白皮書 / 7

圖 5：集中化及分散式防火牆原則

e. 一旦成功驗證 DFW 功能之後，就可以選擇從實體 FW 移除東西向流量的原則 (實體 FW 無論如何都應

該停止取得任何拒絕命中數，因為 DFW 現在會捨棄流量)。從這個時間點開始，東西向通訊的所有原

則施行只會在 DFW 層套用。

圖 6：實體 FW 僅用於南北向安全性原則

f. 在彙總層設定預設閘道，以便用於所有路由的東西向通訊。這通常需要使用 Web、應用程式和資料庫

子網路的預設閘道 IP 位址設定 VLAN 介面 (SVI) (圖 6 的範例使用 .1)。目前，SVI 應該仍然維持「關

機模式」，因為實體 FW 依然在執行路由功能。


技術白皮書 / 8

圖 7：彙總層裝置上的預設閘道組態設定

彙總層裝置與實體 FW 之間也可以建立靜態或動態路由；這需要在用來建立與 FW 之間之 L3 靜態/動態

關係的彙總交換器上定義另一個 SVI 介面。此額外 VLAN (此範例中為 VLAN 100) 可以加入至原本在彙

總交換器與 FW 之間的 L2 主幹連線上承載的其他 VLAN (如圖 8 所示)。

圖 8：在 L2 主幹上新增 L3 對等 VLAN

這個新的 VLAN 代表在完成下一個預設閘道移轉步驟之後，將用於南北向通訊的路徑。

g. 從實體 FW 中將虛擬機子網路的預設閘道切換到彙總層。這是應該在維護時段執行的中斷作業，因為需

要虛擬機使用預設閘道的新 MAC 位址來更新其本機 ARP 快取。

本文會討論兩個替代部署模式，這取決於執行南北向通訊之安全性管制的地方。


技術白皮書 / 9

1. 實體 FW 依然會維持可運作狀態，而且它會在彙總層裝置的北側以內嵌方式連接。

圖 9：以內嵌方式部署的實體 FW

這個簡單的模式依然會使用實體 FW 來將安全性原則套用至南北向通訊，而 DFW 則用於東西向流量 (而

且同時允許針對連接相同 VLAN 的虛擬機執行內部層原則施行)。

在開始移轉之前，實體 FW 有可能已經擁有靜態或動態路由，而且在北邊有對等的下一個中繼段裝置。

這表示唯一需要進行的步驟就是建立靜態/動態路由，並擁有對等的彙總交換器，以便開始將連線性資訊

交換到 DC IP 子網路中，如上一個移轉步驟所述。此外，現在它可從連接彙總層裝置和實體 FW 的 L2 主

幹中剪除虛擬機資料 VLAN (VLAN 10、20 和 30)，如圖 8 所示。

注意：在這個部署模式中，實體 FW 可能也會針對運用私人 IP 位址空間的 DC 子網路執行 NAT 功能。

2. 實體 FW 完全從設計中移除。


技術白皮書 / 10

圖 10：使用 DFW 來同時執行南北向原則

在此情境下，可以在 DFW 層或是通常用於保護 DC 免於面對公用網際網路的實體周邊 FW 上套用南北向

原則施行。

在任何情境下，原本在彙總層連接的實體 FW 都可以除役，這表示，從營運成本和資金支出的觀點來看都

可以節省成本。

案例 2：微分段應用於邏輯 VXLAN 網路除了上一個模式討論的 FW 原則變更以外，這個案例也會引進根據邏輯網路的 VXLAN 部署。帶來的立

即優點是能夠讓邏輯空間中的連線與實體底層組態設定分離：工作負載可以連接至相同的 L2 網域 (以給

定的 VXLAN 區段表示)，這與實體網路的特定組態設定無關 (也就是說，這也可以在非 L2 相鄰的網路部

分中連接工作負載的部署中達成)。

此使用情境帶來了額外的要求：必須允許邏輯空間內所連接的虛擬機與無法虛擬化的裸機伺服器之間的

通訊。這是一個常見的要求，而圖 11 顯示了三層應用程式部署 (Web、應用程式和資料庫) 的典型範例，

其中屬於資料庫層的工作負載為虛擬機和裸機伺服器的混合。



圖 11：包含虛擬化和裸機伺服器的三層 DC 網路

部署考量事項 • VDS 考量事項：與上一個使用情境所討論的內容類似，部署 VXLAN 邏輯網路也會強制規定 ESXi 主

機必須連接 VDS 交換器。這表示運用 VSS (或是另一個虛擬交換器，例如 Cisco Nexus 1000v) 的現

有運算叢集必須先移轉至 VDS。

• 伺服器需求：

➢ 管理叢集：除了部署 NSX Manager 以外，也需要由三個 NSX Controller 組成的叢集，以便能夠設定

邏輯網路及運用 NSX 進階 ARP 抑制功能。最佳做法是在個別的 ESXi 主機上部署每一個控制器節點，

這樣可能需要將 ESXi 主機加入至管理叢集 (這只是為了確保 NSX Controller 叢集即便在 ESXi 主機故

障的情況下依然可以運作)。

➢ 運算叢集：可重複使用現有叢集或是部署/新增叢集，以便用於連接邏輯交換器的虛擬機，這部分在

上一個使用情境中已討論過。

➢ Edge 叢集：這是部署新的 Edge 叢集來代管 Edge 服務閘道和 DLR 控制虛擬機的最佳做法建議。

在管理叢集無法提供足夠容量的部署中，Edge 叢集也可以用來代管 NSX Controller。

注意：控制虛擬機可能會改為部署成運算叢集的一部分。特別是在 ECMP 模式中部署 ESG 時，建議最

好採取這個做法，因為它是避免在相同 ESXi 主機上部署 ESG 節點和 DLR 控制虛擬機的最佳做法。如

需詳細資訊，請參閱 NSX 參考設計指南：

https://communities.vmware.com/docs/DOC-27683



圖 12：運算叢集、Edge 叢集和管理叢集

• 移轉程序的目標：

➢ 將虛擬機移轉至邏輯網路 (VXLAN 區段)，好讓邏輯空間內的分散式網路服務 (交換、路由、防火牆保

護、負載平衡) 獲得益處。

➢ 上一個觀點有一個副作用，就是從實體 FW 中移除路由和東西向安全性原則施行的責任。也可以選

擇將實體 FW 除役，以節省資金支出和營運成本 (如第一個移轉使用情境中所討論的內容)。

➢ 保留連接邏輯交換器的虛擬機與連接 VLAN 的裸機伺服器之間的 L2 通訊。

➢ 簡化實體網路中的組態設定：移除不再需要的虛擬機資料 VLAN、預設閘道組態設定等等。同時，實

體網路中將會引進幾個新的 VLAN：

o 將會部署新的 VLAN (VXLAN 傳輸 VLAN)，以便允許屬於不同 ESXi 主機的虛擬機之間的東西向通訊。

o NSX Edge 服務閘道與實體網路基礎架構之間也需要另一個 VLAN，以便啟用南北向通訊。

簡化實體網路中的組態設定以及在邏輯空間中部署網路服務，代表能夠節省大幅營運成本。此外，更重

要的是，引進 NSX 以及它讓邏輯與實體網路連線 (頂層與底層) 分離的功能，也為整體 DC 部署帶來了靈

活性，並且能夠以幾近即時的方式部署應用程式，而不需要等候變更時段，也不再需要修改實體網路的

組態設定。



詳細移轉程序底下詳述在這個環境中整合 NSX 的逐步程序：

a. 確認需要為 NSX 準備的所有 ESXi 主機都已連接 VDS。如果沒有的話，請執行必要的移轉程序

(VSS 至 VDS 或 N1Kv 至 VDS)。

b. 在現有的管理叢集上部署 NSX Manager，並將 NSX Manager 連結至現有的 vCenter Server (已經用來

管理管理叢集與運算叢集)。

c. 部署 3 個 NSX Controller 當做管理叢集的一部分。您可以選擇將 NSX Controller 部署為 Edge 叢集的

一部分。建議做法是在每個叢集中至少要擁有 3 個 ESXi 主機，以確保控制器可以放置在不同的主機上。

d. 為 NSX 準備運算叢集和 Edge 叢集 (將 NSX VIB 推送至這些叢集)：在大多數情境下，這對於連

接原始 VLAN 環境的現有工作負載而言都是非中斷性的功能。

e. 為東西向通訊部署 DFW 原則，如之前在移轉案例 1 中所討論的內容。目前依然會在兩個地方施行原

則：DFW 和集中化 FW。但是，原則所不允許的流量將會直接在 HV 層級捨棄 (已經減少傳送至實體

網路基礎架構的流量)。

f. 選擇從集中化 FW 移除東西向流量的原則。目前，東西向原則施行只會在 DFW 層級套用，實體 FW 對

於連接 VLAN 支援之連接埠群組的所有虛擬機而言，依然是執行路由功能的預設閘道。

圖 13：東西向安全性原則的 DFW

如圖 13 所標示，DFW 功能會套用至虛擬化工作負載的虛擬網卡介面。但是，這些安全性原則的組態設

定也可讓您控制與裸機伺服器之間的往來通訊。子網路內通訊 (像是屬於相同 VLAN 30 的虛擬機與實體

伺服器之間的通訊) 和子網路間通訊都是這個情形。



g. 在所有運算叢集和 Edge 叢集上設定 VXLAN：這項作業通常對於連接原始 VLAN 環境的現有應用程式

而言為非中斷性。請注意，這也會要求必須將 VLAN 新增至網路中，VLAN 是用來承載每個 ESXi 主機

上所定義之 VTEP VMkernel 介面所產生的 VXLAN 封裝流量。該 VLAN 的預設閘道可以設定在彙總層

交換器上。

圖 14：在實體網路中設定 VXLAN 傳輸 VLAN

h. 增加網路基礎架構中的 MTU：由於必須在整個網路中支援 VXLAN 流量，所以一定要在以下介面上將

MTU 增加為至少 1600B 的值：

• ToR 裝置上的 L2 介面：此組態設定適用於面對 ESXi 主機的介面、面對彙總層交換器的介面，以及

ToR 之間的介面。

• 彙總交換器上的 L2 和 L3 介面：在面對各種不同 ToR 交換器的 L2 介面上、彙總交換器之間的 L2 主

幹上，以及相對於 VXLAN 傳輸 VLAN 的 L3 SVI 介面上，都必須增加 MTU 的值。在必須於屬於不同

IP 子網路的 VTEP IP 位址之間路由傳送 VXLAN 流量的情況下需要最後一個組態設定。



圖 15：在 L2 和 L3 介面上增加 MTU 的值

在圖 15 所述的案例中，VXLAN 傳輸 VLAN 可以輕鬆地擴充到所有的伺服器機架。因此，屬於運算叢集

和 Edge 叢集之 ESXi 主機的所有 VTEP IP 位址有可能位在相同的 IP 子網路，前提是 VXLAN 傳輸

VLAN 的 L2/L3 界限必須位在彙總層裝置上。用於 VXLAN 傳輸網路的 IP 子網路應該從用於底層網路基

礎架構的集區指派。

注意：在 L2 介面上變更 MTU 的值對於原本在該實體連結上流動的流量而言可能為中斷性作業 (這大多

取決於實體交換器廠商)。因此，建議最好一次只針對一個連結執行這項作業，以確保可在可用的備援路

徑上復原流量。

i. 建立在完成移轉之後將會代管虛擬機的邏輯交換器 (VXLAN 區段)。這項作業可以透過 NSX Manager

UI 或運用 REST API 呼叫來執行。請注意，目前沒有任何虛擬機連接這些邏輯交換器，同時邏輯交

換器也尚未連接任何邏輯路由器介面。

j. 部署 NSX L2 橋接，以便針對必須在邏輯空間內移轉的所有虛擬機提供 VXLAN 至 VLAN 的通訊。因

此如前述，將 VLAN 擴充到不同機架內部署的存取層裝置不會有任何問題，因為 NSX L2 橋接可以任

意部署為 Edge 叢集或運算叢集的一部分。在任何給定的時間可以有單一 NSX L2 橋接執行個體作用

中，以便執行多達 512 組 VXLAN/VLAN 的橋接。但是，NSX 會提供水平擴充模式，以便針對多組

VXLAN-VLAN 部署一個以上的橋接執行個體 (底下圖 16 中的範例會部署 3 個不同的橋接執行個體，

當做運算叢集資源的一部分)。



圖 16：部署 NSX L2 閘道當做運算叢集的一部分

k. 開始將屬於每個 VLAN 的虛擬機移轉到邏輯空間內。每個虛擬機的移轉程序包含了將虛擬機虛擬網卡的

連接埠群組從 VLAN 支援的連接埠群組變更為 VXLAN 支援的連接埠群組。可以在不影響來自虛擬機及

虛擬機所接收的資料平台流量的情況下完成這項作業。

在此中繼移轉步驟期間：

• 屬於相同 L2 網域及連接 VLAN 和 VXLAN 連接埠群組的虛擬機會運用 NSX L2 橋接功能彼此通訊。連

接邏輯網路的虛擬機會使用相同機制，以便與裸機伺服器通訊。

• 移轉至 VXLAN 區段的虛擬機依然會運用 FW 上實體空間內的閘道。

• 子網路內的路由依然是由 FW 執行 (請參閱圖 16 的右側)。

l. 完成虛擬機移轉，以及部署 DLR 控制虛擬機和 NSX Edge 當做 Edge 叢集的一部分。

注意：最佳做法是定義用於路由的專用 DLR 執行個體，它與之前為了啟用 NSX L2 橋接功能所引進的

DLR 執行個體不同。

可以在 DLR 和 Edge 上設定動態路由通訊協定，以開始彼此之間的對等通訊。DLR 還無法傳達任何路由

資訊，因為目前還沒有任何邏輯交換器與它連接。Edge 也可以建立與實體 FW 之間的靜態或動態路由，

以便在它的轉遞表中編寫有效路徑，此路徑將用於南北向通訊。然後，這項靜態編寫或動態學習而得的路

由資訊會傳達給運用動態路由通訊協定的 DLR。



圖 17：部署 DLR 控制虛擬機和 NSX Edge

如圖 17 所示，目前所有虛擬機都已經移轉到邏輯交換器，而且依然運用 NSX L2 橋接功能與位在實體

FW 上的預設閘道通訊。

m. 下一個移轉步驟對於流量轉遞而言為中斷性作業，因此應該在維護時段執行。其目標是從實體 FW 中將

預設閘道移到邏輯空間內。為了達成這個目標，必須將邏輯交換器連接到 DLR、將實體 FW 與 VLAN

區段中斷連接，以及將不再需要的 NSX L2 橋接執行個體除役 (提供與裸機伺服器連線的執行個體除外)。

從這個時間點開始，DLR 就會最佳化東西向通訊。若要處理南北向通訊以及將安全性原則套用到這些

流量，可以提議兩個不同的模式：

1. 將以內嵌方式部署的實體 FW 保留在 NSX Edge 的北邊。

圖 18：以內嵌方式部署的實體 FW



在此情境下，會在 FW 上施行安全性原則與 NAT 功能 (如果必要的話)。如此可在 ECMP 模式下部署

NSX Edge，以提升總流量及加快融合速度。

2. 移除實體 FW 並以內嵌方式將 FW 功能部署在 NSX Edge 上。

圖 19：NSX Edge 上的 FW 功能

在這裡也會針對 FW 和 NAT 利用 NSX Edge，所以它必須在主動/待命模式下部署。

注意：只有 NSX 版本 6.2 才支援圖 18 和圖 19 所顯示的部署模式 (也就是 VXLAN 區段 5002 連接到

DLR 而且同時橋接到 VLAN 30)。在運用舊版的部署中，需要將 VXLAN 5002 直接連接到 NSX Edge，因

此可能只能在主動/待命模式下部署。目前的部署選項顯示於圖 20。

圖 20：連接至 NSX Edge 的 VXLAN 橋接區段 (6.2 之前的 NSX 版本)



n. 最後的移轉步驟包含了清除網路端的組態設定 (可選擇包含實體 FW)，以移除原本僅用於虛擬機的

VLAN (VLAN 包含明顯依然處於服務狀態的裸機伺服器)。與這些 VLAN 相關聯的 VLAN 支援的連接埠

群組也可以從 vCenter Server 中移除。本文包含了基本原則，而且會重複出現以方便使用者閱讀。

案例 3：在全新 DC 網路中部署 NSX

另一個案例是客戶打算建立全新基礎架構來部署 NSX，因此需要將應用程式從非全新網路移轉到新的

環境 (圖 21)。

圖 21：在非全新與全新網路之間移轉應用程式

部署考量事項

• 基本假設為全新站點的 NSX 部署可以依照 NSX 參考設計指南中所討論的最佳做法設計建議進行：

https://communities.vmware.com/docs/DOC-27683

這表示使用最佳做法 VDS 組態設定部署新的運算叢集和 Edge 叢集 (運算叢集和 Edge 叢集使用不同的

VDS)。這些叢集通常會連接至路由光纖網路，部署在主幹枝葉式拓撲中 (因此 L2/L3 界限會往下推到枝

葉裝置)。

• 我們不會對非全新站點中部署的運算資源做任何假設；這表示這些資源可能會執行舊的 vSphere 版本，

並且使用舊的 vCenter 版本加以管理。其用意是為了提供移轉程序，此程序不需要在連接非全新網路

的現有裝置上進行任何升級。

• 可以引進 L2 閘道當做非全新與全新網路之間 VXLAN 連線的「錨點」，如圖 22 所標示。



圖 22：使用 NSX L2 閘道進行虛擬機移轉

這個方法的主要優點如下：可以在移轉至全新網路的虛擬機以及依然連接至非全新站點內 VLAN 的虛擬機

(或裸機伺服器) 之間建立 L2 連線，而在這兩個網路之間不需要有任何 L2 延伸模組 (例如 VLAN 彈性)。在

虛擬機移轉階段可能需要這個 L2 連線 (這個階段也可能會持續數個月)；同時，裸機主機可能會持續連接到

非全新網路，直到下一個重整週期為止 (像是 Oracle RAC 部署等)。

圖 22 說明使用 VXLAN 如何可以建立跨路由連線的 L2 通訊。此外，由於全新基礎架構通常會在接近非全

新站點的地方部署，所以使用 VXLAN 可完整運用這兩個網路之間的可用頻寬。

注意：L3 連結可能會在全新網路的主幹裝置上終止，也可選擇在一對枝葉交換器上終止。建議使用後者

的選項 (如圖 23 所示) 來簡化主幹交換器上所啟用的組態設定與功能，這些基本上會當做該結構的「底板」

來運作。

關於部署 L2 閘道的疑慮，我們提供了幾個適用的選項：

1. 在非全新站點中部署 NSX L2 橋接執行個體：可以在非全新站點中安裝幾個 ESXi 主機 (執行 vSphere

版本 5.5 或更新版本)；這些主機是由全新 vCenter Server 加以管理，而且會成為全新 NSX 網域的一部

分。需要連接至新的 VXLAN 區段的非全新 VLAN 應該要帶到部署這些橋接執行個體的機架。如前述，

這在可將 VLAN 輕鬆地延伸到不同存取層裝置的多層網路設計中，通常不是什麼大的難題。

2. 在非全新網路中部署 HW VTEP ToR 交換器。即將推出的 NSX 版本 6.2 將會引進 HW VTEP 與 NSX

Controller 之間的完整控制與資料平台整合 (運用 OVSDB 控制平台)，以便可從 NSX 網域集中管理這些

ToR 的部署及橋接組態設定。

• 叢集部署：假設即將在全新網路的新管理叢集中部署 vCenter Server (包含其他 NSX 元件，像是 NSX

Manager 和 NSX Controller)，以便管理本機運算叢集和 Edge 叢集。這不同於已經在非全新站點的管理

叢集中部署，以管理本機運算資源的 vCenter Server (圖 23)。



圖 23：在非全新和全新站點部署的不同 vCenter Server

• 移轉的目標：

➢ 將原本在非全新網路中執行的應用程式上線至全新基礎架構。

➢ 確定可以在邏輯空間內提供網路與安全性服務給這些移轉的應用程式。

➢ 維護與可能依然在非全新網路中部署的裸機伺服器之間的連線。

➢ 確定移轉至全新網路的作業結束時，能夠以最佳方式存取應用程式，如此就不再需要橫跨非全新基礎架

構的連結來分流通訊。

詳細移轉程序

開始移轉程序之前的最初假設為 NSX 以及它的所有可運作元件都已經部署到全新網路中。這表示也會建

立將代管已移轉之虛擬機的邏輯交換器以及建立邏輯路由元件 (DLR 和 NSX Edge)，以便建立與外部網路

之間的本機通訊。邏輯交換器也可以已經連接 DLR 執行個體，但是 DLR 介面應該一開始就要維持停用狀

態，如圖 24 所示。

圖 24：- 非全新與全新網路的邏輯視圖



所有的安全性執行與路由都發生在非全新網路中所部署的實體 FW 上，而且南北向通訊也會透過與外部

網路的本機連線進行。

a. 移轉程序的第一個步驟包含了在非全新網路中所使用的 VLAN 以及 NSX 網域中所部署的 VXLAN 區段之

間啟用 L2 橋接。在此範例中，我們會考量在連接至非全新網路的 ESXi 主機上部署 NSX L2 橋接執行個

體。這些主機必須由全新網路中所部署的 vCenter Server 加以管理，因為 L2 橋接是 NSX 網域中所啟用

的邏輯功能。

圖 25：部署 NSX L2 橋接執行個體

注意：如前述，替代方法包含了將具有 VXLAN 功能的交換器 (HW- VTEP) 連接至非全新網路，以便執

行 VXLAN-VLAN 橋接功能。基於完整控制平台整合要等到 NSX 版本 6.2 才可以使用的事實，本文的

這個最初版本並未涵蓋這個選項。

b. 設定 DFW 規則，在虛擬機移轉到全新邏輯交換器之後，將會使用這些規則來維護東西向通訊的安全。

c. 在 NSX Edge 上設定 FW 規則，這些規則將用來維護南北向通訊的安全。

d. 在非全新站點中開始將 VLAN 中的虛擬機移轉到全新站點中的 VXLAN。通常這需要將非全新站點中的

虛擬機關閉、將虛擬機資料夾複製到目標資料儲存區，然後再將它匯入全新 vCenter。

圖 26：在 VLAN 與 VXLAN 區段之間移轉虛擬機



非全新站點上的實體防火牆依然代表所有應用程式層的預設閘道，而且會持續針對東西向與南北向通訊

執行安全性原則。同時，DFW 會開始篩選每個個別全新虛擬機與其他任何項目之間的東西向流量。如

前述，這個中繼步驟可驗證 DFW 規則是否已適當設定，而不必承擔開啟意外安全性弱點的風險。

工作負載之間的流量尚未移轉，而且全新網路為 NSX L2 橋接執行個體封裝的 VXLAN，並會透過連接非

全新與全新網路的 L3 連結加以傳送。

e. 一旦大多數的虛擬機都已移轉至全新網路之後，針對 DLR 上的不同應用程式層來移動預設閘道功能

就可能比較合理。這是一個中斷性步驟，因為所有工作負載 (虛擬和實體皆然) 都必須使用預設閘道的

更新 MAC 資訊來更新其 ARP 快取。

同時，將實體 FW 從資料路徑中取出 (針對與所要移轉之應用程式層相關的特定 IP 子網路) 也是可行的，

因此南北向流量也會開始在全新網路的本機流動 (圖 27)。

圖 27：在全新網路中啟用預設閘道功能

f. 完成將虛擬機上線至全新邏輯交換器的程序。此時，也可以將不再使用的 NSX L2 橋接執行個體除役。

依然維持作用中的僅有橋接執行個體，就是允許連線至依然連接非全新網路之裸機伺服器的執行個體。


圖 28：完成移轉程序

結論 VMware NSX-v 網路虛擬化解決方案利用實體網路基礎架構來迎向當前的挑戰，並且透過以 VXLAN 為基

礎的邏輯網路提供彈性、靈活性和延展性。除了能夠使用 VXLAN 建立隨選邏輯網路以外，NSX Edge 服務

閘道也可幫助使用者部署各種不同的邏輯網路服務，像是防火牆、DHCP、NAT 以及這些網路上的負載平

衡。因為它能夠將虛擬網路與實體網路分離，然後在虛擬環境中重新產生屬性與服務，因此這一切都是可

行的。

在非全新環境中，NSX 可以透過 L2 橋接或 L3 路由來提供程式設計連線，以及提供現有實體服務的服務接

入功能 (例如負載平衡器和防火牆)，好讓這類舊版服務可由 NSX 邏輯網路加以整合及使用。

如本文先前所述，在這類非全新環境中，NSX 功能可以逐步引進，以符合不同的客戶需求及使用情境。

參考資料 [1] VMware® NSX for vSphere (NSX-V) 網路虛擬化設計指南 https://communities.vmware.com/docs/DOC-27683

[2] VMware® vNetwork Distributed Switch：移轉和組態設定


[3] VMware vSphere 5.5 的新功能 http://www.vmware.com/files/pdf/vsphere/VMware-vSphere-Platform-Whats-New.pdf

[4] vSphere 5.5 最高規格組態設定 http://www.vmware.com/pdf/vsphere5/r55/vsphere-55-configuration-maximums.pdf

VMware, Inc. 3401 Hillview Avenue Palo Alto CA 94304 USA Tel 877-486-9273 Fax 650-427-5001 www.vmware.com 台北市 110 信義路五段七號台北 101 大樓 57 樓 C 室電話 +886-2-8758-2804 傳真 +886-2-8758-2708 www.vmware.com/tw

Copyright © 2015-2016 VMware, Inc. 版權所有。本產品係受美國及國際之版權及智慧財產權相關法律保護。VMware 產品係受 http://www.vmware.com/tw/download/patents.html 上所列之一或多項專利的保護。VMware 係 VMware, Inc. 在美國和/或其他管轄區域的註冊商標或商標。此處所提及的所有其他標誌和名稱，可能分別為其相關公司的商標。文件編號： 4/15


http://www.vmware.com/files/pdf/vsphere/VMware-vSphere-Platform-Whats-New.pdf

http://www.vmware.com/pdf/vsphere5/r55/vsphere-55-configuration-maximums.pdf

http://www.vmware.com/tw

http://www.vmware.com/tw/download/patents.html

Documents

VMware NSX 部署指南