SDN VMware NSX网络原理与实践

7.3.2 使用 NSX Edge 服务网关部署 Source NAT

如果您的流量需要访问Internet，您可以使用源NAT将您的内网私网IP地址转换为公网IP地址。 在图7.10 的示例中，192.168.1.0/24 网段地址通过NSX Edge 网关转换为10.20.181.171。这种技术称为伪装（IP 伪装）。在此模式下，NSX Edge 网关后面的所有网段都会模拟为IP 地址10.20.181.171，并与Internet 或Intranet 上的其他IP 地址进行通信。

7.3.3 使用 NSX Edge 服务网关部署 Destination NAT

目标NAT 通常用于公开Intranet 上的服务，并使外部用户可以通过Internet 访问这些服务。如果没有NAT 技术，暴露你的服务需要将你的服务器暴露到公共网络，这是不安全的。它也无助于与内网资源的集成。在图7.11的示例中，NSX Edge网关使用NAT技术将Web服务器的IP地址192.168.1.2转换为公网地址10.20.181.171，从而使公网用户可以安全、方便地访问该服务。 NAT技术还可以对地址10.20.181.170进行转换，并且可以将10.20.181.170和10.20.181.171这两个地址配置为负载均衡模式（NSX负载均衡将在下一节中讨论）。

7.4 利用 NSX Edge 服务网关实现负载均衡

负载均衡（LB）的技术核心是将服务分配给多个运行单元来运行Web服务、FTP服务、企业关键应用服务等服务，协同完成工作任务。负载均衡技术建立在现有的网络结构之上，为扩展网络设备和服务器的带宽、增加吞吐量、增强网络数据处理能力、提高网络灵活性和可用性提供了一种廉价、高效和透明的方法。 本节首先概述负载均衡技术，并向您展示如何通过NSX Edge 实施三种类型的部署负载均衡服务（单臂模式、在线模式和分布式）。

7.4.1 负载均衡技术

一台负载均衡设备可以提供多种负载均衡算法。企业可以根据自己的需求设置自己的负载均衡规则，网络将参考设置的规则来计算何时应该实现相应服务的负载均衡。这允许每个设备实现并处理平均工作负载。如果某个服务出现故障，系统可以通过算法重新平衡负载。这些算法包括：

顺序（循环）。

比重（加权循环法）。

流量比例（Traffic）。

用户侧（用户）。

应用类别（application）；

连接（会话）数。

服务类别（service）。

自动分配（自动模式）。

负载均衡可以通过硬件或软件来实现。软件负载均衡解决方案是指在一台或多台服务器的相应操作系统上安装一个或多个附加软件来实现负载均衡。其优点是配置方便、使用灵活、成本低廉。 硬件负载均衡解决方案是在服务器和外部网络之间直接安装负载均衡设备。该设备通常称为负载平衡器。这样，专用设备就可以执行专门的任务，并且独立于操作系统。此外，各种负载均衡策略和智能流量管理可以帮助您实现最佳的负载均衡需求。负载均衡器有多种形式。除了独立的负载均衡器外，还有集成到交换设备中、放置在服务器和互联网之间的负载均衡器，以及连接服务器内部两块网卡的负载均衡器。它连接到Internet，网卡连接到后端服务器场的内部网络。

通过部署在NSX Edge 上的基于软件的负载平衡，优化、均匀地连接数据中心资源。

如果集群中的任何服务器（虚拟机）无法提供服务，NSX Edge 会通过算法执行负载平衡。

行为被重新计算，其余服务器（虚拟机）提供的服务被重新定义并对外提供。

NSX Edge 负载平衡服务有两个特点：

开放API，完全可编程。

具有其他NSX 功能的统一中央管理和监控平台。

NSX Edge 提供的负载均衡服务可以满足大多数应用程序部署的需求，因为基于NSX Edge 部署的负载均衡服务提供以下功能：

支持任何TCP应用，包括但不限于LDAP、FTP、HTTP、HTTPS。

NSX 6.1 及更高版本支持UDP 应用程序。

支持多种负载均衡算法，包括轮询、最少连接、源IP地址哈希、URI等。

支持多种健康状态检查，包括基于TCP、HTTP、HTTPS的内容检查。

会话持久化：有些使用负载均衡的网站要求将属于同一会话的请求传递到同一台服务器，因此实现此功能需要使用持久化模块。 NSX Edge 负载平衡可以提供基于源IP、MSRDP、cookie 和SSL 会话ID 的会话持久性。

节流（连接节流）：节流功能可以控制应用程序的使用情况，节省单个租户或整个服务实例的资源消耗。即使在由于资源需求增加而导致的极端负载下，该模式也允许系统继续运行并满足服务质量。 NSX Edge 负载平衡通过限制最大连接数（最大连接数）和每秒连接数（连接数/秒）来实现此功能。连接限制是通过限制用户发起的连接数量和限制连接速度来实现的。用户可以通过创建连接或限制建立连接所占用的带宽资源来控制内部网络资源（主机或服务器），并通过对设备上建立的连接进行统计和限制来保护和合理分配设备系统资源。 七层网络控制，包括URL拦截、URL重写、内容重写等。

SSL 工作流程优化。 NSX 负载平衡服务具有出色的性能和可扩展性，可以支持最苛刻的应用程序。每个NSX Edge 实际上可以扩展到：

吞吐量：9Gbit/s。 同时连接数：1,000,000。每秒新增连接数：131000。使用NSX Edge 实施负载平衡有两个主要好处：

负载均衡服务可以在租户之间充分分配。每个租户都可以部署自己的负载均衡，如果一个租户的负载增加，配置更改不会影响其他租户。扩展性良好。

其他网络服务仍然完全可用。同一租户可以在NSX Edge 上同时使用负载均衡服务和其他服务，例如路由服务、防火墙服务和VPN 服务。在6.1版本之前，NSX网络虚拟化平台支持两种负载均衡部署模式：单臂模式（又称代理模式）和在线模式（内联模式，又称透明模式）。从NSX 6.2版本开始，还支持分布式负载均衡部署，在NSX网络虚拟化平台上提供更丰富的应用部署方式和功能。 NSX网络虚拟化平台还支持加载第三方应用交付解决方案，例如F5、A10等厂商的负载均衡和应用交付解决方案。 NSX 和F5 集成解决方案将在后续章节中讨论。

7.4.2 基于 NSX Edge 服务网关的负载均衡

NSX Edge 直接连接到逻辑网络并提供负载均衡服务的模式称为单臂模式（代理模式）。 数据中心单臂模式的部署拓扑如图7.13所示。 如您所见，拓扑中使用了另一个NSX Edge，并部署在数据中心内。 图7.14 显示了单臂模式下的NSX 负载平衡工作流程。具体工作步骤如下。

1. 外部用户将流量发送到负载平衡服务的虚拟IP 地址(VIP)。

2. NSX Edge 上部署的负载均衡服务（以下简称LB）收到客户端传递过来的原始数据后，对这两个地址进行转换。目标NAT (D-NAT) 是客户端的特定服务器。使用申请的虚拟机地址来替换VIP，使用LB中定义的地址，源NAT（S-NAT）来替换客户端IP地址。

3. 需要S-NAT来强制LB遍历并将流量从服务器场返回到客户端。因此，在这一步中，服务器场中的虚拟机将响应此流量并将流量发送到LB。

4. LB 再次执行S-NAT 和D-NAT，并使用VIP 作为源IP 地址将流量发送回外部客户端。 单臂模式的优点是部署方便，非常灵活。这允许您直接在需要负载平衡的逻辑网段上部署LB 服务(NSX Edge)，而无需更改与物理网络通信并提供路由服务的NSX Edge 的配置。但是，此模型要求您部署更多NSX Edge 实例来执行NAT 工作，并且数据中心中的服务器不再知道原始客户端的IP 地址。

图7.15展示了Web服务器使用传统模式（无论虚拟机是否在同一主机）与应用服务器交互并向外界提供服务的流量模型。传统模式下，Web服务器和应用服务器之间的东西向三层流量必须经过二层交换机、三层交换机、旁路部署的防火墙，然后返回三层交换机和二层交换机。有。而对于物理服务器主机来说，这个过程需要6跳连接。 Web服务器与应用服务器建立连接后，即可对外提供Web服务。 如果外界想要访问Web服务器的南北向流量，必须首先到达核心交换机，绕过防火墙进行过滤（例如只允许HTTP和HTTPS流量），然后返回核心交换机。 此时，必须再次绕过负载均衡服务器，返回核心交换机进行处理。然后可以通过二层交换机到达主机并访问Web服务。这个过程总共有7个hops。此外，应用程序和数据库之间的连接也需要6跳，整个过程总共需要19跳才能完成。

虽然服务器和应用服务器位于不同网段，但它们不需要位于同一主机上即可实现逻辑网络内的直接连接（0跳）。仅需要两跳。为了提供外部服务，外部访问流量先经过核心第3 层和第2 层交换机，然后发送到NSX Edge，NSX Edge 在逻辑网络和物理网络之间串行连接并提供路由和防火墙服务。然后，流量返回到第2 层交换机并进入可以访问负载平衡Web 服务的主机。单臂模式允许负载均衡器和Web服务器之间直接连接（0跳），因此整个过程至少有5跳。如果单臂模式下单独部署NSX Edge 进行负载均衡服务，则为7 跳连接。

除了应用程序和数据库服务器之间交互所需的两个跃点之外，NSX 网络虚拟化解决方案还允许外部用户通过最多11 个跃点和至少7 个跃点访问整套Web 应用程序。与传统部署相比，仅添加NSX Edge 可以显着简化和优化流量路径。

#SDN 以上有关VMware NSX组网原则与实践的相关内容摘自互联网，仅供参考。相关信息请参见官方公告。