關於NSX IPv6環境內的微分段功能配置,先前介紹了步驟零至步驟五,包括建立NSX/NSX ALB基礎環境、於NSX內啟用IPv6、建立Tier-0 Gateway上的IPv6 uplink網路及EBGP配置、建立ND Profile及DAD Profile並配置於T1 Gateway、建立IPv6 Segments及配置虛機確認正確取得地址和網路資訊、IP Discovery Profile及微分段安全配置,本文將介紹最後的步驟六。
在前面幾篇文章就NSX IPv6配置討論內,已將NSX環境的L2/L3環境建置完成,虛機建立能夠互通,防火牆政策也可正常運作。如圖1所示,本篇要進入最後步驟,討論在這個IPv6環境內,以NSX Advanced Load Balancer提供負載平衡服務。
但在開始進入配置流程前,想先跳出來回顧一下寫作此時NSX Advanced Load Balancer 22.1版的IPv6支援能力。圖2所示是NSX ALB可以支援的前端Virtual Service以及後端Pool的IPv4/IPv6組合方式,可以看到在前端與後端均可自由選用IPv4/IPv6,或是兩者Dual-stack的組合。
實際功能支援上,整理成下列幾點,如果大家對細部資訊有興趣,可以到網站(https://avinetworks.com/docs/22.1/ipv6-support/)做進一步確認:
‧管理介面,包含Controller/Service Engine的管理段地址,目前僅能用IPv4。
‧對應TCP Fast Path、Direct Server Return功能,目前不支援IPv6。
‧支援於vCenter、No-Orchestrator、Linux-Server、NSX-T、Openstack、CSP Cloud上運作IPv6,但目前還不支援運作IPv6於公有雲上以及容器環境(AKO)。
接著,進入配置環節。於展示環境的架構圖,如圖3所示,本步驟中要在Seg-101上建立一個NSX ALB的Virtual Service(地址為2001:db8:cafe:101::dddd:1111),並提供到後段三台Nginx Server的負載平衡。這三台後端伺服器分別位於Seg-101、Seg-102以及外部的實體網段內(vlan26, 2001:db8:cafe:26::/64)。當然,由Avi服務引擎到這些後端伺服器間都是可以正常路由繞通的。
步驟六:建立NSX ALB配置,提供負載平衡服務
在前面步驟一內應該已經建立好NSX ALB的Controller,並且與vCenter/NSX介接,建立NSX-T Cloud。但在步驟五內配置了對應IPv6的Segments,因此應該編輯NSX-T Cloud內設定,將Virtual Service所在Seg-101對應的Gateway與Segment加入NSX-T Cloud內的Data Network Segment,如圖4所示。
上述動作完成後,還應該告知NSX ALB這個Segment內的IP Subnet定址,因此需要到NSX-T Cloud的Networks內,配置對應的IPv6網段(圖5)。由於IPv6內原本就可透過DHCP、SLAAC等機制進行自動配置,服務引擎要連入這些網段時介面均可取得IP地址,因此這邊就不用像IPv4時,在沒有DHCP時還得進行Static IP Pools的設定了。
此外,由於後端Server在配置內是散在不同網段,因此在Routing內須加上一段靜態路由,到2001:db8:cafe::/48內所有網段,均由Seg-101的Default Gateway送出,如圖6所示。
上面配置完成後,就可以進行Virtual Service與後端Pool的配置。非常直接,除了地址改成是用IPv6外,與原本熟悉的方式都相同。Virtual Service相關配置如圖7所示。
而對應的Pool內就是輸入各台Server的IPv6地址,如圖8所示。
等到Virtual Service/Pool健康狀態都進入正常,就可以測試一下。在DNS內可以預先將v6-nginx-vs這個名稱AAAA紀錄配置到前面的Virtual IP(2001:db8:cafe:101::dddd:1111),然後從瀏覽器連線,如圖9所示。
接著,到NSX ALB內看一下Virtual Service的Log,很正確地顯示出IPv6的相關連線資訊,如圖10所示。
結語
在IPv6環境內,利用NSX Advanced Load Balancer進行負載平衡配置,就簡單敘述到這裡。於NSX內建立IPv6環境的六個步驟到本篇結束,希望藉由這幾篇文章逐步地說明如何建立一個實際運作IPv6環境的流程,讓大家對在NSX方案內運作IPv6的機制能進一步了解。
<本文作者:饒康立,VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、軟體定義網路、微分段安全防護技術,以及新應用遞送方案的介紹與推廣。>