返回部落格
NSX-T for Enterprise Networks: What Actually Works
technical2024年2月12日· 3 分鐘閱讀

NSX-T企業網絡部署實戰指南

NSX-T承諾軟件定義網絡。我們已在15家企業部署過。這是真正有效的方法。

T

TechGuru Team

TechGuru 團隊

NSX-T 企業網路部署:從零到生產的 6 週計畫

我們最近在馬尼拉都會區一家 1,200 名使用者的金融服務公司部署了 VMware NSX-T。該資料中心原本是傳統 VLAN 環境,每個分段點都有硬體防火牆。目標是在不干擾交易運作的前提下轉向軟體定義網路。以下是我們實際使用的 6 週計畫。

第 0 週:盤點與設計

在接觸 NSX-T Manager 之前,我們先記錄現況:

  • 實體拓撲: 兩台核心交換器、四台 TOR 交換器、兩台硬體防火牆
  • VLAN 清單: 47 個 VLAN,涵蓋生產、DMZ、管理、儲存
  • 東西向流量模式: 哪些應用層之間會互相通訊
  • 南北向頻寬: 2 條 10Gbps 網際網路上行、4 條 10Gbps WAN 連線
  • 安全區域: PCI 範圍、企業網路、訪客 Wi-Fi、開發

我們選擇 純 Overlay 設計,保留現有實體網路作為 IP 傳輸底層。這大幅減少交換器團隊的變更,並讓我們能快速回滾。

關鍵設計決策: - T0 閘道: Active-Active ECMP,與實體核心建立 BGP 對等 - T1 閘道: 每個安全區域一個(生產、DMZ、管理、開發) - Segment: 遷移期間對應現有 VLAN,之後解耦 - DFW 規則: 取代東西向流量的硬體防火牆規則 - Edge cluster: 兩台 Edge node 以 Active-Active 模式運作,支援狀態服務容錯移轉

第 1 週:建立基礎

第 1-3 天:在專屬管理 vSphere 叢集部署 NSX-T Manager cluster(3 節點)。

第 4-5 天:設定 compute manager(vCenter)、transport zone、host transport node。

關鍵驗證: - 確認每台 ESXi host 上都有 VTEP VMkernel adapter - 確認底層網路 MTU 為 9000 或更高 - 測試不同機架 host 之間的 VXLAN 封裝

第 2 週:路由與 Edge 服務

  • 設定 T0 與 T1 閘道
  • 與實體核心建立 BGP session
  • 只廣播/接受必要的前綴
  • 在 Edge node 部署 NAT、負載平衡、VPN 服務

學到的教訓:一開始我們把所有 overlay 前綴都廣播到核心,導致路由洩漏到 WAN。後來用 route map 和 prefix list 限制只重新發布每個區域的 /24 摘要。

第 3 週:先遷移非生產環境

我們先移動開發區域。每個 segment 的步驟:

  1. 建立相同子網路的 NSX segment
  2. 放測試 VM 到 segment 上
  3. 驗證預設閘道與 DFW 規則
  4. 用 vMotion 遷移其餘 VM
  5. 汰除原始 VLAN

開發遷移暴露了 DNS 問題:VM 無法解析內部名稱,因為新 segment 使用不同的 DHCP relay。我們更新 DHCP helper address 並記錄需求。

第 4 週:安全政策切換

這是風險最高的一週。我們把硬體防火牆規則轉換成分散式防火牆(DFW)政策。

規則結構: - 第 1 區:緊急允許/封鎖(最上方) - 第 2 區:PCI 隔離 - 第 3 區:應用層微分段 - 第 4 區:預設拒絕(最下方)

盡可能使用 NSX tag 和 group 而非 IP 位址。例如 app-web-prod group 透過 tag 包含所有生產環境網頁伺服器,新 VM 會自動繼承政策。

在啟用預設拒絕之前,我們以模擬模式執行 NSX Policy Manager 72 小時,找出遺漏的合法流量。這發現了 14 條未記錄的合法連線。

第 5 週:生產環境遷移

我們對生產環境使用相同 segment 遷移流程,但分更小批次: - 批次 1:管理層(低流量) - 批次 2:應用層 - 批次 3:資料庫層(在排定維護時段進行)

每個批次保留 2 小時回滾窗口。我們使用 vMotion snapshot,並在每個切換後保留原始 VLAN 48 小時。

第 6 週:強化與交接

  • 在所有 DFW 規則啟用日誌並傳送到 SIEM
  • 設定 NSX 備份到 NFS 並驗證還原程序
  • 建立常見任務 runbook:新增 segment、修改規則、排查 overlay 連線
  • 為網路維運團隊進行兩天培訓
  • 記錄已知限制:硬體防火牆仍負責南北向 DDoS 防護;NSX IDS/IPS 規劃在第二期導入

有效的做法

  • 純 Overlay 設計 減少底層變更與風險
  • NSX Policy 模擬 避免 DFW 切換時應用程式中斷
  • Tag-based group 讓政策可擴展
  • 先非生產 遷移及早發現 DNS 與 DHCP 問題

下次會改進的地方

  1. 更早開始路由過濾。 路由洩漏讓第 2 週延後兩天。
  2. 先用 NetFlow 盤點東西向流量。 有些應用程式依賴關係未記錄。
  3. 指定防火牆規則負責人。 沒有負責人,規則清理永遠不會發生。

6 週時間表摘要

週次重點關鍵產出
0盤點與設計架構文件、IP 規劃
1NSX-T 基礎Manager cluster、transport node
2路由與 EdgeBGP 對等、Edge 服務
3非生產遷移開發區域上 NSX
4安全切換DFW 規則、模擬驗證
5生產遷移所有層級遷移完成
6強化與交接Runbook、培訓、備份

什麼情況適合 NSX-T

NSX-T 適合: - 需要大規模微分段 - 硬體防火牆即將汰換 - 多站點或雲端擴展在路線圖上 - 希望透過 IaC 自動化政策

NSX-T 不適合: - 網路規模小且穩定 - 團隊沒有虛擬化或路由專業 - 主要需求只是 VLAN 配置

想深入了解更多?探索VMware 替代方案Run 基礎設施服務平台比較

結論

對於中型企業,如果仔細設計底層、先遷移非生產環境、並在生產切換前驗證防火牆行為,6 週 NSX-T 部署是可行的。最大的風險不在技術本身,而是未記錄的流量模式與不良的路由衛生。

#vmware#nsx-t#networking#enterprise

需要此主題的協助?

我們的專家可協助您為組織實施正確的解決方案。

聯絡我們

這篇文章對您有幫助嗎?

參與討論

暫無留言,成為第一個分享想法的人。