01 NSX-T VRF Lite 介绍
介绍
为什么需要 VRF 以及 VRF 主要解决了那些问题
对于多租户的场景下,通常使用 T1 来区分不同租户,该T1上联到同一个T0,可以在T1上做网关防火墙控制租户南北向流量,可以通过在T1上配置SNAT实现租户内业务访问外网,在T1上配置DNAT实现业务需要拥有固定的外网访问IP,使用分布式防火墙来控制东西向流量,不同租户间IP地址也可以重复,因为T1只宣告 NAT IP 地址到T0.这样的设计也是 VMware 推荐的做法,但是这样做有以下几个问题需要考虑
- 多 POD 场景下的业务互联 (无论是通过L2桥接或者在T1上创建CSP的方式 都需要管理员在T1上创建静态路由)
- 业务虚拟机通常还需要POD下的公共服务 (PAAS SAAS) 这种场景下似乎通过维护静态路由的方式还算可行 因为公共服务的地址段基本固定的。
以上两个场景都设计到租户内业务需要与其它节点互联,互联的数量一旦过大 通过静态手工维护的方式 那就太LOW了,如果你说那可以为每个租户创建一个T0(T0之间是可以跑动态路由协议的呢) 一个 T1完全可以解决上面的问题,那我要手动为你点赞了,可是这样的话有会带来另外一个问题,T0的上联口需要绑定Edge 而且每个Edge只能绑定到一个T0的上联口,多个租户的情况下 那得多少台Edge服务器啊。
所以有没有一种方式 既有T0的特性能够创建动态路由协议,而且又能公用Edge创建上联端口的逻辑路由器实例呢?
答案就是: VRF
什么是VRF?
简单总结就是: VRF是运行在T0路由器上的实例,通常会继承T0的一些配置(主要是 Edge群集,BGP AS Number)此外还可以独立配置其它参数(主要Uplink IP, BGP邻居),一个T0上的VRF实例是通过配置Uplink IP在不同的VLAN来进行隔离的。
