VMware Cloud Foundation 9 (VCF 9 ）：网络模型

在本文中，将讨论 VCF 9 中可用的网络模型。在 VCF 9 中，NSX 引入了两种网络对象模型：VPC 网络和分段网络。

VPC 网络： VPC 网络模型提供了一种简化的网络和安全服务配置方法，即使非网络专家也能轻松上手。它与公有云平台的用户体验保持一致，并与 VCF 堆栈无缝集成。云用户可以通过 NSX UI/API、vCenter UI、VCF Automation 或 Supervisor 集群与 VPC 模型进行交互。

分段网络：分段网络模型更适合网络管理员对所有网络配置拥有完全集中控制权，且用户无法进行自助服务的环境。虽然 VPC 网络模型也允许网络管理员保留控制权，但除非需要 NSX 分段网络特有的特定功能，否则 VPC 网络模型通常是 VCF 中推荐的使用模型。

VPC网络模型

VPC 网络模型由三层逻辑网络构成，包含以下组件：

1.提供商网关（Tier-0 网关）：提供商网关是一个虚拟路由器，用于连接虚拟网络和物理基础设施。它负责处理到物理网络的动态或静态路由，并通告虚拟网络的网络范围，包括公有子网、NAT IP 地址和负载均衡器 VIP。在 VCF 9.0 中，提供商网关与 NSX 分段网络模型中的 Tier-0 网关或 VRF 网关基本相同。提供商网关可以由一个或多个租户共享，使它们能够通过传输网关将其 VPC 连接到物理网络。

2.传输网关 (TGW)：传输网关的主要作用是连接各个 VPC 以及它们与提供商网关。传输网关可以绕过提供商网关，通过外部 VLAN 直接连接到物理网络，从而无需 NSX Edge 节点或任何到物理网络的路由。这种设置被称为分布式传输网关 (DTGW)，因为它的功能是完全分布式的。DTGW 不支持 VCF 自动化或 Supervisor 集成，因为源 NAT 和负载均衡等服务不可用。但是，可以为连接到 DTGW 的 VPC 配置使用外部 IP 的 1:1 NAT。

3.VPC（虚拟私有云）： VPC 是云用户可用的专用网络域，工作负载根据网络需求连接到该域。VPC 由子网组成，子网本质上是 VPC 网络模型中的 NSX 逻辑网络。每个 VPC 都会自动分配一个 VPC 网关，用于路由同一 VPC 内子网之间的流量。除非受到分布式防火墙 (DFW) 的限制，否则允许东西向流量。连接到外部端点需要 VPC 连接到传输网关 (TGW)，并且取决于工作负载所在的子网类型。

VPC 内有三种子网类型：

o私有 VPC：无法从 VPC 外部路由。私有 VPC 子网中的工作负载需要使用 NAT 才能与外部工作负载通信。

o私有TGW： TGW以北的流量无法路由。私有TGW子网上的工作负载需要NAT才能与TGW以北的工作负载通信，但可以与TGW以南的工作负载连接。

o公网：可通过 TGW 北侧路由访问。公网子网中的工作负载通常可从外部端点访问，具体取决于提供商网关的路由配置。

以下图表取自 VCF 9.0 NSX 设计指南，说明了 VPC 网络模型的架构。

采用集中式 TGW 的 VPC 网络模型

基于分布式TGW的VPC网络模型

下表列出了两种网关连接类型的主要区别：

在为 VPC 设置集中式外部连接时，Transit Gateway SR 组件与连接的 Tier-0 网关 SR 具有相同的跨度。换句话说，Transit Gateway SR 分布在托管 Tier-0 网关的同一 NSX Edge 虚拟机上。每个 TGW 服务路由器 (SR) 都与其对应的 Tier-0 SR 紧密耦合。

此部署可以采用双活模式或双备模式运行。服务支持方面的差异如下表所示：

段网络模型

分段网络模型是一种两层逻辑网络布局，NSX 用户对此早已熟知，它基于以下组件：

·Tier-0 Gateway: 零层网关本质上与 VPC 网络模型中的提供商网关相同。它将物理基础设施连接到虚拟网络。它支持动态路由和静态路由，并通告虚拟网络的网络范围。零层网关始终由提供商管理员管理。

·Tier-1 Gateway: 一级网关是连接逻辑网段的工作负载的默认网关。一级网关不能直接连接到物理网络，必须连接到零级网关。一级网关可以由提供商管理员或租户管理员（如果是作为 NSX 项目的一部分创建）进行管理。典型的 NSX 部署包含一个或多个手动配置的零级网关，以及数量更多的一级网关，具体取决于应用程序的需求。一级网关类似于 VPC 网络模型中的 VPC 网关。

·Segment: 段代表 NSX 段模型中的一个 NSX 逻辑网络。段在创建为 NSX 项目的一部分时，可以由提供商管理员或租户管理员进行管理。通常，段连接到一级网关。段对象对应于 VPC 网络模型中的 VPC 子网对象。