NSX Federation介绍

我们先看一下Federation的架构，它是一个控制和转发分离的架构，控制平面的故障不会影响数据平面。如下图所示：

在这个Federation的架构中，我们先来看一下控制平面的部署。在实际的生产环境中每个站点都要部署一套3节点的NSX Manager集群，叫做“本地管理器”，并在本地管理器中加入本站点的vCenter，用于管理和配置本地的网络和安全。通常这3个节点的集群可以通过虚IP或外部的负载均衡来访问，在正常情况下，3个节点分担负载，当3个节点中的一个节点故障，不会影响管理平面的操作。除了本地NSX管理器集群外，为提升跨站点的网络和安全能力，在NSX Federation中设置了全局的NSX管理器集群，全局nsx管理器集群也是3个节点组成的集群，为了对每个站点的网络和安全进行全局管理，需要在全局器集群上加入每个本地管理器集群，这样就形成了两级管理平面，第一级为全局管理平面，第二级为本地管理平面，我们可以在全局的管理平面上配置全局的网络资源，比如全局的T0/T1网关和全局的分段等等。我们在全局管理器上配置的全局网络资源会同步到本地管理器，安全策略也会在本地管理平面之间进行同步。全局管理器通常情况下部署在主数中心，当主数据中心故障的时候，如何实现全局管理器集群跨站点的可靠性呢，我们可以在另外一个数据中心部署备用的全局管理器集群，当主数据中心故障后，切换仅用5分钟，在切换的过程中，数据平面的业务流量不受影响。管理平面的网络架构配置如下图所示：

在下图中，我们也可以在全局的NSX管理器web界面上查看到数据中心位置的信息。在这张图中，我们有两个数据中心加入到了全局NSX管理器中，一个是DC-A01，另外一个是DC-B01，如下图所示：

接下来我们看一下数据平面的网络，数据平面的网络包括各种转发组件，包括T0网关、T1网关以及分段，T0网关与物理网络连接，通过静态或BGP等路由协议与物理网络交换路由信息，以实现南北向流量的通信。T1网关连接到T0网关，实现租户网络，租户网络可以跨中心部署，类似于VPC的概念。而通过分段构建跨中心的大二层网络，以实现跨中心的二层网络的延伸能力。

在Federation里，我们可以将T0/T1延伸到多个中心，实现多中心的分布式路由的能力，将分段连接到T0或者T1实现跨站点的二层网络延伸能力，如下图所示：

下边介绍三种常见的Federation的数据平面南北向流量模型。第一种网络模型如下图所示：