概述

随着互联网应用以及微服务架构的兴起、数据的大集中、业务应用不断的增加以及用户对业务连续性要求不断提高，企业必须要将关键类型的应用部署在不同地理位置的数据中心以提升业务的连续性。企业为提高双中心资源的利用率，也考虑双活数据中心，双中心同时对外提供业务，同时实现业务切换无感知，计算资源可以实现灵活的调度的目标。

传统的建设双中心的时候，多数情况下采用主备模式。在正常情况下，主数据中心对外提供业务，备中心常时间处于闲置状态。只当主中心故障的时候，业务才切换到备中心，而且手工进行恢复，导致RTO/RPO时间过长，严重影响了业务的提供，从而影响了企业的形象。所以，越来越多的企业需要优化这种模式，使备中心也能对外提供业务，数据中心的资源得到充分的利用，使用双活的数据中心。但是当企业从传统数据中心过渡到双活数据中心的时候，需要考虑网络、计算和存储的问题，而网络是在整个双活数据中心的部署当中最为复杂的部分，需要考虑跨中心二层网络连接，一致的安全策略，需要考虑自动化网络切换等等一系列问题。而我们的企业当中原有很多传统网络设备，网络的自动化部署需要考虑替换现有网络设备，以实现软件定义的网络，非常的耗时费力。

当前双活云数据中心的实现，可以通过VMware  Cloud Foundation（简称VCF）中的NSX Federation功能实现。NSX  Federation是VCF中的一个特性，在多站点多云环境下的VCF部署中，可以实现双活的网络架构，并且可以提供一致的网络和安全管理的运维体验。在本文中，主要介绍NSX  Federation在VCF中的双活应用场景以及具体的实现。

NSX Federation应用场景

NSX Federation主要集中在需要跨VCF数据中心网络管理和安全配置的环境中。以下是一些具体的应用场景：

1. 跨VCF数据中心的业务扩展与迁移——当企业需要跨多个VCF数据中心扩展其业务或迁移工作负载时，NSX Federation能够提供强大的支持。通过实现业务网络的跨VCF云数据中心网络延伸，它确保了工作负载在迁移过程中的安全性和一致性。

2. 全局网络安全策略管理——NSX Federation允许管理员在全局范围内配置和管理网络安全策略。这意味着无论工作负载位于哪个VCF云数据中心，都可以确保它们受到统一的安全策略保护。这种一致性的安全策略配置大大简化了网络管理的复杂性。

3. 混合云环境的网络安全管理——随着混合云环境的普及，企业需要在本地和云数据中心之间建立和管理网络连接。NSX Federation能够在这些不同环境之间实现无缝的网络安全集成，确保数据在传输过程中的安全性。

4. 高可用性和灾备场景——在需要高可用性和灾备方案的环境中，NSX  Federation也发挥着重要作用。通过将工作负载和数据分布在多个VCF云数据中心中，并结合NSX  Federation的跨数据中心网络连接功能，企业可以实现故障切换和数据恢复，确保业务的连续性和数据的完整性。

NSX Federation介绍

我们先看一下Federation的架构，它是一个控制和转发分离的架构，控制平面的故障不会影响数据平面。如下图所示：

在这个Federation的架构中，我们先来看一下控制平面的部署。在实际的生产环境中每个站点都要部署一套3节点的NSX Manager集群，叫做“本地管理器”，并在本地管理器中加入本站点的vCenter，用于管理和配置本地的网络和安全。通常这3个节点的集群可以通过虚IP或外部的负载均衡来访问，在正常情况下，3个节点分担负载，当3个节点中的一个节点故障，不会影响管理平面的操作。除了本地NSX管理器集群外，为提升跨站点的网络和安全能力，在NSX Federation中设置了全局的NSX管理器集群，全局nsx管理器集群也是3个节点组成的集群，为了对每个站点的网络和安全进行全局管理，需要在全局器集群上加入每个本地管理器集群，这样就形成了两级管理平面，第一级为全局管理平面，第二级为本地管理平面，我们可以在全局的管理平面上配置全局的网络资源，比如全局的T0/T1网关和全局的分段等等。我们在全局管理器上配置的全局网络资源会同步到本地管理器，安全策略也会在本地管理平面之间进行同步。全局管理器通常情况下部署在主数中心，当主数据中心故障的时候，如何实现全局管理器集群跨站点的可靠性呢，我们可以在另外一个数据中心部署备用的全局管理器集群，当主数据中心故障后，切换仅用5分钟，在切换的过程中，数据平面的业务流量不受影响。管理平面的网络架构配置如下图所示：

在下图中，我们也可以在全局的NSX管理器web界面上查看到数据中心位置的信息。在这张图中，我们有两个数据中心加入到了全局NSX管理器中，一个是DC-A01，另外一个是DC-B01，如下图所示：

接下来我们看一下数据平面的网络，数据平面的网络包括各种转发组件，包括T0网关、T1网关以及分段，T0网关与物理网络连接，通过静态或BGP等路由协议与物理网络交换路由信息，以实现南北向流量的通信。T1网关连接到T0网关，实现租户网络，租户网络可以跨中心部署，类似于VPC的概念。而通过分段构建跨中心的大二层网络，以实现跨中心的二层网络的延伸能力。

在Federation里，我们可以将T0/T1延伸到多个中心，实现多中心的分布式路由的能力，将分段连接到T0或者T1实现跨站点的二层网络延伸能力，如下图所示：

下边介绍三种常见的Federation的数据平面南北向流量模型。第一种网络模型如下图所示：

这种流量模型是T0 active/standby模式，而位置是primary/secondary，在这种模型中，DC-A01业务的南北向流量走DC-A01的active的edge，而DC-B01的虚拟机南北向流量先走到secondary位置的active edge，然后通过站点edge间的RTEP将流量送到DC-A01的active的edge。这种模型比较适合于两个数据中心只在主中心有活动出口的情况，备中心出口完全备用，并且数据中心南北向流量一个edge不会有性能瓶颈的情况。如果使用一个中心的单个edge会成为性能瓶颈，我们还可以针对这种模型做一个改善，每个中心的edge设置为active/active，这样，两个中心的内北向流量都会使用所有的edge，如下图所示，DC-A01南北向流量走DC-A01，DC-B01南北向流量也走DC-A01，并且使用双活的edge节点。

第二种网络模型适合于双活出口的情况，如下图所示：

在这种网络模型中，每个业务网段都有自已的归属位置，如上图，对于蓝色的网段归属于DC-A01，绿色网段归属于DC-B01，同时这两个网段都可以跨中心部署，实现二层网络跨中心网络延伸，业务可以部署在任何一个位置，形成跨中心统一资源池。对于蓝色业务网段，不管虚拟机部署在DC-A01还是部署在DC-B01，业务的南北向流都走DC-A01出口，而对于绿色网段，不管虚拟机部署在DC-B01还是DC-A01，南北向流量都走DC-B01出口，当其中一个出口故障，可以使用另外一个出口进行备份。

第三种网络模型也是双出口，我们叫做本地出（local-egree）模型，在多中心的情况下，业务流量可以就近选择出口，如下图所示：

在这种网络模型当中，我们看到，针对一个特定的网络，我们可以将网段延伸至多个数据中心，实现跨中心的二层网络延伸。这种流量模型是T0 active/active，位置信息是primary/primary，可以实现同一网段的虚拟机在跨中心的情况下就近选择出口，也就是说DC-A01的虚拟机选择DC-A01出口，而DC-B01的虚拟机选择DC-B01的出口，即就近选择出口，流量不会在两个数据中心之间的链路进行绕行。在这种模型当中，只能控制出流量，回程流量通过在物理网络配置明细路由实现回程，但通常情况下，物理网络配置明细路由会有很多问题，所以要实现回程流量，通常情况下，在DC-A01和DC-B01分别部署NSX高级负载均衡，两个中心的VIP网段不在一个网段，通过全局负载均衡配合，实现业务的就近访问。

跨VCF云数据中心网络和安全

上面介绍了双活数据中心的网络模型，接下来介绍一下跨中心的网络安全，如何通过NSX federation实现跨中心统一安全策略管理，统一下发安全相关的配置，一致的安全体验。

我们可以在NSX全局管理器中配置全局的管理策略，这些安全策略会下发到每个Hypervisor的内核当中，实现微分段，为跨中心的工作负载提供L4-L7的状态化分布式防火墙策略。NSX Federation的安全策略可以分为本地的安全策略、基于某些特定区域（Region）的安全策略和全局（Global）的安全策略，我们可以在指定的区域内部应用安全策略，也可以实现区域间的安全策略和全局的安全策略，federation也可以实现区域内部虚拟机的安全策略。如下图所示：

在NSX全局管理器中配置的安全策略可以应用到任何一个位置，可以应用到全局，可以应用到特定的组，灵活配置安全策略。提供一个跨云一致的网络安全策略，安全策略通过NSX全局管理器统一进行安全管理，而且工作负载从一个中心迁移到另外一个数据中心的时候，安全策略也能自动跟随，如下图所示：

总结

通过VCF中的NSX Federation可以实现在不改变现有物理网络架构的同时，实现跨VCF云的双活的网络架构，工作负载可以跨VCF云中心进行部署。采用NSX Federation方案，无需修改跨中心的MTU，多VCF云数据中心的位置可以位于同城，也可以位于异地，同时可以实现跨中心实现一致的网络和安全策略，并且实现跨VCF云中心统一资源池。