VCF 9 – NSX VPC Teil 2 – distributed Transit Gateway

Wie können VMware NSX 9 und VCF 9 VPCs ohne Edge-Cluster ermöglichen und so ein flexibleres, cloud-ähnliches Netzwerkdesign schaffen?

In seinem neuesten Blogbeitrag wirft Daniel Krieger von evoila einen detaillierten Blick auf das verteilte Bereitstellungsmodell für VPCs in NSX 9 und VCF 9. Er zeigt dabei erstmals, wie VPCs vollständig ohne Edge-Cluster betrieben werden können. Anstatt auf zentrale Edges zu setzen, nutzt dieser Ansatz ein Distributed Transit Gateway, das direkt auf ESXi-Hosts ausgeführt wird und dort Routing- sowie Konnektivitätsfunktionen übernimmt. Dadurch werden die betrieblichen Abhängigkeiten erheblich reduziert und das VPC-Netzwerkdesign kommt den Konzepten der Public Cloud noch näher.

Daniel erklärt, wie man ein neues NSX-Projekt (Tenant) speziell für den Distributed Mode erstellt, externe Verbindungen über VLANs definiert und private Transit-Gateway-IP-Blöcke sowie Subnetz-CIDRs konfiguriert. Im Gegensatz zum zentralisierten Modell verfügen verteilte VPCs nicht über automatische SNAT-Funktionen. Dadurch haben private Subnetze standardmäßig keinen direkten Internetzugang. Allerdings ermöglicht das verteilte Routing eine effiziente Kommunikation innerhalb desselben VPCs sowie zwischen VPCs desselben Tenants (je nach Firewall-Regeln).

Durch umfassende Labortests mit Alpine Linux VMs demonstriert Daniel die folgenden praktischen Konnektivitätsszenarien:

• Intra-VPC-Traffic bleibt vollständig verteilt auf dem ESXi-Host.
• Inter-VPC-Traffic innerhalb desselben Tenants kann ohne zentrale Edges geroutet werden.
• Öffentliche Subnetze ermöglichen externe Konnektivität.

Private Workloads können darüber hinaus extern verfügbar gemacht werden, indem reflexives (stateless) NAT verwendet wird. Dadurch ist ein ähnlicher Zugriff wie bei Elastic IPs möglich – ganz ohne Edge-Nodes.

Ein technisches Highlight ist, dass das Distributed Transit Gateway Overlay-Netzwerke transparent mit physischen VLANs verbindet. Aus externer Sicht erscheinen die VMs direkt im VLAN und können von Routern und Switches direkt adressiert werden, obwohl sie tatsächlich in NSX-Overlay-Segmenten laufen. Mithilfe von ARP-Antworten des DTGW stellt dieses Verfahren präzises Routing und die richtige Platzierung der Hosts sicher.

Daniel kommt zu dem Schluss, dass diese neue verteilte Architektur es Tenants ermöglicht, ihre eigenen virtuellen Netzwerkfunktionen unabhängig von gemeinsam genutzten Edges bereitzustellen. Das erhöht die Flexibilität und stärkt die Multi-Tenancy-Fähigkeit. Zwar geht mit dieser Architektur eine größere Design-Komplexität einher, insbesondere was Traffic-Flows und Distributed Routing betrifft, dennoch stellt sie einen bedeutenden Fortschritt in der Entwicklung von NSX 4.X hin zu einem echten, cloudähnlichen Netzwerkansatz für On-Premises-Umgebungen dar.

👉 Lies hier den vollständigen Blogbeitrag