涵蓋設定配置管控安全　NSX支援IPv6全攻略(四)

在前面幾篇文章就NSX IPv6配置討論內，已將NSX環境的L2/L3環境建置完成，虛機建立能夠互通，防火牆政策也可正常運作。如圖1所示，本篇要進入最後步驟，討論在這個IPv6環境內，以NSX Advanced Load Balancer提供負載平衡服務。

但在開始進入配置流程前，想先跳出來回顧一下寫作此時NSX Advanced Load Balancer 22.1版的IPv6支援能力。圖2所示是NSX ALB可以支援的前端Virtual Service以及後端Pool的IPv4/IPv6組合方式，可以看到在前端與後端均可自由選用IPv4/IPv6，或是兩者Dual-stack的組合。

實際功能支援上，整理成下列幾點，如果大家對細部資訊有興趣，可以到網站（https://avinetworks.com/docs/22.1/ipv6-support/）做進一步確認：

‧管理介面，包含Controller/Service Engine的管理段地址，目前僅能用IPv4。

‧對應TCP Fast Path、Direct Server Return功能，目前不支援IPv6。

‧支援於vCenter、No-Orchestrator、Linux-Server、NSX-T、Openstack、CSP Cloud上運作IPv6，但目前還不支援運作IPv6於公有雲上以及容器環境（AKO）。

接著，進入配置環節。於展示環境的架構圖，如圖3所示，本步驟中要在Seg-101上建立一個NSX ALB的Virtual Service（地址為2001:db8:cafe:101::dddd:1111），並提供到後段三台Nginx Server的負載平衡。這三台後端伺服器分別位於Seg-101、Seg-102以及外部的實體網段內（vlan26, 2001:db8:cafe:26::/64）。當然，由Avi服務引擎到這些後端伺服器間都是可以正常路由繞通的。

步驟六：建立NSX ALB配置，提供負載平衡服務

在前面步驟一內應該已經建立好NSX ALB的Controller，並且與vCenter/NSX介接，建立NSX-T Cloud。但在步驟五內配置了對應IPv6的Segments，因此應該編輯NSX-T Cloud內設定，將Virtual Service所在Seg-101對應的Gateway與Segment加入NSX-T Cloud內的Data Network Segment，如圖4所示。

上述動作完成後，還應該告知NSX ALB這個Segment內的IP Subnet定址，因此需要到NSX-T Cloud的Networks內，配置對應的IPv6網段（圖5）。由於IPv6內原本就可透過DHCP、SLAAC等機制進行自動配置，服務引擎要連入這些網段時介面均可取得IP地址，因此這邊就不用像IPv4時，在沒有DHCP時還得進行Static IP Pools的設定了。

此外，由於後端Server在配置內是散在不同網段，因此在Routing內須加上一段靜態路由，到2001:db8:cafe::/48內所有網段，均由Seg-101的Default Gateway送出，如圖6所示。

上面配置完成後，就可以進行Virtual Service與後端Pool的配置。非常直接，除了地址改成是用IPv6外，與原本熟悉的方式都相同。Virtual Service相關配置如圖7所示。

而對應的Pool內就是輸入各台Server的IPv6地址，如圖8所示。

等到Virtual Service/Pool健康狀態都進入正常，就可以測試一下。在DNS內可以預先將v6-nginx-vs這個名稱AAAA紀錄配置到前面的Virtual IP（2001:db8:cafe:101::dddd:1111），然後從瀏覽器連線，如圖9所示。

接著，到NSX ALB內看一下Virtual Service的Log，很正確地顯示出IPv6的相關連線資訊，如圖10所示。

結語

在IPv6環境內，利用NSX Advanced Load Balancer進行負載平衡配置，就簡單敘述到這裡。於NSX內建立IPv6環境的六個步驟到本篇結束，希望藉由這幾篇文章逐步地說明如何建立一個實際運作IPv6環境的流程，讓大家對在NSX方案內運作IPv6的機制能進一步了解。

＜本文作者：饒康立，VMware資深技術顧問，主要負責VMware NSX產品線，目前致力於網路虛擬化、軟體定義網路、微分段安全防護技術，以及新應用遞送方案的介紹與推廣。＞