PCG 成功部署后,会在 NSX Manager 中创建和配置必要的 NSX-T Data Center 实体,并在公有云中创建安全组。

NSX Manager 配置

NSX Manager 中会自动创建以下实体:

  • 创建名为公有云网关 (PCG) 的 Edge 节点。

  • PCG 添加到 Edge 群集中。在高可用性部署中,有两个 PCG

  • PCG(或两个 PCG)注册为创建了两个传输区域的传输节点。

  • 创建两个默认逻辑交换机。

  • 创建一个第 0 层逻辑路由器。

  • 创建 IP 发现配置文件。此配置文件用于覆盖网络逻辑交换机。

  • 创建 DHCP 配置文件。此配置文件用于 DHCP 服务器。

  • 创建名为 PublicCloudSecurityGroup 的默认 NS 组,其中包含以下成员:

    • 默认 VLAN 逻辑交换机

    • 逻辑端口,每个对应一个 PCG 上行链路端口(如果已启用 HA)。

    • IP 地址

  • 创建三个默认的分布式防火墙规则:

    • LogicalSwitchToLogicalSwitch

    • LogicalSwitchToAnywhere

    • AnywhereToLogicalSwitch

    注:

    这些 DFW 规则会阻止所有流量,需要根据具体要求进行调整。

NSX Manager 中验证这些配置:

  1. NSX Cloud 仪表板,单击 NSX Manager

  2. 浏览到结构层 > 节点 > Edge。公有云网关应列为 Edge 节点。

  3. 验证部署状态、管理器连接和控制器连接是否为已连接(状态显示已连接并带有绿点)。

  4. 浏览到结构层 > 节点 > Edge 群集,以验证 Edge 群集和 PCG 是否已添加为此群集的一部分。

  5. 浏览到结构层 > 节点 > 传输节点,以验证 PCG 是否注册为传输节点且已连接到部署 PCG 时自动创建的两个传输区域:

    • 流量类型 VLAN -- 用于连接到 PCG 上行链路

    • 流量类型覆盖网络 -- 用于覆盖逻辑网络

  6. 验证是否已创建逻辑交换机和第 0 层逻辑路由器且逻辑路由器是否已添加到 Edge 群集。

重要:

请勿删除任何 NSX 创建的实体。

公有云配置

在 AWS 中:

  • 在 AWS VPC 中,添加名为 nsx-gw.vmware.local 的新类型 A 记录集。映射到此记录的 IP 地址与 PCG 的管理 IP 地址相匹配。这是由 AWS 使用 DHCP 分配的,且对于每个 VPC 会有所不同。

  • PCG 的上行链路接口创建一个辅助 IP。AWS 弹性 IP 与此辅助 IP 地址相关联。此配置适用于 SNAT。

在 AWS 和 Microsoft Azure 中:

gw 安全组应用于相应的 PCG 接口。

表 1. NSX CloudPCG 接口创建的公有云安全组

安全组名称

在 Microsoft Azure 中可用?

在 AWS 中可用?

全名

gw-mgmt-sg

网关管理安全组

gw-uplink-sg

网关上行链路安全组

gw-vtep-sg

网关下行链路安全组

表 2. NSX Cloud 为工作负载虚拟机创建的公有云安全组

安全组名称

在 Microsoft Azure 中可用?

在 AWS 中可用?

描述

quarantine

Microsoft Azure 隔离安全组

default

AWS 的隔离安全组

vm-underlay-sg

虚拟机非覆盖网络安全组

vm-override-sg

虚拟机替代安全组

vm-overlay-sg

虚拟机覆盖网络安全组(当前版本中未使用)

vm-outbound-bypass-sg

虚拟机出站绕过安全组(当前版本中未使用)

vm-inbound-bypass-sg

虚拟机入站绕过安全组(当前版本中未使用)