传输区域是一个容器,它定义了传输节点的潜在范围。传输节点是加入 NSX-T Data Center 覆盖网络的管理程序主机和 NSX Edge。对于管理程序主机,这意味着,它托管通过 NSX-T Data Center 逻辑交换机进行通信的虚拟机。对于 NSX Edge,这意味着,它具有逻辑路由器上行链路和下行链路。

创建传输区域时,您必须指定 N-VDS 模式,可以将该模式设置为标准增强型数据路径。将传输节点添加到传输区域时,将在该传输节点上安装与该传输区域关联的 N-VDS。每个传输区域支持单个 N-VDS。增强型数据路径 N-VDS 具有支持 NFV(网络功能虚拟化)工作负载的性能,支持 VLAN 网络和覆盖网络,并且需要支持增强型数据路径 N-VDS 的 ESXi 主机。

一个传输节点可以属于:

  • 多个 VLAN 传输区域。

  • 最多一个具有标准 N-VDS 的覆盖网络传输区域。

  • 具有高级数据路径 N-VDS 的多个覆盖网络传输区域(如果传输节点正在 ESXi 主机上运行)。

如果两个传输节点位于相同的传输区域中,在这些传输节点上托管的虚拟机可以连接到也位于该传输区域中的 NSX-T Data Center 逻辑交换机。虚拟机可以通过该连接相互通信,并假定虚拟机具有第 2 层/第 3 层可访问性。如果虚拟机连接到位于不同传输区域中的交换机,则虚拟机无法相互通信。传输区域没有取代第 2 层/第 3 层底层可访问性要求,而是对可访问性施加一个限制。换句话说,属于同一传输区域是连接的一个必备条件。在满足该必备条件后,可以进行访问,但不会自动进行。要实现实际可访问性,第 2 层和第 3 层(对于不同的子网)底层网络必须正常运行。

假定单个传输节点包含常规虚拟机和高安全性虚拟机。在您的网络设计中,常规虚拟机应该能够相互访问,但无法访问高安全性虚拟机。要实现该目标,您可以将安全虚拟机放在属于一个名为 secure-tz 的传输区域的主机上。常规虚拟机和安全虚拟机不能位于同一传输节点上。常规虚拟机将位于名为 general-tz 的不同传输区域上。常规虚拟机连接到也位于 general-tz 中的 NSX-T Data Center 逻辑交换机。高安全性虚拟机连接到位于 secure-tz 中的 NSX-T Data Center 逻辑交换机。不同传输区域中的虚拟机无法相互通信,即使它们位于同一子网中。虚拟机到逻辑交换机的连接最终控制虚拟机可访问性。因此,由于两个逻辑交换机位于单独的传输区域中,因此,“Web 虚拟机”和“安全虚拟机”无法相互访问。

例如,下图显示了属于三个传输区域的 NSX Edge:两个 VLAN 传输区域和覆盖网络传输区域 2。覆盖网络传输区域 1 包含一个主机、一个 NSX-T Data Center 逻辑交换机和一个安全虚拟机。由于 NSX Edge 不属于覆盖网络传输区域 1,安全虚拟机无法与物理架构相互访问。相反,覆盖网络传输区域 2 中的 Web 虚拟机可以与物理架构通信,因为 NSX Edge 属于覆盖网络传输区域 2。

图 1. NSX-T Data Center 传输区域