从 VMware NSX-T Datacenter 2.5 起,有两个插件可用于将 Openstack Neutron 与 NSX-T 相集成:
  • NSX-T Policy 插件使用基于目的的 API 抽象与 NSX-T Policy Manager 进行交互。这是一个新插件,建议为全新安装选择该插件。
  • NSX-T Manager 插件使用强制性 API 与 NSX-T Manager 进行交互。这是现有 NSX-T 插件,必须用于现有安装以及 NSX-T Policy 插件尚未涵盖的用例
表 1. 插件功能比较
网络与安全性功能 NSX-T MP 插件 NSX-T Policy 描述
交换
支持 IP 子网重叠 每个项目均可动态创建项目专用的网络。这些网络可具有相互重叠的 IP 子网。
DHCP 实例通过 DHCP 自动寻址。
静态 IPv6 地址绑定
路由
逻辑路由 支持在多个专用逻辑网络之间进行路由,以及在逻辑网络与外部网络之间进行路由。
IPv6 逻辑路由 支持在多个专用 IPv6 逻辑网络之间进行路由,以及在逻辑网络与外部网络之间进行路由
外部网络 提供对实例的外部访问的网络。专用网络将通过路由器使用上行链路链接到外部网络,提供对专用网络上实例的外部访问。
IPv6 外部网络 使用 IPv6 的外部网络。
静态路由 插入静态路由。
IPv6 静态路由 使用 IPv6 的外部网络。
实例的浮动 IP 向实例分配公共可路由 IP 地址,以支持对实例的外部访问。
无 NAT 路由器 无 NAT 路由拓扑。
IPv6 无 NAT 路由器 无 NAT 拓扑是采用 IPv6 的 OpenStack 所支持的唯一路由拓扑。不支持采用 IPv6 的 NAT。
Neutron 路由器双堆栈接口 在 Neutron 路由器的相同接口上支持 IPv4 和 IPv6 双堆栈。
IPv6 SLAAC 支持无状态地址自动配置。
安全
启用防火墙 - 安全组 OpenStack 安全组(对于 NSX,使用安全组以及使用这些安全组创建的 DFW 规则。这样即可支持微分段)
启用 IPv6 防火墙(安全组) 采用 IPv6 的 Neutron 安全组。
端口安全 Neutron 端口安全是使用 NSX SpoofGuard 功能实现的。
IPv6 端口安全 Neutron 端口安全是使用 NSX SpoofGuard 功能实现的。这样即可允许设置 allowed_address_pairs 并将 IPv6 子网映射到端口
启用防火墙 (L3 FWaaS)
启用 IPv6 防火墙 (L3 FWaaS)
其他服务
负载平衡
服务质量
DNS
VPNaas

升级

不存在从含 NSX-T Manager 插件的 Openstack Neutron 到含 NSX-T Policy 插件的 Openstack Neutron 的迁移路径。升级时,现有安装应保持运行 NSX-T Manager 插件。未来发行版中将提供从 NSX-T Manager 到 NSX-T Policy 的迁移路径。NSX-T Policy 插件是为全新安装推荐的解决方案,因为它包含独有功能 (IPv6);此外,将来将提供 NSX-T 插件专用的新功能。