NSX Public Cloud Gateway (PCG) 在公有云和 NSX-T Data Center 的内部部署管理组件之间提供南北向连接。
熟悉以下解释
PCG 的架构以及工作负载虚拟机管理部署模式的术语。
注: 将按照每个受支持公有云的单一默认大小来部署
PCG:
公有云 | PCG 实例类型 |
---|---|
AWS | c5.xlarge。 某些区域可能不支持该实例类型。有关详细信息,请参阅 AWS 文档。 |
Microsoft Azure | Standard DS3 v.2 |
架构
PCG 可以是独立网关设备,或者在公有云 VPC 或 VNet 之间共享以实现中心辐射型拓扑。
部署模式
自我管理 VPC/VNet:在 VPC 或 VNet 中部署 PCG 时,可确保 VPC 或 VNet 能够自我管理,即,通过 NSX 来管理此 VPC 或 VNet 中托管的虚拟机。
转换 VPC/VNet:在将计算 VPC/VNet 链接到自我管理的 VPC/VNet 时,自我管理的 VPC/VNet 将变为转换 VPC/VNet。
计算 VPC/VNet:未部署 PCG 但链接到转换 VPC/VNet 的 VPC/VNet 称为计算 VPC/VNet。
在 VPC/VNet 中部署 PCG 所需的子网
PCG 使用在 VPC/VNet 中设置的以下子网。请参见
将 Microsoft Azure 与内部部署 NSX-T Data Center 相连接或
将 AWS 与内部部署 NSX-T Data Center 相连接。
- 管理子网:此子网用于内部部署 NSX-T Data Center 和 PCG 之间的管理流量。示例范围:/28。
- 上行链路子网:此子网用于南北向 Internet 流量。示例范围:/24。
- 下行链路子网:该子网包含工作负载虚拟机的 IP 地址范围。考虑到您可能需要在工作负载虚拟机上使用其他接口进行调试,请调整该子网的大小。
PCG 部署与使用 NSX-T Data Center 组件的 FQDN 的网络寻址计划和可以解析这些 FQDN 的 DNS 服务器相一致。
注: 在使用
PCG 将公有云连接到
NSX-T Data Center 时,建议不要使用 IP 地址,但如果这样做,您不能更改 IP 地址。
虚拟机管理模式
NSX 实施模式:在该模式下,可以在公有云中将 nsx.network=default 标记应用到的每个工作负载虚拟机上安装 NSX Tools,以通过 NSX 管理负载虚拟机。
云原生实施模式:在该模式下,无需使用 NSX Tools,即可通过 NSX 管理工作负载虚拟机。
隔离策略
隔离策略:这是 NSX Cloud 的威胁检测功能,它与公有云安全组一起使用。
- 在 NSX 实施模式下,您可以启用或禁用隔离策略。作为最佳实践,在载入工作负载虚拟机时,请禁用隔离策略并将所有虚拟机列入白名单。
- 在云原生实施模式下,隔离策略始终处于启用状态,且无法禁用。
可能的设计选项
无论在哪种模式下部署 PCG,都可以链接计算 VPC/VNet。
转换 VPC/VNet 中的 PCG 部署模式 | 将计算 VPC/VNet 链接到此转换 VPC/VNet 时的可能模式 |
---|---|
NSX 实施模式 |
|
云原生实施模式 |
|
注:
为转换或计算 VPC/VNet 选择模式后,您将无法更改模式。如果要切换模式,必须取消部署 PCG,然后在所需模式下重新进行部署。