NSX Public Cloud Gateway (PCG) 在公有云和 NSX-T Data Center 的内部部署管理组件之间提供南北向连接。

熟悉以下解释 PCG 的架构以及工作负载虚拟机管理部署模式的术语。
注: 将按照每个受支持公有云的单一默认大小来部署 PCG
公有云 PCG 实例类型
AWS c5.xlarge

某些区域可能不支持该实例类型。有关详细信息,请参阅 AWS 文档。

Microsoft Azure Standard DS3 v.2

架构

PCG 可以是独立网关设备,或者在公有云 VPC 或 VNet 之间共享以实现中心辐射型拓扑。

图 1. NSX Public Cloud Gateway 架构

部署模式

自我管理 VPC/VNet:在 VPC 或 VNet 中部署 PCG 时,可确保 VPC 或 VNet 能够自我管理,即,通过 NSX 来管理此 VPC 或 VNet 中托管的虚拟机。

转换 VPC/VNet:在将计算 VPC/VNet 链接到自我管理的 VPC/VNet 时,自我管理的 VPC/VNet 将变为转换 VPC/VNet。

计算 VPC/VNet:未部署 PCG 但链接到转换 VPC/VNet 的 VPC/VNet 称为计算 VPC/VNet。

在 VPC/VNet 中部署 PCG 所需的子网

PCG 使用在 VPC/VNet 中设置的以下子网。请参见 将 Microsoft Azure 与内部部署 NSX-T Data Center 相连接将 AWS 与内部部署 NSX-T Data Center 相连接
  • 管理子网:此子网用于内部部署 NSX-T Data CenterPCG 之间的管理流量。示例范围:/28。
  • 上行链路子网:此子网用于南北向 Internet 流量。示例范围:/24。
  • 下行链路子网:该子网包含工作负载虚拟机的 IP 地址范围。考虑到您可能需要在工作负载虚拟机上使用其他接口进行调试,请调整该子网的大小。

PCG 部署与使用 NSX-T Data Center 组件的 FQDN 的网络寻址计划和可以解析这些 FQDN 的 DNS 服务器相一致。

注: 在使用 PCG 将公有云连接到 NSX-T Data Center 时,建议不要使用 IP 地址,但如果这样做,您不能更改 IP 地址。

虚拟机管理模式

NSX 实施模式:在该模式下,可以在公有云中将 nsx.network=default 标记应用到的每个工作负载虚拟机上安装 NSX Tools,以通过 NSX 管理负载虚拟机。

云原生实施模式:在该模式下,无需使用 NSX Tools,即可通过 NSX 管理工作负载虚拟机。

隔离策略

隔离策略:这是 NSX Cloud 的威胁检测功能,它与公有云安全组一起使用。
  • NSX 实施模式下,您可以启用或禁用隔离策略。作为最佳实践,在载入工作负载虚拟机时,请禁用隔离策略并将所有虚拟机列入白名单。
  • 云原生实施模式下,隔离策略始终处于启用状态,且无法禁用。

可能的设计选项

无论在哪种模式下部署 PCG,都可以链接计算 VPC/VNet。

表 1. PCG 部署模式的可能设计选项
转换 VPC/VNet 中的 PCG 部署模式 将计算 VPC/VNet 链接到此转换 VPC/VNet 时的可能模式
NSX 实施模式
  • NSX 实施模式
  • 云原生实施模式
云原生实施模式
  • NSX 实施模式
  • 云原生实施模式
注:

为转换或计算 VPC/VNet 选择模式后,您将无法更改模式。如果要切换模式,必须取消部署 PCG,然后在所需模式下重新进行部署。