在公有云中,部署 PCG 后会自动设置一些配置。

某些自动配置对于所有公共云和两种 NSX 管理模式都是通用的。其他配置则特用于公有云或者 NSX 管理模式。

特用于 AWS 的配置

以下配置特用于 AWS:
  • 在 AWS VPC 中,新的 A 型记录集使用名称 nsx-gw.vmware.local 添加到 Amazon Route 53 中的私有托管区域中。映射到此记录的 IP 地址与 AWS 使用 DHCP 分配的 PCG 的管理 IP 地址匹配,且对于每个 VPC 都是不同的。Amazon Route 53 中私有托管区域中的此 DNS 条目由 NSX Cloud 用于解析 PCG 的 IP 地址。
    注: 使用在 Amazon Route 53 中私有托管区域中定义的自定义 DNS 域名时,对于 AWS 中的 VPC 设置, DNS 解析DNS 主机名属性必须设置为
  • PCG 的上行链路接口创建一个辅助 IP。AWS 弹性 IP 与此辅助 IP 地址相关联。此配置适用于 SNAT。

特用于 Microsoft Azure 的配置

以下配置特用于 Microsoft Azure:
  • 根据订阅为每个区域创建一个通用资源组。其名称类似于 nsx-default-<region-name>-rg,例如:nsx-default-westus-rg。此区域中的所有 VNet 将共享此资源组。在将此区域中的 VNet 从 NSX Cloud 中卸载后,不会从 Microsoft Azure 区域中删除此资源组和所有 NSX 创建的名称类似于“default-<vnet-ID>-sg”的安全组。

两种模式和所有公有云通用的配置

以下配置在所有公有云中创建,并且适用于两种 NSX 管理模式: NSX 实施模式云原生实施模式
  • gw 安全组应用于 VPC 或 VNet 中相应的 PCG 接口。
    表 1. NSX CloudPCG 接口创建的公有云安全组
    安全组名称 描述
    gw-mgmt-sg 网关管理安全组
    gw-uplink-sg 网关上行链路安全组
    gw-vtep-sg 网关下行链路安全组

特用于 云原生实施模式 的配置

云原生实施模式 中部署 PCG 时,将创建以下安全组。

将工作负载虚拟机与 NSX Manager 中的组和相应安全策略匹配后,会在公有云中为每个匹配的安全策略创建名称类似于 nsx-<GUID> 的安全组。
注: 在 AWS 中,将创建安全组。在 Microsoft Azure 中,将创建与 NSX Manager 中的组相对应的应用程序安全组,以及创建与 NSX Manager 中的安全策略相对应的网络安全组。
安全组名称 在 Microsoft Azure 中可用? 在 AWS 中可用? 描述
default-vnet-<vnet-id>-sg 通用 Microsoft Azure 资源组中 NSX Cloud 创建的安全组,用于分配给与 NSX-T Data Center 中的安全策略不匹配的虚拟机。
default AWS 中现有的由 NSX Cloud 使用的安全组,用于分配给与 NSX-T Data Center 中的安全策略不匹配的虚拟机。
vm-overlay-sg 虚拟机覆盖网络安全组(当前版本中未使用)

特用于 NSX 实施模式 的配置

NSX 实施模式 中部署 PCG 时,将为工作负载虚拟机创建以下安全组。
表 2. NSX CloudNSX 实施模式 下为工作负载虚拟机创建的公有云安全组
安全组名称 在 Microsoft Azure 中可用? 在 AWS 中可用? 描述
default-vnet-<vnet-id>-sg Microsoft Azure 中 NSX Cloud 创建的安全组,用于 NSX 实施模式 下的威胁检测工作流
default AWS 中现有的由 NSX Cloud 使用的安全组,用于 NSX 实施模式 下的威胁检测工作流
vm-underlay-sg 虚拟机底层安全组
vm-overlay-sg 虚拟机覆盖网络安全组(当前版本中未使用)