在公有云中,部署 PCG 后会自动设置一些配置。
某些自动配置对于所有公共云和两种 NSX 管理模式都是通用的。其他配置则特用于公有云或者 NSX 管理模式。
特用于 AWS 的配置
以下配置特用于 AWS:
- 在 AWS VPC 中,新的 A 型记录集使用名称 nsx-gw.vmware.local 添加到 Amazon Route 53 中的私有托管区域中。映射到此记录的 IP 地址与 AWS 使用 DHCP 分配的 PCG 的管理 IP 地址匹配,且对于每个 VPC 都是不同的。Amazon Route 53 中私有托管区域中的此 DNS 条目由 NSX Cloud 用于解析 PCG 的 IP 地址。
注: 使用在 Amazon Route 53 中私有托管区域中定义的自定义 DNS 域名时,对于 AWS 中的 VPC 设置, DNS 解析和 DNS 主机名属性必须设置为 是。
-
为 PCG 的上行链路接口创建一个辅助 IP。AWS 弹性 IP 与此辅助 IP 地址相关联。此配置适用于 SNAT。
特用于 Microsoft Azure 的配置
以下配置特用于 Microsoft Azure:
- 根据订阅为每个区域创建一个通用资源组。其名称类似于 nsx-default-<region-name>-rg,例如:nsx-default-westus-rg。此区域中的所有 VNet 将共享此资源组。在将此区域中的 VNet 从 NSX Cloud 中卸载后,不会从 Microsoft Azure 区域中删除此资源组和所有 NSX 创建的名称类似于“default-<vnet-ID>-sg”的安全组。
两种模式和所有公有云通用的配置
以下配置在所有公有云中创建,并且适用于两种 NSX 管理模式:
NSX 实施模式 和
云原生实施模式:
-
gw 安全组应用于 VPC 或 VNet 中相应的 PCG 接口。
表 1. NSX Cloud 为 PCG 接口创建的公有云安全组 安全组名称 描述 gw-mgmt-sg 网关管理安全组 gw-uplink-sg 网关上行链路安全组 gw-vtep-sg 网关下行链路安全组
特用于 云原生实施模式 的配置
在 云原生实施模式 中部署 PCG 时,将创建以下安全组。
将工作负载虚拟机与
NSX Manager 中的组和相应安全策略匹配后,会在公有云中为每个匹配的安全策略创建名称类似于
nsx-<GUID> 的安全组。
注: 在 AWS 中,将创建安全组。在 Microsoft Azure 中,将创建与
NSX Manager 中的组相对应的应用程序安全组,以及创建与
NSX Manager 中的安全策略相对应的网络安全组。
| 安全组名称 | 在 Microsoft Azure 中可用? | 在 AWS 中可用? | 描述 |
|---|---|---|---|
| default-vnet-<vnet-id>-sg | 是 | 否 | 通用 Microsoft Azure 资源组中 NSX Cloud 创建的安全组,用于分配给与 NSX-T Data Center 中的安全策略不匹配的虚拟机。 |
| default | 否 | 是 | AWS 中现有的由 NSX Cloud 使用的安全组,用于分配给与 NSX-T Data Center 中的安全策略不匹配的虚拟机。 |
| vm-overlay-sg | 是 | 是 | 虚拟机覆盖网络安全组(当前版本中未使用) |
特用于 NSX 实施模式 的配置
在
NSX 实施模式 中部署
PCG 时,将为工作负载虚拟机创建以下安全组。
| 安全组名称 | 在 Microsoft Azure 中可用? | 在 AWS 中可用? | 描述 |
|---|---|---|---|
| default-vnet-<vnet-id>-sg | 是 | 否 | Microsoft Azure 中 NSX Cloud 创建的安全组,用于 NSX 实施模式 下的威胁检测工作流 |
| default | 否 | 是 | AWS 中现有的由 NSX Cloud 使用的安全组,用于 NSX 实施模式 下的威胁检测工作流 |
| vm-underlay-sg | 是 | 是 | 虚拟机底层安全组 |
| vm-overlay-sg | 是 | 是 | 虚拟机覆盖网络安全组(当前版本中未使用) |
