NSX VPC 为应用程序所有者提供了一个隔离空间以托管应用程序,并通过自助式使用模型来使用网络和安全对象。

前提条件

必须已为您分配以下任一角色:
  • 项目管理员
  • 企业管理员

过程

  1. 从浏览器中,通过 https://nsx-manager-ip-address 登录到 NSX Manager
  2. 展开项目下拉菜单,然后选择要在其中添加 NSX VPC 的项目。
  3. 单击 VPC 选项卡,然后单击添加 VPC
  4. (必选) 输入 NSX VPC 的名称。
  5. Tier-0/VRF 网关下拉菜单中,选择工作负载可用于在此 NSX VPC 外部建立南北向连接的 Tier-0 或 Tier-0 VRF 网关。

    此下拉菜单仅显示创建项目时分配给项目的那些 Tier-0 或 Tier-0 VRF 网关。

    如果未选择任何网关,则 NSX VPC 中的工作负载将无法建立南北向连接。

  6. 配置 IP 分配设置。
    1. 外部 IPv4 块字段中,选择系统可用于 NSX VPC 中公用子网的 IPv4 块。

      已分配给项目的外部 IP 块可供在 NSX VPC 中选择。这些 IPv4 块必须可从 NSX VPC 外部路由。

      只有在子网创建期间将 IP 分配选项设置为自动时,选定的外部 IPv4 块才会用于公用子网。

    2. 专用 IPv4 块字段中,选择系统可用于此 NSX VPC 中专用子网的 IPv4 块。

      已在项目中添加且可见性设置为专用的 IPv4 块可供在 NSX VPC 中选择。

      如果没有可供选择的 IPv4 块,请单击 “操作”菜单,然后单击新建以添加专用 IPv4 块。

      只有在子网创建期间将 IP 分配选项设置为自动时,选定的专用 IPv4 块才会用于专用子网。

      您必须选择外部 IPv4 块和/或专用 IPv4 块。如果未选择两者中的任何一个,则在保存 NSX VPC 时将显示一条错误消息。

    3. DHCP 下,选择以下任一选项。
      选项 描述
      由 NSX 管理 默认选项。系统会为 NSX VPC 中的每个子网配置一个分段 DHCP 服务器。DHCP 服务器会将 IP 地址动态分配给连接到 NSX VPC 中子网的工作负载虚拟机。
      外部

      系统会使用外部或远程 DHCP 服务器将 IP 地址动态分配给连接到 NSX VPC 中子网的工作负载虚拟机。您可以在为 NSX VPC 选择的 DHCP 中继配置文件中,指定外部 DHCP 服务器的 IP 地址。

      注: 仅公用 VPC 子网上的工作负载可以从外部 DHCP 服务器接收 IP 地址。目前,专用 VPC 子网上的工作负载无法从外部 DHCP 服务器接收 IP 地址,除非 DHCP 服务器本身连接到专用或公用 VPC 子网。

      DHCP 中继配置文件下拉菜单中,选择一个现有的中继配置文件。如果没有可用的 DHCP 中继配置文件,请单击 “操作”菜单。,以创建一个新的 DHCP 中继配置文件。

      有关添加 DHCP 中继配置文件的详细信息,请参见添加 NSX DHCP 中继配置文件

      外部 DHCP 服务器的配置不由 NSX 管理。

      系统不会为 NSX VPC 中的子网配置 DHCP

      在这种情况下,您必须手动将 IP 地址分配给连接到 NSX VPC 中子网的工作负载虚拟机。
  7. 如果 DHCP 配置由 NSX 管理,则可以选择输入 DNS 服务器的 IP 地址。

    如果未指定,则不会为连接到 NSX VPC 中子网的工作负载(DHCP 客户端)分配 DNS。

  8. 配置服务设置
    1. 默认情况下,将启用南北向服务选项。如果需要,可以将其禁用。

      如果启用此选项,则意味着将为连接的子网创建一个服务路由器,以支持集中式服务,如南北向防火墙、NAT 或网关 QoS 配置文件。

      如果禁用此选项,将仅创建分布式路由器。

      小心: 在系统中实现 NSX VPC 后,最好避免禁用 南北向服务选项。这是因为禁用此选项后,将不会在 NSX VPC 的子网上实施集中式服务。例如,即使在 NSX VPC 中配置了南北向防火墙、NAT 等服务,也不会实施这些服务。
    2. 默认情况下,将启用默认出站 NAT 选项。如果需要,可以将其禁用。

      仅当为 NSX VPC 启用了南北向服务选项时,此选项才可用。

      如果启用默认出站 NAT,则意味着来自专用子网上工作负载的流量可以在 NSX VPC 外部路由。系统会自动为 NSX VPC 创建默认 SNAT 规则。SNAT 规则中转换的 IP 获取自 NSX VPC 的外部 IPv4 块。

      注: 在系统中实现 NSX VPC 后,最好避免禁用 默认出站 NAT 选项。这是因为禁用此选项后,专用子网上的工作负载将无法在 NSX VPC 外部进行通信。
    3. Edge 集群下拉菜单中,选择要与 NSX VPC 关联的 Edge 集群。

      如果项目未分配到 Edge 集群,则此下拉菜单将为空。确保至少已为项目分配一个 Edge 集群,以便在添加 NSX VPC 时可供选择。

      选定的 Edge 集群将用于在 NSX VPC 中运行集中式服务,例如 NAT、DHCP 和南北向防火墙。要运行这些服务,Edge 集群需要与 NSX VPC 关联。

      如果将 DHCP 设置为并禁用南北向服务选项,则 Edge 集群是可选的。

    4. 如果希望 NSX Advanced Load Balancer Controller 发现 NSX VPC,请启用为 NSX Advanced Load Balancer 启用选项。

      默认情况下,将禁用此选项。如果启用此选项,则能够将 NSX 多租户扩展到 NSX Advanced Load Balancer Controller,从而在此上下文中启用负载均衡器配置。

      只有在满足以下条件时,才能启用此选项:
      • 至少已将一个专用 IP 地址块分配给 NSX VPC。
      • 至少已将一个 Edge 集群分配给 NSX VPC。

      NSX VPC 需要有专用 IP 块,因为负载均衡器虚拟服务 IP (VIP) 需位于专用子网上。需要有 Edge 集群,以便 NSX Advanced Load Balancer 服务引擎可以从 DHCP 服务器动态接收 IP 地址。

      要了解有关 NSX Advanced Load Balancer 的详细信息,请参见 VMware NSX Advanced Load Balancer 文档

  9. (可选)附加 NSX VPC 中的子网将使用的以下配置文件:
    • 南北向输出服务质量 (QoS) 配置文件
    • 南北向输入 QoS 配置文件
    • IP 发现配置文件
    • SpoofGuard 配置文件
    • Mac 发现配置文件
    • 分段安全配置文件
    • QoS

    要了解这些配置文件的用途,请参见分段配置文件

  10. 短日志标识符文本框中,输入系统可用于标识在 NSX VPC 上下文中生成的日志的字符串。

    此标识符在所有 NSX VPC 中必须是唯一的。标识符不得超过八个字母数字字符。

    如果未指定标识符,系统会在保存 NSX VPC 时自动生成标识符。设置标识符后,无法对其进行修改。

  11. (可选)输入 NSX VPC 的描述。
  12. 单击保存

结果

成功创建 NSX VPC 后,系统会隐式创建一个网关。但是,此隐式网关将以只读模式向项目管理员公开,而对 NSX VPC 用户不可见。

要查看实现的隐式网关,项目管理员可以执行以下步骤:
  1. 导航到网络 > Tier-1 网关
  2. 单击 Tier-1 网关页面底部的 VPC 对象复选框。
  3. 展开网关以在只读模式下查看配置。

    隐式网关使用以下命名约定:

    _TIER1-VPC_Name

此隐式网关的生命周期由系统管理。删除 NSX VPC 时,将自动删除此隐式网关。

如果已启用默认出站 NAT 选项,则可以查看 NSX VPC 中由系统创建的默认 SNAT 规则。执行以下步骤:

  1. 展开 NSX VPC网络服务部分。
  2. 单击 NAT 旁边的计数。
  3. 查看 NSX VPC 中专用 IPv4 块所对应的具有 SNAT 操作的默认 NAT 规则。此 NAT 规则不可编辑。如果 NSX VPC 分配有多个专用 IPv4 块,则会为每个专用 IPv4 块创建一个具有 SNAT 操作的默认 NAT 规则。

    例如:


    在周围文本中对该屏幕截图进行了说明。

    SNAT 规则中的源 IP 是 NSX VPC 的专用 IPv4 块。在此示例中,它是 193.0.1.0/24。此 SNAT 规则中转换的 IP 是从 NSX VPC 的外部 IPv4 块进行分配的。在此示例中,它是 192.168.1.0。