全局管理器 进行的所有配置都在策略模式下进行。在 NSX 联合中未提供管理器模式。

有关这两种模式的更多信息,请参见NSX Manager

配置上限

NSX 联合环境具有以下配置上限:
  • 对于大多数配置,本地管理器集群具有与 NSX Manager 集群相同的配置上限。转到 VMware 最高配置工具,然后选择 NSX

    有关例外和其他 NSX 联合特定的值,请在“VMware 最高配置”工具中为 NSX 选择 NSX 联合类别。

  • 对于给定的位置,以下配置会导致配置达到上限:
    • 本地管理器 上创建的对象。
    • 全局管理器 上创建并且该位置包含在其范围内的对象。

    您可以查看每个本地管理器上的容量和使用情况。请参见查看各类别对象的使用情况和容量

功能支持

请注意,在 NSX 联合中,当 NSX 联合环境部署了 全局管理器 (GM) 时,仅在以下情况下支持服务插入(网络侦测):
  • 已通过 本地管理器 (LM) 完成与服务插入相关的所有配置,如合作伙伴服务注册、部署和使用等。
  • 仅 LM 上配置的对象可与服务插入配合使用。这包括组、分段和任何其他构造。服务插入无法应用于连接到从 GM 定义的延伸/全局分段或连接到从 GM 创建的逻辑路由器的任何分段的工作负载。不应在服务插入重定向策略中使用通过全局管理器创建的组。
重要说明:
  • NSX 联合 位置必须在管理员可完全控制底层结构的环境中运行。
  • NSX 联合 目前不支持 VMware Cloud on AWSVMware Cloud on DellAzure VMware SolutionGoogle Cloud VMware EngineOracle Cloud VMware SolutionAlibaba VMware Cloud Service 上托管的全局管理器本地管理器
全局管理器注册 本地管理器后:
  • 您可以继续在本地管理器上进行配置。有关更多详细信息,请参阅了解 NSX 联合
  • 本地管理器配置的某些对象可能具有全局管理器对象所用的选项/设置。例如,可以将 LM_created-t1 插入到 GM_created-t0。
  • 本地管理器配置的某些对象无法使用全局管理器对象所用的选项/设置进行配置。例如,您无法将 LM_created-segment 插入到 GM_created-t0。请注意,您只能在本地管理器中编辑这些 LM 对象;而全局管理器看不到这些对象。有关详细信息,请参见适用于您版本的《NSX-T 多位置设计指南》中的“逻辑配置所有权”。

NSX 联合 中支持的功能”表介绍了全局管理器中提供的功能。

表 1. NSX 联合中支持的功能
功能 详细信息 相关链接
Tier-0 网关
  • 活动-活动和活动-备用。
  • 仅活动-活动
从全局管理器添加 Tier-0 网关
Tier-1 网关 从全局管理器添加 Tier-1 网关
分段 可以包含全局管理器中的 L2 网桥配置。 从全局管理器添加分段在全局管理器上配置桥接
存在一些限制。请参见NSX 联合中的安全性 从全局管理器创建组
分布式防火墙 现在,可以在全局管理器上使用安全策略草稿。这包括支持自动草稿和手动草稿。 在 全局管理器 中创建草稿
防火墙排除列表 可用。 管理防火墙排除列表
基于时间的防火墙规则 可用。 基于时间的防火墙策略
网关防火墙 仅支持 L3 和 L4 规则。 从全局管理器创建网关策略和规则
网络地址转换 (NAT)
  1. Tier-0 网关:
    • 活动-活动:您只能配置无状态 NAT,即,操作类型为“反射”。

    • 活动-备用:您可以创建有状态或无状态 NAT 规则。

  2. Tier-1 网关:
    • 您可以创建有状态或无状态 NAT 规则。

    • 无状态 NAT 规则被推送到网关跨度内的所有位置,除非明确限定为一个或多个位置。
    • 有状态 NAT 规则也会被推送到网关跨度内的所有位置或所选的特定位置。不过,仅在主位置上实现并强制实施有状态 NAT 规则。
配置 NAT/DNAT/无 SNAT/无 DNAT/反射 NAT
DNS 请参见添加 NSX DNS 转发器服务
DHCP 和 SLAAC
  • 分段和网关支持 DHCP 中继。
  • 分段上配置了 DHCP 静态绑定的网关支持 DHCPv4 服务器。
  • 可以使用“RA 通告 DNS 的 SLAAC 模式”来分配 IPv6 地址(DAD 仅检测位置中存在的重复项)。
分布式恶意软件检测和防护 NSX 4.1.2 开始:
  • 在每个联合本地管理器上部署 NSX Application Platform (NAPP)。
  • 本地管理器 UI 部署和管理恶意软件防护。
  • 可以对虚拟机端点使用延伸分段和非延伸分段。
NSX IDS/IPS 和 NSX 恶意软件防护
网络检测和响应 NSX 4.1.2 开始:
  • 在每个联合本地管理器上部署 NAPP。
  • 本地管理器 UI 部署和管理 NSX Network Detection and Response (NDR)。
  • 您可以使用延伸分段和非延伸分段来收集 NDR 事件。
NSX Network Detection and Response
本地管理器配置中使用在全局管理器上创建的对象
  1. 支持大多数配置。例如:
    • 本地管理器 Tier-1 网关连接到全局管理器 Tier-0 网关。
    • 可以在本地管理器分布式防火墙规则中使用全局管理器组。
  2. 支持以下配置:
    • 本地管理器分段连接到全局管理器 Tier-0 或 Tier-1 网关。
    • 将负载均衡器连接到全局管理器 Tier-1 网关。
网络监控
  • 扩展了本地管理器全局管理器之间的通信监控。
  • 跨同一联合中的 NSX 实例跟踪流量。
证书 NSX 4.1 开始,仅当本地管理器位于 NSX 联合环境中时,才会生成本地管理器自签名证书。如果将本地管理器移出 NSX 联合环境,则会删除该证书。 NSX 和 NSX 联合 的证书
LDAP 使用目录服务(如 Active Directory over LDAP 或 OpenLDAP)对全局管理器用户进行身份验证。 与 LDAP 集成
备份和还原 支持使用 FQDN 或 IP 进行备份。 在 NSX 联合 中备份和还原
用户 NSX 4.1 开始,您可以添加新的本地用户并移除 audit 用户和来宾用户。 管理本地用户帐户
在不同位置之间执行 vMotion 支持跨位置复制标记。