此功能适用于 NSX Cloud

转发策略或基于策略的路由 (Policy-Based Routing, PBR) 规则定义了 NSX 如何处理来自 NSX 管理的虚拟机的流量。可以将该流量定向到 NSX 覆盖网络,也可以通过云提供商的(底层)网络路由该流量。

注: 有关如何使用 NSX 管理公有云工作负载虚拟机的详细信息,请参见 使用 NSX Cloud

在转换 VPC/VNet 上部署 PCG 或将计算 VPC/VNet 链接到转换 VPC/VNet 后,将自动设置三个默认转发策略。

  • 路由到底层网络,用于在转换/计算 VPC/VNet 中寻址的所有流量
  • 从底层网络路由,用于传输到公有云的元数据服务的所有流量。
  • 路由到覆盖网络,用于所有其他流量,例如,传输到转换/计算 VPC/VNet 外部的流量。这些流量通过 NSX 覆盖网络隧道路由到 PCG 并进一步路由到目标。
    注:

    对于传输到相同 PCG 管理的另一个 VPC/VNET 的流量:流量通过 NSX 覆盖网络隧道从 NSX 管理的源 VPC/VNet 路由到 PCG,然后路由到目标 VPC/VNet。

    对于传输到不同 PCG 管理的另一个 VPC/VNet 的流量:流量通过 NSX 覆盖网络隧道从一个 NSX 管理的 VPC/VNet 路由到源 VPC/VNet 的 PCG,然后转发到 NSX 管理的目标 VPC/VNet 的 PCG。

    如果流量传输到 Internet,则 PCG 在 Internet 中将其路由到目标。

在路由到底层网络时进行微分段

即使是将流量路由到底层网络的工作负载虚拟机,也会实施微分段。

如果您具有从 NSX 管理的工作负载虚拟机到管理的 VPC/VNet 外部的目标的直接连接,并且要绕过 PCG,请设置转发策略以通过底层网络路由来自该虚拟机的流量。

在通过底层网络路由流量时,将绕过 PCG,因此,流量不会遇到南北向防火墙。不过,您仍然需要管理东西向或分布式防火墙 (DFW) 的规则,因为在流量到达 PCG 之前将在虚拟机级别应用这些规则。

支持的转发策略及其常见用例

您可能会在下拉菜单中看到一组转发策略,但在该版本中仅支持以下转发策略:
  • 路由到底层网络
  • 从底层网络路由
  • 路由到覆盖网络

这些转发策略可以在以下常见场景中使用:

  • 路由到底层网络:从 NSX 管理的虚拟机中访问底层网络上的服务。例如,访问 AWS 底层网络上的 AWS S3 服务。

  • 从底层网络路由:从底层网络中访问 NSX 管理的虚拟机上托管的服务。例如,从 AWS ELB 中访问 NSX 管理的虚拟机。