NSX Cloud 支持在公有云中对 NSX 实施模式下 NSX 管理的工作负载虚拟机使用第三方服务。
NSX Cloud 支持对以下流量使用服务插入:
- 来自工作负载虚拟机且通过在转换 VPC/VNet 中托管的服务设备的南北向流量。
- 从 PCG 到内部部署 Edge 或网关的 VPN 流量。此流量也可以通过转换 VPC/VNet 中的服务设备进行路由。
下面提供了允许对 NSX 管理的工作负载虚拟机使用服务插入的配置概览。
频率 | 任务 | 说明 |
---|---|---|
如果要为南北向流量设置服务插入,请按照这些说明进行初始设置。 | 在公有云中设置服务设备,最好在转换 VPC 或 VNet(已部署 PCG)中设置。 | 请参见特定于第三方服务设备和公有云的说明。 |
在 NSX 中注册第三方服务。 | 请参见创建服务定义和相应的虚拟端点 | |
使用服务设备要仅用于服务插入的 /32 服务虚拟 IP 地址 (VSIP) 创建服务的虚拟实例端点。VSIP 不应与 VPC 或 VNet 的 CIDR 范围冲突。此 VSIP 通过 BGP 通告到 PCG。 | 请参见创建服务定义和相应的虚拟端点 | |
在服务设备和 PCG 之间创建 IPSec VPN 隧道。 | 请参见设置 IPSec VPN 会话 | |
在 PCG 和服务设备之间配置 BGP,并从服务设备通告 VSIP,从 PCG 通告默认路由 (0.0.0.0/0)。 | 请参见配置 BGP 和路由重新分发 | |
对于从公有云到内部部署的 VPN 流量,请按照这些说明进行初始设置。 | 在 PCG 与内部部署 Edge 或网关之间创建一个 VPN 隧道。 | 请参见在 NSX 实施模式下设置 VPN。 |
在初始设置过程中,对于这两种类型的服务插入,请按照这些说明进行设置。 | 创建优先级最低的默认 catch-all 规则,并将操作设置为不重定向。这样做可确保不会在 PCG 和服务设备的 VTI 接口上重定向任何数据包。 | 请参见设置重定向规则。 |
对于每种类型的服务插入用例,请根据需要按照这些说明进行设置。 | 一次性配置完成后,设置重定向规则以将来自 NSX 管理的工作负载虚拟机的选择性流量重新路由到 VSIP。对于南北向服务插入,这些规则将应用于 PCG 的上行链路端口;对于流向内部部署的流量,这些规则将应用于 PCG 的 VTI 接口。 |
请参见设置重定向规则。 |