在 NSX-V 中,将流量重定向到合作伙伴服务是在规则级别完成的,而不是在区域级别完成的。即,NSX-V 中的单个区域可以具有将网络流量重定向到单个合作伙伴服务的多个服务配置文件或多个合作伙伴服务的规则。
但在 NSX 中,重定向是在策略级别完成的。因此,如果 NSX-V 中的单个防火墙区域具有重定向到多个服务配置文件的规则,则将创建多个 NSX 策略。
请阅读本主题中的场景,以查看有关 NSX 中的规则排序的示例。
本主题使用以下缩写:
- SP:服务配置文件
- SG:安全组
- SC:服务链
场景 1:单个合作伙伴服务,单个服务配置文件
正在运行单个网络侦测合作伙伴服务。此合作伙伴服务包含一个服务配置文件。
NSX-V 中的规则配置如下所示:
- SP1 绑定到 SG-1 和 SG-2。
- 从 SG-A 到 SG-B 的网络流量重定向到 SP-1。
- 从 SG-P 到 SG-Q 的网络流量重定向到 SP-1。
NSX 中迁移的规则配置如下所示:
- SC-1 在流量的正向和反向路径中包含 SP-1。
- 从 SG-A 到 SG-B 的网络流量重定向到 SC-1。该规则应用于 SG-1 和 SG-2。
- 从 SG-P 到 SG-Q 的网络流量重定向到 SC-1。该规则应用于 SG-1 和 SG-2。
NSX-V | NSX |
---|---|
区域 1
|
策略 1(重定向到 SC-1)
|
场景 2:单个合作伙伴服务,多个服务配置文件
合作伙伴服务具有两个服务配置文件(SP-1 和 SP-2)。
- 情况 2A:SP-1 的优先级高于 SP-2
-
在 NSX-V 中,SP-1 绑定到 SG-1,而 SP-2 绑定到 SG-2。
在 NSX 中,SC-1 在流量的正向和反向路径中包含 SP-1,SC-2 包含 SP-2。
在这种情况下,在 NSX 规则表中先放置重定向到 SC-1 的规则。
NSX-V NSX 区域 1- 规则 1:SG-A 到 SG-B,重定向到 SP-1
- 规则 2:SG-P 到 SG-Q,重定向到 SP-2
策略 1(重定向到 SC-1)- 规则 1:SG-A 到 SG-B,重定向到 SC-1
策略 2(重定向到 SC-2)- 规则 2:SG-P 到 SG-Q,重定向到 SC-2
- 情况 2B:SP-2 的优先级高于 SP-1
-
在 NSX-V 中,SP-1 绑定到 SG-1,而 SP-2 绑定到 SG-2 和 SG-3。
在 NSX 中,SC-1 在流量的正向和反向路径中包含 SP-1,SC-2 包含 SP-2。
在这种情况下,在 NSX 规则表中先放置重定向到 SC-2 的规则。
NSX-V NSX 区域 1- 规则 1:SG-A 到 SG-B,重定向到 SP-1
- 规则 2:SG-P 到 SG-Q,重定向到 SP-2
区域 2- 规则 3:SG-P 到 SG-Q,重定向到 SP-1
策略 1(重定向到 SC-2)- 规则 2:SG-P 到 SG-Q,重定向到 SC-2
策略 2(重定向到 SC-1)- 规则 1:SG-A 到 SG-B,重定向到 SC-1
策略 3(重定向到 SC-1)- 规则 3:SG-P 到 SG-Q,重定向到 SC-1
场景 3:两个合作伙伴服务,每个合作伙伴一个服务配置文件
合作伙伴 1 的 Service-1 的优先级高于合作伙伴 2 的 Service-2。Service-1 包含 SP-1,而 Service-2 包含 SP-2。在 NSX-V 中,SP-1 绑定到 SG-1,而 SP-2 绑定到 SG-2 和 SG-3。
NSX-V | NSX |
---|---|
区域 1
区域 2
|
策略 1(重定向到 SC-1)
|
策略 2(重定向到 SC-1)
|
|
策略 3(重定向到 SC-2)
|