NSX VPC 为应用程序所有者提供了一个隔离空间以托管应用程序,并通过自助式使用模型来使用网络和安全对象。
前提条件
- 项目管理员
- 企业管理员
过程
- 从浏览器中,通过 https://nsx-manager-ip-address 登录到 NSX Manager。
- 展开项目下拉菜单,然后选择要在其中添加 NSX VPC 的项目。
- 单击 VPC 选项卡,然后单击添加 VPC。
- (必选) 输入 NSX VPC 的名称。
- 选择 NSX VPC 中的工作负载可用来在此 VPC 外部建立南北向连接的 Tier-0 或 Tier-0 VRF 网关。
此下拉菜单仅显示创建项目时分配给项目的那些 Tier-0 或 Tier-0 VRF 网关。
如果未选择任何网关,则 NSX VPC 中的工作负载将无法建立南北向连接。
- 配置 IP 分配设置。
- 在外部 IPv4 块字段中,选择系统可用于 NSX VPC 中公用子网的 IPv4 块。
已分配给项目的外部 IP 块可供在 NSX VPC 中选择。这些 IPv4 块必须可从 NSX VPC 外部路由。您最多可以为项目中的每个 NSX VPC 分配五个外部 IPv4 块。
只有在子网创建期间将 IP 分配选项设置为自动时,选定的外部 IPv4 块才会用于公用子网。
- 在专用 IPv4 块字段中,选择系统可用于此 NSX VPC 中专用子网的 IPv4 块。
已在项目中添加且可见性设置为专用的 IPv4 块可供在 NSX VPC 中选择。
如果没有可供选择的 IPv4 块,请单击 ,然后单击新建以添加专用 IPv4 块。
只有在子网创建期间将 IP 分配选项设置为自动时,选定的专用 IPv4 块才会用于专用子网。
您必须选择外部 IPv4 块和/或专用 IPv4 块。如果未选择两者中的任何一个,则在保存 NSX VPC 时将显示一条错误消息。
- 在 DHCP 下,选择以下任一选项。
选项 描述 由 NSX Policy Management 管理 默认选项。系统会为 NSX VPC 中的每个子网配置一个分段 DHCP 服务器。DHCP 服务器会将 IP 地址动态分配给连接到 NSX VPC 中子网的工作负载虚拟机。 外部 系统会使用外部或远程 DHCP 服务器将 IP 地址动态分配给连接到 NSX VPC 中子网的工作负载虚拟机。您可以在为 NSX VPC 选择的 DHCP 中继配置文件中,指定外部 DHCP 服务器的 IP 地址。
注: 仅公用 VPC 子网上的工作负载可以从外部 DHCP 服务器接收 IP 地址。目前,专用 VPC 子网上的工作负载无法从外部 DHCP 服务器接收 IP 地址,除非 DHCP 服务器本身连接到专用或公用 VPC 子网。在 DHCP 中继配置文件下拉菜单中,选择一个现有的中继配置文件。如果没有可用的 DHCP 中继配置文件,请单击 ,以创建一个新的 DHCP 中继配置文件。
有关添加 DHCP 中继配置文件的详细信息,请参见添加 NSX DHCP 中继配置文件。
外部 DHCP 服务器的配置不由 NSX 管理。
无 系统不会为 NSX VPC 中的子网配置 DHCP
在这种情况下,您必须手动将 IP 地址分配给连接到 NSX VPC 中子网的工作负载虚拟机。
- 在外部 IPv4 块字段中,选择系统可用于 NSX VPC 中公用子网的 IPv4 块。
- 如果 DHCP 配置由 NSX 管理,则可以选择输入 DNS 服务器的 IP 地址。
如果未指定,则不会为连接到 NSX VPC 中子网的工作负载(DHCP 客户端)分配 DNS。
- 配置服务设置。
- 默认情况下,将启用南北向服务选项。如果需要,可以将其禁用。
如果启用此选项,则意味着将为连接的子网创建一个服务路由器,以支持集中式服务,如南北向防火墙、NAT 或网关 QoS 配置文件。
如果禁用此选项,将仅创建分布式路由器。
小心: 在系统中实现 NSX VPC 后,最好避免禁用 南北向服务选项。这是因为禁用此选项后,将不会在 NSX VPC 的子网上实施集中式服务。例如,即使在 NSX VPC 中配置了南北向防火墙、NAT 等服务,也不会实施这些服务。 - 从 Edge 集群下拉菜单中,选择要与 NSX VPC 关联的 Edge 集群。
如果项目未分配到 Edge 集群,则此下拉菜单将为空。确保至少已为项目分配一个 Edge 集群,以便在添加 NSX VPC 时可供选择。
选定的 Edge 集群将用于在 NSX VPC 中运行集中式服务,例如 NAT、DHCP 和南北向防火墙。要运行这些服务,Edge 集群需要与 NSX VPC 关联。
如果将 DHCP 设置为无并禁用南北向服务选项,则 Edge 集群是可选的。
- 默认情况下,将启用默认出站 NAT 选项。如果需要,可以将其禁用。
仅当为 NSX VPC 启用了南北向服务选项时,此选项才可用。
如果启用默认出站 NAT,则意味着来自专用子网上工作负载的流量可以在 NSX VPC 外部路由。系统会自动为 NSX VPC 创建默认 SNAT 规则。SNAT 规则中转换的 IP 获取自 NSX VPC 的外部 IPv4 块。
注: 在系统中实现 NSX VPC 后,最好避免禁用 默认出站 NAT 选项。这是因为禁用此选项后,专用子网上的工作负载将无法在 NSX VPC 外部进行通信。 - 使用激活默认东西向防火墙规则切换开关指定要为此 NSX VPC 开启还是关闭默认的东西向防火墙规则。
默认的东西向防火墙规则允许来自连接到 NSX VPC 中子网的工作负载的所有出站流量,并丢弃流向 VPC 的所有入站流量。
只有在 NSX 部署中应用了授权系统使用分布式防火墙安全功能的相应安全许可证时,此切换开关才可编辑。此设置只会为 NSX VPC 开启/关闭默认东西向防火墙规则。它不会关闭 NSX VPC 中的东西向防火墙。
例如,如果在 NSX 平台中激活了分布式防火墙服务,您仍然可以停用 NSX VPC 的默认东西向防火墙规则。在这种情况下,在默认空间中配置的系统范围默认分布式防火墙规则以及在项目中配置的默认分布式防火墙规则都将应用于 NSX VPC。
下表介绍了不同场景下 NSX VPC 中激活默认东西向防火墙规则切换开关的默认状态。此表中使用的术语“基本许可证”是指以下两个许可证中的任何一个:
- NSX Networking for VMware Cloud Foundation
- VCF 的解决方案许可证
序号 场景 切换开关的默认状态 备注 1
您是新 NSX 客户,并且已应用仅授权系统使用 NSX 网络连接功能的基本许可证。
关闭
此切换开关不可编辑,因为当前应用的许可证不支持配置东西向(分布式)防火墙安全规则。
您需要在系统中应用相应的安全许可证,然后开启此切换开关以在 NSX VPC 中激活默认东西向防火墙规则。
2
您是新 NSX 客户。在实施前操作中,您已应用授权系统使用 NSX 网络功能的基本许可证。您还应用了授权系统使用分布式防火墙安全的相应安全许可证。
开启
将为 NSX VPC 激活默认东西向防火墙规则。
如果需要,您可以将其关闭。
3
您是新 NSX 客户。在实施前操作中,您只应用了仅授权系统使用 NSX 网络功能的基本许可证。您在系统中添加了一些 NSX VPC,如项目 A 和 B
稍后,在实施后操作期间,您应用了授权系统使用分布式防火墙安全的相应安全许可证。
现在,您在现有的 VPC A 和 B 中添加了用户定义的东西向防火墙规则,并在项目中创建了新 VPC,如 VPC C 和 D。
关闭:对于项目中预先存在的 VPC
开启:对于项目中的新 VPC
在此场景中,术语“预先存在的 VPC”是指在实施后应用安全许可证之前项目中存在的 NSX VPC。在此场景中,它们是指 VPC A 和 B。术语“新 VPC”是指在实施后应用安全许可证后在项目中添加的 NSX VPC。在此场景中,它们是指 VPC C 和 D。
对于预先存在的 VPC A 和 B,系统行为如下所示:
默认情况下,此切换开关将处于关闭状态。用户定义的东西向规则在 VPC A 和 B 中有效。如果要在这些 VPC 中激活默认东西向规则,请在编辑模式下打开这些 VPC,然后手动开启此切换开关。但开启此切换开关后,可能会影响 VPC A 和 B 中东西向流量的行为。
对于新 VPC C 和 D,系统行为如下所示:
默认情况下,此切换开关将处于开启状态。也就是说,对于 VPC C 和 D,默认情况下,将激活默认东西向规则。如果需要,您可以将其关闭,以便只有用户定义的东西向规则在这些 VPC 中有效。
4
您是现有的 NSX 客户,拥有授权系统完全访问 DFW 的旧版 NSX 许可证。
旧版许可证过期后,您应用了授权系统使用 NSX 网络功能的基本许可证,还应用了授权系统使用分布式防火墙安全的安全许可证。
开启
默认东西向防火墙规则和用户定义的东西向防火墙规则将继续在更改为新许可证之前创建的现有 VPC 中运行。系统行为没有变化。
对于更改许可证后添加的所有新 VPC,默认情况下,此切换开关处于开启状态。如果需要,您可以将其关闭。
5
您是现有的 NSX 客户,拥有授权系统完全访问 DFW 的旧版 NSX 许可证。您在系统中添加了两个 NSX VPC,如 VPC A 和 B。
当前的旧版许可证过期后,您应用了仅授权系统使用 NSX 网络功能的基本许可证。未应用安全许可证。
现在,您在系统中创建了两个 NSX VPC,如 VPC C 和 D。
开启:对于项目中预先存在的 VPC
关闭:对于项目中的新 VPC
在此场景中,术语“预先存在的 VPC”是指在旧版 NSX 许可证有效时在系统中添加的 NSX VPC。在此场景中,它们是指 VPC A 和 B。术语“新 VPC”是指在应用基本许可证后在系统中添加的 NSX VPC。在此场景中,它们是指 VPC C 和 D。
对于预先存在的 VPC A 和 B,系统行为如下所示:
默认情况下,此切换开关处于开启状态。如果需要,您可以将其关闭。但是此操作不可撤销。也就是说,您无法在 VPC A 和 B 中再次激活默认东西向防火墙规则。
默认东西向防火墙规则和用户定义的东西向防火墙规则将继续在 VPC A 和 B 中运行。但是,您无法编辑这些规则,也不能添加新的东西向防火墙规则。但是,您可以删除现有的用户定义的防火墙规则。
要获得对分布式防火墙规则的完全访问权限,您需要应用相应的安全许可证。
对于新 VPC C 和 D,系统行为如下所示:
默认情况下,此切换开关处于关闭状态。您无法开启该切换开关,因为当前应用的许可证未授权系统使用分布式防火墙功能。
6
您是新 NSX 客户,并且您的系统已进入评估模式,有效期为 60 天。
关闭
在新 NSX 部署的评估期间,系统只能使用网络功能,而无权使用安全功能。
- 如果希望 NSX Advanced Load Balancer Controller 发现 NSX VPC,请启用为 NSX Advanced Load Balancer 启用选项。
默认情况下,将禁用此选项。如果启用此选项,则能够将 NSX 多租户扩展到 NSX Advanced Load Balancer Controller,从而在此上下文中启用负载均衡器配置。
只有在满足以下条件时,才能启用此选项:- 至少已将一个专用 IP 地址块分配给 NSX VPC。
- 至少已将一个 Edge 集群分配给 NSX VPC。
NSX VPC 需要有专用 IP 块,因为负载均衡器虚拟服务 IP (VIP) 需位于专用子网上。需要有 Edge 集群,以便 NSX Advanced Load Balancer 服务引擎可以从 DHCP 服务器动态接收 IP 地址。
要了解有关 NSX Advanced Load Balancer 的详细信息,请参见 VMware NSX Advanced Load Balancer 文档。
- 默认情况下,将启用南北向服务选项。如果需要,可以将其禁用。
- (可选)附加 NSX VPC 中的子网将使用的以下配置文件:
- 南北向输出服务质量 (QoS) 配置文件
- 南北向输入 QoS 配置文件
- IP 发现配置文件
- SpoofGuard 配置文件
- Mac 发现配置文件
- 分段安全配置文件
- QoS
要了解这些配置文件的用途,请参见分段配置文件。
- 在短日志标识符文本框中,输入系统可用于标识在 NSX VPC 上下文中生成的日志的字符串。
此标识符在所有 NSX VPC 中必须是唯一的。标识符不得超过八个字母数字字符。
如果未指定标识符,系统会在保存 NSX VPC 时自动生成标识符。设置标识符后,无法对其进行修改。
- (可选)输入 NSX VPC 的描述。
- 单击保存 (Save)。
结果
成功创建 NSX VPC 后,系统会隐式创建一个网关。但是,此隐式网关将以只读模式向项目管理员公开,而对 NSX VPC 用户不可见。
- 导航到网络 > Tier-1 网关。
- 单击 Tier-1 网关页面底部的 VPC 对象复选框。
- 展开网关以在只读模式下查看配置。
隐式网关使用以下命名约定:
_TIER1-VPC_Name
此隐式网关的生命周期由系统管理。删除 NSX VPC 时,将自动删除此隐式网关。
如果已启用默认出站 NAT 选项,则可以查看 NSX VPC 中由系统创建的默认 SNAT 规则。执行以下步骤:
- 展开 NSX VPC 的网络服务部分。
- 单击 NAT 旁边的计数。
- 查看 NSX VPC 中专用 IPv4 块所对应的具有 SNAT 操作的默认 NAT 规则。此 NAT 规则不可编辑。如果 NSX VPC 分配有多个专用 IPv4 块,则会为每个专用 IPv4 块创建一个具有 SNAT 操作的默认 NAT 规则。
例如:
SNAT 规则中的源 IP 是 NSX VPC 的专用 IPv4 块。在此示例中,它是 193.0.1.0/24。此 SNAT 规则中转换的 IP 是从 NSX VPC 的外部 IPv4 块进行分配的。在此示例中,它是 192.168.1.0。