NSX 联合中支持的功能和配置

从全局管理器进行的所有配置都在策略模式下进行。在 NSX 联合中未提供管理器模式。

有关这两种模式的更多信息，请参见NSX Manager。

配置上限

NSX 联合环境具有以下配置上限：

对于大多数配置，本地管理器集群具有与 NSX Manager 集群相同的配置上限。转到 VMware 最高配置工具，然后选择 NSX。

有关例外和其他 NSX 联合特定的值，请在“VMware 最高配置”工具中为 NSX 选择 NSX 联合类别。
对于给定的位置，以下配置会导致配置达到上限：
- 在本地管理器上创建的对象。
- 在全局管理器上创建并且该位置包含在其范围内的对象。
您可以查看每个本地管理器上的容量和使用情况。请参见查看各类别对象的使用情况和容量。

功能支持

请注意，在 NSX 联合中，当 NSX 联合环境部署了全局管理器 (GM) 时，仅在以下情况下支持服务插入（网络侦测）：

已通过本地管理器 (LM) 完成与服务插入相关的所有配置，如合作伙伴服务注册、部署和使用等。
仅 LM 上配置的对象可与服务插入配合使用。这包括组、分段和任何其他构造。服务插入无法应用于连接到从 GM 定义的延伸/全局分段或连接到从 GM 创建的逻辑路由器的任何分段的工作负载。不应在服务插入重定向策略中使用通过全局管理器创建的组。

重要说明：

NSX 联合位置必须在管理员可完全控制底层结构的环境中运行。
NSX 联合目前不支持 VMware Cloud on AWS、VMware Cloud on Dell、Azure VMware Solution、Google Cloud VMware Engine、Oracle Cloud VMware Solution 或 Alibaba VMware Cloud Service 上托管的全局管理器或本地管理器。

向全局管理器注册本地管理器后：

您可以继续在本地管理器上进行配置。有关更多详细信息，请参阅了解 NSX 联合。
从本地管理器配置的某些对象可能具有全局管理器对象所用的选项/设置。例如，可以将 LM_created-t1 插入到 GM_created-t0。
从本地管理器配置的某些对象无法使用全局管理器对象所用的选项/设置进行配置。例如，您无法将 LM_created-segment 插入到 GM_created-t0。请注意，您只能在本地管理器中编辑这些 LM 对象；而全局管理器看不到这些对象。有关详细信息，请参见适用于您版本的《NSX-T 多位置设计指南》中的“逻辑配置所有权”。

“NSX 联合中支持的功能”表介绍了全局管理器中提供的功能。

表 1. NSX 联合中支持的功能
功能	详细信息	相关链接
Tier-0 网关	活动-活动和活动-备用。仅活动-活动	从全局管理器添加 Tier-0 网关
Tier-1 网关		从全局管理器添加 Tier-1 网关
分段	可以包含全局管理器中的 L2 网桥配置。	从全局管理器添加分段和在全局管理器上配置桥接
组	存在一些限制。请参见NSX 联合中的安全性。	从全局管理器创建组
分布式防火墙	现在，可以在全局管理器上使用安全策略草稿。这包括支持自动草稿和手动草稿。	在全局管理器中创建草稿
防火墙排除列表	可用。	管理防火墙排除列表
基于时间的防火墙规则	可用。	基于时间的防火墙策略
网关防火墙	仅支持 L3 和 L4 规则。	从全局管理器创建网关策略和规则
网络地址转换 (NAT)	Tier-0 网关：活动-活动：您只能配置无状态 NAT，即，操作类型为“反射”。活动-备用：您可以创建有状态或无状态 NAT 规则。 Tier-1 网关：您可以创建有状态或无状态 NAT 规则。无状态 NAT 规则被推送到网关跨度内的所有位置，除非明确限定为一个或多个位置。有状态 NAT 规则也会被推送到网关跨度内的所有位置或所选的特定位置。不过，仅在主位置上实现并强制实施有状态 NAT 规则。	配置 NSX NAT/DNAT/无 SNAT/无 DNAT/反射 NAT
DNS		请参见添加 NSX DNS 转发器服务
DHCP 和 SLAAC	分段和网关支持 DHCP 中继。分段上配置了 DHCP 静态绑定的网关支持 DHCPv4 服务器。可以使用“RA 通告 DNS 的 SLAAC 模式”来分配 IPv6 地址（DAD 仅检测位置中存在的重复项）。	DHCP 中继：添加 NSX DHCP 中继配置文件 DHCP 服务器（仅在网关上受支持）：添加 NSX DHCP 服务器配置文件将 NSX DHCP 配置文件附加至 Tier-0 或 Tier-1 网关 NSX DHCP 配置设置：参考文档 IPv6 地址分配：创建用于 IPv6 地址分配的 NSX SLAAC 和 DAD 配置文件
分布式恶意软件检测和防护	从 NSX 4.1.2 开始：在每个联合本地管理器上部署 NSX 应用程序平台 (NAPP)。从本地管理器 UI 部署和管理恶意软件防护。可以对虚拟机端点使用延伸分段和非延伸分段。	NSX IDS/IPS 和 NSX 恶意软件防护
网络检测和响应	从 NSX 4.1.2 开始：在每个联合本地管理器上部署 NAPP。从本地管理器 UI 部署和管理 NSX Network Detection and Response (NDR)。您可以使用延伸分段和非延伸分段来收集 NDR 事件。	NSX Network Detection and Response
在本地管理器配置中使用在全局管理器上创建的对象	支持大多数配置。例如：将本地管理器 Tier-1 网关连接到全局管理器 Tier-0 网关。可以在本地管理器分布式防火墙规则中使用全局管理器组。不支持以下配置：将本地管理器分段连接到全局管理器 Tier-0 或 Tier-1 网关。将负载均衡器连接到全局管理器 Tier-1 网关。
网络监控	扩展了本地管理器与全局管理器之间的通信监控。跨同一联合中的 NSX 实例跟踪流量。
证书	从 NSX 4.1 开始，仅当本地管理器位于 NSX 联合环境中时，才会生成本地管理器自签名证书。如果将本地管理器移出 NSX 联合环境，则会删除该证书。	NSX 和 NSX 联合的证书
LDAP	使用目录服务（如 Active Directory over LDAP 或 OpenLDAP）对全局管理器用户进行身份验证。	与 LDAP 集成
备份和还原	支持使用 FQDN 或 IP 进行备份。	在 NSX 联合中备份和还原
用户	从 NSX 4.1 开始，您可以添加新的本地用户并移除 audit 用户和来宾用户。	管理本地用户帐户
在不同位置之间执行 vMotion	支持跨位置复制标记。