Wesentliche NSX-T Data Center-Entitäten werden erstellt und in NSX Manager konfiguriert und Sicherheitsgruppen werden in Ihrer Public Cloud erstellt, nachdem PCG erfolgreich bereitgestellt wurde.

NSX Manager-Konfigurationen

Die folgenden Entitäten werden automatisch im NSX Manager erstellt:

  • Ein Edge-Knoten mit dem Namen Public Cloud Gateway (PCG) wird erstellt.

  • Der PCG-Knoten wird dem Edge-Cluster hinzugefügt. Bei einer Hochverfügbarkeitsbereitstellung gibt es zwei PCG.

  • Das PCG (oder PCGs) wird als Transportknoten mit zwei erstellten Transportzonen registriert.

  • Zwei logische Standard-Switches werden erstellt.

  • Ein logischer Ebene-0-Router wird erstellt.

  • Ein IP-Ermittlungsprofil wird erstellt. Dies wird für logische Overlay-Switches verwendet.

  • Ein DHCP-Profil wird erstellt. Dies wird für DHCP-Server verwendet.

  • Es wird eine standardmäßige NS-Gruppe mit dem Namen PublicCloudSecurityGroup erstellt, die die folgenden Mitglieder hat:

    • Der logische Standard-VLAN-Switch

    • Logische Ports, jeweils einer für die PCG-Uplink-Ports, wenn Sie HA aktiviert haben

    • IP-Adresse

  • Es werden drei Regeln für verteilte Firewalls erstellt:

    • LogicalSwitchToLogicalSwitch

    • LogicalSwitchToAnywhere

    • AnywhereToLogicalSwitch

    Hinweis:

    Diese DFW-Regeln blockieren den gesamten Datenverkehr und müssen entsprechend Ihren spezifischen Anforderungen angepasst werden.

Verifizieren Sie diese Konfigurationen in NSX Manager:

  1. Klicken Sie im NSX Cloud-Dashboard auf NSX Manager.

  2. Navigieren Sie zu Fabric > Knoten > Edge. Public Cloud Gateway sollte als Edge-Knoten aufgeführt sein.

  3. Verifizieren Sie, dass Bereitstellungsstatus, Manager-Verbindung und Controller-Verbindung verbunden sind (Status zeigt Up mit einem grünen Punkt).

  4. Navigieren Sie zu Fabric > Knoten > Edge-Cluster und stellen Sie sicher, dass die Edge-Cluster und PCG als Teil des Clusters hinzugefügt wurden.

  5. Navigieren Sie zu Fabric > Knoten > Transportknoten und stellen Sie sicher, dass PCG als Transportknoten registriert ist und mit zwei Transportzonen verbunden ist, die während der Bereitstellung von PCG automatisch erstellt wurden:

    • Datenverkehrstyp VLAN – dies stellt eine Verbindung mit dem PCG-Uplink her

    • Datenverkehrstyp Overlay – dies ist für die logische Overlay-Vernetzung

  6. Verifizieren Sie, ob die logischen Switches und der logische Ebene-0-Router erstellt wurden und der logische Router dem Edge-Cluster hinzugefügt wurde.

Wichtig:

Löschen Sie keine der durch NSX erstellten Elemente.

Public-Cloud-Konfigurationen

In AWS:

  • In der AWS VPC wird ein neuer Typ-A-Datensatz mit dem Namen nsx-gw.vmware.local hinzugefügt. Die diesem Datensatz zugeordnete IP-Adresse entspricht der Verwaltungs-IP-Adresse von PCG. Diese wird von AWS unter Verwendung von DHCP vergeben und ist für jede VPC unterschiedlich.

  • Eine sekundäre IP-Adresse für die Uplink-Schnittstelle für PCG wird erstellt. Dieser sekundären IP-Adresse ist eine elastische AWS-IP-Adresse zugeordnet. Diese Konfiguration gilt für SNAT.

In AWS und Microsoft Azure:

Die Sicherheitsgruppen gw werden auf die entsprechenden PCG-Schnittstellen angewendet.

Tabelle 1. Von NSX Cloud für PCG-Schnittstellen erstellte Public-Cloud-Sicherheitsgruppen

Name der Sicherheitsgruppe

Verfügbar in Microsoft Azure?

Verfügbar in AWS?

Vollständiger Name

gw-mgmt-sg

Ja

Ja

Gateway-Management-Sicherheitsgruppe

gw-uplink-sg

Ja

Ja

Gateway-Uplink-Sicherheitsgruppe

gw-vtep-sg

Ja

Ja

Gateway-Downlink-Sicherheitsgruppe

Tabelle 2. Von NSX Cloud für Workload-VMs erstellte Public Cloud-Sicherheitsgruppen

Name der Sicherheitsgruppe

Verfügbar in Microsoft Azure?

Verfügbar in AWS?

Beschreibung

quarantine

Ja

Nein

Quarantäne-Sicherheitsgruppe für Microsoft Azure

default

Nein

Ja

Quarantäne-Sicherheitsgruppe für AWS

vm-underlay-sg

Ja

Ja

Nicht-Overlay-VM-Sicherheitsgruppe

vm-override-sg

Ja

Ja

Überschreiben-VM-Sicherheitsgruppe

vm-overlay-sg

Ja

Ja

Overlay-VM-Sicherheitsgruppe (diese wird in der aktuellen Version nicht verwendet)

vm-outbound-bypass-sg

Ja

Ja

Ausgehende VM-Bypass-Sicherheitsgruppe (diese wird in der aktuellen Version nicht verwendet)

vm-inbound-bypass-sg

Ja

Ja

Eingehende VM-Bypass-Sicherheitsgruppe (diese wird in der aktuellen Version nicht verwendet)