Ab VMware NSX-T Data Center 2.5 sind zwei Plug-ins für die Integration von OpenStack Neutron mit NSX-T verfügbar:
  • Das NSX-T Policy-Plug-in interagiert mit dem NSX-T-Richtlinienmanager unter Verwendung von absichtsbasierten API-Abstraktionen. Dies ist ein neues Plug-in und die empfohlene Wahl für neue Installationen.
  • Das NSX-T Manager-Plug-in interagiert mit dem NSX-T Manager unter Verwendung von imperativen APIs. Dies ist das vorhandene NSX-T-Plug-in, es muss für vorhandene Installationen sowie für Anwendungsfälle verwendet werden, die noch nicht im NSX-T Policy-Plug-in abgedeckt sind.
Tabelle 1. Vergleich der Plug-in-Funktionen
Netzwerken und Sicherheit – Funktionen NSX-T MP Plug-in NSX-T Policy Beschreibung
Switching
Unterstützung von überlappenden IP-Subnetzen Ja Ja Jedes Projekt kann dynamisch Netzwerke erstellen, die für das Projekt privat sind. Diese Netzwerke können über überlappende IP-Subnetze verfügen.
DHCP Ja Ja Instanzen verfügen über automatische Adressierung über DHCP.
Statische IPv6-Adressbindung Nein Ja
Routing
Logisches Routing Ja Ja Aktivieren Sie das Routing zwischen mehreren privaten logischen Netzwerken sowie zwischen einem logischen Netzwerk und einem externen Netzwerk.
Logisches IPv6-Routing Nein Ja Aktivieren Sie das Routing zwischen mehreren privaten logischen IPv6-Netzwerken sowie zwischen einem logischen Netzwerk und einem externen Netzwerk.
Externe Netzwerke Ja Ja Netzwerke, die externen Zugriff auf die Instanzen ermöglichen. Private Netzwerke werden per Uplink über einen Router mit dem externen Netzwerk verknüpft, um externen Zugriff auf die Instanzen in den privaten Netzwerken zu ermöglichen.
Externe IPv6-Netzwerke Ja Ja Externes Netzwerk mit IPv6.
Statische Routen Ja Ja Geben Sie eine statische Route an.
Statische IPv6-Routen Nein Ja Externes Netzwerk mit IPv6.
Dynamische IP für Instanzen Ja Ja Weisen Sie Instanzen öffentliche routingfähige IP-Adressen zu, um externen Zugriff auf die Instanzen zu ermöglichen.
No-NAT-Router Ja Ja No-NAT-Routing-Topologie.
IPv6-No-NAT-Router Nein Ja Die No-NAT-Topologie ist die einzige Routing-Topologie, die von OpenStack mit IPv6 unterstützt wird. NAT mit IPv6 wird nicht unterstützt.
Dual-Stack-Schnittstellen des Neutron-Routers Nein Ja Unterstützung von IPv4- und IPv6-Dual-Stack auf denselben Schnittstellen eines Neutron-Routers.
IPv6-SLAAC Nein Ja Unterstützung der statusfreien Adress-Autokonfiguration.
Sicherheit
Firewall – Sicherheitsgruppen Ja Ja OpenStack-Sicherheitsgruppen (mit NSX werden Sicherheitsgruppen verwendet und DFW-Regeln, die mit diesen SG erstellt wurden. Dies ermöglicht die Mikro-Segmentierung)
IPv6-Firewall (Sicherheitsgruppen) Nein Ja Neutron-Sicherheitsgruppe mit IPv6.
Portsicherheit Ja Ja Die Sicherheit des Neutron-Ports wird mithilfe der NSX-SpoofGuard-Funktionen implementiert.
IPv6-Port-Sicherheit Nein Ja Die Sicherheit des Neutron-Ports wird mithilfe der NSX-SpoofGuard-Funktionen implementiert. Dies ermöglicht allowed_address_pairs und eine IPv6-Subnetz-Zuordnung zu einem Port.
Firewall (L3-FWaaS) Ja Ja
IPv6-Firewall (L3-FWaaS) Nein Ja
Andere Dienste
Lastausgleich Ja Ja
Servicequalität Ja Ja
DNS Ja Ja
VPNaas Ja Nein

Upgrades

Es gibt keinen Migrationspfad von OpenStack Neutron mit NSX-T Manager-Plug-in für OpenStack Neutron mit dem NSX-T Policy-Plug-in. Beim Upgrade sollten vorhandene Installationen weiterhin das NSX-T Manager-Plug-in ausführen. Ein Migrationspfad von NSX-T Manager zu NSX-T Policy wird in zukünftigen Versionen verfügbar sein. Das NSX-T Policy-Plug-in ist die empfohlene Lösung für neue Installationen, da es eindeutige Funktionen (IPv6) enthält. Darüber hinaus wird das Verschieben neuer Funktionen ausschließlich für das NSX-T-Plug-in verfügbar sein.