NSX Cloud unterstützt die Verwendung von Drittanbieterdiensten in Ihrer Public Cloud für NSX-verwaltete Arbeitslast-VMs im NSX-erzwungener Modus.

NSX Cloud unterstützt die Service Insertion für folgende Fälle:
  • Vertikaler Datenverkehr von Arbeitslast-VMs über eine Dienst-Appliance, die in einer Transit-VPC oder einem Transit-VNet gehostet wird.
  • VPN-Datenverkehr vom PCG zu einem lokalen Edge oder Gateway. Dieser Datenverkehr kann auch über eine Dienst-Appliance in eine Transit-VPC oder ein Transit-VNet weitergeleitet werden.

Im Folgenden erhalten Sie einen Überblick über die Konfigurationen, die Service Insertion für NSX-verwaltete Arbeitslast-VMs ermöglichen.

Tabelle 1. Überblick über die Konfigurationen, die für die Service Insertion bei NSX-verwalteten Arbeitslast-VMs im NSX-erzwungener Modus benötigt werden.
Häufigkeit Aufgabe Anweisungen
Befolgen Sie diese Anweisungen für die anfängliche Einrichtung, wenn Sie die Service Insertion für den vertikalen Datenverkehr einrichten möchten. Einrichten der Dienst-Appliance in Ihrer Public Cloud vorzugsweise in einer Transit-VPC oder einem Transit-VNet, in dem das PCG bereitgestellt wird. Weitere Informationen finden Sie in den Anweisungen zu Dienst-Appliances von Drittanbietern und zur Public Cloud.
Registrieren des Drittanbieterdiensts bei NSX-T Data Center. Siehe Erstellen der Dienstdefinition und eines entsprechenden virtuellen Endpoints.
Erstellen eines virtuellen Instanz-Endpoints des Diensts mithilfe einer /32 VSIP (Virtual Service IP), die nur zur Diensteinfügung von der Dienst-Appliance verwendet werden darf. Die VSIP sollte nicht mit dem CIDR-Bereich der VPCs oder VNets kollidieren. Diese VSIP wird über BGP beim PCG angekündigt. Siehe Erstellen der Dienstdefinition und eines entsprechenden virtuellen Endpoints.
Erstellen eines IPSec-VPN-Tunnels zwischen der Dienst-Appliance und dem PCG. Siehe Einrichten einer IPSec-VPN-Sitzung.
Konfigurieren Sie BGP zwischen PCG und der Dienst-Appliance und kündigen Sie die VSIP in der Dienst-Appliance und die Standardroute (0.0.0.0/0) im PCG an. Siehe Konfigurieren von BGP und Route Redistribution.
Befolgen Sie diese Anweisungen für die anfängliche Einrichtung für den VPN-Datenverkehr von der Public Cloud zum lokalen System. Erstellen Sie einen VPN-Tunnel zwischen dem PCG und dem lokalen Edge oder Gateway. Siehe Einrichten von VPN im erzwungenen NSX-T Data Center-Modus.
Befolgen Sie diese Anweisungen im Rahmen der anfänglichen Einrichtung für beide Arten von Service Insertion. Erstellen Sie eine Standardauffangregel mit der geringstmöglichen Priorität, in der als Aktion Nicht umleiten festgelegt ist. Dadurch wird sichergestellt, dass keine Pakete an die VTI-Schnittstelle des PCG und die Dienst-Appliance umgeleitet werden. Siehe Einrichten von Umleitungsregeln.
Befolgen Sie diese Anweisungen bei Bedarf für jeden Service Insertion-Anwendungsfall.

Einrichten von Umleitungsregeln nach Abschluss der einmaligen Konfigurationen, um selektiven Datenverkehr von NSX-verwalteten Arbeitslast-VMs an die VSIP umzuleiten. Diese Regeln werden auf den Uplink-Port des PCG für die vertikale Service Insertion und auf die VTI-Schnittstelle des PCG für Datenverkehr in das lokale System angewendet.

Siehe Einrichten von Umleitungsregeln.