NSX Cloud unterstützt die Verwendung von Drittanbieterdiensten in Ihrer Public Cloud für NSX-verwaltete Arbeitslast-VMs im NSX-erzwungener Modus.
NSX Cloud unterstützt die Service Insertion für folgende Fälle:
- Vertikaler Datenverkehr von Arbeitslast-VMs über eine Dienst-Appliance, die in einer Transit-VPC oder einem Transit-VNet gehostet wird.
- VPN-Datenverkehr vom PCG zu einem lokalen Edge oder Gateway. Dieser Datenverkehr kann auch über eine Dienst-Appliance in eine Transit-VPC oder ein Transit-VNet weitergeleitet werden.
Im Folgenden erhalten Sie einen Überblick über die Konfigurationen, die Service Insertion für NSX-verwaltete Arbeitslast-VMs ermöglichen.
Häufigkeit | Aufgabe | Anweisungen |
---|---|---|
Befolgen Sie diese Anweisungen für die anfängliche Einrichtung, wenn Sie die Service Insertion für den vertikalen Datenverkehr einrichten möchten. | Einrichten der Dienst-Appliance in Ihrer Public Cloud vorzugsweise in einer Transit-VPC oder einem Transit-VNet, in dem das PCG bereitgestellt wird. | Weitere Informationen finden Sie in den Anweisungen zu Dienst-Appliances von Drittanbietern und zur Public Cloud. |
Registrieren des Drittanbieterdiensts bei NSX-T Data Center. | Siehe Erstellen der Dienstdefinition und eines entsprechenden virtuellen Endpoints. | |
Erstellen eines virtuellen Instanz-Endpoints des Diensts mithilfe einer /32 VSIP (Virtual Service IP), die nur zur Diensteinfügung von der Dienst-Appliance verwendet werden darf. Die VSIP sollte nicht mit dem CIDR-Bereich der VPCs oder VNets kollidieren. Diese VSIP wird über BGP beim PCG angekündigt. | Siehe Erstellen der Dienstdefinition und eines entsprechenden virtuellen Endpoints. | |
Erstellen eines IPSec-VPN-Tunnels zwischen der Dienst-Appliance und dem PCG. | Siehe Einrichten einer IPSec-VPN-Sitzung. | |
Konfigurieren Sie BGP zwischen PCG und der Dienst-Appliance und kündigen Sie die VSIP in der Dienst-Appliance und die Standardroute (0.0.0.0/0) im PCG an. | Siehe Konfigurieren von BGP und Route Redistribution. | |
Befolgen Sie diese Anweisungen für die anfängliche Einrichtung für den VPN-Datenverkehr von der Public Cloud zum lokalen System. | Erstellen Sie einen VPN-Tunnel zwischen dem PCG und dem lokalen Edge oder Gateway. | Siehe Einrichten von VPN im erzwungenen NSX-T Data Center-Modus. |
Befolgen Sie diese Anweisungen im Rahmen der anfänglichen Einrichtung für beide Arten von Service Insertion. | Erstellen Sie eine Standardauffangregel mit der geringstmöglichen Priorität, in der als Aktion Nicht umleiten festgelegt ist. Dadurch wird sichergestellt, dass keine Pakete an die VTI-Schnittstelle des PCG und die Dienst-Appliance umgeleitet werden. | Siehe Einrichten von Umleitungsregeln. |
Befolgen Sie diese Anweisungen bei Bedarf für jeden Service Insertion-Anwendungsfall. | Einrichten von Umleitungsregeln nach Abschluss der einmaligen Konfigurationen, um selektiven Datenverkehr von NSX-verwalteten Arbeitslast-VMs an die VSIP umzuleiten. Diese Regeln werden auf den Uplink-Port des PCG für die vertikale Service Insertion und auf die VTI-Schnittstelle des PCG für Datenverkehr in das lokale System angewendet. |
Siehe Einrichten von Umleitungsregeln. |