In ihren öffentlichen Clouds werden einige Konfigurationen automatisch eingerichtet, nachdem Sie PCG bereitgestellt haben.
Alle Public Clouds und beide NSX-Verwaltungsmodi weisen einige gemeinsame automatische Konfigurationen auf. Andere Konfigurationen gelten entweder für die Public Cloud oder für den NSX-Verwaltungsmodus.
Spezifisch für AWS
Folgendes gilt speziell für AWS:
- In der AWS VPC wird ein neuer Typ A-Datensatz mit dem Namen nsx-gw.vmware.local in eine private gehostete Zone in Amazon Route 53 hinzugefügt. Die diesem Datensatz zugeordnete IP-Adresse entspricht der Management-IP-Adresse von PCG, die vom AWS unter Verwendung von DHCP zugewiesen wird und für jede VPC unterschiedlich ist. Dieser DNS-Eintrag in der privat gehosteten Zone in Amazon Route 53 wird von NSX Cloud zur Auflösung der IP-Adresse von PCG verwendet.
Hinweis: Wenn Sie benutzerdefinierte DNS-Domänennamen nutzen, die in einer privat gehosteten Zone in Amazon Route 53 definiert sind, müssen die DNS-Auflösung- und die DNS-Hostnamen-Attribute für Ihre VPC-Einstellungen im AWS auf Ja festgelegt sein.
-
Eine sekundäre IP-Adresse für die Uplink-Schnittstelle für PCG wird erstellt. Dieser sekundären IP-Adresse ist eine elastische AWS-IP-Adresse zugeordnet. Diese Konfiguration gilt für SNAT.
Spezifisch für Microsoft Azure
Folgendes gilt speziell für Microsoft Azure:
- Eine gemeinsame Ressourcengruppe wird pro Region und pro Abonnement erstellt. Sie wird wie folgt benannt: nsx-default-<region-name>-rg, zum Beispiel: nsx-default-westus-rg. Alle VNets in dieser Region verwenden diese Ressourcengruppe. Diese Ressourcengruppe und alle von NSX erstellten Sicherheitsgruppen mit einem Namen wie „default-<VNet-ID>-sg“ werden nicht aus der Microsoft Azure Region gelöscht, nachdem Sie ein VNet in dieser Region von NSX Cloud getrennt haben.
Üblich für beide Modi und alle Public Clouds
Folgendes wird in allen Public Clouds und für beide NSX-Verwaltungsmodi erstellt:
NSX-erzwungener Modus und
Native Cloud-erzwungener Modus :
-
Die gw-Sicherheitsgruppen werden auf die entsprechenden PCG-Schnittstellen in VPCs oder VNets angewendet.
Tabelle 1. Von NSX Cloud für PCG-Schnittstellen erstellte Public-Cloud-Sicherheitsgruppen Name der Sicherheitsgruppe Beschreibung gw-mgmt-sg Gateway-Management-Sicherheitsgruppe gw-uplink-sg Gateway-Uplink-Sicherheitsgruppe gw-vtep-sg Gateway-Downlink-Sicherheitsgruppe
Spezifisch für Native Cloud-erzwungener Modus
Die folgenden Sicherheitsgruppen werden bei der PCG-Bereitstellung im Native Cloud-erzwungener Modus erstellt.
Nachdem Arbeitslast-VMs mit Gruppen und entsprechenden Sicherheitsrichtlinien in
NSX Manager abgeglichen wurden, werden in der Public Cloud Sicherheitsgruppen wie
nsx-<GUID> für jede übereinstimmende Sicherheitsrichtlinie erstellt.
Hinweis: In AWS werden Sicherheitsgruppen erstellt. In Microsoft Azure werden Anwendungssicherheitsgruppen erstellt, die den Gruppen in
NSX Manager entsprechen. Zudem werden Netzwerksicherheitsgruppen erstellt, die den Sicherheitsrichtlinien in
NSX Manager entsprechen.
Name der Sicherheitsgruppe | Verfügbar in Microsoft Azure? | Verfügbar in AWS? | Beschreibung |
---|---|---|---|
default-vnet-<VNet-ID>-sg | Ja | Nein | Eine von NSX Cloud erstellte Sicherheitsgruppe in der allgemeinen Microsoft Azure-Ressourcengruppe für die Zuweisung zu VMs, die nicht mit einer Sicherheitsrichtlinie in NSX übereinstimmen. |
default | Nein | Ja | Eine bereits vorhandene Sicherheitsgruppe in AWS, die von NSX Cloud für die Zuweisung zu VMs verwendet wird, die nicht mit einer Sicherheitsrichtlinie in NSX übereinstimmen. |
vm-overlay-sg | Ja | Ja | Overlay-VM-Sicherheitsgruppe (diese wird in der aktuellen Version nicht verwendet) |
Spezifisch für NSX-erzwungener Modus
Die folgenden Sicherheitsgruppen werden für Arbeitslast-VMs erstellt, wenn Sie
PCG im
NSX-erzwungener Modus bereitstellen.
Name der Sicherheitsgruppe | Verfügbar in Microsoft Azure? | Verfügbar in AWS? | Beschreibung |
---|---|---|---|
default-vnet-<VNet-ID>-sg | Ja | Nein | Von NSX Cloud erstellte Sicherheitsgruppe in Microsoft Azure für Workflows zur Erkennung von Bedrohungen im NSX-erzwungener Modus |
default | Nein | Ja | Eine vorhandene Sicherheitsgruppe in AWS, die von NSX Cloud für Workflows zur Erkennung von Bedrohungen im NSX-erzwungener Modus verwendet wird |
vm-underlay-sg | Ja | Ja | Underlay-VM-Sicherheitsgruppe |
vm-overlay-sg | Ja | Ja | Overlay-VM-Sicherheitsgruppe (diese wird in der aktuellen Version nicht verwendet) |