Hinzufügen einer NSX VPC

NSX VPC bietet Anwendungsbesitzern einen isolierten Bereich zum Hosten von Anwendungen und zum Nutzen von Netzwerk- und Sicherheitsobjekten mithilfe eines Self-Service-Nutzungsmodells.

Voraussetzungen

Ihnen muss eine der folgenden Rollen zugewiesen sein:

Projektadministrator
Enterprise-Administrator

Prozedur

Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
Erweitern Sie das Dropdown-Menü Projekt und wählen Sie dann das Projekt aus, dem Sie eine NSX VPC hinzufügen möchten.
Klicken Sie auf die Registerkarte VPCs und dann auf VPC hinzufügen.
(Erforderlich) Geben Sie einen Namen für die NSX VPC ein.
Wählen Sie im Dropdown-Menü Tier-0-/VRF-Gateways ein Tier-0- oder Tier-0-VRF-Gateway aus, das von den Arbeitslasten für die Nord-Süd-Konnektivität außerhalb dieser NSX VPC verwendet werden kann.

In diesem Dropdown-Menü werden nur die Tier-0- oder Tier-0-VRF-Gateways angezeigt, die dem Projekt bei dessen Erstellung zugewiesen wurden.

Wenn kein Gateway ausgewählt ist, verfügen die Arbeitslasten in der NSX VPC nicht über Nord-Süd-Konnektivität.

Konfigurieren Sie die Einstellungen für die IP-Zuweisung.

Wählen Sie im Feld Externe IPv4-Blöcke die IPv4-Blöcke aus, die das System für öffentliche Subnetze in der NSX VPC verwenden kann.

Die dem Projekt zugewiesenen externen IP-Blöcke können in der NSX VPC ausgewählt werden. Diese IPv4-Blöcke müssen von außerhalb der NSX VPC routingfähig sein.

Die ausgewählten externen IPv4-Blöcke werden nur dann für öffentliche Subnetze verwendet, wenn die Option IP-Zuweisung während der Subnetzerstellung auf Automatisch festgelegt ist.
Wählen Sie im Feld Private IPv4-Blöcke die IPv4-Blöcke aus, die das System für private Subnetze in dieser NSX VPC verwenden kann.

Die IPv4-Blöcke, die im Projekt hinzugefügt werden und für die Sichtbarkeit auf Privat festgelegt ist, sind in der NSX VPC für die Auswahl verfügbar.

Wenn keine IPv4-Blöcke zur Auswahl stehen, klicken Sie auf das und dann auf Neu erstellen, um einen privaten IPv4-Block hinzuzufügen.

Die ausgewählten privaten IPv4-Blöcke werden nur für private Subnetze verwendet, wenn die Option IP-Zuweisung während der Subnetzerstellung auf Automatisch festgelegt ist.

Sie müssen entweder externe IPv4-Blöcke oder private IPv4-Blöcke oder beides auswählen. Wenn keiner der beiden ausgewählt ist, wird beim Speichern der NSX VPC eine Fehlermeldung angezeigt.

Wählen Sie unter DHCP eine der folgenden Optionen aus:

Option	Beschreibung
Verwaltet von NSX	Standardoption. Das System konfiguriert einen Segment-DHCP-Server für jedes Subnetz in der NSX VPC. Der DHCP-Server weist den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, dynamisch IP-Adressen zu.
Extern	Das System verwendet externe oder Remote-DHCP-Server, um den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, dynamisch IP-Adressen zuzuweisen. Sie können die IP-Adresse externer DHCP-Server im DHCP-Relay-Profil angeben, das Sie für die NSX VPC auswählen. Hinweis: Arbeitslasten in öffentlichen VPC-Subnetzen können IP-Adressen vom externen DHCP-Server empfangen. Derzeit können Arbeitslasten in privaten VPC-Subnetzen keine IP-Adressen vom externen DHCP-Server empfangen, es sei denn, der DHCP-Server selbst ist mit dem privaten oder öffentlichen VPC-Subnetz verbunden. Wählen Sie im Dropdown-Menü DHCP-Relay-Profil ein DHCP-Relay-Profil aus. Wenn kein DHCP-Relay-Profil verfügbar ist, klicken Sie auf das um ein neues DHCP-Relay-Profil zu erstellen. Weitere Informationen zum Hinzufügen eines DHCP-Relay-Profils finden Sie unter Hinzufügen eines NSX-DHCP-Relay-Profils. Die Konfiguration der externen DHCP-Server wird nicht von NSX verwaltet.
Keine	Das System konfiguriert DHCP nicht für die Subnetze in der NSX VPC In diesem Fall müssen Sie den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, manuell IP-Adressen zuweisen.

Option

Beschreibung

Verwaltet von NSX

Standardoption. Das System konfiguriert einen Segment-DHCP-Server für jedes Subnetz in der NSX VPC. Der DHCP-Server weist den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, dynamisch IP-Adressen zu.

Extern

Das System verwendet externe oder Remote-DHCP-Server, um den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, dynamisch IP-Adressen zuzuweisen. Sie können die IP-Adresse externer DHCP-Server im DHCP-Relay-Profil angeben, das Sie für die NSX VPC auswählen.

Hinweis: Arbeitslasten in öffentlichen VPC-Subnetzen können IP-Adressen vom externen DHCP-Server empfangen. Derzeit können Arbeitslasten in privaten VPC-Subnetzen keine IP-Adressen vom externen DHCP-Server empfangen, es sei denn, der DHCP-Server selbst ist mit dem privaten oder öffentlichen VPC-Subnetz verbunden.

Wählen Sie im Dropdown-Menü DHCP-Relay-Profil ein DHCP-Relay-Profil aus. Wenn kein DHCP-Relay-Profil verfügbar ist, klicken Sie auf das Menü "Aktionen", um ein neues DHCP-Relay-Profil zu erstellen.

Weitere Informationen zum Hinzufügen eines DHCP-Relay-Profils finden Sie unter Hinzufügen eines NSX-DHCP-Relay-Profils.

Die Konfiguration der externen DHCP-Server wird nicht von NSX verwaltet.

Keine

Das System konfiguriert DHCP nicht für die Subnetze in der NSX VPC

In diesem Fall müssen Sie den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, manuell IP-Adressen zuweisen.

Wenn die DHCP-Konfiguration von NSX verwaltet wird, können Sie optional die IP-Adresse der DNS-Server eingeben.

Bei fehlender Angabe wird den Arbeitslasten (DHCP-Clients), die an die Subnetze in der NSX VPC angehängt sind, kein DNS zugewiesen.
Konfigurieren Sie die Diensteinstellungen.
1. Standardmäßig ist die Option N-S-Dienste aktiviert. Bei Bedarf können Sie sie deaktivieren.
  
  Wenn diese Option aktiviert ist, bedeutet dies, dass ein Dienstrouter für die verbundenen Subnetze erstellt wird, um zentralisierte Dienste wie N-S-Firewall, NAT oder Gateway-QoS-Profil zu unterstützen.
  
  Wenn diese Option deaktiviert ist, wird nur ein verteilter Router erstellt.
  
  Vorsicht: Nachdem eine NSX VPC im System realisiert wurde, vermeiden Sie vorzugsweise die Deaktivierung der Option N-S-Dienste. Der Grund dafür liegt darin, dass die zentralisierten Dienste nicht in den Subnetzen der NSX VPC erzwungen werden. Beispielsweise werden Dienste wie N-S-Firewall, NAT usw. selbst dann nicht erzwungen, wenn sie in der NSX VPC konfiguriert sind.
2. Standardmäßig ist die Option Standard NAT ausgehend aktiviert. Bei Bedarf können Sie sie deaktivieren.
  
  Diese Option ist nur verfügbar, wenn die Option N-S-Dienste für die NSX VPC aktiviert ist.
  
  Wenn Standard NAT ausgehend aktiviert ist, bedeutet dies, dass der Datenverkehr von den Arbeitslasten in den privaten Subnetzen außerhalb der NSX VPC weitergeleitet werden kann. Das System erstellt automatisch eine SNAT-Standardregel für die NSX VPC. Die übersetzte IP-Adresse für die SNAT-Regel wird aus dem externen IPv4-Block der NSX VPC übernommen.
  
  Hinweis: Nachdem eine NSX VPC im System realisiert wurde, vermeiden Sie vorzugsweise das Deaktivieren der Option Standard NAT ausgehend. Der Grund dafür liegt darin, dass die Arbeitslasten in den privaten Subnetzen nicht mehr außerhalb der NSX VPC kommunizieren können.
3. Wählen Sie im Dropdown-Menü Edge-Cluster einen Edge-Cluster aus, der der NSX VPC zugeordnet werden soll.
  
  Wenn dem Projekt keine Edge-Cluster zugewiesen sind, ist dieses Dropdown-Menü leer. Stellen Sie sicher, dass Sie dem Projekt mindestens einen Edge-Cluster zugewiesen haben, damit er beim Hinzufügen einer NSX VPC zur Auswahl steht.
  
  Der ausgewählte Edge-Cluster wird für die Ausführung zentraler Dienste in der NSX VPC wie NAT, DHCP und N-S-Firewall genutzt. Für diese Dienste muss der NSX VPC ein Edge-Cluster zugeordnet sein.
  
  Wenn DHCP auf Kein festgelegt und die Option N-S-Dienste deaktiviert ist, ist der Edge-Cluster optional.
4. Wenn Sie möchten, dass die NSX VPC von NSX Advanced Load Balancer Controller erkannt wird, aktivieren Sie die Option Für NSX Advanced Load Balancer aktivieren.
  Diese Option ist standardmäßig deaktiviert. Wenn sie aktiviert ist, besteht die Möglichkeit, die NSX-Mehrmandantenfähigkeit auf NSX Advanced Load Balancer Controller zu erweitern. Dadurch wird auch die Konfiguration des Lastausgleichsdiensts in diesem Kontext ermöglicht.
  Sie können diese Option nur aktivieren, wenn die folgenden Bedingungen erfüllt sind:
  - Der NSX VPC ist mindestens ein privater IP-Adressblock zugewiesen.
  - Der NSX VPC ist mindestens ein Edge-Cluster zugewiesen.
  NSX VPC benötigt einen privaten IP-Block, da sich die IP des virtuellen Diensts (VIP) bzw. Lastausgleichsdiensts in einem privaten Subnetz befinden muss. Ein Edge-Cluster ist erforderlich, damit die NSX Advanced Load Balancer-Dienst-Engines IP-Adressen dynamisch vom DHCP-Server empfangen können.
  
  Weitere Informationen zum NSX Advanced Load Balancer finden Sie in der Dokumentation zu VMware NSX Advanced Load Balancer.
Hängen Sie optional die folgenden Profile an, die von den Subnetzen in der NSX VPC verwendet werden:
- QoS-Profil (N-S Egress Quality of Service)
- N-S-Ingress-QoS-Profil
- IP Discovery-Profil
- SpoofGuard-Profil
- Mac Discovery-Profil
- Segmentsicherheitsprofil
- QoS
Weitere Informationen zum Zweck dieser Profile finden Sie unter Segmentprofile.
Geben Sie im Textfeld Kurzer Protokollbezeichner eine Zeichenfolge ein, über die das System die Protokolle identifizieren kann, die im Kontext der NSX VPC generiert werden.

Dieser Bezeichner muss über alle NSX VPCs hinweg eindeutig sein. Der Bezeichner darf acht alphanumerische Zeichen nicht überschreiten.

Wenn der Bezeichner nicht angegeben wird, generiert ihn das System automatisch, sobald Sie die NSX VPC speichern. Nachdem der Bezeichner festgelegt wurde, kann er nicht mehr geändert werden.
Geben Sie optional eine Beschreibung für die NSX VPC ein.
Klicken Sie auf Speichern.

Ergebnisse

Wenn eine NSX VPC erfolgreich erstellt wurde, erstellt das System implizit ein Gateway. Dieses implizite Gateway wird dem Projektadministrator jedoch im schreibgeschützten Modus angezeigt und ist für die NSX VPC-Benutzer nicht sichtbar.

Um das realisierte implizite Gateway anzuzeigen, kann ein Projektadministrator die folgenden Schritte ausführen:

Navigieren Sie zu Netzwerk > Tier-1-Gateways.
Aktivieren Sie unten auf der Seite Tier-1-Gateways das Kontrollkästchen VPC-Objekte.
Erweitern Sie das Gateway, um die Konfiguration in einem schreibgeschützten Modus anzuzeigen.
Die folgende Benennungskonvention wird für das implizite Gateway verwendet:
_TIER1-VPC_Name

Der Lebenszyklus dieses impliziten Gateways wird vom System verwaltet. Beim Löschen einer NSX VPC wird das implizite Gateway automatisch gelöscht.

Wenn Sie die Option Standard NAT ausgehend aktiviert haben, können Sie die vom System erstellte SNAT-Standardregel in der NSX VPC anzeigen. Führen Sie die folgenden Schritte aus:

Erweitern Sie den Bereich Netzwerkdienste der NSX VPC.
Klicken Sie auf die Anzahl neben NAT.
Beachten Sie die NAT-Standardregel mit SNAT-Aktion für den privaten IPv4-Block in der NSX VPC. Diese NAT-Regel kann nicht bearbeitet werden. Wenn der NSX VPC mehrere private IPv4-Blöcke zugewiesen sind, wird für jeden privaten IPv4-Block eine NAT-Standardregel mit SNAT-Aktion erstellt.
Beispiel:

Die Quell-IP in der SNAT-Regel ist der private IPv4-Block der NSX VPC. In diesem Beispiel lautet sie 193.0.1.0/24. Die übersetzte IP für diese SNAT-Regel wird aus dem externen IPv4-Block der NSX VPC zugewiesen. In diesem Beispiel lautet sie 192.168.1.0.