NSX VPC bietet Anwendungsbesitzern einen isolierten Bereich zum Hosten von Anwendungen und zum Nutzen von Netzwerk- und Sicherheitsobjekten mithilfe eines Self-Service-Nutzungsmodells.

Voraussetzungen

Ihnen muss eine der folgenden Rollen zugewiesen sein:
  • Projektadministrator
  • Enterprise-Administrator

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Erweitern Sie das Dropdown-Menü Projekt und wählen Sie dann das Projekt aus, dem Sie eine NSX VPC hinzufügen möchten.
  3. Klicken Sie auf die Registerkarte VPCs und dann auf VPC hinzufügen.
  4. (Erforderlich) Geben Sie einen Namen für die NSX VPC ein.
  5. Wählen Sie ein Tier-0- oder Tier-0-VRF-Gateway aus, das von den Arbeitslasten in der NSX VPC für die Nord-Süd-Konnektivität außerhalb dieser VPC verwendet werden kann.

    In diesem Dropdown-Menü werden nur die Tier-0- oder Tier-0-VRF-Gateways angezeigt, die dem Projekt bei dessen Erstellung zugewiesen wurden.

    Wenn kein Gateway ausgewählt ist, verfügen die Arbeitslasten in der NSX VPC nicht über Nord-Süd-Konnektivität.

  6. Konfigurieren Sie die Einstellungen für die IP-Zuweisung.
    1. Wählen Sie im Feld Externe IPv4-Blöcke die IPv4-Blöcke aus, die das System für öffentliche Subnetze in der NSX VPC verwenden kann.

      Die dem Projekt zugewiesenen externen IP-Blöcke können in der NSX VPC ausgewählt werden. Diese IPv4-Blöcke müssen von außerhalb der NSX VPC routingfähig sein. Sie können jeder NSX VPC in einem Projekt maximal fünf externe IPv4-Blöcke zuweisen.

      Die ausgewählten externen IPv4-Blöcke werden nur dann für öffentliche Subnetze verwendet, wenn die Option IP-Zuweisung während der Subnetzerstellung auf Automatisch festgelegt ist.

    2. Wählen Sie im Feld Private IPv4-Blöcke die IPv4-Blöcke aus, die das System für private Subnetze in dieser NSX VPC verwenden kann.

      Die IPv4-Blöcke, die im Projekt hinzugefügt werden und für die Sichtbarkeit auf Privat festgelegt ist, sind in der NSX VPC für die Auswahl verfügbar.

      Wenn keine IPv4-Blöcke zur Auswahl stehen, klicken Sie auf das Menü "Aktionen" und dann auf Neu erstellen, um einen privaten IPv4-Block hinzuzufügen.

      Die ausgewählten privaten IPv4-Blöcke werden nur für private Subnetze verwendet, wenn die Option IP-Zuweisung während der Subnetzerstellung auf Automatisch festgelegt ist.

      Sie müssen entweder externe IPv4-Blöcke oder private IPv4-Blöcke oder beides auswählen. Wenn keiner der beiden ausgewählt ist, wird beim Speichern der NSX VPC eine Fehlermeldung angezeigt.

    3. Wählen Sie unter DHCP eine der folgenden Optionen aus:
      Option Beschreibung
      Durch NSX Policy Management verwaltet Standardoption. Das System konfiguriert einen Segment-DHCP-Server für jedes Subnetz in der NSX VPC. Der DHCP-Server weist den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, dynamisch IP-Adressen zu.
      Extern

      Das System verwendet externe oder Remote-DHCP-Server, um den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, dynamisch IP-Adressen zuzuweisen. Sie können die IP-Adresse externer DHCP-Server im DHCP-Relay-Profil angeben, das Sie für die NSX VPC auswählen.

      Hinweis: Arbeitslasten in öffentlichen VPC-Subnetzen können IP-Adressen vom externen DHCP-Server empfangen. Derzeit können Arbeitslasten in privaten VPC-Subnetzen keine IP-Adressen vom externen DHCP-Server empfangen, es sei denn, der DHCP-Server selbst ist mit dem privaten oder öffentlichen VPC-Subnetz verbunden.

      Wählen Sie im Dropdown-Menü DHCP-Relay-Profil ein DHCP-Relay-Profil aus. Wenn kein DHCP-Relay-Profil verfügbar ist, klicken Sie auf das Menü "Aktionen", um ein neues DHCP-Relay-Profil zu erstellen.

      Weitere Informationen zum Hinzufügen eines DHCP-Relay-Profils finden Sie unter Hinzufügen eines NSX-DHCP-Relay-Profils.

      Die Konfiguration der externen DHCP-Server wird nicht von NSX verwaltet.

      Keine

      Das System konfiguriert DHCP nicht für die Subnetze in der NSX VPC

      In diesem Fall müssen Sie den Arbeitslast-VMs, die mit den Subnetzen in der NSX VPC verbunden sind, manuell IP-Adressen zuweisen.

  7. Wenn die DHCP-Konfiguration von NSX verwaltet wird, können Sie optional die IP-Adresse der DNS-Server eingeben.

    Bei fehlender Angabe wird den Arbeitslasten (DHCP-Clients), die an die Subnetze in der NSX VPC angehängt sind, kein DNS zugewiesen.

  8. Konfigurieren Sie die Diensteinstellungen.
    1. Standardmäßig ist die Option N-S-Dienste aktiviert. Bei Bedarf können Sie sie deaktivieren.

      Wenn diese Option aktiviert ist, bedeutet dies, dass ein Dienstrouter für die verbundenen Subnetze erstellt wird, um zentralisierte Dienste wie N-S-Firewall, NAT oder Gateway-QoS-Profil zu unterstützen.

      Wenn diese Option deaktiviert ist, wird nur ein verteilter Router erstellt.

      Vorsicht: Nachdem eine NSX VPC im System realisiert wurde, vermeiden Sie vorzugsweise die Deaktivierung der Option N-S-Dienste. Der Grund dafür liegt darin, dass die zentralisierten Dienste nicht in den Subnetzen der NSX VPC erzwungen werden. Beispielsweise werden Dienste wie N-S-Firewall, NAT usw. selbst dann nicht erzwungen, wenn sie in der NSX VPC konfiguriert sind.
    2. Wählen Sie im Dropdown-Menü Edge-Cluster einen Edge-Cluster aus, der der NSX VPC zugeordnet werden soll.

      Wenn dem Projekt keine Edge-Cluster zugewiesen sind, ist dieses Dropdown-Menü leer. Stellen Sie sicher, dass Sie dem Projekt mindestens einen Edge-Cluster zugewiesen haben, damit er beim Hinzufügen einer NSX VPC zur Auswahl steht.

      Der ausgewählte Edge-Cluster wird für die Ausführung zentraler Dienste in der NSX VPC wie NAT, DHCP und N-S-Firewall genutzt. Für diese Dienste muss der NSX VPC ein Edge-Cluster zugeordnet sein.

      Wenn DHCP auf Kein festgelegt und die Option N-S-Dienste deaktiviert ist, ist der Edge-Cluster optional.

    3. Standardmäßig ist die Option Ausgehende Standard NAT aktiviert. Bei Bedarf können Sie sie deaktivieren.

      Diese Option ist nur verfügbar, wenn die Option N-S-Dienste für die NSX VPC aktiviert ist.

      Wenn Ausgehende Standard NAT aktiviert ist, bedeutet dies, dass der Datenverkehr von den Arbeitslasten in den privaten Subnetzen außerhalb der NSX VPC weitergeleitet werden kann. Das System erstellt automatisch eine SNAT-Standardregel für die NSX VPC. Die übersetzte IP-Adresse für die SNAT-Regel wird aus dem externen IPv4-Block der NSX VPC übernommen.

      Hinweis: Nachdem eine NSX VPC im System realisiert wurde, vermeiden Sie vorzugsweise das Deaktivieren der Option Ausgehende Standard NAT. Der Grund dafür liegt darin, dass die Arbeitslasten in den privaten Subnetzen nicht mehr außerhalb der NSX VPC kommunizieren können.
    4. Verwenden Sie die Umschaltoption Standardregeln für horizontale Firewalls aktivieren, um anzugeben, ob Sie die standardmäßigen Regeln für horizontale Firewalls für diese NSX VPC ein- oder ausschalten möchten.

      Die Standardregeln für horizontale Firewalls lassen den gesamten ausgehenden Datenverkehr von den Arbeitslasten zu, die mit den Subnetzen in der NSX VPC verbunden sind, und verwerfen den gesamten eingehenden Datenverkehr zur VPC.

      Diese Umschaltoption kann nur bearbeitet werden, wenn Sie eine entsprechende Sicherheitslizenz in Ihrer NSX-Bereitstellung anwenden, die dem System die Berechtigung für die Sicherheitsfunktion der verteilten Firewall erteilt. Mit dieser Einstellung werden nur die Standardregeln für horizontale Firewalls für die NSX VPC ein-/ausgeschaltet. Die horizontale Firewall wird in der NSX VPC nicht ausgeschaltet.

      Wenn beispielsweise der Dienst für verteilte Firewalls auf Ihrer NSX-Plattform aktiviert ist, können Sie die Standardregeln für horizontale Firewalls der NSX VPC weiterhin deaktivieren. In diesem Fall werden die systemweiten Standardregeln für verteilte Firewalls, die im Standardspeicher konfiguriert sind, und die im Projekt konfigurierten Standardregeln für verteilte Firewalls auf die NSX VPC angewendet.

      In der folgenden Tabelle wird der Standardstatus der Umschaltoption Standardregeln für horizontale Firewalls aktivieren in der NSX VPC für verschiedene Szenarien erläutert. Der in dieser Tabelle verwendete Begriff „Basislizenz“ bezieht sich auf eine der beiden folgenden Lizenzen:

      • NSX Networking for VMware Cloud Foundation
      • Lösungslizenz für VCF
      Ser. No. Szenario Standardzustand der Umschaltoption Anmerkungen

      1

      Sie sind ein neuer NSX-Kunde und haben eine Basislizenz angewendet, die das System nun für NSX-Netzwerkfunktionen berechtigt.

      Aus

      Diese Umschaltoption kann nicht bearbeitet werden, da die aktuell angewendete Lizenz die Konfiguration von Sicherheitsregeln für horizontale (verteilte) Firewalls nicht unterstützt.

      Sie müssen die entsprechende Sicherheitslizenz im System anwenden und dann die Umschaltoption aktivieren, um die standardmäßigen Regeln für horizontale Firewalls in der NSX VPC zu aktivieren.

      2

      Sie sind ein neuer NSX-Kunde. Am Tag 0 haben Sie eine Basislizenz angewendet, die das System für NSX-Netzwerkfunktionen berechtigt. Sie haben auch eine geeignete Sicherheitslizenz angewendet, die das System für die Sicherheit der verteilten Firewall berechtigt.

      Ein

      Die Standardregeln für horizontale Firewalls sind für die NSX VPC aktiviert.

      Sie können sie bei Bedarf deaktivieren.

      3

      Sie sind ein neuer NSX-Kunde. Am Tag 0 haben Sie nur die Basislizenz angewendet, die das System lediglich für NSX-Netzwerkfunktionen berechtigt. Sie haben einige NSX VPCs zum System hinzugefügt, z. B. VPC A und B

      Während des Betriebs an Tag-2-Vorgängen haben Sie eine entsprechende Sicherheitslizenz angewendet, die das System für die Sicherheit der verteilten Firewall berechtigt.

      Nun haben Sie benutzerdefinierte Regeln für die horizontale Firewall in den vorhandenen VPCs A und B hinzugefügt und auch neue VPCs im Projekt erstellt, VPC C und D.

      Aus: für bereits vorhandene VPCs im Projekt

      Ein: für neue VPCs im Projekt

      In diesem Szenario bezieht sich der Begriff „bereits vorhandene VPCs“ auf NSX VPCs, die im Projekt vorhanden waren, bevor die Sicherheitslizenz am Tag 2 angewendet wurde. In diesem Szenario beziehen sie sich auf die VPCs A und B. Der Begriff „neue VPCs“ bezieht sich auf NSX VPCs, die im Projekt hinzugefügt werden, nachdem die Sicherheitslizenz an Tag 2 angewendet wurde. In diesem Szenario beziehen sie sich auf die VPCs C und D.

      Bei bereits vorhandenen VPCs A und B sieht das Systemverhalten wie folgt aus:

      Diese Umschaltoption befindet sich standardmäßig im Zustand „Aus“. Die benutzerdefinierten horizontalen Regeln sind in den VPCs A und B wirksam. Wenn Sie die standardmäßigen Regeln für horizontale Firewalls in diesen VPCs aktivieren möchten, öffnen Sie diese VPCs im Bearbeitungsmodus und aktivieren Sie diese Umschaltoption manuell. Wenn die Option aktiviert ist, kann sich dies jedoch auf das Verhalten des horizontalen Datenverkehrs in den VPCs A und B auswirken.

      Für die neuen VPCs C und D sieht das Systemverhalten wie folgt aus:

      Diese Umschaltoption hat standardmäßig den Status „Ein“. Für die VPCs C und D sind also die standardmäßigen Regeln für horizontale Firewalls standardmäßig aktiviert. Sie können sie bei Bedarf deaktivieren, sodass nur die benutzerdefinierten Regeln für horizontale Firewalls für diese VPCs wirksam sind.

      4

      Sie sind ein Bestandskunde von NSX mit einer Legacy-NSX-Lizenz, die Ihrem System vollständigen Zugriff auf DFW gewährt.

      Nach Ablauf der Legacy-Lizenz haben Sie eine Basislizenz angewendet, die Ihrem System die Berechtigung für NSX-Netzwerkfunktionen erteilt. Außerdem haben Sie eine Sicherheitslizenz angewendet, die Ihr System für Sicherheit durch verteilte Firewalls berechtigt.

      Ein

      Die standardmäßigen Regeln für horizontale Firewalls und benutzerdefinierte Regeln für horizontale Firewalls werden weiterhin in vorhandenen VPCs ausgeführt, die Sie vor der Umstellung auf die neue Lizenz erstellt haben. Es gibt keine Änderungen am Systemverhalten.

      Für alle neuen VPCs, die Sie nach der Umstellung der Lizenz hinzufügen, ist diese Umschaltoption standardmäßig aktiviert. Sie können sie bei Bedarf deaktivieren.

      5

      Sie sind ein Bestandskunde von NSX mit einer Legacy-NSX-Lizenz, die Ihrem System vollständigen Zugriff auf DFW gewährt. Sie haben zwei NSX VPCs zum System hinzugefügt, z. B. VPC A und B

      Nach Ablauf der aktuellen Legacy-Lizenz haben Sie die Basislizenz angewendet, die Ihrem System nur die Berechtigung für NSX-Netzwerkfunktionen erteilt. Die Sicherheitslizenz wird nicht angewendet.

      Nun haben Sie zwei neue NSX VPCs im System erstellt, VPC C und D.

      Ein: für bereits vorhandene VPCs im Projekt

      Aus: für neue VPCs im Projekt

      In diesem Szenario bezieht sich der Begriff „bereits vorhandene VPCs“ auf NSX VPCs, die dem System hinzugefügt wurden, als die Legacy-NSX-Lizenz gültig war. In diesem Szenario beziehen sie sich auf die VPCs A und B. Der Begriff „neue VPCs“ bezieht sich auf NSX VPCs, die im System hinzugefügt werden, nachdem die Basislizenz angewendet wurde. In diesem Szenario beziehen sie sich auf die VPCs C und D.

      Bei bereits vorhandenen VPCs A und B sieht das Systemverhalten wie folgt aus:

      Diese Umschaltoption hat standardmäßig den Status „Ein“. Sie können sie bei Bedarf deaktivieren. Diese Aktion kann jedoch nicht rückgängig gemacht werden. Das heißt, Sie können die standardmäßigen horizontalen Firewallregeln in den VPCs A und B nicht erneut aktivieren.

      Die standardmäßigen Regeln für horizontale Firewalls und die benutzerdefinierten Regeln für horizontale Firewalls werden weiterhin in den VPCs A und B ausgeführt. Sie können diese Regeln jedoch nicht bearbeiten. Sie können auch keine neuen Regeln für horizontale Firewalls hinzufügen. Sie können jedoch die vorhandenen benutzerdefinierten Firewallregeln löschen.

      Um vollständigen Zugriff auf die Regeln für verteilte Firewalls zu haben, müssen Sie eine entsprechende Sicherheitslizenz anwenden.

      Für die neuen VPCs C und D sieht das Systemverhalten wie folgt aus:

      Diese Umschaltoption hat standardmäßig den Zustand „Aus“. Sie können sie nicht einschalten, da die aktuell angewendete Lizenz dem System keine Berechtigung für die Funktion der verteilten Firewall erteilt.

      6

      Sie sind ein neuer NSX-Kunde und Ihr System hat in einen Testmodus gewechselt, der 60 Tage gültig ist.

      Aus

      Während des Testzeitraums einer neuen NSX-Bereitstellung ist das System nur für Netzwerkfunktionen berechtigt. Für die Sicherheitsfunktionen haben Sie keine Berechtigung.

    5. Wenn Sie möchten, dass die NSX VPC von NSX Advanced Load Balancer Controller erkannt wird, aktivieren Sie die Option Für NSX Advanced Load Balancer aktivieren.

      Diese Option ist standardmäßig deaktiviert. Wenn sie aktiviert ist, besteht die Möglichkeit, die NSX-Mehrmandantenfähigkeit auf NSX Advanced Load Balancer Controller zu erweitern. Dadurch wird auch die Konfiguration des Lastausgleichsdiensts in diesem Kontext ermöglicht.

      Sie können diese Option nur aktivieren, wenn die folgenden Bedingungen erfüllt sind:
      • Der NSX VPC ist mindestens ein privater IP-Adressblock zugewiesen.
      • Der NSX VPC ist mindestens ein Edge-Cluster zugewiesen.

      NSX VPC benötigt einen privaten IP-Block, da sich die IP des virtuellen Diensts (VIP) bzw. Lastausgleichsdiensts in einem privaten Subnetz befinden muss. Ein Edge-Cluster ist erforderlich, damit die NSX Advanced Load Balancer-Dienst-Engines IP-Adressen dynamisch vom DHCP-Server empfangen können.

      Weitere Informationen zum NSX Advanced Load Balancer finden Sie in der Dokumentation zu VMware NSX Advanced Load Balancer.

  9. Hängen Sie optional die folgenden Profile an, die von den Subnetzen in der NSX VPC verwendet werden:
    • QoS-Profil (N-S Egress Quality of Service)
    • N-S-Ingress-QoS-Profil
    • IP Discovery-Profil
    • SpoofGuard-Profil
    • Mac Discovery-Profil
    • Segmentsicherheitsprofil
    • QoS

    Weitere Informationen zum Zweck dieser Profile finden Sie unter Segmentprofile.

  10. Geben Sie im Textfeld Kurzer Protokollbezeichner eine Zeichenfolge ein, über die das System die Protokolle identifizieren kann, die im Kontext dieser NSX VPC VPC generiert werden.

    Dieser Bezeichner muss über alle NSX VPCs hinweg eindeutig sein. Der Bezeichner darf acht alphanumerische Zeichen nicht überschreiten.

    Wenn der Bezeichner nicht angegeben wird, generiert ihn das System automatisch, sobald Sie die NSX VPC speichern. Nachdem der Bezeichner festgelegt wurde, kann er nicht mehr geändert werden.

  11. Geben Sie optional eine Beschreibung für die NSX VPC ein.
  12. Klicken Sie auf Speichern.

Ergebnisse

Wenn eine NSX VPC erfolgreich erstellt wurde, erstellt das System implizit ein Gateway. Dieses implizite Gateway wird dem Projektadministrator jedoch im schreibgeschützten Modus angezeigt und ist für die NSX VPC-Benutzer nicht sichtbar.

Um das realisierte implizite Gateway anzuzeigen, kann ein Projektadministrator die folgenden Schritte ausführen:
  1. Navigieren Sie zu Netzwerk > Tier-1-Gateways.
  2. Aktivieren Sie unten auf der Seite Tier-1-Gateways das Kontrollkästchen VPC-Objekte.
  3. Erweitern Sie das Gateway, um die Konfiguration in einem schreibgeschützten Modus anzuzeigen.

    Die folgende Benennungskonvention wird für das implizite Gateway verwendet:

    _TIER1-VPC_Name

Der Lebenszyklus dieses impliziten Gateways wird vom System verwaltet. Beim Löschen einer NSX VPC wird das implizite Gateway automatisch gelöscht.

Wenn Sie die Option Ausgehende Standard NAT aktiviert haben, können Sie die vom System erstellte SNAT-Standardregel in der NSX VPC anzeigen. Führen Sie die folgenden Schritte aus:

  1. Erweitern Sie den Bereich Netzwerkdienste der NSX VPC.
  2. Klicken Sie auf die Anzahl neben NAT.
  3. Beachten Sie die NAT-Standardregel mit SNAT-Aktion für den privaten IPv4-Block in der NSX VPC. Diese NAT-Regel kann nicht bearbeitet werden. Wenn der NSX VPC mehrere private IPv4-Blöcke zugewiesen sind, wird für jeden privaten IPv4-Block eine NAT-Standardregel mit SNAT-Aktion erstellt.

    Beispiel:


    Diese Bildschirmaufnahme wird im umgebenden Text beschrieben.

    Die Quell-IP in der SNAT-Regel ist der private IPv4-Block der NSX VPC. In diesem Beispiel lautet sie 193.0.1.0/24. Die übersetzte IP für diese SNAT-Regel wird aus dem externen IPv4-Block der NSX VPC zugewiesen. In diesem Beispiel lautet sie 192.168.1.0.