Alle Konfigurationen, die im Globaler Manager vorgenommen wurden, werden im Richtlinienmodus ausgeführt. Der Managermodus ist in NSX-Verbund nicht verfügbar.

Weitere Informationen zu den beiden Modi finden Sie unter NSX Manager.

Maximalwerte für die Konfiguration

Für eine NSX-Verbund-Umgebung gelten die folgenden Maximalwerte für die Konfiguration:
  • Für die meisten Konfigurationen weist der Lokaler Manager-Cluster dieselben Maximalwerte für die Konfiguration auf wie ein NSX Manager-Cluster. Gehen Sie zum VMware-Tool Maximalwerte für die Konfiguration und wählen Sie NSX aus.

    Wählen Sie für NSX die NSX-Verbund-Kategorie im VMware-Tool Maximalwerte für die Konfiguration für Ausnahmen und andere NSX-Verbund-spezifische Werte aus.

  • Für einen bestimmten Speicherort tragen die folgenden Konfigurationen zur maximalen Konfiguration bei:
    • Objekte, die im Lokaler Manager erstellten wurden.
    • Objekte, die im Globaler Manager erstellt wurden und den Speicherort im Span umfassen.

    Sie können die Kapazität und Nutzung auf jedem lokalen Manager anzeigen. Siehe Nutzung und Kapazität von Objektkategorien anzeigen.

Funktionsunterstützung

Beachten Sie, dass Service Insertion (Netzwerk-Introspektion) im NSX-Verbund nur unterstützt wird, wenn einer NSX-Verbund-Umgebung ein Globaler Manager (GM) unter den folgenden Bedingungen bereitgestellt wurde:
  • Die gesamte Service Insertion-bezogene Konfiguration, wie z. B. die Partnerdienstregistrierung, ‑bereitstellung und ‑nutzung, erfolgt über einen Lokaler Manager (LM).
  • Nur im LM konfigurierte Objekte werden mit Service Insertion verwendet. Dazu gehören Gruppen, Segmente und alle anderen Konstrukte. Service Insertion kann weder auf Arbeitslasten angewendet werden, die mit einem ausgeweiteten/globalen Segment verbunden sind, das über den GM definiert wurde, noch auf ein Segment, das mit einem logischen Router verbunden ist, der über den GM erstellt wurde. Über den Globaler Manager erstellte Gruppen sollten nicht innerhalb der Richtlinien für die Service Insertion-Umleitung verwendet werden.
Wichtig:
  • NSX-Verbund-Speicherorte müssen in Umgebungen ausgeführt werden, in denen Administratoren die vollständige Kontrolle über das Underlay-Fabric haben.
  • NSX-Verbund unterstützt aktuell keine Globaler Manager und Lokaler Manager, die auf VMware Cloud on AWS, VMware Cloud on Dell, Azure VMware Solution, Google Cloud VMware Engine, Oracle Cloud VMware Solution oder Alibaba VMware Cloud Service gehostet werden.
Nachdem Lokaler Manager bei Globaler Manager registriert wurde:
  • Sie können mit der Konfiguration auf Lokaler Manager fortfahren. Weitere Informationen finden Sie unter Grundlegendes zu NSX-Verbund.
  • Einige Objekte, die über Lokaler Manager konfiguriert wurden, können Optionen/Einstellungen aufweisen, die Globaler Manager-Objekte sind. Sie können beispielsweise ein „LM_created-t1“ mit einem „GM_created-t0“ verbinden.
  • Einige über Lokaler Manager konfigurierte Objekte können nicht mit Optionen/Einstellungen konfiguriert werden, die Globaler Manager-Objekte sind. Sie können beispielsweise kein LM_created-Segment mit einem „GM_created-t0“ verbinden. Beachten Sie, dass Sie diese LM-Objekte nur über Lokaler Manager bearbeiten können. In Globaler Manager werden diese Objekte nicht angezeigt. Weitere Informationen finden Sie unter „Eigentümerschaft logischer Konfigurationen“ im NSX-T Multi-Location Design Guide für Ihre Version.

Die Tabelle „In NSX-Verbund unterstützte Funktionen“ beschreibt die in Globaler Manager verfügbaren Funktionen.

Tabelle 1. In NSX-Verbund unterstützte Funktionen
Funktion Details Verwandte Links
Tier-0-Gateway
  • Aktiv/Aktiv und Aktiv/Standby.
  • Nur Aktiv/Aktiv
Hinzufügen eines Tier-0-Gateways aus Globaler Manager
Tier-1-Gateway Hinzufügen eines Tier-1-Gateways aus Globaler Manager
Segmente Sie können die Layer-2-Bridge-Konfiguration von Globaler Manager einschließen. Hinzufügen eines Segments aus Globaler Manager und Konfigurieren von Bridging im globalen Manager
Gruppen Einige Einschränkungen. Siehe Sicherheit in NSX-Verbund. Erstellen von Gruppen in Globaler Manager
Verteilte Firewall Entwürfe der Sicherheitsrichtlinien sind im Globaler Manager verfügbar. Dies umfasst die Unterstützung für automatische und manuelle Entwürfe. Erstellen von Entwürfen in Globaler Manager
Firewall-Ausschlussliste Verfügbar. Verwalten einer Firewall-Ausschlussliste
Zeitbasierte Firewallregeln Verfügbar. Zeitbasierte Firewallrichtlinie
Gateway-Firewall Es werden nur Schicht-3- und Schicht-4-Regeln unterstützt. Erstellen von Gateway-Richtlinien und -Regeln in Globaler Manager
Netzwerkadressübersetzung (NAT)
  1. Tier-0-Gateway:
    • Aktiv-Aktiv: Sie können nur statusfreie NAT-Regeln konfigurieren, also mit dem Aktionstyp „Reflexiv“.

    • Aktiv-Standby: Sie können statusbehaftete oder statusfreie NAT-Regeln erstellen.

  2. Tier-1-Gateway:
    • Sie können statusbehaftete oder statusfreie NAT-Regeln erstellen.

    • Statusfreie NAT-Regeln werden an alle Speicherorte im Geltungsbereich des Gateways übertragen, es sei denn, ein oder mehrere Speicherorte werden speziell zugeordnet.
    • Statusbehaftete NAT-Regeln werden ebenfalls an alle Speicherorte im Geltungsbereich des Gateways oder an den speziellen, ausgewählten Speicherort übertragen. Allerdings werden statusbehaftete NAT-Regeln realisiert und nur am primären Speicherort durchgesetzt.
Konfigurieren von NSX NAT/DNAT/No SNAT/No DNAT/Reflexive NAT
DNS Siehe Hinzufügen eines NSX DNS-Weiterleitungsdiensts
DHCP und SLAAC
  • DHCP-Relay wird auf Segmenten und Gateways unterstützt.
  • DHCPv4-Server wird auf Gateways mit statischen, in Segmenten konfigurierten DHCP-Bindungen unterstützt.
  • Sie können IPv6-Adressen mithilfe von SLAAC mit DNS über RA zuweisen (DAD erkennt nur Duplikate innerhalb eines Speicherorts).
Verteilte Malware-Erkennung und verteilter Malware-Schutz Ab NSX 4.1.2:
  • Stellen Sie NSX Application Platform (NAPP) auf jedem Lokaler Manager im Verbund bereit.
  • Stellen Sie Malware-Schutz über die Benutzeroberfläche von Lokaler Manager bereit und verwalten Sie ihn.
  • Sie können Stretched- und Nicht-Stretched-Segmente für die Endpoints der virtuellen Maschine verwenden.
NSX IDS/IPS und NSX Malware Prevention
Netzwerkerkennung und -antwort Ab NSX 4.1.2:
  • Stellen Sie NAPP auf jedem Lokaler Manager im Verbund bereit.
  • Stellen Sie NSX Network Detection and Response (NDR) über die Lokaler Manager-Benutzeroberfläche bereit und verwalten Sie diese Funktion.
  • Sie können Stretched- und Nicht-Stretched-Segmente verwenden, um NDR-Ereignisse zu erfassen.
NSX Network Detection and Response
Verwenden von im Globaler Manager in einer Lokaler Manager-Konfiguration erstellten Objekten
  1. Die meisten Konfigurationen werden unterstützt. Beispiel:
    • Verbinden eines Lokaler Manager-Tier-1-Gateways mit einem Globaler Manager-Tier-0-Gateway.
    • Sie können eine Globaler Manager-Gruppe in einer verteilten Lokaler Manager-Firewallregel verwenden.
  2. Diese Konfigurationen werden nicht unterstützt:
    • Verbinden eines Lokaler Manager-Segments mit einem Globaler Manager-Tier-0- oder -Tier-1-Gateway.
    • Verbinden eines Load Balancers mit einem globaler Manager-Tier-1-Gateway.
Netzwerküberwachung
  • Erweiterte Kommunikationsüberwachung zwischen Lokaler Manager und Globaler Manager.
  • Traceflow über NSX-Instanzen im selben Verbund hinweg.
Zertifikate Ab NSX 4.1 werden selbstsignierte Lokaler Manager-Zertifikate nur dann generiert, wenn sich der Lokaler Manager in der NSX-Verbund-Umgebung befindet. Das Zertifikat wird gelöscht, wenn der Lokaler Manager aus der NSX-Verbund Umgebung verschoben wird. Zertifikate für NSX und NSX-Verbund
LDAP Authentifizieren Sie Globaler Manager-Benutzer mithilfe eines Verzeichnisdiensts, wie z. B. Active Directory über LDAP oder OpenLDAP. Integration mit LDAP
Sichern und Wiederherstellen Sicherung mit FQDN oder IP wird unterstützt. Sicherung und Wiederherstellung in NSX-Verbund
Benutzer Ab NSX 4.1 können Sie neue lokale Benutzer hinzufügen und Audit- und Gastbenutzer entfernen. Verwalten von lokalen Benutzerkonten
vMotion zwischen Speicherorten Tag-Replizierung über Speicherorte hinweg wird unterstützt.