Las entidades esenciales de NSX Manager se crean y se configuran en NSX-T Data Center, mientras que los grupos de seguridad se crean en la nube pública después de implementar PCG correctamente.

Configuraciones de NSX Manager

Las siguientes entidades se crean automáticamente en NSX Manager:

  • Se crea un nodo de Edge con el nombre Puerta de enlace de nube pública (PCG).

  • La puerta de enlace PCG se agrega al clúster de Edge. En una implementación de alta disponibilidad, hay dos instancias de PCG.

  • La(s) instancia(s) de PCG (PCG) se registra(n) como un nodo de transporte con dos zonas de transporte creadas.

  • Se crean dos conmutadores lógicos predeterminados.

  • Se crea un enrutador lógico de nivel 0.

  • Se crea un perfil de detección de IP. Esto se usa para los conmutadores lógicos de superposición.

  • Se crea un perfil de DHCP. Esto se usa para los servidores DHCP.

  • Se crea un grupo NSGroup predeterminado con el nombre PublicCloudSecurityGroup y con los siguientes miembros:

    • El conmutador lógico de VLAN predeterminado

    • Puertos lógicos, uno por puerto de vínculo superior de PCG, si HA está habilitada.

    • Dirección IP

  • Se crean tres reglas de firewall distribuido predeterminadas:

    • LogicalSwitchToLogicalSwitch

    • LogicalSwitchToAnywhere

    • AnywhereToLogicalSwitch

    Nota:

    Estas reglas de DFW bloquean todo el tráfico y se deben ajustar según sus requisitos específicos.

Verifique estas configuraciones en NSX Manager:

  1. Desde el panel de control de NSX Cloud, haga clic en NSX Manager.

  2. Desplácese hasta Tejido > Nodos > Edge. La puerta de enlace de nube pública debería aparecer como un nodo de Edge.

  3. Verifique que el estado de la implementación, la conexión del administrador y la conexión del controlador estén conectados (el estado debe mostrar el mensaje Activo con un punto verde).

  4. Desplácese hasta Tejido > Nodos > Clústeres de Edge para verificar que el clúster de Edge y PCG se hayan agregado como parte de este clúster.

  5. Desplácese hasta Tejido > Nodos > Nodos de transporte para verificar que PCG esté registrado como nodo de transporte y esté conectado a dos zonas de transporte que se crearon automáticamente al implementar PCG:

    • Tipo de tráfico VLAN: se conecta al vínculo superior de PCG

    • Tipo de tráfico de superposición: para redes lógicas de superposición

  6. Verifique si se crearon los conmutadores lógicos y el enrutador lógico de nivel 0, y si se agregó el enrutador lógico al clúster de Edge.

Importante:

No elimine ninguna de las entidades creadas por NSX.

Configuraciones de nube pública

En AWS:

  • En la VPC de AWS, se agrega un nuevo conjunto de registros tipo A con el nombre nsx-gw.vmware.local. La dirección IP asignada a este registro coincide con la dirección IP de administración de PCG. Fue asignada por AWS a través de DHCP y es diferente para cada VPC.

  • Se crea una dirección IP secundaria para la interfaz de vínculo superior de PCG. Una dirección IP elástica de AWS se asocia con esta dirección IP secundaria. Esta configuración es para SNAT.

En AWS y Microsoft Azure:

Los grupos de seguridad gw se aplican a las respectivas interfaces de PCG.

Tabla 1. Grupos de seguridad de nube pública creados por NSX Cloud para interfaces de PCG

Nombre del grupo de seguridad

¿Disponible en Microsoft Azure?

¿Disponible en AWS?

Nombre completo

gw-mgmt-sg

Grupo de seguridad de administración de puerta de enlace

gw-uplink-sg

Grupo de seguridad de vínculo superior de puerta de enlace

gw-vtep-sg

Grupo de seguridad de vínculo inferior de puerta de enlace

Tabla 2. Grupos de seguridad de nube pública creados por NSX Cloud para máquinas virtuales de carga de trabajo

Nombre del grupo de seguridad

¿Disponible en Microsoft Azure?

¿Disponible en AWS?

Descripción

cuarentena

No

Grupo de seguridad de cuarentena para Microsoft Azure

default

No

Grupo de seguridad de cuarentena para AWS

vm-underlay-sg

Grupo de seguridad que no es de máquina virtual de superposición

vm-override-sg

Grupo de seguridad de anulación de máquina virtual

vm-overlay-sg

Grupo de seguridad de máquina virtual de superposición (no se utiliza en la versión actual)

vm-outbound-bypass-sg

Grupo de seguridad de omisión saliente de máquina virtual (no se utiliza en la versión actual)

vm-inbound-bypass-sg

Grupo de seguridad de omisión entrante de máquina virtual (no se utiliza en la versión actual)