Agregar una VPC de NSX

VPC de NSX proporciona un espacio aislado para que los propietarios de aplicaciones alojen aplicaciones y usen objetos de redes y seguridad mediante un modelo de consumo de autoservicio.

Requisitos previos

Debe tener asignada una de estas funciones:

Administrador de proyecto
Administrador empresarial

Procedimiento

Desde su navegador, inicie sesión en NSX Manager en https://dirección-ip-de-nsx-manager.
Expanda el menú desplegable Proyecto y, a continuación, seleccione el proyecto en el que desea agregar una VPC de NSX.
Haga clic en la pestaña VPC y, a continuación, en Agregar VPC.
(Requerido) Introduzca un nombre para VPC de NSX.
En el menú desplegable Puertas de enlace de nivel 0/VRF, seleccione una puerta de enlace de nivel 0 o VRF de nivel 0 que las cargas de trabajo puedan utilizar para la conectividad de norte-sur fuera de esta VPC de NSX.

Este menú desplegable solo muestra las puertas de enlace VRF de nivel 0 o nivel 0 que se asignaron al proyecto cuando se creó el proyecto.

Si no se selecciona ninguna puerta de enlace, las cargas de trabajo de la VPC de NSX no tendrán conectividad norte-sur.

Configure las opciones de Asignación de IP.

En el campo Bloques de IPv4 externos, seleccione los bloques de IPv4 que el sistema puede utilizar para subredes públicas en la VPC de NSX.

Los bloques de IP externos que están asignados al proyecto están disponibles para su selección en la VPC de NSX. Estos bloques de IPv4 se deben poder enrutar desde fuera de la VPC de NSX.

Los bloques de IPv4 externos seleccionados se utilizan para subredes públicas solo cuando la opción Asignación de IP se establece como Automática durante la creación de la subred.
En el campo Bloques de IPv4 privados, seleccione los bloques de IPv4 que el sistema puede utilizar para subredes privadas en esta VPC de NSX.

Los bloques de IPv4 que se agregan al proyecto con la visibilidad establecida como Privado están disponibles para su selección en la VPC de NSX.

Si no hay bloques de IPv4 disponibles para su selección, haga clic en y, a continuación, en Crear nuevo para agregar un bloque de IPv4 privado.

Los bloques de IPv4 privados seleccionados se utilizan para subredes privadas solo cuando la opción Asignación de IP se establece como Automática durante la creación de la subred.

Debe seleccionar bloques de IPv4 externos, bloques de IPv4 privados o ambos. Si no se selecciona ninguno, se mostrará un mensaje de error al guardar la VPC de NSX.

En DHCP, seleccione una de estas opciones.

Opción	Descripción
Administrado por NSX	Opción predeterminada. El sistema configura un servidor DHCP de segmentos para cada subred de la VPC de NSX. El servidor DHCP asigna de forma dinámica direcciones IP a las máquinas virtuales de carga de trabajo que están conectadas a las subredes de la VPC de NSX.
Externo	El sistema usa servidores DHCP externos o remotos para asignar de forma dinámica direcciones IP a las máquinas virtuales de carga de trabajo que están conectadas a las subredes en la VPC de NSX. Puede especificar la dirección IP de los servidores DHCP externos en el perfil de retransmisión de DHCP que seleccione para la VPC de NSX. Nota: Solo las cargas de trabajo en subredes de VPC públicas pueden recibir direcciones IP del servidor DHCP externo. Actualmente, las cargas de trabajo en subredes de VPC privadas no pueden recibir direcciones IP del servidor DHCP externo a menos que el propio servidor DHCP esté conectado a la subred de VPC pública o privada. En el menú desplegable Perfil de DHCP, seleccione un perfil de retransmisión. Si no hay ningún perfil de retransmisión de DHCP disponible, haga clic en para crear un nuevo perfil de retransmisión de DHCP. Para obtener más información sobre cómo agregar un perfil de retransmisión de DHCP, consulte Agregar un perfil de retransmisión de DHCP de NSX. NSX no administra la configuración de los servidores DHCP externos.
Ninguno	El sistema no configura DHCP para las subredes de la VPC de NSX En este caso, debe asignar manualmente direcciones IP a las máquinas virtuales de carga de trabajo conectadas a las subredes de la VPC de NSX.

Opción

Descripción

Administrado por NSX

Opción predeterminada. El sistema configura un servidor DHCP de segmentos para cada subred de la VPC de NSX. El servidor DHCP asigna de forma dinámica direcciones IP a las máquinas virtuales de carga de trabajo que están conectadas a las subredes de la VPC de NSX.

Externo

El sistema usa servidores DHCP externos o remotos para asignar de forma dinámica direcciones IP a las máquinas virtuales de carga de trabajo que están conectadas a las subredes en la VPC de NSX. Puede especificar la dirección IP de los servidores DHCP externos en el perfil de retransmisión de DHCP que seleccione para la VPC de NSX.

Nota: Solo las cargas de trabajo en subredes de VPC públicas pueden recibir direcciones IP del servidor DHCP externo. Actualmente, las cargas de trabajo en subredes de VPC privadas no pueden recibir direcciones IP del servidor DHCP externo a menos que el propio servidor DHCP esté conectado a la subred de VPC pública o privada.

En el menú desplegable Perfil de DHCP, seleccione un perfil de retransmisión. Si no hay ningún perfil de retransmisión de DHCP disponible, haga clic en Menú Acciones para crear un nuevo perfil de retransmisión de DHCP.

Para obtener más información sobre cómo agregar un perfil de retransmisión de DHCP, consulte Agregar un perfil de retransmisión de DHCP de NSX.

NSX no administra la configuración de los servidores DHCP externos.

Ninguno

El sistema no configura DHCP para las subredes de la VPC de NSX

En este caso, debe asignar manualmente direcciones IP a las máquinas virtuales de carga de trabajo conectadas a las subredes de la VPC de NSX.

Si la configuración de DHCP está administrada por NSX, puede introducir opcionalmente la dirección IP de los servidores DNS.

Cuando no se especifica, no se asigna ningún DNS a las cargas de trabajo (clientes DHCP) asociadas a las subredes de la VPC de NSX.
Defina las opciones de Configuración de servicios.
1. La opción Servicios N-S está activada de forma predeterminada. Si es necesario, puede desactivarlo.
  
  Cuando esta opción está activada, se crea un enrutador de servicio para que las subredes conectadas admitan servicios centralizados, como firewall N-S, NAT o perfil de QoS de puerta de enlace.
  
  Cuando esta opción está desactivada, solo se crea el enrutador distribuido.
  
  Precaución: Después de realizar una VPC de NSX en el sistema, es preferible no desactivar la opción Servicios N-S. La razón es que los servicios centralizados no se aplicarán en las subredes de la VPC de NSX. Por ejemplo, servicios como el firewall N-S, NAT, etc., no se aplicarán aunque estén configurados en la VPC de NSX.
2. La opción NAT saliente predeterminada está activada de forma predeterminada. Si es necesario, puede desactivarlo.
  
  Esta opción solo está disponible cuando la opción Servicios N-S está activada para la VPC de NSX.
  
  Cuando la opción NAT saliente predeterminada está activada, el tráfico de las cargas de trabajo en las subredes privadas se puede enrutar fuera de la VPC de NSX. El sistema crea automáticamente una regla SNAT predeterminada para la VPC de NSX. La IP traducida para la regla SNAT se toma del bloque de IPv4 externo de la VPC de NSX.
  
  Nota: Después de realizar una VPC de NSX en el sistema, es preferible no desactivar la opción NAT saliente predeterminada. El motivo es que las cargas de trabajo de las subredes privadas ya no podrán comunicarse fuera de la VPC de NSX.
3. En el menú desplegable Clústeres de Edge, seleccione un clúster de Edge para asociarlo con la VPC de NSX.
  
  Si el proyecto no tiene asignados clústeres de Edge, este menú desplegable estará vacío. Asegúrese de haber asignado al menos un clúster de Edge al proyecto para que esté disponible para su selección al agregar una VPC de NSX.
  
  El clúster de Edge seleccionado se consume para ejecutar servicios centralizados en la VPC de NSX, como NAT, DHCP y el firewall N-S. Estos servicios requieren que se asocie un clúster de Edge con la VPC de NSX.
  
  Si DHCP está establecido en Ninguno y la opción Servicios N-S está desactivada, el clúster de Edge será opcional.
4. Si desea que NSX Advanced Load Balancer Controller detecte la VPC de NSX, active la opción Habilitar para NSX Advanced Load Balancer.
  De forma predeterminada, esta opción está desactivada. Cuando está activada, proporciona la capacidad de ampliar varios tenants de NSX a NSX Advanced Load Balancer Controller y, de esta forma, habilita la configuración del equilibrador de carga en este contexto.
  Puede activar esta opción solo cuando se cumplan las siguientes condiciones:
  - Se asignará al menos un bloque de direcciones IP privadas a la VPC de NSX.
  - Se asignará al menos un clúster de Edge a la VPC de NSX.
  La VPC de NSX requiere un bloque de direcciones IP privadas porque la IP del servicio virtual (VIP) del equilibrador de carga debe estar en una subred privada. Se requiere un clúster de Edge para que los motores de servicio de NSX Advanced Load Balancer puedan recibir direcciones IP dinámicamente desde el servidor DHCP.
  
  Para obtener más información sobre NSX Advanced Load Balancer, consulte la Documentación de VMware NSX Advanced Load Balancer.
De forma opcional, asocie los siguientes perfiles que utilizarán las subredes en la VPC de NSX:
- Perfil de calidad de servicio (QoS) de salida N-S
- Perfil de calidad de servicio de entrada N-S
- Perfil de detección de IP
- Perfil de SpoofGuard
- Perfil de detección de MAC
- Perfil de seguridad de segmentos
- Calidad de servicio
Para obtener más información sobre el propósito de estos perfiles, consulte Perfiles de segmentos.
En el cuadro de texto Identificador de registro corto, introduzca una cadena que el sistema pueda utilizar para identificar los registros que se generan en el contexto de la VPC de NSX.

Este identificador debe ser único en todas las VPC de NSX. El identificador no debe superar los ocho caracteres alfanuméricos.

Si no se especifica el identificador, el sistema lo generará automáticamente al guardar la VPC de NSX. Después de establecer el identificador, no podrá modificarlo.
De forma opcional, introduzca una descripción para la VPC de NSX.
Haga clic en Guardar.

Resultados

Cuando se crea una VPC de NSX, el sistema crea implícitamente una puerta de enlace. Sin embargo, esta puerta de enlace implícita se muestra al administrador de proyecto en modo de solo lectura y no es visible para los usuarios de la VPC de NSX.

Para ver la puerta de enlace implícita realizada, un administrador de proyecto puede hacer lo siguiente:

Desplácese hasta Redes > Puertas de enlace de nivel 1.
Haga clic en la casilla de verificación Objetos de VPC en la parte inferior de la página Puertas de enlace de nivel 1.
Expanda la puerta de enlace para ver la configuración en modo de solo lectura.
La siguiente convención de nomenclatura se utiliza para la puerta de enlace implícita:
_TIER1-Nombre_VPC

El sistema administra el ciclo de vida de esta puerta de enlace implícita. Cuando se elimina una VPC de NSX, la puerta de enlace implícita se elimina automáticamente.

Si habilitó la opción NAT saliente predeterminada, puede ver la regla SNAT predeterminada creada por el sistema en la VPC de NSX. Realice estos pasos:

Expanda la sección Servicios de red de la VPC de NSX.
Haga clic en el número que aparece junto a NAT.
Observe la regla NAT predeterminada con la acción SNAT para el bloque de IPv4 privado en la VPC de NSX. Esta regla NAT no se puede editar. Si a VPC de NSX se le asignan varios bloques de IPv4 privados, se creará una regla NAT predeterminada con la acción SNAT para cada bloque de IPv4 privado.
Por ejemplo:

La IP de origen en la regla SNAT es el bloque de IPv4 privado de la VPC de NSX. En este ejemplo, es 193.0.1.0/24. La IP traducida para esta regla SNAT se asigna desde el bloque de IPv4 externo de la VPC de NSX. En este ejemplo, es 192.168.1.0.