Des entités NSX-T Data Center essentielles sont créées et configurées dans NSX Manager, et des groupes de sécurité sont créés dans votre cloud public après que PCG est déployé avec succès.

Configurations de NSX Manager

Les entités suivantes sont automatiquement créées dans NSX Manager :

  • Un nœud Edge nommé Passerelle de cloud public (PCG) est créé.

  • PCG est ajouté au cluster Edge. Dans un déploiement HA, il y a deux PCG.

  • Le PCG (ou les PCG) est enregistré comme nœud de transport avec deux zones de transport créées.

  • Deux commutateurs logiques par défaut sont créés.

  • Un routeur logique de niveau 0 est créé.

  • Un profil de découverte IP est créé. Il est utilisé pour les commutateurs logiques de superposition.

  • Un profil DHCP est créé. Il est utilisé pour les serveurs DHCP.

  • Un groupe NS par défaut appelé PublicCloudSecurityGroup est créé avec les membres suivants :

    • Le commutateur logique VLAN par défaut.

    • Les ports logiques, un pour chacun des ports de liaison montante PCG, si la fonctionnalité HA est activée.

    • Adresse IP

  • Trois règles DFW (Default Distributed Firewall) sont créées :

    • LogicalSwitchToLogicalSwitch

    • LogicalSwitchToAnywhere

    • AnywhereToLogicalSwitch

    Note:

    Ces règles DFW bloquent tout le trafic et doivent être ajustées en fonction de vos besoins spécifiques.

Vérifiez ces configurations dans NSX Manager :

  1. Dans le tableau de bord NSX Cloud, cliquez sur NSX Manager.

  2. Accédez à Infrastructure > Nœuds > Edge. La passerelle de cloud public doit être répertoriée comme un nœud Edge.

  3. Vérifiez que État de déploiement, Gestionnaire de connexion et Connexion du contrôleur sont connectés (l'état indique Actif avec un point vert).

  4. Accédez à Infrastructure > Nœuds > Clusters Edge pour vérifier que le cluster Edge et PCG ont été ajoutés comme partie intégrante de ce cluster.

  5. Accédez à Infrastructure > Nœuds > Nœuds de transport pour vérifier que PCG est enregistré comme nœud de transport et est connecté à deux zones de transport qui ont été créés automatiquement lors du déploiement de PCG :

    • Type de trafic VLAN -- il se connecte à la liaison montante PCG

    • Type de superposition de trafic -- il s'agit de la mise en réseau logique de superposition

  6. Vérifiez que les commutateurs logiques et le routeur logique de niveau 0 ont été créés et que le routeur logique est ajouté au cluster Edge.

Important:

Ne supprimez pas les entités créées par NSX.

Configurations de cloud public

Dans AWS :

  • Dans le VPC AWS, un nouvel ensemble d'enregistrements de type A est ajouté sous le nom nsx-gw.vmware.local. L'adresse IP mappée à cet enregistrement correspond à l'adresse IP de gestion de PCG. Elle est attribuée par AWS à l'aide de DHCP et est différente pour chaque VPC.

  • Une adresse IP secondaire pour l'interface de liaison montante pour PCG est créée. Une adresse IP élastique AWS est associée à cette adresse IP secondaire. Cette configuration est destinée à SNAT.

Dans AWS et Microsoft Azure :

Les groupes de sécurité gw sont appliqués aux interfaces PCG respectives.

Tableau 1. Groupes de sécurité de cloud public créés par NSX Cloud pour les interfaces PCG

Nom du groupe de sécurité

Disponible dans Microsoft Azure ?

Disponible dans AWS ?

Nom complet

gw-mgmt-sg

Oui

Oui

Groupe de sécurité de gestion de passerelle

gw-uplink-sg

Oui

Oui

Groupe de sécurité de liaison montante de passerelle

gw-vtep-sg

Oui

Oui

Groupe de sécurité de liaison descendante de passerelle

Tableau 2. Groupes de sécurité de cloud public créés par NSX Cloud pour les machines virtuelles de charge de travail

Nom du groupe de sécurité

Disponible dans Microsoft Azure ?

Disponible dans AWS ?

Description

quarantine

Oui

Non

Groupe de sécurité de quarantaine pour Microsoft Azure

default

Non

Oui

Groupe de sécurité de quarantaine pour AWS

vm-underlay-sg

Oui

Oui

Groupe de sécurité de non-superposition de VM

vm-override-sg

Oui

Oui

Groupe de sécurité de remplacement de VM

vm-overlay-sg

Oui

Oui

Groupe de sécurité réseau de superposition de VM (non utilisé dans la version actuelle)

vm-outbound-bypass-sg

Oui

Oui

Groupe de sécurité de contournement sortant de VM (non utilisé dans la version actuelle)

vm-inbound-bypass-sg

Oui

Oui

Groupe de sécurité de contournement entrant de VM (non utilisé dans la version actuelle)