Une zone de transport est un conteneur qui définit la portée potentielle des nœuds de transport. Les nœuds de transport sont des hôtes d'hyperviseur et des dispositifs NSX Edge qui participent à une superposition NSX-T Data Center. Pour un hôte d'hyperviseur, cela signifie héberger les machines virtuelles qui communiquent sur les commutateurs logiques NSX-T Data Center. Pour un dispositif NSX Edge, cela signifie détenir toutes les liaisons montantes et descendantes du routeur logique.

Lorsque vous créez une zone de transport, vous devez spécifier un mode N-VDS, soit Standard, soit Chemin de données amélioré. Lorsque vous ajoutez un nœud de transport à une zone de transport, le N-VDS associé à la zone de transport est installé sur le nœud de transport. Chaque zone de transport prend en charge un seul N-VDS. Un chemin de données N-VDS amélioré dispose des performances nécessaires pour prendre en charge les charges de travail NFV (Network Functions Virtualization, réseau de fonctions de virtualisation), ainsi que les réseaux VLAN et de superposition, et requiert un hôte ESXi prenant en charge le N-VDS à chemin de données amélioré.

Un nœud de transport peut appartenir à :

  • Plusieurs zones de transport VLAN.

  • Au maximum une zone de transport de superposition avec un N-VDS standard.

  • Plusieurs zones de transport de superposition avec un N-VDS à chemin de données avancé si le nœud de transport est exécuté sur un hôte ESXi.

Si deux nœuds de transport se trouvent dans la même zone de transport, les machines virtuelles hébergées sur ces nœuds de transport peuvent être attachées aux commutateurs logiques NSX-T Data Center de cette zone de transport. Ce rattachement permet aux machines virtuelles de communiquer entre elles, en admettant que celles-ci soient accessibles via la couche 2/couche 3. Si les machines virtuelles sont attachées à des commutateurs qui sont dans des zones de transport différentes, elles ne peuvent pas communiquer entre elles. Les zones de transport ne remplacent pas les exigences en matière d'accessibilité de sous-couche de la couche 2/couche 3, mais elles limitent l'accessibilité. En d'autres termes, l'appartenance à une même zone de transport est une condition préalable à la connectivité. Une fois que cette condition préalable est remplie, l'accessibilité est possible, mais elle n'est pas automatique. Pour que l'accessibilité soit effective, la mise en réseau de sous-couche de la couche 2 et (pour d'autres sous-réseaux) de la couche 3 doit être opérationnelle.

Supposons qu'un nœud de transport contient à la fois des machines virtuelles classiques et des machines virtuelles hautement sécurisées. Dans votre architecture réseau, les machines virtuelles classiques doivent pouvoir communiquer entre elles sans toutefois être en mesure d'atteindre les machines virtuelles hautement sécurisées. Pour ce faire, vous pouvez placer les machines virtuelles sécurisées sur les hôtes qui appartiennent à une même zone de transport nommée secure-tz. Les machines virtuelles standard et sécurisées ne peuvent pas être sur le même nœud de transport. Les machines virtuelles sont alors placées sur une zone de transport différente nommée general-tz. Les machines virtuelles classiques sont attachées à un commutateur logique NSX-T Data Center qui se trouve également dans la zone general-tz. Les machines virtuelles hautement sécurisées sont attachées à un commutateur logique NSX-T Data Center qui se trouve dans la zone secure-tz. Les machines virtuelles qui se trouvent dans des zones de transport différentes ne peuvent pas communiquer entre elles, même si elles sont sur le même sous-réseau. Finalement, c'est la connexion machine virtuelle vers commutateur logique qui contrôle l'accessibilité des machines virtuelles. Ainsi, les deux commutateurs logiques étant dans des zones de transport distinctes, les « machines virtuelles Web » et les « machines virtuelles sécurisées » ne peuvent pas communiquer entre elles.

Par exemple, le schéma suivant présente un dispositif NSX Edge qui appartient à trois zones de transport : deux zones de transport VLAN et une zone de transport de superposition 2. La zone de transport de superposition 1 contient un hôte, un commutateur logique NSX-T Data Center et une machine virtuelle sécurisée. Le dispositif NSX Edge n'appartenant pas à la zone de transport de superposition 1, la machine virtuelle sécurisée n'a pas accès à l'architecture physique. En revanche, la machine virtuelle Web qui se trouve dans la zone de transport de superposition 2 peut communiquer avec l'architecture physique parce que le dispositif NSX Edge appartient à la zone de transport de superposition 2.

Chiffre 1. Zones de transport NSX-T Data Center