À partir de VMware NSX-T Datacenter 2.5, deux plug-ins sont disponibles pour l'intégration d'OpenStack Neutron et NSX-T :
  • Le plug-in NSX-T Policy interagit avec le gestionnaire de stratégie NSX-T, à l'aide d'abstractions d'API basées sur l'intention. Il s'agit d'un nouveau plug-in qui est le choix recommandé pour les nouvelles installations.
  • Le plug-in NSX-T Manager interagit avec NSX-T Manager à l'aide d'API impératives. Il s'agit du plug-in NSX-T existant qui doit être utilisé pour les installations existantes, ainsi que pour les cas d'utilisation non encore couverts par le plug-in NSX-T Policy.
Tableau 1. Comparaison des fonctionnalités des plug-ins
Fonctionnalités de mise en réseau et de sécurité Plug-in NSX-T MP NSX-T Policy Description
Commutation
Prise en charge de sous-réseaux IP se chevauchant Oui Oui Chaque projet peut créer dynamiquement des réseaux privés pour celui-ci. Ces réseaux peuvent avoir des sous-réseaux IP qui se chevauchent.
DHCP Oui Oui Les instances disposent d'un adressage automatique via DHCP.
Liaison d'adresse IPv6 statique Non Oui
Routage
Routage logique Oui Oui Activez le routage entre plusieurs réseaux logiques privés, ainsi qu'entre un réseau logique et un réseau externe.
Routage logique IPv6 Non Oui Activez le routage entre plusieurs réseaux logiques IPv6 privés, ainsi qu'entre un réseau logique et un réseau externe.
Réseaux externes Oui Oui Réseaux qui fournissent un accès externe aux instances. Les réseaux privés seront liés au réseau externe via un routeur pour fournir un accès externe aux instances des réseaux privés.
Réseaux externes IPv6 Oui Oui Réseau externe avec IPv6.
Routes statiques Oui Oui Insère une route statique.
Routes statiques IPv6 Non Oui Réseau externe avec IPv6.
Adresse IP flottante pour les instances Oui Oui Attribuez des adresses IP publiques routables à des instances pour activer l'accès externe aux instances.
Routeur non-NAT Oui Oui Topologie de routage non-NAT.
Routeur non-NAT IPv6 Non Oui La topologie non-NAT est la seule topologie de routage prise en charge par OpenStack avec IPv6. La topologie NAT avec IPv6 n'est pas prise en charge.
Interfaces de pile double de routeur Neutron Non Oui Prise en charge de la pile double IPv4 et IPv6 sur les mêmes interfaces d'un routeur Neutron.
SLAAC IPv6 Non Oui Prise en charge de la configuration automatique d'adresse sans état.
Sécurité
Pare-feu - groupes de sécurité Oui Oui Groupes de sécurité OpenStack (utilisation de groupes de sécurité avec NSX, en plus des règles DFW créées à l'aide de ces groupes. Cela permet la microsegmentation.)
Pare-feu IPv6 (groupes de sécurité) Non Oui Groupe de sécurité Neutron avec IPv6.
Sécurité de port Oui Oui La sécurité du port Neutron est implémentée à l'aide des fonctionnalités SpoofGuard de NSX.
Sécurité du port IPv6 Non Oui La sécurité du port Neutron est implémentée à l'aide des fonctionnalités SpoofGuard de NSX. Cela permet d'effectuer un mappage de sous-réseau allowed_address_pairs et IPv6 à un port.
Pare-feu (FWaaS L3) Oui Oui
Pare-feu IPv6 (FWaaS L3) Non Oui
Autres services
Équilibrage de charge Oui Oui
Qualité de service Oui Oui
DNS Oui Oui
VPNaas Oui Non

Mises à niveau

Il n'y a aucun chemin de migration d'OpenStack Neutron avec le plug-in NSX-T Manager vers OpenStack Neutron avec le plug-in NSX-T Policy. Lors de la mise à niveau, les installations existantes doivent continuer à exécuter le plug-in NSX-T Manager. Un chemin de migration de NSX-T Manager vers NSX-T Policy sera disponible dans les versions ultérieures. Le plug-in NSX-T Policy est la solution recommandée pour les nouvelles installations, car il inclut des fonctionnalités uniques (IPv6). Par ailleurs, les nouvelles fonctionnalités ultérieures seront uniquement disponibles pour le plug-in NSX-T.