NSX Public Cloud Gateway : architecture et modes de déploiement

La NSX Public Cloud Gateway (PCG) fournit une connectivité nord-sud entre le cloud public et les composants de gestion sur site de NSX-T Data Center.

Familiarisez-vous avec la terminologie suivante qui explique les modes d'architecture et de déploiement de la PCG pour la gestion des machines virtuelles de charge de travail.

Note : Le PCG est déployé dans une taille par défaut unique pour chaque cloud public pris en charge :

Cloud public	Type d'instance PCG
AWS	c5.xlarge. Certaines régions peuvent ne pas prendre en charge ce type d'instance. Pour plus d'informations, reportez-vous à la documentation d'AWS. Note : Si vous voyez des alertes d'utilisation de CPU élevées avec ce type d'instance, redimensionnez les instances de PCG à c5.2xlarge. Si vous disposez d'une paire haute disponibilité d'instances de PCG, redimensionnez d'abord la PCG en veille en l'arrêtant, en la redimensionnant et en le redémarrant. Arrêtez la PCG actuellement active et attendez que la PCG en veille devienne active. Redimensionnez et redémarrez cette PCG et elle doit devenir active. Consultez la documentation d'AWS pour plus de détails sur le redimensionnement des types d'instances.
Microsoft Azure	Standard DS3 v.2

Cloud public

Type d'instance PCG

AWS

c5.xlarge.

Certaines régions peuvent ne pas prendre en charge ce type d'instance. Pour plus d'informations, reportez-vous à la documentation d'AWS.

Note : Si vous voyez des alertes d'utilisation de CPU élevées avec ce type d'instance, redimensionnez les instances de PCG à c5.2xlarge.

Si vous disposez d'une paire haute disponibilité d'instances de PCG, redimensionnez d'abord la PCG en veille en l'arrêtant, en la redimensionnant et en le redémarrant. Arrêtez la PCG actuellement active et attendez que la PCG en veille devienne active. Redimensionnez et redémarrez cette PCG et elle doit devenir active.

Consultez la documentation d'AWS pour plus de détails sur le redimensionnement des types d'instances.

Microsoft Azure

Standard DS3 v.2

Architecture

La PCG peut être un dispositif de passerelle autonome, ou bien être partagée entre vos réseaux virtuels ou VPC de cloud public, pour réaliser une topologie structurée en étoile.

Modes de déploiement

VPC/VNet autogéré : lorsque vous déployez la PCG dans un VPC ou VNet, ce dernier remplit les conditions pour devenir un VPC/VNet autogéré. Autrement dit, vous pouvez importer des machines virtuelles hébergées sur ce VPC ou VNet géré à l'aide de NSX.

VPC/VNet de transit : un VPC/VNet autogéré devient un VPC/VNet de transit lorsque vous le liez à des VPC/VNet de calcul.

VPC/VNet de calcul : les VPC/VNet dans lesquels la PCG n'est pas déployée, mais qui sont liés à un VPC/VNet de transit, sont appelés VPC/VNet de calcul.

Passerelle de transit AWS avec PCG : à partir de NSX-T Data Center 3.1.1, vous pouvez utiliser la passerelle de transit AWS pour connecter un VPC de transit avec des VPC de calcul. Pour plus d'informations, reportez-vous à la section Utilisation de PCG avec la passerelle de transit AWS.

Sous-réseaux requis dans votre VPC/VNet pour déployer PCG

La PCG utilise les sous-réseaux suivants que vous avez configurés dans votre VPC/VNet. Reportez-vous à la section Connecter Microsoft Azure avec NSX-T Data Center sur site ou Connecter AWS avec NSX-T Data Center sur site.

Sous-réseau de gestion : ce sous-réseau est utilisé pour le trafic de gestion entre NSX-T Data Center et PCG sur site. Exemple de plage : /28.
Sous-réseau de liaison montante : ce sous-réseau est utilisé pour le trafic internet nord-sud. Exemple de plage : /24.
Sous-réseau de liaison descendante : ce sous-réseau englobe la plage d'adresses IP de la machine virtuelle de charge de travail. Dimensionnez ce sous-réseau sans oublier que vous pouvez avoir besoin d'interfaces supplémentaires sur les machines virtuelles de charge de travail pour le débogage.

Le déploiement de PCG s'aligne sur votre plan d'adressage réseau avec des noms de domaine complets pour les composants NSX-T Data Center et un serveur DNS pouvant résoudre ces noms de domaine complets.

Note : Il est déconseillé d'utiliser des adresses IP pour établir une connexion entre le cloud public et NSX-T Data Center à l'aide de PCG, mais si vous le faites, vous ne devez pas modifier vos adresses IP.

Impact du mode de connectivité de cloud public et sur site sur la détection PCG de CSM

Après le déploiement de PCG dans votre cloud public, il doit interagir avec CSM comme interface de gestion de votre inventaire de cloud public. Pour vous assurer que PCG peut atteindre l'adresse IP de CSM, suivez ces directives :

Pour PCG déployé en mode IP privé (VGW) : PCG détecte CSM avec l'adresse IP CSM réelle ou avec l'une des adresses IP dans la plage de sous-réseau indiquée.

Figure 1. Architecture NSX Public Cloud Gateway avec connectivité VGW
Pour PCG déployé en mode d'adresse IP publique (IGW) : PCG peut détecter CSM à l'aide de l'adresse IP traduite NAT de CSM qui autorise l'accès à l'adresse IP réelle ou à la plage de sous-réseau pour CSM.

Figure 2. Architecture de passerelle de cloud public NSX avec connectivité IGW

Modes de gestion des machines virtuelles

Mode d'application NSX : dans ce mode, les machines virtuelles de charge de travail sont mises sous la gestion de NSX en installant NSX Tools sur chaque machine virtuelle de charge de travail à laquelle vous appliquez la balise nsx.network=default dans votre cloud public.

Mode d'application du Cloud natif : dans ce mode, les machines virtuelles de charge de travail peuvent être gérées par NSX sans le recours à NSX Tools.

Stratégie de mise en quarantaine

Stratégie de mise en quarantaine : il s'agit de la fonctionnalité de détection des menaces de NSX Cloud qui fonctionne avec vos groupes de sécurité de cloud public.

Dans le Mode d'application NSX, vous pouvez activer ou désactiver la stratégie de mise en quarantaine. Il est recommandé de désactiver la stratégie de mise en quarantaine et d'ajouter toutes vos machines virtuelles à la liste Géré par l'utilisateur lors de l'intégration de machines virtuelles de charge de travail.
Dans le Mode d'application du Cloud natif, la stratégie de mise en quarantaine est toujours activée et ne peut pas être désactivée.

Options de conception

Quel que soit le mode dans lequel vous déployez la PCG, vous pouvez la lier à un VPC/VNet de calcul dans n'importe quel mode.

Tableau 1. Options de conception avec les modes de déploiement de PCG
Mode de déploiement de PCG dans le VPC/VNet de transit	Modes pris en charge lors de la liaison de VPC/VNet de calcul à ce VPC/VNet de transit
Mode d'application NSX	Mode d'application NSX Mode d'application du Cloud natif
Mode d'application du Cloud natif	Mode d'application NSX Mode d'application du Cloud natif

Note :

Une fois qu'un mode est sélectionné pour un VPC/VNet de transit ou de calcul, vous ne pouvez pas le changer. Si vous souhaitez changer de mode, vous devez annuler le déploiement de la PCG et redéployer cette dernière dans le mode souhaité.