Dans vos clouds publics, certaines configurations sont définies automatiquement après le déploiement de PCG.
Certaines configurations automatiques sont communes à tous les clouds publics et aux deux modes de gestion de NSX. D'autres configurations sont spécifiques au cloud public ou au mode de gestion de NSX.
Spécifique à AWS
Les éléments suivants sont spécifiques à AWS :
- Dans le VPC AWS, un nouvel ensemble d'enregistrements de type A est ajouté sous le nom nsx-gw.vmware.local dans une zone hébergée privée sur Amazon Route 53. L'adresse IP mappée sur cet enregistrement correspond à l'adresse IP de gestion de la PCG qui est attribuée par AWS à l'aide de DHCP et qui est différente pour chaque VPC. NSX Cloud utilise cette entrée DNS définie dans la zone hébergée privée dans Amazon Route 53 pour résoudre l'adresse IP de la PCG.
Note : Lorsque vous utilisez des noms de domaine DNS personnalisés définis dans une zone hébergée privée dans Amazon Route 53, les attributs Résolution DNS et Noms d'hôte DNS doivent être définis sur Oui pour les paramètres de VPC dans AWS.
-
Une adresse IP secondaire pour l'interface de liaison montante pour PCG est créée. Une adresse IP élastique AWS est associée à cette adresse IP secondaire. Cette configuration est destinée à SNAT.
Spécifique à Microsoft Azure
Les éléments suivants sont spécifiques à Microsoft Azure :
- Un groupe de ressources commun est créé par région, par abonnement. Il est nommé selon nsx-default-<region-name>-rg, par exemple nsx-default-westus-rg. Tous les VNet de cette région partagent ce groupe de ressources. Ce groupe de ressources et tous les groupes de sécurité créés par NSX nommés selon default-<vnet-ID>-sg ne sont pas supprimés de la région Microsoft Azure après votre déconnexion d'un VNet dans cette région de NSX Cloud.
Commun aux deux modes et à tous les clouds publics
Les éléments suivants sont créés dans tous les clouds publics et pour les deux modes de gestion de NSX :
Mode d'application NSX et
Mode d'application du Cloud natif :
-
Les groupes de sécurité gw sont appliqués aux interfaces PCG respectives dans des VPC ou des VNet.
Tableau 1. Groupes de sécurité de cloud public créés par NSX Cloud pour les interfaces PCG Nom du groupe de sécurité Description gw-mgmt-sg Groupe de sécurité de gestion de passerelle gw-uplink-sg Groupe de sécurité de liaison montante de passerelle gw-vtep-sg Groupe de sécurité de liaison descendante de passerelle
Spécifique au Mode d'application du Cloud natif
Les groupes de sécurité suivants sont créés lorsque PCG est déployé dans le Mode d'application du Cloud natif.
Une fois que les machines virtuelles de charge de travail sont mises en corrélation avec des groupes et des stratégies de sécurité correspondantes dans
NSX Manager, des groupes de sécurité nommés
nsx-<GUID> sont créés dans le cloud public pour chaque stratégie de sécurité correspondante.
Note : Dans AWS, des groupes de sécurité sont créés. Dans Microsoft Azure, des groupes de sécurité d'application sont créés correspondant à des groupes dans
NSX Manager, tandis que des groupes de sécurité réseau sont créés correspondant à des stratégies de sécurité dans
NSX Manager.
Nom du groupe de sécurité | Disponible dans Microsoft Azure ? | Disponible dans AWS ? | Description |
---|---|---|---|
default-vnet-<vnet-id>-sg | Oui | Non | Groupe de sécurité créé par NSX Cloud dans le groupe Microsoft Azure commun pour attribution à des machines virtuelles qui ne correspondent pas à une stratégie de sécurité dans NSX. |
default | Non | Oui | Groupe de sécurité existant dans AWS utilisé par NSX Cloud pour attribution à des machines virtuelles qui ne correspondent pas à une stratégie de sécurité dans NSX. |
vm-overlay-sg | Oui | Oui | Groupe de sécurité de superposition de VM (non utilisé dans la version actuelle) |
Spécifique au Mode d'application NSX
Les groupes de sécurité suivants sont créés pour les machines virtuelles de charge de travail lorsque vous déployez
PCG dans le
Mode d'application NSX.
Nom du groupe de sécurité | Disponible dans Microsoft Azure ? | Disponible dans AWS ? | Description |
---|---|---|---|
default-vnet-<vnet-id>-sg | Oui | Non | Groupe de sécurité créé par NSX Cloud dans Microsoft Azure pour les workflows de détection des menaces dans le Mode d'application NSX |
default | Non | Oui | Groupe de sécurité existant dans AWS utilisé par NSX Cloud pour les workflows de détection des menaces dans le Mode d'application NSX |
vm-underlay-sg | Oui | Oui | Groupe de sécurité de sous-couche de VM |
vm-overlay-sg | Oui | Oui | Groupe de sécurité de superposition de VM (non utilisé dans la version actuelle) |