Ajouter un VPC NSX

VPC NSX fournit un espace isolé aux propriétaires d'applications pour qu'ils hébergent des applications et utilisent des objets de mise en réseau et de sécurité à l'aide d'un modèle de consommation en libre-service.

Conditions préalables

L'un des rôles suivants doit vous être attribué :

Administrateur de projet
Administrateur d'entreprise

Procédure

À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
Développez le menu déroulant Projet, puis sélectionnez le projet dans lequel vous souhaitez ajouter un VPC NSX.
Cliquez sur l'onglet VPC, puis sur l'onglet Ajouter un VPC.
(Requis) Entrez un nom pour le dispositif VPC NSX.
Dans le menu déroulant Passerelles de niveau 0/VRF, sélectionnez une passerelle de niveau 0 ou VRF de niveau 0 que les charges de travail de ce projet peuvent utiliser pour la connectivité nord-sud en dehors de ce VPC NSX.

Ce menu déroulant affiche uniquement les passerelles de niveau 0 ou VRF de niveau 0 qui ont été attribuées au projet lors de la création du projet.

Si aucune passerelle n'est sélectionnée, les charges de travail dans le VPC NSX n'auront pas de connectivité nord-sud.

Configurez les paramètres Attribution IP.

Dans le champ Blocs IPv4 externes, sélectionnez les blocs IPv4 que le système peut utiliser pour les sous-réseaux publics dans le VPC NSX.

Les blocs d'adresses IP externes attribués au projet peuvent être sélectionnés dans le VPC NSX. Ces blocs IPv4 doivent être routables depuis l'extérieur du VPC NSX.

Les blocs IPv4 externes sélectionnés sont utilisés pour les sous-réseaux publics uniquement lorsque l'option Attribution IP est définie sur Automatique lors de la création du sous-réseau.
Dans le champ Blocs IPv4 privés, sélectionnez les blocs IPv4 que le système peut utiliser pour les sous-réseaux privés dans ce VPC NSX.

Les blocs IPv4 ajoutés au projet avec la visibilité définie sur Privé peuvent être sélectionnés dans le VPC NSX.

Si aucun bloc IPv4 n'est disponible pour la sélection, cliquez sur le , puis cliquez sur Créer pour ajouter un bloc IPv4 privé.

Les blocs IPv4 privés sélectionnés sont utilisés pour les sous-réseaux privés uniquement lorsque l'option Attribution IP est définie sur Automatique lors de la création du sous-réseau.

Vous devez sélectionner des blocs IPv4 externes ou des blocs IPv4 privés, ou les deux. Si aucun d'entre eux n'est sélectionné, un message d'erreur s'affiche lorsque vous enregistrez le VPC NSX.

Sous DHCP, sélectionnez l'une des options suivantes.

Option	Description
Géré par NSX	Option par défaut. Le système configure un serveur DHCP de segment pour chaque sous-réseau dans le VPC NSX. Le serveur DHCP attribue dynamiquement des adresses IP aux VM de charge de travail connectées aux sous-réseaux dans le VPC NSX.
Externe	Le système utilise des serveurs DHCP externes ou distants pour attribuer dynamiquement des adresses IP aux VM de charge de travail connectées aux sous-réseaux dans le VPC NSX. Vous pouvez spécifier l'adresse IP des serveurs DHCP externes dans le profil de relais DHCP que vous sélectionnez pour le VPC NSX. Note : Les charges de travail sur des sous-réseaux VPC publics uniquement peuvent recevoir des adresses IP du serveur DHCP externe. Actuellement, les charges de travail sur des sous-réseaux VPC privés ne peuvent pas recevoir d'adresses IP du serveur DHCP externe, sauf si le serveur DHCP lui-même est connecté au sous-réseau VPC privé ou public. Dans le menu déroulant Profil de relais DHCP, sélectionnez un profil de relais existant. Si aucun profil de relais DHCP n'est disponible, cliquez sur le menu pour créer un profil de relais DHCP. Pour plus d'informations sur l'ajout d'un profil de relais DHCP, reportez-vous à la section Ajouter un profil de relais DHCP NSX. La configuration des serveurs DHCP externes n'est pas gérée par NSX.
Aucun	Le système ne configure pas DHCP pour les sous-réseaux dans le VPC NSX Dans ce cas, vous devez attribuer manuellement des adresses IP aux VM de charge de travail connectées aux sous-réseaux dans le VPC NSX.

Option

Description

Géré par NSX

Option par défaut. Le système configure un serveur DHCP de segment pour chaque sous-réseau dans le VPC NSX. Le serveur DHCP attribue dynamiquement des adresses IP aux VM de charge de travail connectées aux sous-réseaux dans le VPC NSX.

Externe

Le système utilise des serveurs DHCP externes ou distants pour attribuer dynamiquement des adresses IP aux VM de charge de travail connectées aux sous-réseaux dans le VPC NSX. Vous pouvez spécifier l'adresse IP des serveurs DHCP externes dans le profil de relais DHCP que vous sélectionnez pour le VPC NSX.

Note : Les charges de travail sur des sous-réseaux VPC publics uniquement peuvent recevoir des adresses IP du serveur DHCP externe. Actuellement, les charges de travail sur des sous-réseaux VPC privés ne peuvent pas recevoir d'adresses IP du serveur DHCP externe, sauf si le serveur DHCP lui-même est connecté au sous-réseau VPC privé ou public.

Dans le menu déroulant Profil de relais DHCP, sélectionnez un profil de relais existant. Si aucun profil de relais DHCP n'est disponible, cliquez sur le menu Action. pour créer un profil de relais DHCP.

Pour plus d'informations sur l'ajout d'un profil de relais DHCP, reportez-vous à la section Ajouter un profil de relais DHCP NSX.

La configuration des serveurs DHCP externes n'est pas gérée par NSX.

Aucun

Le système ne configure pas DHCP pour les sous-réseaux dans le VPC NSX

Dans ce cas, vous devez attribuer manuellement des adresses IP aux VM de charge de travail connectées aux sous-réseaux dans le VPC NSX.

Si la configuration DHCP est gérée par NSX, vous pouvez éventuellement entrer l'adresse IP des serveurs DNS.

Lorsqu'elle n'est pas spécifiée, aucun DNS n'est attribué aux charges de travail (clients DHCP) attachées aux sous-réseaux dans le VPC NSX.
Configurez les Paramètres des services.
1. Par défaut, l'option Services N-S est activée. Si nécessaire, vous pouvez la désactiver.
  
  Lorsque cette option est activée, cela signifie qu'un routeur de service est créé pour les sous-réseaux connectés afin de prendre en charge des services centralisés tels que le pare-feu N-S, la NAT ou le profil de qualité de service de passerelle.
  
  Lorsque cette option est désactivée, seul le routeur distribué est créé.
  
  Attention : Une fois qu'un VPC NSX est réalisé dans le système, évitez de préférence de désactiver l'option Services N-S. Cela est dû au fait que les services centralisés ne seront pas appliqués sur les sous-réseaux du VPC NSX. Par exemple, les services tels que le pare-feu N-S, NAT, etc., ne seront pas appliqués, même s'ils sont configurés dans le VPC NSX.
2. Par défaut, l'option NAT sortante par défaut est activée. Si nécessaire, vous pouvez la désactiver.
  
  Cette option n'est disponible que lorsque l'option Services N-S est activée pour le VPC NSX.
  
  Lorsque l'option NAT sortante par défaut est activée, cela signifie que le trafic provenant des charges de travail sur les sous-réseaux privés peut être acheminé en dehors du VPC NSX. Le système crée automatiquement une règle SNAT par défaut pour le VPC NSX. L'adresse IP traduite pour la règle SNAT est extraite du bloc IPv4 externe du VPC NSX.
  
  Note : Une fois qu'un VPC NSX est réalisé dans le système, évitez de préférence de désactiver l'option NAT sortante par défaut. Cela est dû au fait que les charges de travail sur les sous-réseaux privés ne pourront plus communiquer en dehors du VPC NSX.
3. Dans le menu déroulant Clusters Edge, sélectionnez un cluster Edge à associer au VPC NSX.
  
  Si aucun cluster Edge n'est attribué au projet, ce menu déroulant sera vide. Assurez-vous que vous avez alloué au moins un cluster Edge au projet pour qu'il soit disponible à la sélection lors de l'ajout d'un VPC NSX.
  
  Le cluster Edge sélectionné est utilisé pour exécuter des services centralisés dans le VPC NSX, tels que NAT, DHCP et le pare-feu N-S. Ces services nécessitent qu'un cluster Edge soit associé au VPC NSX.
  
  Si DHCP est défini sur Aucun et que l'option Services N-S est désactivée, le cluster Edge est facultatif.
4. Si vous souhaitez que le VPC NSX soit détecté par le Contrôleur NSX Advanced Load Balancer, activez l'option Activer pour NSX Advanced Load Balancer.
  Par défaut, cette option est désactivée. Lorsque cette option est activée, elle permet d'étendre l'architecture mutualisée NSX à Contrôleur NSX Advanced Load Balancer et active donc la configuration de l'équilibrage de charge dans ce contexte.
  Vous pouvez activer cette option uniquement lorsque les conditions suivantes sont remplies :
  - Au moins un bloc d'adresses IP privées est attribué au VPC NSX.
  - Au moins un cluster Edge est attribué au VPC NSX.
  Le VPC NSX nécessite un bloc d'adresses IP privées, car l'adresse IP du service virtuel (VIP) de l'équilibrage de charge doit se trouver sur un sous-réseau privé. Un cluster Edge est requis pour que les moteurs du service NSX Advanced Load Balancer puissent recevoir des adresses IP dynamiquement à partir du serveur DHCP.
  
  Pour en savoir plus sur NSX Advanced Load Balancer, reportez-vous à la documentation de VMware NSX Advanced Load Balancer.
Vous pouvez éventuellement attacher les profils suivants qui seront utilisés par les sous-réseaux dans le VPC NSX :
- Profil de qualité de service (QoS) de sortie N-S
- Profil de qualité de service d'entrée N-S
- Profil de détection d'adresses IP
- Profil SpoofGuard
- Profil de détection d'adresses MAC
- Profil de sécurité de segment
- QoS
Pour en savoir plus sur l'objet de ces profils, reportez-vous à la section Profils de segments.
Dans la zone de texte Identifiant de journal court, entrez une chaîne que le système peut utiliser pour identifier les journaux générés dans le contexte du VPC NSX.

Cet identifiant doit être unique dans tous les VPC NSX. L'identifiant ne doit pas dépasser huit caractères alphanumériques.

Si l'identifiant n'est pas spécifié, le système le génère automatiquement lorsque vous enregistrez le VPC NSX. Une fois l'identifiant défini, vous ne pouvez pas le modifier.
Entrez éventuellement une description pour le VPC NSX.
Cliquez sur Enregistrer.

Résultats

La création d'un VPC NSX entraîne celle d'un système implicitement. Toutefois, cette passerelle implicite est exposée à l'administrateur de projet en mode lecture seule et n'est pas visible par les utilisateurs VPC NSX.

Pour afficher la passerelle implicite réalisée, un administrateur de projet peut procéder comme suit :

Accédez à Mise en réseau > Passerelles de niveau 1.
Cochez la case Objets VPC en bas de la page Passerelles de niveau 1.
Développez la passerelle pour afficher la configuration en mode lecture seule.
La convention de dénomination suivante est utilisée pour la passerelle implicite :
_TIER1-VPC_Name

Le cycle de vie de cette passerelle implicite est géré par le système. La suppression d'un VPC NSX entraîne celle de la passerelle implicite automatiquement.

Si vous avez activé l'option NAT sortante par défaut, vous pouvez afficher la règle SNAT par défaut créée par le système dans le VPC NSX. Suivez la procédure :

Développez la section Services réseau du VPC NSX.
Cliquez sur le nombre en regard de NAT.
Observez la règle NAT par défaut avec l'action SNAT pour le bloc IPv4 privé dans le VPC NSX. Cette règle NAT n'est pas modifiable. Si plusieurs blocs IPv4 privés sont attribués au VPC NSX, une règle NAT par défaut avec l'action SNAT est créée pour chaque bloc IPv4 privé.
Par exemple :

L'adresse IP source dans la règle SNAT est le bloc IPv4 privé du VPC NSX. Dans cet exemple, il s'agit de 193.0.1.0/24. L'adresse IP traduite pour cette règle SNAT est attribuée à partir du bloc IPv4 externe du VPC NSX. Dans cet exemple, il s'agit de 192.168.1.0.