NSX Public Cloud Gateway: architettura e modalità di distribuzione

Il NSX Public Cloud Gateway (PCG) fornisce la connettività nord-sud tra il cloud pubblico e i componenti di gestione locale di NSX-T Data Center.

Si consiglia di familiarizzare con la terminologia seguente che illustra l'architettura del PCG e le modalità di distribuzione per la gestione delle macchine virtuali del carico di lavoro.

Nota: Il PCG viene distribuito in una singola dimensione predefinita per ogni cloud pubblico supportato:

Cloud pubblico	Tipo di istanza di PCG
AWS	c5.xlarge. Alcune regioni potrebbero non supportare questo tipo di istanza. Per dettagli, fare riferimento alla documentazione di AWS. Nota: Se si visualizzano avvisi sull'utilizzo elevato della CPU con questo tipo di istanza, ridimensionare le istanze di PCG a c5.2xlarge. Se si dispone di una coppia di istanze PCG ad alta disponibilità, ridimensionare innanzitutto il PCG di standby arrestandolo, ridimensionandolo e riavviandolo. Arrestare il PCG attualmente attivo e attendere che il PCG di standby diventi attivo. Ridimensiona e riavvia questo PCG per renderlo attivo. Per informazioni dettagliate sul ridimensionamento dei tipi di istanza, vedere la documentazione di AWS.
Microsoft Azure	Standard DS3 v.2

Cloud pubblico

Tipo di istanza di PCG

AWS

c5.xlarge.

Alcune regioni potrebbero non supportare questo tipo di istanza. Per dettagli, fare riferimento alla documentazione di AWS.

Nota: Se si visualizzano avvisi sull'utilizzo elevato della CPU con questo tipo di istanza, ridimensionare le istanze di PCG a c5.2xlarge.

Se si dispone di una coppia di istanze PCG ad alta disponibilità, ridimensionare innanzitutto il PCG di standby arrestandolo, ridimensionandolo e riavviandolo. Arrestare il PCG attualmente attivo e attendere che il PCG di standby diventi attivo. Ridimensiona e riavvia questo PCG per renderlo attivo.

Per informazioni dettagliate sul ridimensionamento dei tipi di istanza, vedere la documentazione di AWS.

Microsoft Azure

Standard DS3 v.2

Architettura

Il PCG può essere un'appliance gateway autonoma o condivisa tra VPC del cloud pubblico o VNet per ottenere una topologia hub e spoke.

Modalità di distribuzione

VPC/VNet auto-gestiti: quando si distribuisce il PCG in un VPC o in una rete VNet, questi ultimi vengono contrassegnati come auto-gestiti, ovvero è possibile passare le macchine virtuali ospitate in questo VPC o nella VNet alla gestione NSX.

VPC/VNet di transito: un VPC/VNet auto-gestito diventa un VPC/VNet di transito quando vi si collegano VPC/VNet di elaborazione.

VPC/VNet di elaborazione: VPC/VNet in cui non è distribuito il PCG, ma che si collegano a un VPC/VNet di transito vengono denominati VPC/VNet di elaborazione.

AWS Transit Gateway con PCG: a partire da NSX-T Data Center 3.1.1, è possibile utilizzare AWS Transit Gateway per connettere un VPC di transito con VPC di elaborazione. Per dettagli, consultare Utilizzo di PCG con AWS Transit Gateway.

Subnet necessarie in VPC/VNet per la distribuzione di PCG

Il PCG utilizza le seguenti subnet configurate in VPC/VNet. Vedere Connessione di Microsoft Azure con NSX-T Data Center in locale o Connessione di AWS con NSX-T Data Center in locale.

Subnet di gestione: questa subnet è utilizzata per il traffico di gestione tra NSX-T Data Center locale e PCG. Intervallo di esempio: /28.
Subnet di uplink: questa subnet è utilizzata per il traffico Internet nord-sud. Intervallo di esempio: /24.
Subnet di downlink: questa subnet include l'intervallo di indirizzi IP della macchina virtuale del carico di lavoro. Dimensionare questa subnet tenendo presente che potrebbero essere necessarie interfacce aggiuntive nelle macchine virtuali del carico di lavoro per il debug.

La distribuzione del PCG è allineata al piano di indirizzamento di rete con i FQDN per i componenti di NSX-T Data Center e con un server DNS in grado di risolvere tali nomi di dominio completi.

Nota: Non è consigliabile utilizzare indirizzi IP per connettere il cloud pubblico con NSX-T Data Center utilizzando PCG, ma qualora fosse necessario farlo, non si devono modificare gli indirizzi IP.

Impatto della modalità di connettività su cloud pubblico e in locale sul rilevamento del PCG di CSM

Dopo aver distribuito PCG nel cloud pubblico, questo deve interagire con CSM come interfaccia di gestione per l'inventario del cloud pubblico. Per assicurarsi che PCG possa raggiungere l'indirizzo IP di CSM, attenersi alle seguenti linee guida:

Per il PCG distribuito in modalità IP privato (VGW): PCG rileva CSM con l'indirizzo IP di CSM effettivo o con uno degli indirizzi IP nell'intervallo di subnet specificato.

Figura 1. Architettura di NSX Public Cloud Gateway con connettività VGW
Per il PCG distribuito in modalità IP pubblico (IGW): PCG può rilevare CSM utilizzando l'indirizzo IP di CSM convertito con NAT che consente di accedere all'indirizzo IP reale o all'intervallo di subnet per CSM.

Figura 2. Architettura di NSX Public Cloud Gateway con connettività IGW

Modalità di gestione delle macchine virtuali

Modalità NSX applicato: in questa modalità, le macchine virtuali del carico di lavoro vengono trasferite sotto la gestione NSX installando NSX Tools in ogni macchina virtuale del carico di lavoro a cui si applica il tag nsx.network=default nel cloud pubblico.

Modalità Cloud applicato nativo: in questa modalità, le macchine virtuali del carico di lavoro possono essere trasferite sotto la gestione di NSX senza l'uso di NSX Tools.

Criterio di quarantena

Criterio di quarantena: la funzionalità di rilevamento delle minacce di NSX Cloud che funziona con i gruppi di sicurezza cloud pubblico.

In Modalità NSX applicato è possibile abilitare o disabilitare il criterio di quarantena. Come procedura consigliata, è consigliabile disabilitare il criterio di quarantena e aggiungere tutte le macchine virtuali all'elenco Gestito dall'utente durante l'onboarding delle macchine virtuali del carico di lavoro.
In Modalità Cloud applicato nativo, il criterio di quarantena è sempre abilitato e non può essere disabilitato.

Opzioni di progettazione

Indipendentemente dalla modalità di distribuzione del PCG, è possibile collegarvi un VPC/VNet di elaborazione in entrambe le modalità.

Tabella 1. Opzioni di progettazione con le modalità di distribuzione di PCG
Modalità di distribuzione di PCG nel VPC/VNet di transito	Modalità supportate quando si collegano VPC/VNet di elaborazione a questo VPC/VNet di transito
Modalità NSX applicato	Modalità NSX applicato Modalità Cloud applicato nativo
Modalità Cloud applicato nativo	Modalità NSX applicato Modalità Cloud applicato nativo

Nota:

Dopo aver selezionato una modalità per un VPC/VNet di transito o elaborazione, non è possibile modificarla. Se si desidera passare da una modalità all'altra, è necessario annullare la distribuzione del PCG e ridistribuirlo nella modalità desiderata.