Aggiunta di un VPC NSX

Un VPC NSX fornisce ai proprietari delle applicazioni uno spazio isolato per ospitare applicazioni e usare oggetti di rete e sicurezza tramite un modello di utilizzo self-service.

Prerequisiti

È necessario disporre di uno di questi ruoli:

Amministratore del progetto
Amministratore aziendale

Procedura

Dal browser, accedere a NSX Manager all'indirizzo https://nsx-manager-ip-address.
Espandere il menu a discesa Progetto e quindi selezionare il progetto in cui si desidera aggiungere un VPC NSX.
Fare clic sulla scheda VPC e quindi su Aggiungi VPC.
(Obbligatorio) Immettere un nome per il VPC NSX.
Dal menu a discesa Gateway VRF di livello 0 selezionare un gateway di livello 0 o un gateway VRF di livello 0 che i carichi di lavoro possano utilizzare per la connettività nord-sud all'esterno di questo VPC NSX.

In questo menu a discesa vengono visualizzati solo i gateway di livello 0 o i gateway VRF di livello 0 assegnati al progetto al momento della creazione del progetto.

Se non viene selezionato alcun gateway, i carichi di lavoro in VPC NSX non avranno la connettività nord-sud.

Configurare le impostazioni di Assegnazione IP.

Nel campo Blocchi IPv4 esterni selezionare i blocchi di IPv4 che il sistema può utilizzare per le subnet pubbliche in VPC NSX.

I blocchi di IP esterni assegnati al progetto sono disponibili per la selezione in VPC NSX. Questi blocchi di IPv4 devono essere instradabili dall'esterno di VPC NSX.

I blocchi di IPv4 esterni selezionati vengono utilizzati per le subnet pubbliche solo quando l'opzione Assegnazione IP è impostata su Automatico durante la creazione della subnet.
Nel campo Blocchi di IPv4 privati selezionare i blocchi di IPv4 che il sistema può utilizzare per le subnet private in questo VPC NSX.

I blocchi di IPv4 aggiunti nel progetto con la visibilità impostata su Privato sono disponibili per la selezione in VPC NSX.

Se non sono disponibili blocchi di IPv4 per la selezione, fare clic su e quindi su Crea nuovo per aggiungere un blocco di IPv4 privato.

I blocchi di IPv4 privati selezionati vengono utilizzati per le subnet private solo quando l'opzione Assegnazione IP è impostata su Automatico durante la creazione della subnet.

È necessario selezionare blocchi di IPv4 esterni o blocchi di IPv4 privati oppure entrambi. Se non si seleziona alcun blocco di IPv4, quando si salva VPC NSX, viene visualizzato un messaggio di errore.

In DHCP selezionare una delle opzioni seguenti.

Opzione	Descrizione
Gestito da NSX	Opzione predefinita. Il sistema configura un server DHCP del segmento per ogni subnet in VPC NSX. Il server DHCP assegna dinamicamente indirizzi IP alle macchine virtuali del carico di lavoro connesse alle subnet in VPC NSX.
Esterno	Il sistema utilizza server DHCP esterni o remoti per assegnare dinamicamente indirizzi IP alle macchine virtuali del carico di lavoro connesse alle subnet in VPC NSX. È possibile specificare l'indirizzo IP dei server DHCP esterni nel profilo di inoltro DHCP selezionato per VPC NSX. Nota: Solo i carichi di lavoro nelle subnet VPC pubbliche possono ricevere indirizzi IP dal server DHCP esterno. Al momento, i carichi di lavoro nelle subnet VPC private non possono ricevere indirizzi IP dal server DHCP esterno, a meno che il server DHCP stesso non sia connesso alla subnet VPC privata o pubblica. Nel menu a discesa Profilo di inoltro DHCP selezionare un profilo di inoltro esistente. Se non è disponibile alcun profilo di inoltro DHCP, fare clic su per creare un nuovo profilo di inoltro DHCP. Per ulteriori informazioni sull'aggiunta di un profilo di inoltro DHCP, vedere Aggiunta di un profilo di inoltro DHCP di NSX. La configurazione dei server DHCP esterni non è gestita da NSX.
Nessuno	Il sistema non configura DHCP per le subnet in VPC NSX In questo caso, è necessario assegnare manualmente gli indirizzi IP alle macchine virtuali del carico di lavoro connesse alle subnet in VPC NSX.

Opzione

Descrizione

Gestito da NSX

Opzione predefinita. Il sistema configura un server DHCP del segmento per ogni subnet in VPC NSX. Il server DHCP assegna dinamicamente indirizzi IP alle macchine virtuali del carico di lavoro connesse alle subnet in VPC NSX.

Esterno

Il sistema utilizza server DHCP esterni o remoti per assegnare dinamicamente indirizzi IP alle macchine virtuali del carico di lavoro connesse alle subnet in VPC NSX. È possibile specificare l'indirizzo IP dei server DHCP esterni nel profilo di inoltro DHCP selezionato per VPC NSX.

Nota: Solo i carichi di lavoro nelle subnet VPC pubbliche possono ricevere indirizzi IP dal server DHCP esterno. Al momento, i carichi di lavoro nelle subnet VPC private non possono ricevere indirizzi IP dal server DHCP esterno, a meno che il server DHCP stesso non sia connesso alla subnet VPC privata o pubblica.

Nel menu a discesa Profilo di inoltro DHCP selezionare un profilo di inoltro esistente. Se non è disponibile alcun profilo di inoltro DHCP, fare clic su Menu Azioni per creare un nuovo profilo di inoltro DHCP.

Per ulteriori informazioni sull'aggiunta di un profilo di inoltro DHCP, vedere Aggiunta di un profilo di inoltro DHCP di NSX.

La configurazione dei server DHCP esterni non è gestita da NSX.

Nessuno

Il sistema non configura DHCP per le subnet in VPC NSX

In questo caso, è necessario assegnare manualmente gli indirizzi IP alle macchine virtuali del carico di lavoro connesse alle subnet in VPC NSX.

Se la configurazione di DHCP è gestita da NSX, è possibile immettere facoltativamente l'indirizzo IP dei server DNS.

Se non viene specificato alcun valore, ai carichi di lavoro (client DHCP) collegati alle subnet in VPC NSX non viene assegnato alcun DNS.
Configurare le Impostazioni servizi.
1. Per impostazione predefinita, l'opzione Servizi N-S è attivata. Se necessario, è possibile disattivarla.
  
  Quando questa opzione è attivata, significa che viene creato un router di servizio per le subnet connesse per il supporto di servizi centralizzati come firewall N-S, NAT o profilo QoS del gateway.
  
  Quando questa opzione è disattivata, viene creato solo il router distribuito.
  
  Attenzione: Dopo aver realizzato un VPC NSX nel sistema, è consigliabile evitare di disattivare l'opzione Servizi N-S. Il motivo è che i servizi centralizzati non verranno applicati alle subnet di VPC NSX. Ad esempio, i servizi come firewall N-S, NAT e così via non verranno applicati anche se sono configurati in VPC NSX.
2. Per impostazione predefinita, l'opzione NAT in uscita predefinita è attivata. Se necessario, è possibile disattivarla.
  
  Questa opzione è disponibile solo quando l'opzione Servizi N-S è attivata per VPC NSX.
  
  Quando l'opzione NAT in uscita predefinita è attivata, significa che il traffico dei carichi di lavoro nelle subnet private può essere instradato all'esterno di VPC NSX. Il sistema crea automaticamente una regola SNAT predefinita per VPC NSX. L'IP convertito per la regola SNAT viene recuperato dal blocco di IPv4 esterno di VPC NSX.
  
  Nota: Dopo aver realizzato un VPC NSX nel sistema, è consigliabile evitare di disattivare l'opzione NAT in uscita predefinita. Il motivo è che i carichi di lavoro nelle subnet private non saranno più in grado di comunicare all'esterno di VPC NSX.
3. Dal menu a discesa Cluster Edge selezionare un cluster Edge da associare a VPC NSX.
  
  Se al progetto non sono assegnati cluster Edge, questo menu a discesa sarà vuoto. Assicurarsi di aver allocato almeno un cluster Edge al progetto affinché sia disponibile per la selezione quando si aggiunge un VPC NSX.
  
  Il cluster Edge selezionato viene utilizzato per l'esecuzione di servizi centralizzati in VPC NSX come NAT, DHCP e firewall N-S. Questi servizi richiedono l'associazione di un cluster Edge a VPC NSX.
  
  Se DHCP è impostato su Nessuno e l'opzione Servizi N-S è disattivata, il cluster Edge è facoltativo.
4. Se si desidera che il VPC NSX venga individuato da NSX Advanced Load Balancer Controller, attivare l'opzione Abilita per NSX Advanced Load Balancer.
  Per impostazione predefinita, questa opzione è disattivata. Quando è attivata, offre la possibilità di estendere la multi-tenancy di NSX a NSX Advanced Load Balancer Controller e quindi consente la configurazione del bilanciamento del carico in questo contesto.
  È possibile attivare questa opzione solo quando vengono soddisfatte le condizioni seguenti:
  - Al VPC di NSX è assegnato almeno un blocco di indirizzi IP privati.
  - Al VPC di NSX è assegnato almeno un cluster Edge.
  Il VPC di NSX richiede un blocco di IP privati perché l'IP del servizio virtuale (VIP) del bilanciamento del carico deve trovarsi in una subnet privata. È necessario un cluster Edge in modo che i motori di servizio di NSX Advanced Load Balancer possano ricevere dinamicamente gli indirizzi IP dal server DHCP.
  
  Per ulteriori informazioni su NSX Advanced Load Balancer, vedere la Documentazione di VMware NSX Advanced Load Balancer.
Facoltativamente, collegare i seguenti profili che verranno utilizzati dalle subnet in VPC NSX:
- Profilo QoS (Quality of Service) uscita N-S
- Profilo QoS ingresso N-S
- Profilo di rilevamento IP
- Profilo SpoofGuard
- Profilo di rilevamento Mac
- Profilo di sicurezza segmento
- QoS
Per ulteriori informazioni sullo scopo di questi profili, vedere Profili dei segmenti.
Nella casella di testo Identificatore registro breve immettere una stringa che il sistema possa utilizzare per identificare i registri generati nel contesto di VPC NSX.

Questo identificatore deve essere univoco in tutti i VPC di NSX. L'identificatore non può includere più di otto caratteri alfanumerici.

Se l'identificatore non viene specificato, il sistema lo genera automaticamente quando si salva VPC NSX. Dopo aver impostato l'identificatore, non è possibile modificarlo.
Facoltativamente, immettere una descrizione per VPC NSX.
Fare clic su Salva.

risultati

Quando un VPC NSX viene creato correttamente, il sistema crea implicitamente un gateway. Tuttavia, questo gateway implicito viene esposto all'amministratore del progetto in modalità di sola lettura e non è visibile per gli utenti VPC NSX.

Per visualizzare il gateway implicito realizzato, un amministratore del progetto può eseguire i passaggi seguenti:

Passare a Rete > Gateway di livello 1.
Fare clic sulla casella di controllo Oggetti VPC nella parte inferiore della pagina Gateway di livello 1.
Espandere il gateway per visualizzare la configurazione in modalità di sola lettura.
Per il gateway implicito viene utilizzata la convenzione di denominazione seguente:
_TIER1-VPC_Name

Il ciclo di vita di questo gateway implicito viene gestito dal sistema. Quando si elimina un VPC NSX, il gateway implicito viene eliminato automaticamente.

Se è abilitata l'opzione NAT in uscita predefinita, è possibile visualizzare la regola SNAT predefinita creata dal sistema in VPC NSX. Eseguire i passaggi seguenti:

Espandere la sezione Servizi di rete di VPC NSX.
Fare clic sul conteggio accanto a NAT.
Osservare la regola NAT predefinita con l'azione SNAT per il blocco di IPv4 privato in VPC NSX. Questa regola NAT non è modificabile. Se a VPC NSX vengono assegnati più blocchi di IPv4 privati, viene creata una regola NAT predefinita con azione SNAT per ogni blocco di IPv4 privato.
Ad esempio:

L'IP di origine nella regola SNAT è il blocco di IPv4 privato di VPC NSX. In questo esempio, è 193.0.1.0/24. L'IP convertito per questa regola SNAT viene assegnato dal blocco di IPv4 esterno di VPC NSX. In questo esempio, è 192.168.1.0.