將在 NSX Manager 中建立和設定重要 NSX-T Data Center 實體,並且在 PCG 成功部署後在公有雲中建立安全群組。

NSX Manager 組態

將在 NSX Manager 中自動建立下列實體:

  • 會建立名為公用雲端閘道 (PCG) 的 Edge 節點。

  • PCG 會新增至 Edge 叢集。在高可用性部署中,存在兩個 PCG

  • PCG (或兩個 PCG) 會做為傳輸節點向已建立的兩個傳輸區域進行登錄。

  • 會建立兩個預設邏輯交換器。

  • 會建立一個第 0 層邏輯路由器。

  • 會建立 IP 探索設定檔。此項用於覆疊邏輯交換器。

  • 會建立 DHCP 設定檔。此項用於 DHCP 伺服器。

  • 會建立名稱為 PublicCloudSecurityGroup 的預設 NSGroup,其中包含下列成員:

    • 預設 VLAN 邏輯交換器

    • 邏輯連接埠,分別用於 PCG 上行連接埠 (如果已啟用 HA)。

    • IP 位址

  • 會建立三個預設 Distributed Firewall 規則:

    • LogicalSwitchToLogicalSwitch

    • LogicalSwitchToAnywhere

    • AnywhereToLogicalSwitch

    備註:

    這些 DFW 規則封鎖所有流量,並且需要根據特定需求進行調整。

確認 NSX Manager 中的下列組態:

  1. NSX Cloud 儀表板中,按一下 NSX Manager

  2. 瀏覽至網狀架構 > 節點 > Edge。公用雲端閘道應會列為 Edge 節點。

  3. 確認部署狀態、管理程式連線和控制器連線均已連線 (狀態顯示開啟並具有綠色的點)。

  4. 瀏覽至網狀架構 > 節點 > Edge 叢集以確認 Edge 叢集和 PCG 已新增為此叢集的一部分。

  5. 瀏覽至網狀架構 > 節點 > 傳輸節點,以確認 PCG 已做為傳輸節點登錄,並且已連線到部署 PCG 時自動建立的兩個傳輸區域:

    • 流量類型 VLAN -- 此項連線至 PCG 上行

    • 流量類型覆疊 -- 此項用於覆疊邏輯網路

  6. 確認是否已建立邏輯交換器和第 0 層邏輯路由器,並且邏輯路由器已新增至 Edge 叢集。

重要:

請勿刪除任何 NSX 建立的實體。

公有雲組態

在 AWS 中:

  • 在 AWS VPC 中,以名稱 nsx-gw.vmware.local 新增類型 A 記錄集。對應到此記錄的 IP 位址與 PCG 的管理 IP 位址相符。這由 AWS 使用 DHCP 進行指派,並且視每個 VPC 而有所不同。

  • 已建立 PCG 之上行介面的次要 IP。AWS 彈性 IP 與這個次要 IP 位址相關聯。此組態適用於 SNAT。

在 AWS 及 Microsoft Azure 中:

gw 安全群組會套用到相應 PCG 介面。

表格 1. NSX Cloud 針對 PCG 介面建立的公有雲安全群組

安全群組名稱

在 Microsoft Azure 中可用嗎?

在 AWS 中可用嗎?

全名

gw-mgmt-sg

閘道管理安全群組

gw-uplink-sg

閘道上行安全群組

gw-vtep-sg

閘道下行安全群組

表格 2. NSX Cloud 針對工作負載虛擬機器建立的公有雲安全群組

安全群組名稱

在 Microsoft Azure 中可用嗎?

在 AWS 中可用嗎?

說明

隔離

針對 Microsoft Azure 隔離安全群組

預設

針對 AWS 隔離安全群組

vm-underlay-sg

虛擬機器非覆疊安全群組

vm-override-sg

虛擬機器覆寫安全群組

vm-overlay-sg

虛擬機器覆疊安全群組 (未在目前版本中使用)

vm-outbound-bypass-sg

虛擬機器輸出略過安全群組 (未在目前版本中使用)

vm-inbound-bypass-sg

虛擬機器輸入略過安全群組 (未在目前版本中使用)