NSX Public Cloud Gateway (PCG) 會在公有雲和 NSX-T Data Center 的內部部署管理元件之間提供南北向連線。

請熟悉下列術語,以瞭解 PCG 在工作負載虛擬機器管理方面的架構和部署模式。
備註: 會針對每個支援的公有雲,以單一預設大小部署 PCG
公有雲 PCG 執行個體類型
AWS C4.xlarge
備註: 某些區域可能不支援 C4.xlarge 執行個體類型。如需詳細資料,請參閱 AWS 說明文件。
Microsoft Azure 標準 DS3 v.2

架構

PCG 可以是獨立閘道應用裝置或在公有雲 VPC 或 VNet 之間共用,來實現中樞和支點拓撲。

圖 1. NSX Public Cloud Gateway 架構

部署模式

自行管理 VPC/VNet:在 VPC 或 VNet 中部署 PCG 時,它會將 VPC 或 VNet 限定為自行管理,也就是說,您可以將此 VPC 或 VNet 中主控的虛擬機器置於 NSX 管理之下。

傳送 VPC/VNet:當您將計算 VPC/VNet 連結至自行管理 VPC/VNet 時,它將會成為傳送 VPC/VNet。

計算 VPC/VNet:尚未部署 PCG、但連結至傳送 VPC/VNet 的 VPC/VNet,稱為計算 VPC/VNet。

要部署 PCG 之 VPC/VNet 中所需的子網路

PCG 會利用您在 VPC/VNet 中設定的下列子網路。請參閱 將 Microsoft Azure 網路與內部 NSX-T Data Center 部署連線將 Amazon Web Services (AWS) 網路與內部 NSX-T Data Center 部署連線
  • 管理子網路:此子網路用於內部部署 NSX-T Data CenterPCG 之間的管理流量。建議的範圍為 /28。
  • 上行子網路:此子網路用於南北向網際網路流量。建議的範圍為 /24。
  • 下行子網路:此子網路包含工作負載虛擬機器的 IP 位址範圍,應相應地調整規模。請記住,您可能需要納入工作負載虛擬機器上的其他介面,以進行偵錯。

PCG 部署與使用 NSX-T Data Center 元件之 FQDN 及可解析這些 FQDN 的 DNS 伺服器的網路定址方案保持一致。

備註: 建議不要使用 IP 位址透過 PCG 將公有雲與 NSX-T Data Center 連線,但如果您選擇該選項,請勿變更您的 IP 位址。

虛擬機器管理模式

NSX 強制執行模式:在此模式中,會使用 NSX Tools 將工作負載虛擬機器置於 NSX 管理下,而 NSX Tools 必須安裝在每個此類工作負載虛擬機器上 (在 AWS 或 Microsoft Azure 中對這些虛擬機器套用「nsx.network=default」標籤後)。

原生雲端強制執行模式:在此模式中,您的工作負載虛擬機器可直接置於 NSX 管理下,而無須使用 NSX Tools

隔離原則

隔離原則:這是 NSX Cloud 中與公用雲端安全性群組搭配使用的威脅偵測功能。
  • NSX 強制執行模式 中,您可以啟用或停用隔離原則。建議您在將工作負載虛擬機器上線時停用隔離原則,並將所有虛擬機器列入白名單。
  • 原生雲端強制執行模式 中一律會啟用隔離原則,且無法停用。

可用的設計選項

無論您採用何種模式來部署 PCG,皆可在任一模式下將計算 VPC/VNet 與其連結。

表 1. 使用 PCG 部署模式時可用的設計選項
傳送 VPC/VNet 中的 PCG 部署模式 將計算 VPC/VNet 連結至此傳送 VPC/VNet 時的可用模式
NSX 強制執行模式
  • NSX 強制執行模式
  • 原生雲端強制執行模式
原生雲端強制執行模式
  • NSX 強制執行模式
  • 原生雲端強制執行模式
備註:

為傳送或計算 VPC/VNet 選取模式後,您便無法變更模式。如果想要切換模式,您必須先將 PCG 取消部署,再以所需的模式重新加以部署。