NSX Cloud 支援在公有雲中對 NSX 管理的工作負載虛擬機器 (處於 NSX 強制執行模式 下) 使用第三方服務。
NSX Cloud 支援對下列作業使用服務插入:
- 透過傳送 VPC/VNet 中裝載的服務應用裝置,從工作負載虛擬機器傳輸南北向流量。
- 將 PCG 的 VPN 流量傳輸至內部部署 Edge 或閘道。此流量也可透過傳送 VPC/VNet 中的服務應用裝置進行路由。
以下是允許針對 NSX 管理的工作負載虛擬機器使用服務插入之組態的概觀。
| 頻率 | 工作 | 指示 |
|---|---|---|
| 如果您想要設定南北向流量的服務插入,請依照下列指示進行初始設定。 | 最好在傳送 VPC 或 VNet (已在其中部署 PCG) 中設定公有雲中的服務應用裝置。 | 請參閱第三方服務應用裝置和公有雲的特定指示。 |
| 在 NSX-T Data Center 中登錄第三方服務。 | 請參閱建立服務定義和對應的虛擬端點 | |
| 使用 /32 虛擬服務 IP 位址 (VSIP) 建立服務的虛擬執行個體端點,以僅供服務應用裝置進行服務插入。VSIP 不應與 VPC 或 VNet 的 CIDR 範圍發生衝突。此 VSIP 透過 BGP 向 PCG 通告。 | 請參閱建立服務定義和對應的虛擬端點 | |
| 建立服務應用裝置和 PCG 之間的 IPSec VPN 通道。 | 請參閱設定 IPSec VPN 工作階段 | |
| 設定 PCG 與服務應用裝置之間的 BGP,並從服務應用裝置通告 VSIP,以及從 PCG 通告預設路由 (0.0.0.0/0)。 | 請參閱設定 BGP 和路由重新分配 | |
| 依照下列指示,針對公有雲到內部部署的 VPN 流量進行初始設定。 | 在 PCG 與內部部署 Edge 或閘道之間建立 VPN 通道。 | 請參閱在 NSX-T Data Center 強制執行模式中設定 VPN。 |
| 依照下列指示,在初始設定的過程中設定兩種類型的服務插入。 | 使用設定為不重新導向的動作,建立最低優先順序的預設全部擷取規則。這可確保不會在 PCG 和服務應用裝置的 VTI 介面上重新導向任何封包。 | 請參閱設定重新導向規則。 |
| 根據各種類型之服務插入使用案例的需求,依照這些指示操作。 | 一次性組態完成後,請設定重新導向規則將 NSX 管理的工作負載虛擬機器中的選擇性流量重新路由到 VSIP。這些規則會套用至 PCG 的上行連接埠以用於南北向服務插入,並套用至 PCG 的 VTI 介面以用於內部部署的流量。 |
請參閱設定重新導向規則。 |
