NSX VPC 為應用程式擁有者提供一個隔離空間以主控應用程式,並透過自助服務取用模型來取用網路與安全性物件。

必要條件

您必須獲指派以下任一角色:
  • 專案管理員
  • 企業管理員

程序

  1. 從瀏覽器登入 NSX Manager (網址:https://nsx-manager-ip-address)。
  2. 展開專案下拉式功能表,然後選取要在其中新增 NSX VPC 的專案。
  3. 按一下 VPC 索引標籤,然後按一下新增 VPC
  4. (必要) 輸入 NSX VPC 的名稱。
  5. 第 0 層/VRF 閘道下拉式功能表中,選取第 0 層或第 0 層 VRF 閘道,以供工作負載用來在這個 NSX VPC 外部建立南北向連線。

    此下拉式功能表只會顯示建立專案時指派給專案的那些第 0 層或第 0 層 VRF 閘道。

    如果未選取任何閘道,則 NSX VPC 中的工作負載將無法建立南北向連線。

  6. 設定 IP 指派設定。
    1. 外部 IPv4 區塊欄位中,選取 IPv4 區塊,以供系統用於 NSX VPC 中公用子網路。

      指派給專案的外部 IP 區塊可供在 NSX VPC 中選取。這些 IPv4 區塊必須可從 NSX VPC 外部路由。

      只有在子網路建立期間將 IP 指派選項設定為自動時,才會將選取的外部 IPv4 區塊用於公用子網路。

    2. 私人 IPv4 區塊欄位中,選取 IPv4 區塊,以供系統用於此 NSX VPC 中的私人子網路。

      已新增於專案中且可見度設定為私人的 IPv4 區塊,可供在 NSX VPC 中選取。

      如果沒有可供選取的 IPv4 區塊,請按一下 [動作] 功能表,然後按一下建立新的,以新增私人 IPv4 區塊。

      只有在子網路建立期間將 IP 指派選項設定為自動時,才會將選取的私人 IPv4 區塊用於私人子網路。

      您必須選取外部 IPv4 區塊和/或私人 IPv4 區塊。如果未選取兩者中的任何一個,則在儲存 NSX VPC 時,會顯示錯誤訊息。

    3. DHCP 下,選取以下任一選項。
      選項 說明
      由 NSX 管理 預設選項。系統會為 NSX VPC 中的每個子網路設定一個區段 DHCP 伺服器。DHCP 伺服器會將 IP 位址動態指派給連線至 NSX VPC 中的子網路的工作負載虛擬機器。
      外部

      系統會使用外部或遠端 DHCP 伺服器,將 IP 位址動態指派給連線至 NSX VPC 中的子網路的工作負載虛擬機器。您可以在為 NSX VPC 選取的 DHCP 轉送設定檔中,指定外部 DHCP 伺服器的 IP 位址。

      備註: 僅公用 VPC 子網路上的工作負載可以從外部 DHCP 伺服器接收 IP 位址。目前,私人 VPC 子網路上的工作負載無法從外部 DHCP 伺服器接收 IP 位址,除非 DHCP 伺服器本身連線至私人或公用 VPC 子網路。

      DHCP 轉送設定檔下拉式功能表中,選取一個現有的轉送設定檔。如果沒有可用的 DHCP 轉送設定檔,請按一下 [動作] 功能表。,以建立新的 DHCP 轉送設定檔。

      如需新增 DHCP 轉送設定檔的詳細資訊,請參閱新增 NSX DHCP 轉送設定檔

      外部 DHCP 伺服器的組態不由 NSX 管理。

      系統不會為 NSX VPC 中的子網路設定 DHCP

      在這種情況下,您必須手動將 IP 位址指派給連線至 NSX VPC 中的子網路的工作負載虛擬機器。
  7. 如果 DHCP 組態是由 NSX 管理,您可以選擇性地輸入 DNS 伺服器的 IP 位址。

    若未指定,則不會指派任何 DNS 給連線至 NSX VPC 中的子網路的工作負載 (DHCP 用戶端)。

  8. 設定服務設定
    1. 依預設,會開啟南北向服務選項。必要時,您可以關閉它。

      如果開啟此選項,表示將為所連線的子網路建立服務路由器,以支援集中式服務,例如:南北向防火牆、NAT 或閘道 QoS 設定檔。

      如果關閉此選項,則只會建立分散式路由器。

      注意: 在系統中實現 NSX VPC 後,最好避免關閉 南北向服務選項。原因在於如此做就不會在 NSX VPC 的子網路上強制執行集中式服務。例如,即使在 NSX VPC 中設定了南北向防火牆、NAT 等服務,也不會強制執行這些服務。
    2. 依預設,會開啟預設輸出 NAT 選項。必要時,您可以關閉它。

      只有在針對 NSX VPC 開啟南北向服務選項時,此選項才可供使用。

      如果開啟了預設輸出 NAT,表示來自私人子網路上工作負載的流量,可以在 NSX VPC 外部路由。系統會自動為 NSX VPC 建立預設 SNAT 規則。SNAT 規則中轉譯的 IP 取自 NSX VPC 的外部 IPv4 區塊。

      備註: 在系統中實現 NSX VPC 後,最好避免關閉 預設輸出 NAT 選項。原因在於,這會使私人子網路上的工作負載再也無法在 NSX VPC 外部進行通訊。
    3. Edge 叢集下拉式功能表中,選取要與 NSX VPC 相關聯的 Edge 叢集。

      如果專案未指派 Edge 叢集,則此下拉式功能表將為空白。請確定至少已為專案指派一個 Edge 叢集,以便在新增 NSX VPC 時可供選取。

      會取用選取的 Edge 叢集,以用來在 NSX VPC 中執行集中式服務,例如 NAT、DHCP 和南北向防火牆。這些服務會要求 Edge 叢集需要與 NSX VPC 相關聯。

      如果將 DHCP 設定為,停用南北向服務選項,則 Edge 叢集是選用的。

    4. 如果您希望 NSX Advanced Load Balancer Controller 探索到 NSX VPC,請開啟為 NSX Advanced Load Balancer 啟用選項。

      依預設,會關閉此選項。如果開啟此選項,則能夠將 NSX 多租戶延伸到 NSX Advanced Load Balancer Controller,從而在此內容中啟用負載平衡器組態。

      只有在符合以下條件時,您才能開啟此選項:
      • 至少已將一個私人 IP 位址區塊指派給 NSX VPC。
      • 至少已將一個 Edge 叢集指派給 NSX VPC。

      NSX VPC 需要私人 IP 區塊,因為負載平衡器虛擬服務 IP (VIP) 需要位於私人子網路上。需要 Edge 叢集,以便 NSX Advanced Load Balancer 服務引擎可以從 DHCP 伺服器動態接收 IP 位址。

      若想進一步瞭解 NSX Advanced Load Balancer,請參閱 VMware NSX Advanced Load Balancer 說明文件

  9. (選用) 連結下列設定檔,以供 NSX VPC 中的子網路使用:
    • 南北向出口服務品質 (QoS) 設定檔
    • 南北向入口 QoS 設定檔
    • IP 探索設定檔
    • SpoofGuard 設定檔
    • Mac 探索設定檔
    • 區段安全性設定檔
    • QoS

    若要瞭解這些設定檔的用途,請參閱區段設定檔

  10. 短記錄識別碼文字方塊中輸入一個字串,以供系統用來識別在 NSX VPC 內容中產生的記錄。

    此識別碼在所有 NSX VPC 之間必須是唯一的。識別碼不得超過八個英數字元。

    如果未指定識別碼,系統會在您儲存 NSX VPC 時自動產生識別碼。識別碼在設定之後,就無法修改。

  11. (選用) 輸入 NSX VPC 的說明。
  12. 按一下儲存

結果

成功建立 NSX VPC 後,系統會隱含建立閘道。但是,此隱含閘道會以唯讀模式向專案管理員公開,而 NSX VPC 使用者卻看不到。

若要檢視實現的隱含閘道,專案管理員可以執行下列步驟:
  1. 導覽至網路 > 第 1 層閘道
  2. 按一下第 1 層閘道頁面底部的 VPC 物件核取方塊。
  3. 展開閘道,以在唯讀模式下檢視組態。

    隱含閘道使用下列命名慣例:

    _TIER1-VPC_Name

此隱含閘道的生命週期由系統管理。刪除 NSX VPC 時,會自動刪除此隱含閘道。

如果已啟用預設輸出 NAT 選項,您可以檢視 NSX VPC 中由系統建立的預設 SNAT 規則。執行以下步驟:

  1. 展開 NSX VPC網路服務區段。
  2. 按一下 NAT 旁邊的計數。
  3. 觀察 NSX VPC 中私人 IPv4 區塊所對應的具有 SNAT 動作的預設 NAT 規則。此 NAT 規則不可編輯。如果為 NSX VPC 指派了多個私人 IPv4 區塊,則會為每個私人 IPv4 區塊各建立一個具有 SNAT 動作的預設 NAT 規則。

    例如:


    此螢幕擷取畫面的周圍有文字加以說明。

    SNAT 規則中的來源 IP 是 NSX VPC 的私人 IPv4 區塊。在此範例中,它是 193.0.1.0/24。此 SNAT 規則中轉譯的 IP 是從 NSX VPC 的外部 IPv4 區塊指派而來。在此範例中,它是 192.168.1.0。