全域管理程式所做的所有組態都是在原則模式中進行。在 NSX 聯盟中無法使用管理程式模式。

如需關於兩個模式的詳細資訊,請參閱NSX Manager

組態上限

NSX 聯盟環境具有下列組態上限:

  • 對於多數組態,本機管理程式叢集的組態上限與 NSX Manager 叢集相同。移至 VMware 組態上限工具,然後選取 NSX

    VMware 組態上限工具中,針對 NSX 選取 NSX 聯盟類別作為例外狀況和其他 NSX 聯盟特定值。

  • 對於指定的位置,下列組態會導致組態上限:
    • 本機管理程式上建立的物件。
    • 全域管理程式上建立並將位置包含在其範圍中的物件。

    您可以在每個本機管理程式上檢視容量和使用量。請參閱檢視物件類別的使用量和容量

功能支援

請注意,在 NSX 聯盟 中,當 NSX 聯盟 環境部署了 全域管理程式 (GM) 時,唯有在下列條件下才支援服務插入 (網路自我檢查):
  • 已從本機管理程式 (LM) 完成與服務插入相關的所有組態,如合作夥伴服務登錄、部署和耗用等。
  • 僅 LM 上設定的物件可與服務插入搭配使用。這包括群組、區段和任何其他建構。服務插入無法套用至以下的工作負載:連接到從 GM 定義的延伸/全域區段,或連接到從 GM 建立的邏輯路由器的任何區段。不應在服務插入重新導向原則中使用從全域管理程式建立的群組。
重要:
  • NSX 聯盟 位置必須在管理員可完全控制底層網狀架構的環境中執行。
  • NSX 聯盟 不支援在 VMware Cloud on AWSVMware Cloud on DellAzure VMware SolutionGoogle Cloud VMware EngineOracle Cloud VMware SolutionAlibaba VMware Cloud Service 上託管的全域管理程式本機管理程式
全域管理程式登錄 本機管理程式後:
  • 您可以繼續在本機管理程式上進行設定。如需更多詳細資料,請參閱瞭解 NSX 聯盟
  • 本機管理程式設定的某些物件可能具有全域管理程式物件所用的選項/設定。例如,您可以將 LM_created-t1 插入到 GM_created-t0。
  • 本機管理程式設定的某些物件無法使用全域管理程式物件所用的選項/設定進行設定。例如,您無法將 LM_created-segment 插入到 Gm_created-t0。請注意,您只能在本機管理程式中編輯這些 LM 物件; 而全域管理程式看不到這些物件。如需詳細資訊,請參閱適用於您版本的《NSX-T 多重位置設計指南》中的〈邏輯組態擁有權〉。

NSX 聯盟中支援的功能》表介紹了全域管理程式中提供的功能。

表 1. NSX 聯盟中支援的功能
功能 詳細資料 相關連結
第 0 層閘道
  • 作用中/作用中和作用中/待命。
  • 僅作用中/作用中
 從全域管理程式新增第 0 層閘道
第 1 層閘道 從全域管理程式新增第 1 層閘道
區段 您可以包含全域管理程式中的第 2 層橋接器組態。 從全域管理程式新增區段在全域管理程式上設定橋接
群組 一些限制。請參閱NSX 聯盟中的安全性 從全域管理程式建立群組
分散式防火牆 現在,可以在全域管理程式上使用安全性原則草稿。這包括對自動草稿和手動草稿的支援。 在全域管理程式中建立草稿
防火牆排除清單 可用。 管理防火牆排除清單
以時間為基礎的防火牆規則 可用。 以時間為基礎的防火牆原則
閘道防火牆 僅支援第 3 層和第 4 層規則。 從全域管理程式建立閘道原則和規則
網路位址轉譯 (NAT)
  1. 第 0 層閘道:

    • 作用中/作用中:您只能設定無狀態 NAT,也就是動作類型為 [自反]。

    • 作用中/待命:您可以建立可設定狀態或無狀態的 NAT 規則。

  2. 第 1 層閘道:

    • 您可以建立可設定狀態或無狀態的 NAT 規則。

    • 無狀態 NAT 規則會推送至閘道範圍中的所有位置,除非明確地將範圍限制在一或多個位置。
    • 可設定狀態的 NAT 規則也會推送至閘道範圍中的所有位置或所選的特定位置。但是,可設定狀態的 NAT 規則僅會在主要位置上實現並強制執行。
 設定 NAT/DNAT/無 SNAT/無 DNAT/自反 NAT
DNS 請參閱新增 NSX DNS 轉寄站服務
DHCP 和 SLAAC
  • 區段和閘道上支援 DHCP 轉送。
  • 在區段上已設定 DHCP 靜態繫結的閘道上,支援 DHCPv4 伺服器。
  • 您可以使用透過 RA 取得 DNS 的 SLAAC 來指派 IPv6 位址 (DAD 僅會偵測位置內的重複項目)。
分散式惡意程式碼偵測和防護 NSX 4.1.2 開始:
  • 在每個聯盟NSX Application Platform上部署 本機管理程式 (NAPP)。
  • 本機管理程式 UI 部署和管理惡意程式碼防護。
  • 您可以對虛擬機器端點使用延伸區段和非延伸區段。
 NSX IDS/IPS 和 NSX 惡意程式碼防護
網路偵測和回應 NSX 4.1.2 開始:
  • 在每個聯盟本機管理程式上部署 NAPP。
  • NSX Network Detection and Response UI 部署和管理 本機管理程式 (NDR)。
  • 您可以使用延伸區段和非延伸區段來收集 NDR 事件。
 NSX Network Detection and Response
本機管理程式組態中使用在全域管理程式上建立的物件
  1. 支援多數組態。例如:
    • 本機管理程式第 1 層閘道連線至全域管理程式第 0 層閘道。
    • 您可以在全域管理程式分散式防火牆規則中使用本機管理程式群組。
  2. 支援這些組態:
    • 本機管理程式區段連接至全域管理程式第 0 層或第 1 層閘道。
    • 將負載平衡器連線至全域管理程式第 1 層閘道。
網路監控
  • 擴充了本機管理程式全域管理程式之間的通訊監控。
  • 跨同一聯盟中的 NSX 執行個體 Traceflow。
憑證 NSX 4.1 開始,僅當本機管理程式位於 NSX 聯盟環境中時,才會產生本機管理程式自我簽署憑證。如果將本機管理程式移出 NSX 聯盟環境,則會刪除該憑證。 NSX 和 NSX 聯盟的憑證
LDAP 使用目錄服務 (如 Active Directory over LDAP 或 OpenLDAP) 對全域管理程式使用者進行驗證。 與 LDAP 整合
備份和還原 支援使用 FQDN 或 IP 進行備份。 在 NSX 聯盟中備份和還原
使用者 NSX 4.1 開始,您可以新增本機使用者,並移除 audit 使用者和來賓使用者。 管理本機使用者帳戶
位置之間的 vMotion 支援跨位置標籤複寫。