NSX Virtual Private Cloud (VPC) 是一個抽象層,可簡化在 NSX 專案中設定獨立 Virtual Private Cloud 網路的過程,以便在自助服務消耗模型中取用網路與安全性服務。

NSX 4.1.1 開始,專案內支援此功能。

NSX 會向應用程式擁有者隱藏底層 NSX VPC 基礎結構、網路拓撲、網路物件和 IP 位址管理的複雜性,並為他們提供自助服務消耗模型,以便在其自己的私人空間中執行應用程式。

應用程式擁有者或 DevOps 工程師不需要瞭解用來在隔離空間內執行應用程式的底層 NSX 基礎結構。他們可以在指派給他們的 NSX VPC 內新增子網路 (網路),並設定安全性原則以符合其應用程式需求,而無需依賴企業管理員。

NSX VPC 在專案中為選用的。下圖顯示組織中的兩個專案。專案 1 包含 NSX VPC,而專案 2 不包含 NSX VPC。


此圖的周圍有文字加以說明。

下圖顯示專案 1 內 NSX VPC 的範例邏輯視圖。專案 1 和 2 都連線至相同的第 0 層或第 0 層 VRF 閘道。


此圖的周圍有文字加以說明。
專案 1 內的 NSX VPC 包含三個子網路:
  • 應用程式子網路 (私人)
  • Web 子網路 (公用)
  • 測試子網路 (隔離)
專案中的每個 NSX VPC 各代表一個獨立的路由網域。 NSX VPC 中的子網路代表獨立的第 2 層廣播網域。子網路會以覆疊區段形式實現於專案的預設傳輸區域中。在 NSX VPC 中獲指派 VPC 管理員角色或網路管理員角色的使用者,可以在 NSX VPC 中新增子網路。除了這兩個角色外, NSX VPC 還可以具有以下使用者角色,但其範圍僅限於 NSX VPC
  • 安全管理員
  • 網路營運人員
  • 安全營運人員

建立 NSX VPC 時,專案管理員會指定外部 IP 區塊和私人 IP 區塊,以用來在 VPC 中建立子網路。支援的子網路存取模式為 [私人]、[公用] 和 [隔離]。若要進一步瞭解有關子網路存取模式的詳細資訊,請參閱本說明文件中後面的 NSX VPC 子網路的存取模式一節。

成功建立 NSX VPC 後,系統會隱含建立閘道。但是,此隱含閘道會以唯讀模式向專案管理員公開,而 NSX VPC 使用者卻看不到。

此隱含閘道的生命週期由系統管理。刪除 NSX VPC 時,會自動刪除此隱含閘道。

NSX VPC 原則資料模型中,會在下列路徑的專案之下建立 NSX 物件:

/orgs/default/projects/<project_id>/vpcs/<vpc-id>

所實現的隱含閘道位於以下路徑:

/orgs/default/projects/<project_id>/infra/tier-1s/

NSX VPC 的範例

假設您的組織在 NSX 環境中建立了一個名為「銷售」的專案。專案管理員的目標是為「銷售」業務單位的「訂單管理」和「分析」應用程式開發人員,提供一個隔離的網路與安全性環境。

應用程式開發人員需要能夠在自助服務消耗模型中,為這兩個應用程式佈建網路並設定安全性原則,而無需倚靠企業管理員或專案管理員。

為達成這一目標,專案管理員可以在「銷售」專案中建立兩個 NSX VPC,並將這些 NSX VPC 指派給應用程式開發人員。

例如:

VPC 名稱 VPC 使用者 IP 位址區塊
訂單管理

Jim:VPC 管理員

Bob:網路營運人員

Carol:安全營運人員

私人 IPv4 區塊:172.16.0.0/24

外部 IPv4 區塊:192.168.1.0/24

分析

Mike:VPC 管理員

Steve:網路營運人員

Maria:安全營運人員

私人 IPv4 區塊:172.18.0.0/24

外部 IPv4 區塊:192.168.1.0/24

將角色指派給 NSX VPC 使用者後,這些使用者可以在 NSX VPC 內新增子網路,並為這些工作負載設定安全性原則。安全性原則只會影響 NSX VPC 內的工作負載,而不會影響 NSX VPC 外的工作負載。

例如,下圖顯示「訂單管理」NSX VPC 內的三個子網路 (名稱分別是「開發」、「測試」和「生產」),以及「分析」NSX VPC 內的三個子網路 (名稱分別是「應用程式」、Web 和「資料庫」)。工作負載虛擬機器會連結到所有子網路。NSX VPC 已連結到「銷售」專案的同一第 0 層或第 0 層 VRF 閘道。


此圖的周圍有文字加以說明。

NSX VPC 高階工作流程

NSX VPC 高階工作流程如下所示:
  1. 專案管理員:在專案內新增 NSX VPC,並定義 NSX VPC 基本設定,例如 IP 指派、DHCP 組態、Edge 叢集等。
  2. 專案管理員:在 NSX VPC 中指派角色給使用者。
  3. 專案管理員:定義使用者可在 NSX VPC 內建立的物件數配額或限制。
  4. VPC 管理員或網路管理員:在 NSX VPC 中新增子網路。根據商務需求,將工作負載連線至這些子網路。
  5. VPC 管理員或安全管理員:在 NSX VPC 中新增安全性原則,以符合連線至 VPC 中的子網路之工作負載的安全需求。

NSX VPC 子網路的存取模式

NSX VPC 中的子網路支援的存取模式包括:
私人

只有在 NSX VPC 內才能存取私人子網路。連結到私人子網路的工作負載可以與同一 NSX VPC 內其他私人或公用子網路上的工作負載通訊。

如果私人子網路的 IP 指派設定為 [自動],則會從指派給 NSX VPC 的私人 IPv4 區塊中,自動指派子網路 IP 區塊 (子網路 CIDR)。如果私人子網路的 IP 指派設定為 [手動],則 VPC 管理員可以手動指派子網路 CIDR。

VPC 子網路的 CIDR 不能與同一 NSX VPC 中的其他 VPC 子網路的 CIDR 重疊。但是,子網路 IP 可以與其他 NSX VPC 中的子網路重疊。可以藉由將具有相同 IP 範圍的不同私人 IP 區塊,配置給不同的 NSX VPC,來達成這樣的設定。

同一專案中的多個 NSX VPC 可以共用相同的私人 IPv4 區塊。在這種情況下,私人子網路在共用同一私人 IP 區塊的不同 VPC 之間,會是唯一的。

如果為 NSX VPC 開啟了預設輸出 NAT 選項,則會為 NSX VPC 建立預設 SNAT 規則,以允許來自私人子網路上的工作負載的流量,路由到 NSX VPC 外部。同樣地,如果關閉此選項,則來自私人子網路的流量將無法路由到 NSX VPC 外部。

公用

公用子網路可供從 NSX VPC 外部存取。依預設,這個子網路會自動通告到專案的第 0 層閘道,並且它能夠直接進行外部連線。換句話說,可以從專案內部和外部連線至公用子網路中的 IPv4 位址。

如果公用子網路的 IP 指派設定為 [自動],則會從指定給專案的外部 IPv4 區塊中,自動指派子網路 IP 區塊 (子網路 CIDR)。如果公用子網路的 IP 指派設定為 [手動],則 VPC 管理員可以手動指派子網路 CIDR。

隔離

隔離子網路在內部不會連線至所實現的隱含閘道。隔離子網路上的工作負載可以彼此通訊,但無法與同一 NSX VPC 中的私人或公用子網路上的工作負載通訊。此外,來自隔離子網路的封包無法路由到 NSX VPC 外部。

VPC 管理員必須手動指定隔離子網路的 CIDR 位址。