在公有雲中,某些組態會在您部署 PCG 後自動設定。
某些自動組態是所有公有雲以及 NSX 管理模式的通用設定。其他組態則為公有雲或 NSX 管理模式特定。
AWS 特定
下列為 AWS 特定:
- 在 AWS VPC 中,以名稱 nsx-gw.vmware.local 將類型 A 記錄集新增至 Amazon Route 53 中的私人主控區域。對應到此記錄的 IP 位址符合由 AWS 使用 DHCP 進行指派的 PCG,並且視每個 VPC 而有所不同。Amazon Route 53 之私人主控區域中的此 DNS 項目可供 NSX Cloud 解析 PCG 的 IP 位址。
備註: 當您使用 Amazon Route 53 之私人主控區域中定義的自訂 DNS 網域名稱時,必須針對 AWS 中的 VPC 設定將 DNS 解析和 DNS 主機名稱設為 是。
-
已建立 PCG 之上行介面的次要 IP。AWS 彈性 IP 與這個次要 IP 位址相關聯。此組態適用於 SNAT。
Microsoft Azure 特定
下列為 Microsoft Azure 特定:
- 系統會為每個訂閱的每個區域建立一個通用資源群組。其命名方式類似 nsx-default-<region-name>-rg,例如:nsx-default-westus-rg。此區域中的所有 VNet 會共用此資源群組。在您將此區域中的 VNet 從 NSX Cloud 中離線後,此資源群組和所有 NSX 建立的安全群組 (名稱類似 default-<vnet-ID>-sg),不會從 Microsoft Azure 區域刪除。
模式和所有公有雲通用
下列是在所有公有雲中建立,並用於這兩個 NSX 管理模式:
NSX 強制執行模式和
原生雲端強制執行模式:
-
gw 安全群組會套用到 VPC 或 VNet 中相應的 PCG 介面。
表 1. 由 NSX Cloud 針對 PCG 介面建立的公有雲安全群組 安全群組名稱 說明 gw-mgmt-sg 閘道管理安全群組 gw-uplink-sg 閘道上行安全群組 gw-vtep-sg 閘道下行安全群組
原生雲端強制執行模式特定
在原生雲端強制執行模式中部署 PCG 時,系統會建立下列安全群組。
當工作負載虛擬機器與
NSX Manager 中的群組和對應的安全性原則相符後,系統就會針對每個相符的安全性原則,在公有雲中建立名稱類似於
nsx-<GUID> 的安全群組。
備註: 系統會在 AWS 中建立安全群組。在 Microsoft Azure 中,系統會建立與
NSX Manager 中群組相對應的應用程式安全群組,並建立與
NSX Manager 中安全性原則相對應的網路安全群組。
| 安全群組名稱 | 在 Microsoft Azure 中可用嗎? | 在 AWS 中可用嗎? | 說明 |
|---|---|---|---|
| default-vnet-<vnet-id>-sg | 是 | 否 | NSX Cloud 在通用 Microsoft Azure 資源群組中建立的安全群組,會指派給與 NSX 中安全性原則不相符的虛擬機器。 |
| 預設 | 否 | 是 | AWS 中現有的安全群組,由 NSX Cloud 用於指派給與 NSX 中的安全性原則不相符的虛擬機器。 |
| vm-overlay-sg | 是 | 是 | 虛擬機器覆疊安全群組 (未在目前版本中使用) |
NSX 強制執行模式特定
在
NSX 強制執行模式中部署
PCG 時,系統會為工作負載虛擬機器建立下列安全群組。
| 安全群組名稱 | 在 Microsoft Azure 中可用嗎? | 在 AWS 中可用嗎? | 說明 |
|---|---|---|---|
| default-vnet-<vnet-id>-sg | 是 | 否 | 在 NSX 強制執行模式 中,NSX Cloud 在 Microsoft Azure 中針對威脅偵測工作流程建立的安全群組 |
| 預設 | 否 | 是 | AWS 中現有的安全群組,由 NSX Cloud 用於 NSX 強制執行模式中的威脅偵測工作流程 |
| vm-underlay-sg | 是 | 是 | 虛擬機器底層安全群組 |
| vm-overlay-sg | 是 | 是 | 虛擬機器覆疊安全群組 (未在目前版本中使用) |
