在公有雲中,某些組態會在您部署 PCG 後自動設定。

某些自動組態是所有公有雲以及 NSX 管理模式的通用設定。其他組態則為公有雲或 NSX 管理模式特定。

AWS 特定

下列為 AWS 特定:
  • 在 AWS VPC 中,以名稱 nsx-gw.vmware.local 將類型 A 記錄集新增至 Amazon Route 53 中的私人主控區域。對應到此記錄的 IP 位址符合由 AWS 使用 DHCP 進行指派的 PCG,並且視每個 VPC 而有所不同。Amazon Route 53 之私人主控區域中的此 DNS 項目可供 NSX Cloud 解析 PCG 的 IP 位址。
    備註: 當您使用 Amazon Route 53 之私人主控區域中定義的自訂 DNS 網域名稱時,必須針對 AWS 中的 VPC 設定將 DNS 解析 DNS 主機名稱設為
  • 已建立 PCG 之上行介面的次要 IP。AWS 彈性 IP 與這個次要 IP 位址相關聯。此組態適用於 SNAT。

Microsoft Azure 特定

下列為 Microsoft Azure 特定:
  • 系統會為每個訂閱的每個區域建立一個通用資源群組。其命名方式類似 nsx-default-<region-name>-rg,例如:nsx-default-westus-rg。此區域中的所有 VNet 會共用此資源群組。在您將此區域中的 VNet 從 NSX Cloud 中離線後,此資源群組和所有 NSX 建立的安全群組 (名稱類似 default-<vnet-ID>-sg),不會從 Microsoft Azure 區域刪除。

模式和所有公有雲通用

下列是在所有公有雲中建立,並用於這兩個 NSX 管理模式: NSX 強制執行模式原生雲端強制執行模式
  • gw 安全群組會套用到 VPC 或 VNet 中相應的 PCG 介面。
    表 1. NSX Cloud 針對 PCG 介面建立的公有雲安全群組
    安全群組名稱 說明
    gw-mgmt-sg 閘道管理安全群組
    gw-uplink-sg 閘道上行安全群組
    gw-vtep-sg 閘道下行安全群組

原生雲端強制執行模式特定

原生雲端強制執行模式中部署 PCG 時,系統會建立下列安全群組。

當工作負載虛擬機器與 NSX Manager 中的群組和對應的安全性原則相符後,系統就會針對每個相符的安全性原則,在公有雲中建立名稱類似於 nsx-<GUID> 的安全群組。
備註: 系統會在 AWS 中建立安全群組。在 Microsoft Azure 中,系統會建立與 NSX Manager 中群組相對應的應用程式安全群組,並建立與 NSX Manager 中安全性原則相對應的網路安全群組。
安全群組名稱 在 Microsoft Azure 中可用嗎? 在 AWS 中可用嗎? 說明
default-vnet-<vnet-id>-sg NSX Cloud 在通用 Microsoft Azure 資源群組中建立的安全群組,會指派給與 NSX 中安全性原則不相符的虛擬機器。
預設 AWS 中現有的安全群組,由 NSX Cloud 用於指派給與 NSX 中的安全性原則不相符的虛擬機器。
vm-overlay-sg 虛擬機器覆疊安全群組 (未在目前版本中使用)

NSX 強制執行模式特定

NSX 強制執行模式中部署 PCG 時,系統會為工作負載虛擬機器建立下列安全群組。
表 2. NSX 強制執行模式 中,NSX Cloud 針對工作負載虛擬機器建立的公有雲安全群組
安全群組名稱 在 Microsoft Azure 中可用嗎? 在 AWS 中可用嗎? 說明
default-vnet-<vnet-id>-sg NSX 強制執行模式 中,NSX Cloud 在 Microsoft Azure 中針對威脅偵測工作流程建立的安全群組
預設 AWS 中現有的安全群組,由 NSX Cloud 用於 NSX 強制執行模式中的威脅偵測工作流程
vm-underlay-sg 虛擬機器底層安全群組
vm-overlay-sg 虛擬機器覆疊安全群組 (未在目前版本中使用)