NSX VPC 為應用程式擁有者提供一個隔離空間以主控應用程式,並透過自助服務取用模型來取用網路與安全性物件。
必要條件
- 專案管理員
- 企業管理員
程序
- 從瀏覽器登入 NSX Manager (網址:https://nsx-manager-ip-address)。
- 展開專案下拉式功能表,然後選取要在其中新增 NSX VPC 的專案。
- 按一下 VPC 索引標籤,然後按一下新增 VPC。
- (必要) 輸入 NSX VPC 的名稱。
- 選取 NSX VPC 中的工作負載可用來在此 VPC 外部建立南北向連線的第 0 層或第 0 層 VRF 閘道。
此下拉式功能表只會顯示建立專案時指派給專案的那些第 0 層或第 0 層 VRF 閘道。
如果未選取任何閘道,則 NSX VPC 中的工作負載將無法建立南北向連線。
- 設定 IP 指派設定。
- 在外部 IPv4 區塊欄位中,選取 IPv4 區塊,以供系統用於 NSX VPC 中公用子網路。
指派給專案的外部 IP 區塊可供在 NSX VPC 中選取。這些 IPv4 區塊必須可從 NSX VPC 外部路由。您最多可以為專案中的每個 NSX VPC 指派五個外部 IPv4 區塊。
只有在子網路建立期間將 IP 指派選項設定為自動時,才會將選取的外部 IPv4 區塊用於公用子網路。
- 在私人 IPv4 區塊欄位中,選取 IPv4 區塊,以供系統用於此 NSX VPC 中的私人子網路。
已新增於專案中且可見度設定為私人的 IPv4 區塊,可供在 NSX VPC 中選取。
如果沒有可供選取的 IPv4 區塊,請按一下 ,然後按一下建立新的,以新增私人 IPv4 區塊。
只有在子網路建立期間將 IP 指派選項設定為自動時,才會將選取的私人 IPv4 區塊用於私人子網路。
您必須選取外部 IPv4 區塊和/或私人 IPv4 區塊。如果未選取兩者中的任何一個,則在儲存 NSX VPC 時,會顯示錯誤訊息。
- 在 DHCP 下,選取以下任一選項。
選項 說明 由 NSX Policy Management 管理 預設選項。系統會為 NSX VPC 中的每個子網路設定一個區段 DHCP 伺服器。DHCP 伺服器會將 IP 位址動態指派給連線至 NSX VPC 中的子網路的工作負載虛擬機器。 外部 系統會使用外部或遠端 DHCP 伺服器,將 IP 位址動態指派給連線至 NSX VPC 中的子網路的工作負載虛擬機器。您可以在為 NSX VPC 選取的 DHCP 轉送設定檔中,指定外部 DHCP 伺服器的 IP 位址。
備註: 僅公用 VPC 子網路上的工作負載可以從外部 DHCP 伺服器接收 IP 位址。目前,私人 VPC 子網路上的工作負載無法從外部 DHCP 伺服器接收 IP 位址,除非 DHCP 伺服器本身連線至私人或公用 VPC 子網路。在 DHCP 轉送設定檔下拉式功能表中,選取一個現有的轉送設定檔。如果沒有可用的 DHCP 轉送設定檔,請按一下 ,以建立新的 DHCP 轉送設定檔。
如需新增 DHCP 轉送設定檔的詳細資訊,請參閱新增 NSX DHCP 轉送設定檔。
外部 DHCP 伺服器的組態不由 NSX 管理。
無 系統不會為 NSX VPC 中的子網路設定 DHCP
在這種情況下,您必須手動將 IP 位址指派給連線至 NSX VPC 中的子網路的工作負載虛擬機器。
- 在外部 IPv4 區塊欄位中,選取 IPv4 區塊,以供系統用於 NSX VPC 中公用子網路。
- 如果 DHCP 組態是由 NSX 管理,您可以選擇性地輸入 DNS 伺服器的 IP 位址。
若未指定,則不會指派任何 DNS 給連線至 NSX VPC 中的子網路的工作負載 (DHCP 用戶端)。
- 設定服務設定。
- 依預設,會開啟南北向服務選項。必要時,您可以關閉它。
如果開啟此選項,表示將為所連線的子網路建立服務路由器,以支援集中式服務,例如:南北向防火牆、NAT 或閘道 QoS 設定檔。
如果關閉此選項,則只會建立分散式路由器。
注意: 在系統中實現 NSX VPC 後,最好避免關閉 南北向服務選項。原因在於如此做就不會在 NSX VPC 的子網路上強制執行集中式服務。例如,即使在 NSX VPC 中設定了南北向防火牆、NAT 等服務,也不會強制執行這些服務。 - 從 Edge 叢集下拉式功能表中,選取要與 NSX VPC 相關聯的 Edge 叢集。
如果專案未指派 Edge 叢集,則此下拉式功能表將為空白。請確定至少已為專案指派一個 Edge 叢集,以便在新增 NSX VPC 時可供選取。
會取用選取的 Edge 叢集,以用來在 NSX VPC 中執行集中式服務,例如 NAT、DHCP 和南北向防火牆。這些服務會要求 Edge 叢集需要與 NSX VPC 相關聯。
如果將 DHCP 設定為無,停用南北向服務選項,則 Edge 叢集是選用的。
- 依預設,會開啟預設輸出 NAT 選項。必要時,您可以關閉它。
只有在針對 NSX VPC 開啟南北向服務選項時,此選項才可供使用。
如果開啟了預設輸出 NAT,表示來自私人子網路上工作負載的流量,可以在 NSX VPC 外部路由。系統會自動為 NSX VPC 建立預設 SNAT 規則。SNAT 規則中轉譯的 IP 取自 NSX VPC 的外部 IPv4 區塊。
備註: 在系統中實現 NSX VPC 後,最好避免關閉 預設輸出 NAT 選項。原因在於,這會使私人子網路上的工作負載再也無法在 NSX VPC 外部進行通訊。 - 使用啟用預設東西向防火牆規則切換以指定要為此 NSX VPC 開啟還是關閉預設的東西向防火牆規則。
預設的東西向防火牆規則允許來自連線至 NSX VPC 中子網路的工作負載的所有傳出流量,並捨棄流向 VPC 的所有傳入流量。
只有在 NSX 部署中套用了授權系統使用分散式防火牆安全性功能的適當安全性授權時,此切換才可編輯。此設定只會為 NSX VPC 開啟/關閉預設東西向防火牆規則。它不會關閉 NSX VPC 中的東西向防火牆。
例如,如果在 NSX 平台中啟用了分散式防火牆服務,您仍然可以停用 NSX VPC 的預設東西向防火牆規則。在此情況下,在預設空間中設定的系統範圍預設分散式防火牆規則以及在專案中設定的預設分散式防火牆規則都將套用於 NSX VPC。
下表介紹了不同案例範例下 NSX VPC 中啟用預設東西向防火牆規則切換的預設狀態。此表中使用的「基本授權」一詞是指以下任何一種授權:
- NSX Networking for VMware Cloud Foundation
- VCF 的解決方案授權
序號 案例 切換的預設狀態 備註 1
您是新的 NSX 客戶,且已套用僅授權系統使用 NSX 網路連線功能的基本授權。
關閉
此切換不可編輯,因為目前套用的授權不支援設定東西向 (分散式) 防火牆安全性規則。
您需要在系統中套用適當的安全性授權,然後開啟此切換以在 NSX VPC 中啟用預設東西向防火牆規則。
2
您是新的 NSX 客戶。在初始作業中,您已套用授權系統使用 NSX 網路功能的基本授權。您還套用了授權系統使用分散式防火牆安全的適當安全性授權。
開啟
將為 NSX VPC 啟用預設東西向防火牆規則。
如有需要,您可以將其關閉。
3
您是新的 NSX 客戶。在初始作業中,您只套用了僅授權系統使用 NSX 網路功能的基本授權。您在系統中新增了一些 NSX VPC,如 VPC A 和 B。
稍後,在第 2 天作業期間,您套用了授權系統使用分散式防火牆安全的適當安全性授權。
現在,您在現有的 VPC A 和 B 中新增了使用者定義的東西向防火牆規則,並且還在專案中建立了新 VPC,如 VPC C 和 D。
關閉:對於專案中既存的 VPC
開啟:對於專案中的新 VPC
在此案例中,「既存的 VPC」一詞是指在第 2 天作業後套用安全性授權之前專案中存在的 NSX VPC。在此案例中,它們是指 VPC A 和 B。「新 VPC」一詞是指在第 2 天作業後套用安全性授權後在專案中新增的 NSX VPC。在此案例中,它們是指 VPC C 和 D。
對於既存的 VPC A 和 B,系統行為如下所示:
依預設,此切換將處於關閉狀態。使用者定義的東西向規則在 VPC A 和 B 中有效。如果您想要在這些 VPC 中啟用預設東西向規則,請在編輯模式下開啟這些 VPC,然後手動開啟此切換。然而,一旦開啟此切換,可能會影響 VPC A 和 B 中東西向流量的行為。
對於新的 VPC C 和 D,系統行為如下所示:
依預設,此切換將處於開啟狀態。也就是說,對於 VPC C 和 D,依預設,將啟用預設東西向規則。如有需要,您可以將其關閉,以便只有使用者定義的東西向規則在這些 VPC 中有效。
4
您是現有的 NSX 客戶,擁有授權系統完整 DFW 存取權的舊版 NSX 授權。
舊版授權過期後,您套用了授權系統使用 NSX 網路功能的基本授權,還套用了授權系統使用分散式防火牆安全的安全性授權。
開啟
預設的東西向防火牆規則和使用者定義的東西向防火牆規則將繼續在變更為新授權之前建立的現有 VPC 中執行。系統行為沒有變化。
對於變更授權後新增的所有新 VPC,依預設,此切換處於開啟狀態。如有需要,您可以將其關閉。
5
您是現有的 NSX 客戶,擁有授權系統完整 DFW 存取權的舊版 NSX 授權。您在系統中新增了兩個 NSX VPC,如 VPC A 和 B。
目前的舊版授權到期後,您套用了僅授權系統使用 NSX 網路功能的基本授權。未套用安全性授權。
現在,您在系統中建立了兩個新 NSX VPC,如 VPC C 和 D。
開啟:對於專案中既存的 VPC
關閉:對於專案中的新 VPC
在此案例中,「既存的 VPC」一詞是指在舊版 NSX 授權有效時在系統中新增的 NSX VPC。在此案例中,它們是指 VPC A 和 B。「新 VPC」一詞是指在套用基本授權後在系統中新增的 NSX VPC。在此案例中,它們是指 VPC C 和 D。
對於既存的 VPC A 和 B,系統行為如下所示:
依預設,此切換處於開啟狀態。如有需要,您可以將其關閉。但是此動作無法還原。也就是說,您無法在 VPC A 和 B 中再次啟用預設的東西向防火牆規則。
預設的東西向防火牆規則和使用者定義的東西向防火牆規則將繼續在 VPC A 和 B 中執行。但是,您無法編輯這些規則,也不能新增東西向防火牆規則。但是,您可以刪除現有的使用者定義的防火牆規則。
若要獲得對分散式防火牆規則的完整存取權,您需要套用適當的安全性授權。
對於新的 VPC C 和 D,系統行為如下所示:
依預設,此切換處於關閉狀態。您無法開啟該切換,因為目前套用的授權未授權系統使用分散式防火牆功能。
6
您是新 NSX 客戶,且您的系統已進入評估模式,有效時間為 60 天。
關閉
在新 NSX 部署的評估期間,系統只能使用網路功能,而無權使用安全性功能。
- 如果您希望 NSX Advanced Load Balancer Controller 探索到 NSX VPC,請開啟為 NSX Advanced Load Balancer 啟用選項。
依預設,會關閉此選項。如果開啟此選項,則能夠將 NSX 多租戶延伸到 NSX Advanced Load Balancer Controller,從而在此內容中啟用負載平衡器組態。
只有在符合以下條件時,您才能開啟此選項:- 至少已將一個私人 IP 位址區塊指派給 NSX VPC。
- 至少已將一個 Edge 叢集指派給 NSX VPC。
NSX VPC 需要私人 IP 區塊,因為負載平衡器虛擬服務 IP (VIP) 需要位於私人子網路上。需要 Edge 叢集,以便 NSX Advanced Load Balancer 服務引擎可以從 DHCP 伺服器動態接收 IP 位址。
若想進一步瞭解 NSX Advanced Load Balancer,請參閱 VMware NSX Advanced Load Balancer 說明文件。
- 依預設,會開啟南北向服務選項。必要時,您可以關閉它。
- (選用) 連結下列設定檔,以供 NSX VPC 中的子網路使用:
- 南北向出口服務品質 (QoS) 設定檔
- 南北向入口 QoS 設定檔
- IP 探索設定檔
- SpoofGuard 設定檔
- Mac 探索設定檔
- 區段安全性設定檔
- QoS
若要瞭解這些設定檔的用途,請參閱區段設定檔。
- 在短記錄識別碼文字方塊中輸入一個字串,以供系統用來識別在此 NSX VPC 內容中產生的記錄。
此識別碼在所有 NSX VPC 之間必須是唯一的。識別碼不得超過八個英數字元。
如果未指定識別碼,系統會在您儲存 NSX VPC 時自動產生識別碼。識別碼在設定之後,就無法修改。
- (選用) 輸入 NSX VPC 的說明。
- 按一下儲存。
結果
成功建立 NSX VPC 後,系統會隱含建立閘道。但是,此隱含閘道會以唯讀模式向專案管理員公開,而 NSX VPC 使用者卻看不到。
- 導覽至網路 > 第 1 層閘道。
- 按一下第 1 層閘道頁面底部的 VPC 物件核取方塊。
- 展開閘道,以在唯讀模式下檢視組態。
隱含閘道使用下列命名慣例:
_TIER1-VPC_Name
此隱含閘道的生命週期由系統管理。刪除 NSX VPC 時,會自動刪除此隱含閘道。
如果已啟用預設輸出 NAT 選項,您可以檢視 NSX VPC 中由系統建立的預設 SNAT 規則。執行以下步驟:
- 展開 NSX VPC 的網路服務區段。
- 按一下 NAT 旁邊的計數。
- 觀察 NSX VPC 中私人 IPv4 區塊所對應的具有 SNAT 動作的預設 NAT 規則。此 NAT 規則不可編輯。如果為 NSX VPC 指派了多個私人 IPv4 區塊,則會為每個私人 IPv4 區塊各建立一個具有 SNAT 動作的預設 NAT 規則。
例如:
SNAT 規則中的來源 IP 是 NSX VPC 的私人 IPv4 區塊。在此範例中,它是 193.0.1.0/24。此 SNAT 規則中轉譯的 IP 是從 NSX VPC 的外部 IPv4 區塊指派而來。在此範例中,它是 192.168.1.0。