NSX 聯盟中支援的功能和組態

從全域管理員所做的所有組態都是在原則模式中進行。在 NSX 聯盟中無法使用管理程式模式。

如需關於兩個模式的詳細資訊，請參閱NSX Manager。

組態上限

NSX 聯盟環境具有下列組態上限：

對於多數組態，本機管理員叢集的組態上限與 NSX Manager 叢集相同。移至 VMware 組態上限工具，然後選取 NSX。

在 VMware 組態上限工具中，針對 NSX 選取 NSX 聯盟類別作為例外狀況和其他 NSX 聯盟特定值。
對於指定的位置，下列組態會導致組態上限：
- 在本機管理員上建立的物件。
- 在全域管理員上建立並將位置包含在其範圍中的物件。
您可以在每個本機管理程式上檢視容量和使用量。請參閱檢視物件類別的使用量和容量。

功能支援

請注意，在 NSX 聯盟中，當 NSX 聯盟環境部署了全域管理員 (GM) 時，唯有在下列條件下才支援服務插入 (網路自我檢查)：

已從本機管理員 (LM) 完成與服務插入相關的所有組態，如合作夥伴服務登錄、部署和耗用等。
僅 LM 上設定的物件可與服務插入搭配使用。這包括群組、區段和任何其他建構。服務插入無法套用至以下的工作負載：連接到從 GM 定義的延伸/全域區段，或連接到從 GM 建立的邏輯路由器的任何區段。不應在服務插入重新導向原則中使用從全域管理員建立的群組。

重要：

NSX 聯盟位置必須在管理員可完全控制底層網狀架構的環境中執行。
NSX 聯盟不支援在 VMware Cloud on AWS、VMware Cloud on Dell、Azure VMware Solution、Google Cloud VMware Engine、Oracle Cloud VMware Solution 或 Alibaba VMware Cloud Service 上託管的全域管理員或本機管理員。

向全域管理員登錄本機管理員後：

您可以繼續在本機管理員上進行設定。如需更多詳細資料，請參閱瞭解 NSX 聯盟。
從本機管理員設定的某些物件可能具有全域管理員物件所用的選項/設定。例如，您可以將 LM_created-t1 插入到 GM_created-t0。
從本機管理員設定的某些物件無法使用全域管理員物件所用的選項/設定進行設定。例如，您無法將 LM_created-segment 插入到 Gm_created-t0。請注意，您只能在本機管理員中編輯這些 LM 物件; 而全域管理員看不到這些物件。如需詳細資訊，請參閱適用於您版本的《NSX-T 多重位置設計指南》中的〈邏輯組態擁有權〉。

《NSX 聯盟中支援的功能》表介紹了全域管理員中提供的功能。

表 1. NSX 聯盟中支援的功能
功能	詳細資料	相關連結
第 0 層閘道	作用中/作用中和作用中/待命。僅作用中/作用中	從全域管理員新增第 0 層閘道
第 1 層閘道		從全域管理員新增第 1 層閘道
區段	您可以包含全域管理員中的第 2 層橋接器組態。	從全域管理員新增區段和在全域管理程式上設定橋接
群組	一些限制。請參閱NSX 聯盟中的安全性。	從全域管理員建立群組
分散式防火牆	現在，可以在全域管理員上使用安全性原則草稿。這包括對自動草稿和手動草稿的支援。	在全域管理員中建立草稿
防火牆排除清單	可用。	管理防火牆排除清單
以時間為基礎的防火牆規則	可用。	以時間為基礎的防火牆原則
閘道防火牆	僅支援第 3 層和第 4 層規則。	從全域管理員建立閘道原則和規則
網路位址轉譯 (NAT)	第 0 層閘道：作用中/作用中：您只能設定無狀態 NAT，也就是動作類型為 [自反]。作用中/待命：您可以建立可設定狀態或無狀態的 NAT 規則。第 1 層閘道：您可以建立可設定狀態或無狀態的 NAT 規則。無狀態 NAT 規則會推送至閘道範圍中的所有位置，除非明確地將範圍限制在一或多個位置。可設定狀態的 NAT 規則也會推送至閘道範圍中的所有位置或所選的特定位置。但是，可設定狀態的 NAT 規則僅會在主要位置上實現並強制執行。	設定 NSX NAT/DNAT/無 SNAT/無 DNAT/自反 NAT
DNS		請參閱新增 NSX DNS 轉寄站服務
DHCP 和 SLAAC	區段和閘道上支援 DHCP 轉送。在區段上已設定 DHCP 靜態繫結的閘道上，支援 DHCPv4 伺服器。您可以使用透過 RA 取得 DNS 的 SLAAC 來指派 IPv6 位址 (DAD 僅會偵測位置內的重複項目)。	DHCP 轉送：新增 NSX DHCP 轉送設定檔 DHCP 伺服器 (僅在閘道上支援)：新增 NSX DHCP 伺服器設定檔將 NSX DHCP 設定檔連結至第 0 層或第 1 層閘道 NSX DHCP 組態設定：參考 IPv6 位址指派：建立 IPv6 位址指派的 NSX SLAAC 和 DAD 設定檔
分散式惡意程式碼偵測和防護	從 NSX 4.1.2 開始：在每個聯盟NSX 應用程式平台上部署本機管理員 (NAPP)。從本機管理員 UI 部署和管理惡意程式碼防護。您可以對虛擬機器端點使用延伸區段和非延伸區段。	NSX IDS/IPS 和 NSX 惡意軟體防護
網路偵測和回應	從 NSX 4.1.2 開始：在每個聯盟本機管理員上部署 NAPP。從NSX Network Detection and Response UI 部署和管理本機管理員 (NDR)。您可以使用延伸區段和非延伸區段來收集 NDR 事件。	NSX Network Detection and Response
在本機管理員組態中使用在全域管理員上建立的物件	支援多數組態。例如：將本機管理員第 1 層閘道連線至全域管理員第 0 層閘道。您可以在全域管理員分散式防火牆規則中使用本機管理員群組。不支援這些組態：將本機管理員區段連接至全域管理員第 0 層或第 1 層閘道。將負載平衡器連線至全域管理程式第 1 層閘道。
網路監控	擴充了本機管理員與全域管理員之間的通訊監控。跨同一聯盟中的 NSX 執行個體 Traceflow。
憑證	從 NSX 4.1 開始，僅當本機管理員位於 NSX 聯盟環境中時，才會產生本機管理員自我簽署憑證。如果將本機管理員移出 NSX 聯盟環境，則會刪除該憑證。	NSX 和 NSX 聯盟的憑證
LDAP	使用目錄服務 (如 Active Directory over LDAP 或 OpenLDAP) 對全域管理員使用者進行驗證。	與 LDAP 整合
備份和還原	支援使用 FQDN 或 IP 進行備份。	在 NSX 聯盟中備份和還原
使用者	從 NSX 4.1 開始，您可以新增本機使用者，並移除 audit 使用者和來賓使用者。	管理本機使用者帳戶
位置之間的 vMotion	支援跨位置標籤複寫。