全域管理員所做的所有組態都是在原則模式中進行。在 NSX 聯盟中無法使用管理程式模式。

如需關於兩個模式的詳細資訊,請參閱NSX Manager

組態上限

NSX 聯盟環境具有下列組態上限:
  • 對於多數組態,本機管理員叢集的組態上限與 NSX Manager 叢集相同。移至 VMware 組態上限工具,然後選取 NSX

    VMware 組態上限工具中,針對 NSX 選取 NSX 聯盟類別作為例外狀況和其他 NSX 聯盟特定值。

  • 對於指定的位置,下列組態會導致組態上限:
    • 本機管理員上建立的物件。
    • 全域管理員上建立並將位置包含在其範圍中的物件。

    您可以在每個本機管理程式上檢視容量和使用量。請參閱檢視物件類別的使用量和容量

功能支援

請注意,在 NSX 聯盟 中,當 NSX 聯盟 環境部署了 全域管理員 (GM) 時,唯有在下列條件下才支援服務插入 (網路自我檢查):
  • 已從本機管理員 (LM) 完成與服務插入相關的所有組態,如合作夥伴服務登錄、部署和耗用等。
  • 僅 LM 上設定的物件可與服務插入搭配使用。這包括群組、區段和任何其他建構。服務插入無法套用至以下的工作負載:連接到從 GM 定義的延伸/全域區段,或連接到從 GM 建立的邏輯路由器的任何區段。不應在服務插入重新導向原則中使用從全域管理員建立的群組。
重要:
  • NSX 聯盟 位置必須在管理員可完全控制底層網狀架構的環境中執行。
  • NSX 聯盟 不支援在 VMware Cloud on AWSVMware Cloud on DellAzure VMware SolutionGoogle Cloud VMware EngineOracle Cloud VMware SolutionAlibaba VMware Cloud Service 上託管的全域管理員本機管理員
全域管理員登錄 本機管理員後:
  • 您可以繼續在本機管理員上進行設定。如需更多詳細資料,請參閱瞭解 NSX 聯盟
  • 本機管理員設定的某些物件可能具有全域管理員物件所用的選項/設定。例如,您可以將 LM_created-t1 插入到 GM_created-t0。
  • 本機管理員設定的某些物件無法使用全域管理員物件所用的選項/設定進行設定。例如,您無法將 LM_created-segment 插入到 Gm_created-t0。請注意,您只能在本機管理員中編輯這些 LM 物件; 而全域管理員看不到這些物件。如需詳細資訊,請參閱適用於您版本的《NSX-T 多重位置設計指南》中的〈邏輯組態擁有權〉。

NSX 聯盟中支援的功能》表介紹了全域管理員中提供的功能。

表 1. NSX 聯盟中支援的功能
功能 詳細資料 相關連結
第 0 層閘道
  • 作用中/作用中和作用中/待命。
  • 僅作用中/作用中
從全域管理員新增第 0 層閘道
第 1 層閘道 從全域管理員新增第 1 層閘道
區段 您可以包含全域管理員中的第 2 層橋接器組態。 從全域管理員新增區段在全域管理程式上設定橋接
群組 一些限制。請參閱NSX 聯盟中的安全性 從全域管理員建立群組
分散式防火牆 現在,可以在全域管理員上使用安全性原則草稿。這包括對自動草稿和手動草稿的支援。 在全域管理員中建立草稿
防火牆排除清單 可用。 管理防火牆排除清單
以時間為基礎的防火牆規則 可用。 以時間為基礎的防火牆原則
閘道防火牆 僅支援第 3 層和第 4 層規則。 從全域管理員建立閘道原則和規則
網路位址轉譯 (NAT)
  1. 第 0 層閘道:
    • 作用中/作用中:您只能設定無狀態 NAT,也就是動作類型為 [自反]。

    • 作用中/待命:您可以建立可設定狀態或無狀態的 NAT 規則。

  2. 第 1 層閘道:
    • 您可以建立可設定狀態或無狀態的 NAT 規則。

    • 無狀態 NAT 規則會推送至閘道範圍中的所有位置,除非明確地將範圍限制在一或多個位置。
    • 可設定狀態的 NAT 規則也會推送至閘道範圍中的所有位置或所選的特定位置。但是,可設定狀態的 NAT 規則僅會在主要位置上實現並強制執行。
設定 NSX NAT/DNAT/無 SNAT/無 DNAT/自反 NAT
DNS 請參閱新增 NSX DNS 轉寄站服務
DHCP 和 SLAAC
  • 區段和閘道上支援 DHCP 轉送。
  • 在區段上已設定 DHCP 靜態繫結的閘道上,支援 DHCPv4 伺服器。
  • 您可以使用透過 RA 取得 DNS 的 SLAAC 來指派 IPv6 位址 (DAD 僅會偵測位置內的重複項目)。
分散式惡意程式碼偵測和防護 NSX 4.1.2 開始:
  • 在每個聯盟NSX 應用程式平台上部署 本機管理員 (NAPP)。
  • 本機管理員 UI 部署和管理惡意程式碼防護。
  • 您可以對虛擬機器端點使用延伸區段和非延伸區段。
NSX IDS/IPS 和 NSX 惡意軟體防護
網路偵測和回應 NSX 4.1.2 開始:
  • 在每個聯盟本機管理員上部署 NAPP。
  • NSX Network Detection and Response UI 部署和管理 本機管理員 (NDR)。
  • 您可以使用延伸區段和非延伸區段來收集 NDR 事件。
NSX Network Detection and Response
本機管理員組態中使用在全域管理員上建立的物件
  1. 支援多數組態。例如:
    • 本機管理員第 1 層閘道連線至全域管理員第 0 層閘道。
    • 您可以在全域管理員分散式防火牆規則中使用本機管理員群組。
  2. 支援這些組態:
    • 本機管理員區段連接至全域管理員第 0 層或第 1 層閘道。
    • 將負載平衡器連線至全域管理程式第 1 層閘道。
網路監控
  • 擴充了本機管理員全域管理員之間的通訊監控。
  • 跨同一聯盟中的 NSX 執行個體 Traceflow。
憑證 NSX 4.1 開始,僅當本機管理員位於 NSX 聯盟環境中時,才會產生本機管理員自我簽署憑證。如果將本機管理員移出 NSX 聯盟環境,則會刪除該憑證。 NSX 和 NSX 聯盟的憑證
LDAP 使用目錄服務 (如 Active Directory over LDAP 或 OpenLDAP) 對全域管理員使用者進行驗證。 與 LDAP 整合
備份和還原 支援使用 FQDN 或 IP 進行備份。 在 NSX 聯盟中備份和還原
使用者 NSX 4.1 開始,您可以新增本機使用者,並移除 audit 使用者和來賓使用者。 管理本機使用者帳戶
位置之間的 vMotion 支援跨位置標籤複寫。