IBM Cloud Docs
配置您的网络,以便与虚拟机一起使用客户管理的 NSX 边缘群集

配置您的网络,以便与虚拟机一起使用客户管理的 NSX 边缘群集

配置虚拟机 (VM) 的网络,以便利用部署在 VMware Cloud Foundation for Classic - Automated 实例中的 VMware NSX Edge™ 群集。 有关为帮助最大限度降低安全风险而实施的安全措施的更多信息,请参阅管理服务 NSX Edge 会构成安全风险吗?

VMware NSX® 是一个网络虚拟化平台,可实现隔离网络的虚拟化,并提供交换机、路由和防火墙等多种网络服务。 有关 NSX 的更多信息,请参阅 vSphere

作为自动实例订购流程的一部分,我们将代表您完成以下操作:

  • 订购一个客户专用子网,供虚拟机访问 IBM Cloud® 基础设施专用网络。
  • 订购公用客户子网以允许 VM 访问因特网。
  • 在自动化实例中部署和配置 NSX。
  • 部署样本 NSX 逻辑交换机,以供客户工作负载 VM 使用。
  • 为连接到第 2 层( L2 )网络的本地工作负载之间的潜在东西向通信部署了一个示例路由器。 该路由器是 NSX-T 的 NSX-T™ 1 级路由器和 NSX-V 的 NSX 分布式逻辑路由器。
  • 部署了一台 NSX Edge 设备,并将其配置为执行网络地址转换(NAT)。 NAT 是将工作负载逻辑交换机的 IP 地址范围转换为 NAT 规则上的公共 IP 地址。
  • (仅限 NSX-V) 如果安装了 Veeam® 服务,NSX 管理器将被配置为对 NSX 配置进行每日备份。 有关详细信息,请参阅 Veeam 9.5

配置虚拟机的网络设置

要将 NSX 用于工作负载 VM,必须在创建 VM 时完成以下步骤来配置一些设置:

  1. 设置 VM 到工作负载逻辑交换机的网络适配器:

    1. 新建虚拟机对话框中,单击定制硬件选项卡。
    2. 新建设备菜单中,选择网络,然后单击添加
    3. 在新添加的网络适配器上,从菜单中选择工作负载逻辑交换机。 以下示例显示了工作负载逻辑交换机的名称:
      • 对于 NSX-T - overlay-ls
      • 对于 NSX-V - vxw-dvs-17-virtualwire-1-sid-6000-Workload

    请确保未选中工作负载转移开关。

  2. 确定 VM 的可用 IP 地址:

    • IP 地址必须位于 192.168.10.0/24 范围内。 IP 地址 192.168.10.1 已被保留(见步骤 3 )。
    • 配置在 VM 上运行的操作系统的联网时,请使用所选 IP 地址和网络掩码 255.255.255.0

    您负责管理分配给 VM 的 IP 地址范围。

  3. 将 VM 的缺省网关分配为 192.168.10.1。 对于 NSX-T,该地址是客户第 1 层逻辑路由器上下行路由器端口的 IP 地址。 该地址与工作负载虚拟机连接到同一重叠逻辑交换机。 对于 NSX-V,该地址是与工作负载虚拟机位于同一逻辑交换机上的 NSX DLR 的 IP 地址。

为 NSX-T 启用 SNAT 规则

缺省情况下,NSX-T 支持 SNAT 规则。 有关修改现有规则的更多信息,请参阅 在 Tier-0 逻辑路由器上配置源和目标 NAT

为 NSX-T 启用防火墙规则

NSX-T 默认禁止所有通过工作负载 NSX 边缘规则的流量。 要允许虚拟机使用上一节所述的 SNAT 规则,必须创建防火墙策略和规则来定义和允许流量。 有关修改现有规则的详细信息,请参阅 添加网关防火墙策略和规则

为 NSX-V 启用 SNAT 规则

如果希望工作负载 VM 具有对因特网的出站访问权,那么必须启用关联的 SNAT(源网络地址转换)规则。 通过启用 SNAT 规则,可将 VM 对因特网的访问转换到单个公共 IP 地址。 在 VMware vSphere® Web Client 中完成以下步骤:

  1. 单击主页 > 网络和安全
  2. 在导航器窗格上,单击 NSX Edge,然后双击名为 customer-nsx-edge 的边缘。
  3. 单击管理 > NAT 以打开 NAT 选项卡。
  4. 在表格中选择默认 SNAT 规则,然后单击表格旁边的绿色复选标记以启用该规则。

有关 NSX Edge NAT 规则的更多信息,请参阅 管理 NAT 规则

确定 NSX-T 的客户子网详细信息

逻辑路由器 <instance_name>-<podname>-<cluster_name>-T1-workload<instance_name>-<podname>-<cluster_name>-T0-workload 以及边缘 cust-edge0cust-edge1 供您自己使用。 您可以修改这些规则,为入站或出站流量定义更多 NAT 规则。 这些规则必须仅使用以您的名义订购的公用或专用客户子网上的 IP 地址。

要确定客户子网的详细信息,以便可以使用订购的 IP 地址,请在 NSX-T Web 客户机中完成以下步骤:

  1. 在 VMware Solutions 控制台中,从左侧导航面板单击资源 > VCF for Classic

  2. VMware Cloud Foundation for Classic 表中,找到并选择实例。

  3. 单击 Infrastructure 选项卡并选择管理群集。

  4. 转到群集页面上的 Network interface 部分。

  5. 折叠 Public VLANPrivate VLAN 选项。 公共和私有客户子网是在 Description 字段中包含 customer workload edge 的子网。

此外,还可以通过在 IBM Cloud infrastructure customer portal 中完成以下步骤,找到有关客户子网的更多详细信息:

  1. 单击联网 > IP 管理 > 子网

  2. 单击筛选器菜单,在子网字段中输入在 NSX-T Web Client 中描述的标识符。cust-edge0 的描述中所示的标识符。

  3. 查看为 IP 地址显示的注释。 这些注释用于确定在初始设置期间订购和使用的子网和 IP 地址。

    不要使用在初始设置期间订购和使用的 IP 地址。 但是,可以根据需求使用这些子网上的其他 IP 地址。 要设置更多网络地址转换规则,请参阅 管理 NAT 规则

确定 NSX-V 的客户子网详细信息

customer-nsx-edge 边缘旨在供您自己使用,因此您可以对其进行修改,以定义更多 NAT 规则用于入站或出站流量。 这些规则必须仅使用以您的名义订购的公用或专用客户子网上的 IP 地址。

要确定客户子网的详细信息,以便可以使用订购的 IP 地址,请在 VMware vSphere Web Client 中完成以下步骤:

  1. 单击主页 > 网络和安全
  2. 在导航器窗格上,单击 NSX Edge,然后在右侧窗格的边缘列表中找到 customer-nsx-edge
  3. 描述列中,将鼠标悬停在 customer-nsx-edge 的边缘描述上,以查看专用和公用客户子网的子网标识。

此外,还可以通过在 IBM Cloud infrastructure customer portal 中完成以下步骤,找到有关客户子网的更多详细信息:

  1. 单击联网 > IP 管理 > 子网

  2. 单击过滤器菜单,在子网字段中输入标识,如 VMware vSphere Web Client 中 customer-nsx-edge 的描述中所示。

  3. 查看为 IP 地址显示的注释。 这些注释用于确定在初始设置期间订购和使用的子网和 IP 地址。

    不要使用在初始设置期间订购和使用的 IP 地址。 但是,可以根据需求使用这些子网上的其他 IP 地址。 要设置更多网络地址转换规则,请参阅 管理 NAT 规则

订购更多子网

如果提供的子网不能满足您对 IP 地址的要求,您可以订购更多的子网。

  • 对于 NSX-T,您可以订购更多公共或私有 static 子网,并为子网端点配置 Tier-0 VIP。
  • 对于 NSX-V,您可以订购更多公共或私有 _可移植_子网。