配置您的网络,以便与虚拟机一起使用客户管理的 NSX 边缘群集
配置虚拟机 (VM) 的网络,以便利用部署在 VMware Cloud Foundation for Classic - Automated 实例中的 VMware NSX Edge™ 群集。 有关为帮助最大限度降低安全风险而实施的安全措施的更多信息,请参阅管理服务 NSX Edge 会构成安全风险吗?
VMware NSX® 是一个网络虚拟化平台,可实现隔离网络的虚拟化,并提供交换机、路由和防火墙等多种网络服务。 有关 NSX 的更多信息,请参阅 vSphere。
作为自动实例订购流程的一部分,我们将代表您完成以下操作:
- 订购一个客户专用子网,供虚拟机访问 IBM Cloud® 基础设施专用网络。
- 订购公用客户子网以允许 VM 访问因特网。
- 在自动化实例中部署和配置 NSX。
- 部署样本 NSX 逻辑交换机,以供客户工作负载 VM 使用。
- 为连接到第 2 层( L2 )网络的本地工作负载之间的潜在东西向通信部署了一个示例路由器。 该路由器是 NSX-T 的 NSX-T™ 1 级路由器和 NSX-V 的 NSX 分布式逻辑路由器。
- 部署了一台 NSX Edge 设备,并将其配置为执行网络地址转换(NAT)。 NAT 是将工作负载逻辑交换机的 IP 地址范围转换为 NAT 规则上的公共 IP 地址。
- (仅限 NSX-V) 如果安装了 Veeam® 服务,NSX 管理器将被配置为对 NSX 配置进行每日备份。 有关详细信息,请参阅 Veeam 9.5。
配置虚拟机的网络设置
要将 NSX 用于工作负载 VM,必须在创建 VM 时完成以下步骤来配置一些设置:
-
设置 VM 到工作负载逻辑交换机的网络适配器:
- 在新建虚拟机对话框中,单击定制硬件选项卡。
- 在新建设备菜单中,选择网络,然后单击添加。
- 在新添加的网络适配器上,从菜单中选择工作负载逻辑交换机。 以下示例显示了工作负载逻辑交换机的名称:
- 对于 NSX-T -
overlay-ls - 对于 NSX-V -
vxw-dvs-17-virtualwire-1-sid-6000-Workload
- 对于 NSX-T -
请确保未选中工作负载转移开关。
-
确定 VM 的可用 IP 地址:
- IP 地址必须位于
192.168.10.0/24范围内。 IP 地址192.168.10.1已被保留(见步骤 3 )。 - 配置在 VM 上运行的操作系统的联网时,请使用所选 IP 地址和网络掩码
255.255.255.0。
您负责管理分配给 VM 的 IP 地址范围。
- IP 地址必须位于
-
将 VM 的缺省网关分配为
192.168.10.1。 对于 NSX-T,该地址是客户第 1 层逻辑路由器上下行路由器端口的 IP 地址。 该地址与工作负载虚拟机连接到同一重叠逻辑交换机。 对于 NSX-V,该地址是与工作负载虚拟机位于同一逻辑交换机上的 NSX DLR 的 IP 地址。
为 NSX-T 启用 SNAT 规则
缺省情况下,NSX-T 支持 SNAT 规则。 有关修改现有规则的更多信息,请参阅 在 Tier-0 逻辑路由器上配置源和目标 NAT。
为 NSX-T 启用防火墙规则
NSX-T 默认禁止所有通过工作负载 NSX 边缘规则的流量。 要允许虚拟机使用上一节所述的 SNAT 规则,必须创建防火墙策略和规则来定义和允许流量。 有关修改现有规则的详细信息,请参阅 添加网关防火墙策略和规则。
为 NSX-V 启用 SNAT 规则
如果希望工作负载 VM 具有对因特网的出站访问权,那么必须启用关联的 SNAT(源网络地址转换)规则。 通过启用 SNAT 规则,可将 VM 对因特网的访问转换到单个公共 IP 地址。 在 VMware vSphere® Web Client 中完成以下步骤:
- 单击主页 > 网络和安全。
- 在导航器窗格上,单击 NSX Edge,然后双击名为 customer-nsx-edge 的边缘。
- 单击管理 > NAT 以打开 NAT 选项卡。
- 在表格中选择默认 SNAT 规则,然后单击表格旁边的绿色复选标记以启用该规则。
有关 NSX Edge NAT 规则的更多信息,请参阅 管理 NAT 规则。
确定 NSX-T 的客户子网详细信息
逻辑路由器 <instance_name>-<podname>-<cluster_name>-T1-workload 和 <instance_name>-<podname>-<cluster_name>-T0-workload 以及边缘 cust-edge0 和 cust-edge1 供您自己使用。 您可以修改这些规则,为入站或出站流量定义更多
NAT 规则。 这些规则必须仅使用以您的名义订购的公用或专用客户子网上的 IP 地址。
要确定客户子网的详细信息,以便可以使用订购的 IP 地址,请在 NSX-T Web 客户机中完成以下步骤:
-
在 VMware Solutions 控制台中,从左侧导航面板单击资源 > VCF for Classic。
-
在 VMware Cloud Foundation for Classic 表中,找到并选择实例。
-
单击 Infrastructure 选项卡并选择管理群集。
-
转到群集页面上的 Network interface 部分。
-
折叠 Public VLAN 和 Private VLAN 选项。 公共和私有客户子网是在 Description 字段中包含 customer workload edge 的子网。
此外,还可以通过在 IBM Cloud infrastructure customer portal 中完成以下步骤,找到有关客户子网的更多详细信息:
-
单击联网 > IP 管理 > 子网。
-
单击筛选器菜单,在子网字段中输入在 NSX-T Web Client 中描述的标识符。cust-edge0 的描述中所示的标识符。
-
查看为 IP 地址显示的注释。 这些注释用于确定在初始设置期间订购和使用的子网和 IP 地址。
不要使用在初始设置期间订购和使用的 IP 地址。 但是,可以根据需求使用这些子网上的其他 IP 地址。 要设置更多网络地址转换规则,请参阅 管理 NAT 规则。
确定 NSX-V 的客户子网详细信息
customer-nsx-edge 边缘旨在供您自己使用,因此您可以对其进行修改,以定义更多 NAT 规则用于入站或出站流量。 这些规则必须仅使用以您的名义订购的公用或专用客户子网上的 IP 地址。
要确定客户子网的详细信息,以便可以使用订购的 IP 地址,请在 VMware vSphere Web Client 中完成以下步骤:
- 单击主页 > 网络和安全。
- 在导航器窗格上,单击 NSX Edge,然后在右侧窗格的边缘列表中找到 customer-nsx-edge。
- 在描述列中,将鼠标悬停在 customer-nsx-edge 的边缘描述上,以查看专用和公用客户子网的子网标识。
此外,还可以通过在 IBM Cloud infrastructure customer portal 中完成以下步骤,找到有关客户子网的更多详细信息:
-
单击联网 > IP 管理 > 子网。
-
单击过滤器菜单,在子网字段中输入标识,如 VMware vSphere Web Client 中 customer-nsx-edge 的描述中所示。
-
查看为 IP 地址显示的注释。 这些注释用于确定在初始设置期间订购和使用的子网和 IP 地址。
不要使用在初始设置期间订购和使用的 IP 地址。 但是,可以根据需求使用这些子网上的其他 IP 地址。 要设置更多网络地址转换规则,请参阅 管理 NAT 规则。
订购更多子网
如果提供的子网不能满足您对 IP 地址的要求,您可以订购更多的子网。
- 对于 NSX-T,您可以订购更多公共或私有 static 子网,并为子网端点配置 Tier-0 VIP。
- 对于 NSX-V,您可以订购更多公共或私有 _可移植_子网。