您可以使用在内部 NSX-T Data Center 部署中显示为自动创建的 Tier-0 网关的 PCG 来设置 VPN。这些说明特定于在NSX 实施模式下管理的工作负载虚拟机。

按照此处所述的其他步骤使用 PCG(与在 NSX Manager 中使用 Tier-0 网关一样)来设置 VPN。您可以在同一公有云或不同公有云中部署的 PCG 之间创建 VPN 隧道,或者在使用内部部署网关或路由器部署的 PCG 之间创建 VPN 隧道。有关 NSX-T Data Center 中 VPN 支持的详细信息,请参见 虚拟专用网络 (VPN)

如果两个端点位于公有云中并由 PCG 管理,您可以使用 CSM API 在 NSX-T Data Center 中配置 VPN。请参见使用 API 自动设置公有云端点的 VPN

前提条件

  • 确认已在 VPC/VNet 中部署一个 PCG 或一个 PCG HA 对。
  • 确认远程对等体支持基于路由的 VPN 和 BGP。

过程

  1. 在公有云中,找到 PCG 的由 NSX 分配的本地端点,并根据需要为其分配公共 IP 地址:
    1. 转到公有云中的 PCG 实例,然后导航到“标记”。
    2. 记下 nsx.local_endpoint_ip 标记的值字段中的 IP 地址。
    3. (可选) 如果您的 VPN 隧道需要公共 IP,例如,如果要将 VPN 设置为另一个公有云或内部 NSX-T Data Center 部署,请执行以下操作:
      1. 导航到 PCG 实例的上行链路接口。
      2. 将公共 IP 地址附加到您在步骤 1.b 中记录的 nsx.local_endpoint_ip IP 地址。
    4. (可选) 如果有 PCG 实例的 HA 对,请重复执行步骤 1.a1.b,并根据需要附加公共 IP 地址(如步骤 1.c 中所述)。
  2. NSX Manager 中,为显示为 Tier-0 网关(名称类似于 cloud-t0-vpc/vnet-<vpc/vnet-id>)的 PCG 启用 IPSec VPN,并在此 Tier-0 网关的端点与所需 VPN 对等体的远程 IP 地址之间创建基于路由的 IPSec 会话。有关其他详细信息,请参见添加 IPSec VPN 服务
    1. 导航到网络 > VPN > VPN 服务 > 添加服务 > IPSec。提供以下详细信息:
      选项 描述
      名称 输入 VPN 服务的描述性名称,例如 <VPC-ID>-AWS_VPN<VNet-ID>-AZURE_VPN
      Tier-0/Tier-1 网关 在公有云中选择 PCG 的 Tier-0 网关。
    2. 导航到网络 > VPN > 本地端点 > 添加本地端点。提供以下信息,并查看添加本地端点以了解其他详细信息:
      注: 如果您具有 PCG 实例的 HA 对,请在公有云中使用已附加到每个实例的相应本地端点 IP 地址为每个实例创建一个本地端点。
      选项 描述
      名称 输入本地端点的描述性名称,例如 <VPC-ID>-PCG-preferred-LE<VNET-ID>-PCG-preferred-LE
      VPN 服务 选择您在步骤 2.a 中创建的 PCG Tier-0 网关的 VPN 服务。
      IP 地址 输入您在步骤 1.b 中记录的 PCG 本地端点 IP 地址的值。
    3. 导航到网络 > VPN > IPSec 会话 > 添加 IPSec 会话 > 基于路由。提供以下信息,并查看添加基于路由的 IPSec 会话以了解其他详细信息:
      注: 如果要在 VPC 中部署的 PCG 与 VNet 中部署的 PCG 之间创建 VPN 隧道,则必须为 VPC 中每个 PCG 的本地端点和 VNet 中 PCG 的远程 IP 地址创建一个隧道,相反,从 VNet 中的 PCG 到 VPC 中 PCG 的远程 IP 地址亦是如此。您必须为活动 PCG 和备用 PCG 创建单独的隧道。这将在两个公有云之间生成全网状 IPSec 会话。
      选项 描述
      名称 输入 IPSec 会话的描述性名称,例如 <VPC--ID>-PCG1-to-remote_edge
      VPN 服务 选择在步骤 2.a 中创建的 VPN 服务。
      本地端点 选择在步骤 2.b 中创建的本地端点。
      远程 IP 输入要与其创建 VPN 隧道的远程对等体的公共 IP 地址。
      注: 远程 IP 可以是专用 IP 地址,前提是您能够访问该专用 IP 地址,例如使用 DirectConnect 或 ExpressRoute 进行访问。
      隧道接口 以 CIDR 格式输入隧道接口。必须对远程对等方使用同一子网才能建立 IPSec 会话。
  3. 展开 BGP,在您在步骤 2 中建立的 IPSec VPN 隧道接口上设置 BGP 邻居。有关更多详细信息,请参见配置 BGP
    1. 导航到网络 > Tier-0 网关
    2. 选择为其创建 IPSec 会话的自动创建的 Tier-0 网关,然后单击编辑
    3. 单击 BGP 部分下 BGP 邻居旁边的编号或图标,并提供以下详细信息:
      选项 描述
      IP 地址

      使用在 IPSec 会话中的隧道接口上为 VPN 对等体配置的远程 VTI 的 IP 地址。

      远程 AS 编号 此编号必须与远程对等体的 AS 编号相匹配。
  4. 展开路由重新分发,使用重新分发配置文件通告要用于 VPN 的前缀。在 NSX 实施模式下,连接重新分发配置文件中启用了 Tier-1 的路由。