Mit dem folgenden Workflow können Sie einen VPN-Tunnel zwischen dem PCG und einem Remote-Endpoint einrichten. Diese Anweisungen gelten spezifisch für Arbeitslast-VMs, die im Native Cloud-erzwungener Modus verwaltet werden.

Voraussetzungen

  • In AWS: Stellen Sie sicher, dass Sie ein VPC in Native Cloud-erzwungener Modus bereitgestellt haben. Hierbei muss es sich um eine Transit- oder selbstverwaltete VPC handeln. VPN wird für Computing-VPCs in AWS nicht unterstützt.
  • In Microsoft Azure: Stellen Sie sicher, dass Sie ein VNet in Native Cloud-erzwungener Modus bereitgestellt haben. Sie können sowohl Transit- als auch Compute-VNets verwenden.
  • Stellen Sie sicher, dass der Remote-Endpoint mit dem PCG gleichgestellt ist und über routenbasierte IPSec-VPN- und BGP-Funktionen verfügt.

Prozedur

  1. Suchen Sie in Ihrer Public Cloud den von NSX zugewiesenen lokalen Endpoint für das PCG und weisen Sie bei Bedarf eine öffentliche IP-Adresse zu:
    1. Wechseln Sie zu ihrer PCG-Instanz in der Public Cloud und navigieren Sie zu „Tags“.
    2. Notieren Sie sich die IP-Adresse im Wertfeld des Tags nsx.local_endpoint_ip.
    3. (Optional) Wenn Ihr VPN-Tunnel eine öffentliche IP erfordert, weil Sie z. B. ein VPN zu einer anderen Public Cloud oder zu einer lokalen NSX-T Data Center-Bereitstellung einrichten möchten:
      1. Navigieren Sie zur Uplink-Schnittstelle der PCG-Instanz.
      2. Hängen Sie eine öffentliche IP-Adresse an die nsx.local_endpoint_ip-IP-Adresse an, die Sie in Schritt b. notiert haben.
    4. (Optional) Wenn Sie ein Hochverfügbarkeitspaar aus PCG-Instanzen haben, wiederholen Sie die Schritte a und b und hängen Sie bei Bedarf eine öffentliche IP-Adresse an, wie in Schritt c beschrieben.
  2. Aktivieren Sie in NSX Manager IPSec-VPN für das PCG, das als Tier-0-Gateway mit einem Namen wie z. B. cloud-t0-vpc/vnet-<vpc/vnet-id> angezeigt wird, und erstellen Sie routenbasierte IPSec-Sitzungen zwischen dem Endpoint dieses Tier-0-Gateways und der Remote-IP-Adresse des gewünschten VPN-Peers. Weitere Informationen finden Sie unter Hinzufügen eines IPSec-VPN-Dienstes.
    1. Wechseln Sie zu Netzwerk > VPN > VPN-Dienste > Dienst hinzufügen > IPSec. Geben Sie die folgenden Details an:
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für den VPN-Dienst ein, z. B. <VPC-ID>-AWS_VPN oder <VNet-ID>-AZURE_VPN.
      Tier-0/Tier-1-Gateway Wählen Sie das Tier-0-Gateway für das PCG in Ihrer Public Cloud aus.
    2. Wechseln Sie zu Netzwerk > VPN > Lokale Endpoints > Lokalen Endpoint hinzufügen. Geben Sie die folgenden Informationen ein und lesen Sie Hinzufügen von lokalen Endpoints für weitere Details:
      Hinweis: Wenn Sie ein Hochverfügbarkeitspaar aus PCG-Instanzen haben, erstellen Sie für jede Instanz einen lokalen Endpoint, indem Sie die entsprechende lokale Endpoint-IP-Adresse verwenden, die diesem in der Public Cloud angehängt ist.
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für den lokalen Endpoint ein, z. B. <VPC-ID>-PCG-preferred-LE oder <VNET-ID>-PCG-preferred-LE.
      VPN-Dienst Wählen Sie den VPN-Dienst für das Tier-0-Gateway des PCG aus, das Sie in Schritt 2a erstellt haben.
      IP-Adresse Geben Sie den Wert der lokalen Endpoint-IP-Adresse des PCGs ein, die Sie in Schritt 1b notiert haben.
    3. Wechseln Sie zu Netzwerk > VPN > IPSec-Sitzungen > IPSec-Sitzung hinzufügen > Routenbasiert. Geben Sie die folgenden Informationen ein und lesen Sie weitere Details unter Hinzufügen einer routenbasierten IPSec-Sitzung:
      Hinweis: Wenn Sie zwischen in einer VPC bereitgestellten PCGs und in einem VNet bereitgestellten PCGs einen VPN-Tunnel erstellen, müssen Sie zwischen dem lokalen Endpoint jedes PCGs in der VPC und der Remote-IP-Adresse des PCG im VNet einen Tunnel erstellen und umgekehrt von den PCGs im VNet zu der Remote-IP-Adresse der PCGs in der VPC. Für aktive und Standby-PCGs müssen Sie separate Tunnel erstellen. Daraus ergibt sich ein vollständig vermaschtes Netz von IPSec-Sitzungen zwischen den beiden Public Clouds.
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für die IPSec-Sitzung ein, z. B. <VPC--ID>-PCG1-to-remote_edge
      VPN-Dienst Wählen Sie den in Schritt 2a erstellten VPN-Dienst aus.
      Lokaler Endpoint Wählen Sie den in Schritt 2b erstellten lokalen Endpoint aus.
      Remote-IP Geben Sie die öffentliche IP-Adresse des Remote-Peers ein, zu dem Sie den VPN-Tunnel erstellen.
      Hinweis: Die Remote-IP-Adresse kann eine private IP-Adresse sein, sofern Sie die private IP-Adresse erreichen können, indem Sie z. B. DirectConnect oder ExpressRoute verwenden.
      Tunnelschnittstelle Geben Sie die Tunnelschnittstelle in einem CIDR-Format ein. Um die IPSec-Sitzung herzustellen, muss für den Remote-Peer sasselbe Subnetz verwendet werden.
  3. Richten Sie an der IPSec-VPN-Tunnelschnittstelle, die Sie in Schritt 2 eingerichtet haben, BGP-Nachbarn ein. Weitere Informationen finden Sie unter Konfigurieren des BGP-Protokolls.
    1. Navigieren Sie zu Netzwerk > Tier-0-Gateways
    2. Wählen Sie das automatisch erstellte Tier-0-Gateway aus, für das Sie die IPSec-Sitzung erstellt haben, und klicken Sie auf Bearbeiten.
    3. Klicken Sie auf die Zahl oder das Symbol neben BGP-Nachbarn unter dem Abschnitt BGP und geben Sie Folgendes ein:
      Option Bezeichnung
      IP-Adresse

      Verwenden Sie die IP-Adresse der Remote-VTI, die an der Tunnelschnittstelle in der IPSec-Sitzung für den VPN-Peer konfiguriert wurde.

      Remote-AS-Nummer Diese Nummer muss mit der AS-Nummer des Remote-Peers übereinstimmen.

  4. Wichtig: Dieser Schritt gilt nur für NSX-T Data Center 3.0.0. Überspringen Sie ihn, sofern Sie NSX-T Data Center 3.0.1 verwenden.
    Wenn Sie Microsoft Azure nutzen, müssen Sie, nachdem Sie VPN und BGP in NSX Manager konfiguriert haben, an der Uplink-Schnittstelle der PCG-Instanz die Option IP-Weiterleitung aktivieren aktivieren. Wenn Sie eine aktive und eine Standby-PCG-Instanz besitzen, aktivieren Sie für die Hochverfügbarkeit auf beiden PCG-Instanzen die IP-Weiterleitung.
  5. Kündigen Sie die Präfixe, die Sie für das für das VPN verwenden möchten, über das Neuverteilungsprofil an. Gehen Sie wie folgt vor:

    1. Wichtig: Dieser Schritt gilt nur für NSX-T Data Center 3.0.0. Überspringen Sie ihn, sofern Sie NSX-T Data Center 3.0.1 verwenden.
      Fügen Sie eine statische Route für das CIDR der VPC/des VNets hinzu, die im Native Cloud-erzwungener Modus integriert sind, um auf die Uplink-IP-Adresse des Tier-0-Gateways, d. h. das PCG, zu verweisen. Weitere Anweisungen finden Sie unter Konfigurieren einer statischen Route. Wenn Sie über ein PCG-Paar für Hochverfügbarkeit verfügen, richten Sie die nächsten Hops für die IP-Adresse der einzelnen PCGs ein.
    2. Fügen Sie eine Präfixliste für das VPC/VNet-CIDR hinzu, das im Native Cloud-erzwungener Modus integriert ist, und fügen Sie es als Filter für ausgehende Daten in der Konfiguration des BGP-Nachbarn hinzu. Weitere Anweisungen finden Sie unter Erstellen einer IP-Präfix-Liste.
    3. Richten Sie ein Route Redistribution-Profil ein, indem Sie eine statische Route aktivieren und den Routenfilter auswählen, den Sie in Schritt b für VPC/VNet-CIDRs erstellt haben.
  6. In Ihrer Public Cloud:
    1. Wechseln Sie zur Routing-Tabelle des Subnetzes, in dem sich Ihre Arbeitslast-VMs befinden.
      Hinweis: Verwenden Sie nicht die Routing-Tabelle der Uplinks oder Verwaltungssubnetze von PCG.
    2. Fügen Sie das Tag nsx.managed = true zur Routing-Tabelle hinzu.

  7. Wichtig: Dieser Schritt gilt nur für NSX-T Data Center 3.0.0. Überspringen Sie ihn, sofern Sie NSX-T Data Center 3.0.1 verwenden.
    NSX Cloud erstellt eine default-snat-Regel für das Tier-0-Gateway (PCG) mit der Quelle 0.0.0.0/0 und dem Ziel Any. Durch diese Regel verfügt der gesamte Datendatenverkehr von ihren VMs im Native Cloud-erzwungener Modus über die Uplink-IP-Adresse des PCG. Gehen Sie wie folgt vor, um die wahre Quelle Ihres Datenverkehr anzuzeigen:
    1. Wechseln Sie zu Netzwerk > NAT und deaktivieren Sie die default-snat-Regel für das Tier-0-Gateway (PCG).
    2. Erstellen Sie eine neue SNAT-Regel mit den folgenden Werten, wenn Sie VMs im NSX-erzwungener Modus besitzen, um die Bereitstellung von SNAT für diese VMs fortzusetzen:
      Option Bezeichnung
      Quelle CIDR der VPC/des VNet im NSX-erzwungener Modus.
      Ziel Beliebig
      Übersetzt Dieselbe IP-Adresse in Übersetzt, die sich in der default-snat-Regel befindet.
      Anwenden auf Wählen Sie die Uplink-Schnittstelle des PCG aus.
      Bearbeiten Sie die default-snat-Regel nicht. Sie wird bei einem Failover zurückgesetzt.

Ergebnisse

Prüfen Sie, ob die Routen in der verwalteten Routing-Tabelle für alle IP-Präfixe erstellt wurden, die vom Remote-Endpoint angekündigt werden, und als nächster Hop die PCG-Uplink-IP-Adresse festgelegt ist.