Mit dem folgenden Workflow können Sie einen VPN-Tunnel zwischen dem PCG und einem Remote-Endpoint einrichten. Diese Anweisungen gelten spezifisch für Arbeitslast-VMs, die im Native Cloud-erzwungener Modus verwaltet werden.

Sie können CSM-APIs verwenden, um VPN in NSX-T Data Center zu konfigurieren, wenn sich beide Endpoints in der Public Cloud befinden und von PCGs verwaltet werden. Siehe Automatisieren von VPN für Public Cloud Endpoints mithilfe von APIs.

Voraussetzungen

  • In AWS: Stellen Sie sicher, dass Sie ein VPC in Native Cloud-erzwungener Modus bereitgestellt haben. Hierbei muss es sich um eine Transit- oder selbstverwaltete VPC handeln. VPN wird für Computing-VPCs in AWS nicht unterstützt.
  • In Microsoft Azure: Stellen Sie sicher, dass Sie ein VNet in Native Cloud-erzwungener Modus bereitgestellt haben. Sie können sowohl Transit- als auch Compute-VNets verwenden.
  • Stellen Sie sicher, dass der Remote-Endpoint mit dem PCG gleichgestellt ist und über routenbasierte IPSec-VPN- und BGP-Funktionen verfügt.

Prozedur

  1. Suchen Sie in Ihrer Public Cloud den von NSX zugewiesenen lokalen Endpoint für das PCG und weisen Sie bei Bedarf eine öffentliche IP-Adresse zu:
    1. Wechseln Sie zu ihrer PCG-Instanz in der Public Cloud und navigieren Sie zu „Tags“.
    2. Notieren Sie sich die IP-Adresse im Wertfeld des Tags nsx.local_endpoint_ip.
    3. (Optional) Wenn Ihr VPN-Tunnel eine öffentliche IP erfordert, weil Sie z. B. ein VPN zu einer anderen Public Cloud oder zu einer lokalen NSX-T Data Center-Bereitstellung einrichten möchten:
      1. Navigieren Sie zur Uplink-Schnittstelle der PCG-Instanz.
      2. Hängen Sie eine öffentliche IP-Adresse an die nsx.local_endpoint_ip-IP-Adresse an, die Sie in Schritt 1.b notiert haben.
    4. (Optional) Wenn Sie ein Hochverfügbarkeitspaar aus PCG-Instanzen haben, wiederholen Sie die Schritte 1.a und 1.b und hängen Sie bei Bedarf eine öffentliche IP-Adresse an, wie in Schritt 1.c beschrieben.
  2. Aktivieren Sie in NSX Manager IPSec-VPN für das PCG, das als Tier-0-Gateway mit einem Namen wie z. B. cloud-t0-vpc/vnet-<vpc/vnet-id> angezeigt wird, und erstellen Sie routenbasierte IPSec-Sitzungen zwischen dem Endpoint dieses Tier-0-Gateways und der Remote-IP-Adresse des gewünschten VPN-Peers. Weitere Informationen finden Sie unter Hinzufügen eines IPSec-VPN-Dienstes.
    1. Navigieren Sie zu Netzwerk > VPN > VPN-Dienste > Dienst hinzufügen > IPSec. Geben Sie die folgenden Details an:
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für den VPN-Dienst ein, z. B. <VPC-ID>-AWS_VPN oder <VNet-ID>-AZURE_VPN.
      Tier-0/Tier-1-Gateway Wählen Sie das Tier-0-Gateway für das PCG in Ihrer Public Cloud aus.
    2. Navigieren Sie zu Netzwerk > VPN > Lokale Endpoints > Lokalen Endpoint hinzufügen. Geben Sie die folgenden Informationen ein und lesen Sie weitere Details unter Hinzufügen von lokalen Endpoints:
      Hinweis: Wenn Sie ein Hochverfügbarkeitspaar aus PCG-Instanzen haben, erstellen Sie für jede Instanz einen lokalen Endpoint, indem Sie die entsprechende lokale Endpoint-IP-Adresse verwenden, die diesem in der Public Cloud angehängt ist.
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für den lokalen Endpoint ein, z. B. <VPC-ID>-PCG-preferred-LE oder <VNET-ID>-PCG-preferred-LE.
      VPN-Dienst Wählen Sie den VPN-Dienst für das Tier-0-Gateway des PCG aus, das Sie in Schritt 2.a erstellt haben.
      IP-Adresse Geben Sie den Wert der lokalen Endpoint-IP-Adresse des PCGs ein, die Sie in Schritt 1.b notiert haben.
    3. Navigieren Sie zu Netzwerk > VPN > IPSec-Sitzungen > IPSec-Sitzung hinzufügen > Routenbasiert. Geben Sie die folgenden Informationen ein und lesen Sie weitere Details unter Hinzufügen einer routenbasierten IPSec-Sitzung:
      Hinweis: Wenn Sie zwischen in einer VPC bereitgestellten PCGs und in einem VNet bereitgestellten PCGs einen VPN-Tunnel erstellen, müssen Sie zwischen dem lokalen Endpoint jedes PCGs in der VPC und der Remote-IP-Adresse des PCG im VNet einen Tunnel erstellen und umgekehrt von den PCGs im VNet zu der Remote-IP-Adresse der PCGs in der VPC. Für aktive und Standby-PCGs müssen Sie separate Tunnel erstellen. Daraus ergibt sich ein vollständig vermaschtes Netz von IPSec-Sitzungen zwischen den beiden Public Clouds.
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für die IPSec-Sitzung ein, z. B. <VPC--ID>-PCG1-to-remote_edge
      VPN-Dienst Wählen Sie den in Schritt 2.a erstellten VPN-Dienst aus.
      Lokaler Endpoint Wählen Sie den in Schritt 2.b erstellten lokalen Endpoint aus.
      Remote-IP Geben Sie die öffentliche IP-Adresse des Remote-Peers ein, zu dem Sie den VPN-Tunnel erstellen.
      Hinweis: Die Remote-IP-Adresse kann eine private IP-Adresse sein, sofern Sie die private IP-Adresse erreichen können, indem Sie z. B. DirectConnect oder ExpressRoute verwenden.
      Tunnelschnittstelle Geben Sie die Tunnelschnittstelle in einem CIDR-Format ein. Um die IPSec-Sitzung herzustellen, muss für den Remote-Peer sasselbe Subnetz verwendet werden.
  3. Erweitern Sie BGP und richten Sie an der IPSec-VPN-Tunnelschnittstelle, die Sie in Schritt 2 eingerichtet haben, BGP-Nachbarn ein. Weitere Informationen finden Sie unter Konfigurieren des BGP-Protokolls.
    1. Navigieren Sie zu Netzwerk > Tier-0-Gateways.
    2. Wählen Sie das automatisch erstellte Tier-0-Gateway aus, für das Sie die IPSec-Sitzung erstellt haben, und klicken Sie auf Bearbeiten.
    3. Klicken Sie auf die Zahl oder das Symbol neben BGP-Nachbarn unter dem Abschnitt BGP und geben Sie Folgendes ein:
      Option Bezeichnung
      IP-Adresse

      Verwenden Sie die IP-Adresse der Remote-VTI, die an der Tunnelschnittstelle in der IPSec-Sitzung für den VPN-Peer konfiguriert wurde.

      Remote-AS-Nummer Diese Nummer muss mit der AS-Nummer des Remote-Peers übereinstimmen.
  4. Kündigen Sie die Präfixe, die Sie für das für das VPN verwenden möchten, über das Neuverteilungsprofil an. Gehen Sie wie folgt vor:
    Wichtig: Dieser Schritt gilt nur für NSX-T Data Center 3.0.0. Überspringen Sie ihn, sofern Sie NSX-T Data Center 3.0.1 verwenden.
    1. Erweitern Sie Routing und fügen Sie eine statische Route für das CIDR der VPC/des VNets hinzu, die im Native Cloud-erzwungener Modus integriert sind, um auf die Uplink-IP-Adresse des Tier-0-Gateways, d. h. das PCG, zu verweisen.
      Weitere Anweisungen finden Sie unter Konfigurieren einer statischen Route. Wenn Sie über ein PCG-Paar für Hochverfügbarkeit verfügen, richten Sie die nächsten Hops für die IP-Adresse der einzelnen PCGs ein.
    2. Fügen Sie in der erweiterten Kategorie Routing eine Präfixliste für die VPC/das VNet-CIDR hinzu, das im Native Cloud-erzwungener Modus integriert ist, und fügen Sie es als Filter für ausgehende Daten in der Konfiguration des BGP-Nachbarn hinzu.
      Weitere Anweisungen finden Sie unter Erstellen einer IP-Präfix-Liste.
    3. Erweitern Sie Route Redistribution und richten Sie ein Routen-Neuverteilungsprofil ein, indem Sie eine statische Route aktivieren und den Routenfilter auswählen, den Sie im vorherigen Teilschritt für die VPC/die VNet-CIDRs erstellt haben.
  5. Führen Sie in Ihrer Public Cloud die folgenden Schritte aus:
    1. Wechseln Sie zur Routing-Tabelle des Subnetzes, in dem sich Ihre Arbeitslast-VMs befinden.
      Hinweis: Verwenden Sie nicht die Routing-Tabelle der Uplinks oder Verwaltungssubnetze von PCG.
    2. Fügen Sie das Tag nsx.managed = true zur Routing-Tabelle hinzu.

Ergebnisse

Prüfen Sie, ob die Routen in der verwalteten Routing-Tabelle für alle IP-Präfixe erstellt wurden, die vom Remote-Endpoint angekündigt werden, und als nächster Hop die PCG-Uplink-IP-Adresse festgelegt ist.