Mit dem folgenden Workflow können Sie einen VPN-Tunnel zwischen dem PCG und einem Remote-Endpoint einrichten. Diese Anweisungen gelten spezifisch für Arbeitslast-VMs, die im Native Cloud-erzwungener Modus verwaltet werden.

Sie können CSM-APIs verwenden, um VPN in NSX zu konfigurieren, wenn sich beide Endpoints in der Public Cloud befinden und von PCGs verwaltet werden. Siehe Automatisieren von VPN für Public Cloud Endpoints mithilfe von APIs.

Voraussetzungen

  • In AWS: Stellen Sie sicher, dass Sie ein VPC in Native Cloud-erzwungener Modus bereitgestellt haben. Hierbei muss es sich um eine Transit- oder selbstverwaltete VPC handeln. VPN wird für Computing-VPCs in AWS nicht unterstützt.
  • In Microsoft Azure: Stellen Sie sicher, dass Sie ein VNet in Native Cloud-erzwungener Modus bereitgestellt haben. Sie können sowohl Transit- als auch Compute-VNets verwenden.
  • Stellen Sie sicher, dass der Remote-Endpoint mit dem PCG gleichgestellt ist und über routenbasierte IPSec-VPN- und BGP-Funktionen verfügt.

Prozedur

  1. Suchen Sie in Ihrer Public Cloud den von NSX zugewiesenen lokalen Endpoint für das PCG und weisen Sie bei Bedarf eine öffentliche IP-Adresse zu:
    1. Wechseln Sie zu ihrer PCG-Instanz in der Public Cloud und navigieren Sie zu „Tags“.
    2. Notieren Sie sich die IP-Adresse im Wertfeld des Tags nsx.local_endpoint_ip.
    3. (Optional) Wenn Ihr VPN-Tunnel eine öffentliche IP erfordert, weil Sie z. B. ein VPN zu einer anderen Public Cloud oder zu einer lokalen NSX-Bereitstellung einrichten möchten:
      1. Navigieren Sie zur Uplink-Schnittstelle der PCG-Instanz.
      2. Hängen Sie eine öffentliche IP-Adresse an die nsx.local_endpoint_ip-IP-Adresse an, die Sie in Schritt 1.b notiert haben.
    4. (Optional) Wenn Sie ein Hochverfügbarkeitspaar aus PCG-Instanzen haben, wiederholen Sie die Schritte 1.a und 1.b und hängen Sie bei Bedarf eine öffentliche IP-Adresse an, wie in Schritt 1.c beschrieben.
  2. Aktivieren Sie in NSX Manager IPSec-VPN für das PCG, das als Tier-0-Gateway mit einem Namen wie z. B. cloud-t0-vpc/vnet-<vpc/vnet-id> angezeigt wird, und erstellen Sie routenbasierte IPSec-Sitzungen zwischen dem Endpoint dieses Tier-0-Gateways und der Remote-IP-Adresse des gewünschten VPN-Peers. Weitere Informationen finden Sie unter Hinzufügen eines NSX IPSec-VPN-Diensts.
    1. Navigieren Sie zu Netzwerk > VPN > VPN-Dienste > Dienst hinzufügen > IPSec. Geben Sie die folgenden Details an:
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für den VPN-Dienst ein, z. B. <VPC-ID>-AWS_VPN oder <VNet-ID>-AZURE_VPN.
      Tier-0/Tier-1-Gateway Wählen Sie das Tier-0-Gateway für das PCG in Ihrer Public Cloud aus.
    2. Navigieren Sie zu Netzwerk > VPN > Lokale Endpoints > Lokalen Endpoint hinzufügen. Geben Sie die folgenden Informationen ein und lesen Sie weitere Details unter Hinzufügen von lokalen Endpoints:
      Hinweis: Wenn Sie ein Hochverfügbarkeitspaar aus PCG-Instanzen haben, erstellen Sie für jede Instanz einen lokalen Endpoint, indem Sie die entsprechende lokale Endpoint-IP-Adresse verwenden, die diesem in der Public Cloud angehängt ist.
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für den lokalen Endpoint ein, z. B. <VPC-ID>-PCG-preferred-LE oder <VNET-ID>-PCG-preferred-LE.
      VPN-Dienst Wählen Sie den VPN-Dienst für das Tier-0-Gateway des PCG aus, das Sie in Schritt 2.a erstellt haben.
      IP-Adresse Geben Sie den Wert der lokalen Endpoint-IP-Adresse des PCGs ein, die Sie in Schritt 1.b notiert haben.
    3. Navigieren Sie zu Netzwerk > VPN > IPSec-Sitzungen > IPSec-Sitzung hinzufügen > Routenbasiert. Geben Sie die folgenden Informationen ein und lesen Sie weitere Details unter Hinzufügen einer routenbasierten IPSec-Sitzung:
      Hinweis: Wenn Sie zwischen in einer VPC bereitgestellten PCGs und in einem VNet bereitgestellten PCGs einen VPN-Tunnel erstellen, müssen Sie zwischen dem lokalen Endpoint jedes PCGs in der VPC und der Remote-IP-Adresse des PCG im VNet einen Tunnel erstellen und umgekehrt von den PCGs im VNet zu der Remote-IP-Adresse der PCGs in der VPC. Für aktive und Standby-PCGs müssen Sie separate Tunnel erstellen. Daraus ergibt sich ein vollständig vermaschtes Netz von IPSec-Sitzungen zwischen den beiden Public Clouds.
      Option Bezeichnung
      Name Geben Sie einen aussagekräftigen Namen für die IPSec-Sitzung ein, z. B. <VPC--ID>-PCG1-to-remote_edge
      VPN-Dienst Wählen Sie den in Schritt 2.a erstellten VPN-Dienst aus.
      Lokaler Endpoint Wählen Sie den in Schritt 2.b erstellten lokalen Endpoint aus.
      Remote-IP Geben Sie die öffentliche IP-Adresse des Remote-Peers ein, zu dem Sie den VPN-Tunnel erstellen.
      Hinweis: Die Remote-IP-Adresse kann eine private IP-Adresse sein, sofern Sie die private IP-Adresse erreichen können, indem Sie z. B. DirectConnect oder ExpressRoute verwenden.
      Tunnelschnittstelle Geben Sie die Tunnelschnittstelle in einem CIDR-Format ein. Um die IPSec-Sitzung herzustellen, muss für den Remote-Peer sasselbe Subnetz verwendet werden.
  3. Erweitern Sie BGP und richten Sie an der IPSec-VPN-Tunnelschnittstelle, die Sie in Schritt 2 eingerichtet haben, BGP-Nachbarn ein. Weitere Informationen finden Sie unter Konfigurieren des BGP-Protokolls.
    1. Navigieren Sie zu Netzwerk > Tier-0-Gateways.
    2. Wählen Sie das automatisch erstellte Tier-0-Gateway aus, für das Sie die IPSec-Sitzung erstellt haben, und klicken Sie auf Bearbeiten.
    3. Klicken Sie auf die Zahl oder das Symbol neben BGP-Nachbarn unter dem Abschnitt BGP und geben Sie Folgendes ein:
      Option Bezeichnung
      IP-Adresse

      Verwenden Sie die IP-Adresse der Remote-VTI, die an der Tunnelschnittstelle in der IPSec-Sitzung für den VPN-Peer konfiguriert wurde.

      Remote-AS-Nummer Diese Nummer muss mit der AS-Nummer des Remote-Peers übereinstimmen.
  4. Kündigen Sie die Präfixe, die Sie für das für das VPN verwenden möchten, über das Neuverteilungsprofil an. Gehen Sie wie folgt vor:
    Wichtig: Dieser Schritt gilt nur für NSX 3.0.0. Überspringen Sie ihn, sofern Sie NSX 3.0.1 verwenden.
    1. Erweitern Sie Routing und fügen Sie eine statische Route für das CIDR der VPC/des VNets hinzu, die im Native Cloud-erzwungener Modus integriert sind, um auf die Uplink-IP-Adresse des Tier-0-Gateways, d. h. das PCG, zu verweisen.
      Weitere Anweisungen finden Sie unter Konfigurieren einer statischen Route. Wenn Sie über ein PCG-Paar für Hochverfügbarkeit verfügen, richten Sie die nächsten Hops für die IP-Adresse der einzelnen PCGs ein.
    2. Fügen Sie in der erweiterten Kategorie Routing eine Präfixliste für die VPC/das VNet-CIDR hinzu, das im Native Cloud-erzwungener Modus integriert ist, und fügen Sie es als Filter für ausgehende Daten in der Konfiguration des BGP-Nachbarn hinzu.
      Weitere Anweisungen finden Sie unter Erstellen einer IP-Präfix-Liste.
    3. Erweitern Sie Route Redistribution und richten Sie ein Routen-Neuverteilungsprofil ein, indem Sie eine statische Route aktivieren und den Routenfilter auswählen, den Sie im vorherigen Teilschritt für die VPC/die VNet-CIDRs erstellt haben.
  5. Führen Sie in Ihrer Public Cloud die folgenden Schritte aus:
    1. Wechseln Sie zur Routing-Tabelle des Subnetzes, in dem sich Ihre Arbeitslast-VMs befinden.
      Hinweis: Verwenden Sie nicht die Routing-Tabelle der Uplinks oder Verwaltungssubnetze von PCG.
    2. Fügen Sie das Tag nsx.managed = true zur Routing-Tabelle hinzu.

Ergebnisse

Prüfen Sie, ob die Routen in der verwalteten Routing-Tabelle für alle IP-Präfixe erstellt wurden, die vom Remote-Endpoint angekündigt werden, und als nächster Hop die PCG-Uplink-IP-Adresse festgelegt ist.