NSX Cloud admite el uso de servicios de terceros en la nube pública para las máquinas virtuales de carga de trabajo administradas por NSX en el modo Modo forzado de NSX .

NSX Cloud admite la inserción de servicios para lo siguiente:
  • Tráfico de norte a sur de las máquinas virtuales de carga de trabajo a través de un dispositivo de servicio alojado en una VPC/VNet de tránsito.
  • Tráfico de VPN desde la PCG hasta una puerta de enlace o Edge local. Este tráfico también se puede enrutar a través de un dispositivo de servicio en una VPC/VNet de tránsito.

A continuación se proporciona una descripción general de las configuraciones para permitir la inserción de servicios para las máquinas virtuales de carga de trabajo administradas por NSX.

Tabla 1. Descripción general de las configuraciones requeridas en la inserción de servicios para máquinas virtuales de carga de trabajo administradas por NSX en el modo Modo forzado de NSX .
Frecuencia Tarea Instrucciones
Siga estas instrucciones para la configuración inicial si desea configurar la inserción de servicios para el tráfico de norte a sur. Configure el dispositivo de servicio en la nube pública, preferiblemente en una VPC o VNet de tránsito (donde implementó la instancia de PCG). Consulte las instrucciones específicas del dispositivo de servicio de terceros y la nube pública.
Registre el servicio de terceros en NSX-T Data Center. Consulte Crear la definición de servicio y el endpoint virtual correspondiente
Cree un endpoint de instancia virtual del servicio mediante una dirección IP de servicio virtual (Virtual Service IP, VSIP) /32 que el dispositivo de servicio utilizará únicamente para la inserción de servicios. La VSIP no debe entrar en conflicto con el rango de CIDR de las VPC o las VNet. Esta VSIP se anuncia a través de BGP ante la instancia de PCG. Consulte Crear la definición de servicio y el endpoint virtual correspondiente
Cree un túnel VPN de IPSec entre el dispositivo de servicio y la instancia de PCG. Consulte Configurar una sesión de VPN de IPSec
Configure BGP entre la PCG y el dispositivo de servicio, y anuncie la VSIP desde el dispositivo de servicio y la ruta predeterminada (0.0.0.0/0) desde la PCG. Consulte Configurar BGP y la redistribución de rutas
Siga estas instrucciones para la configuración inicial del tráfico de VPN desde la nube pública a la instancia local. Cree un túnel VPN entre la PCG y la puerta de enlace o la instancia de Edge local. Consulte Configurar una VPN en el modo forzado de NSX-T Data Center.
Siga estas instrucciones para ambos tipos de inserción de servicios como parte de la configuración inicial. Cree una regla de captura predeterminada de prioridad más baja posible con la acción establecida en No redireccionar. Esto garantizará que no se redireccione ningún paquete en la interfaz de VTI de la PCG y el dispositivo de servicio. Consulte Configurar las reglas de redireccionamiento.
Siga estas instrucciones como y cuando sea necesario para cada tipo de caso práctico de inserción de servicios.

Una vez finalizadas las configuraciones que se realizan por única vez, configure las reglas de redireccionamiento para volver a enrutar tráfico selectivo desde las máquinas virtuales de carga de trabajo administradas por NSX hacia la VSIP. Estas reglas se aplican al puerto de vínculo superior de la PCG para la inserción de servicios de norte a sur y a la interfaz de VTI de la PCG para el tráfico a la instancia local.

Consulte Configurar las reglas de redireccionamiento.