Vous pouvez créer un tunnel VPN entre la PCG et un point de terminaison distant en suivant ce workflow. Ces instructions sont spécifiques aux machines virtuelles de charge de travail en Mode d'application du Cloud natif.
Conditions préalables
- Dans AWS : vérifiez que vous avez déployé un VPC dans le Mode d'application du Cloud natif. Il doit s'agir d'un VPC de transit ou autogéré. Le VPN n'est pas pris en charge pour les VPC de calcul dans AWS.
- Dans Microsoft Azure : vérifiez que vous avez déployé un VNet dans le Mode d'application du Cloud natif. Vous pouvez utiliser les VNet de transit et de calcul.
- Vérifiez que le point de terminaison distant est lié à PCG et dispose de capacités VPN IPSec basées sur le routage et BGP.
Procédure
- Dans votre cloud public, recherchez le point de terminaison local attribué par NSX à la PCG et attribuez-lui une adresse IP publique si nécessaire :
- Accédez à votre instance de PCG dans le cloud public puis accédez à Balises.
- Notez l'adresse IP dans le champ de valeur de la balise nsx.local_endpoint_ip.
- (Facultatif) Si votre tunnel VPN requiert une adresse IP publique, par exemple, si vous souhaitez configurer un VPN sur un autre cloud public ou sur le déploiement de NSX-T Data Center sur site :
- Accédez à l'interface de liaison montante de l'instance de la PCG.
- Attachez une adresse IP publique à l'adresse IP nsx.local_endpoint_ip que vous avez notée à l'étape b.
- (Facultatif) Si vous disposez d'une paire HA d'instances de PCG, répétez les étapes a et b et attachez une adresse IP publique si nécessaire, comme décrit à l'étape c.
- Dans NSX Manager, activez le VPN IPSec de la PCG qui apparaît comme une passerelle de niveau 0 nommée cloud-t0-vpc/vnet-<vpc/vnet-id> et créez des sessions IPSec basées sur la route entre ce point de terminaison de la passerelle de niveau 0 et l'adresse IP distante de l'homologue VPN souhaité. Reportez-vous à la section Ajouter un service VPN IPSec pour plus d'informations.
- Accédez à Mise en réseau > VPN > Services VPN > Ajouter un service > IPSec. Fournissez les détails suivants :
Option Description Nom Entrez un nom descriptif pour le service VPN, par exemple <VPC-ID>-AWS_VPN ou <VNet-ID>-AZURE_VPN. Passerelle de niveau 0/niveau 1 Sélectionnez la passerelle de niveau 0 pour la PCG dans votre cloud public. - Accédez à Mise en réseau > VPN > Points de terminaison locaux > Ajouter un point de terminaison local. Fournissez les informations suivantes et reportez-vous à la section Ajouter des points de terminaison locaux pour plus d'informations.
Note : Si vous disposez d'une paire HA d'instances de PCG, créez un point de terminaison local pour chaque instance à l'aide de l'adresse IP du point de terminaison local correspondant dans le cloud public.
Option Description Nom Entrez un nom descriptif pour le point de terminaison local, par exemple <VPC-ID>-PCG-preferred-LE ou <VNET-ID>-PCG-preferred-LE Service VPN Sélectionnez le service VPN pour la passerelle de niveau 0 de la PCG que vous avez créée à l'étape 2a. Adresse IP Entrez la valeur de l'adresse IP du point de terminaison local de la PCG que vous avez notée à l'étape 1b. - Accédez à Mise en réseau > VPN > Sessions IPsec > Ajouter une session IPSec > Basé sur la route. Fournissez les informations suivantes et consultez la section Ajout d'une session IPSec basée sur une route pour plus d'informations :
Note : Si vous créez un tunnel VPN entre des PCG déployées dans un VPC et des PCG déployées dans un réseau virtuel, vous devez créer un tunnel pour chaque point de terminaison local de PCG dans le VPC et l'adresse IP distante de la PCG dans le réseau virtuel, et inversement de la PCG du réseau virtuel vers l'adresse IP distante de PCG dans le VPC. Vous devez créer un tunnel distinct pour les PCG actives et en veille. Cela entraîne un maillage complet des sessions IPSec entre les deux clouds publics.
Option Description Nom Entrez un nom descriptif pour la session IPsec, par exemple, <VPC--ID>-PCG1-to-remote_edge Service VPN Sélectionnez le service VPN créé à l'étape 2a. Point de terminaison local Sélectionnez le point de terminaison local créé à l'étape 2b. Adresse IP distante Entrez l'adresse IP publique de l'homologue distant avec lequel vous créez le tunnel VPN. Note : L'adresse IP distante peut être une adresse IP privée si vous pouvez atteindre l'adresse IP privée à l'aide de DirectConnect ou d'ExpressRoute par exemple.Interface de tunnel Entrez l'interface du tunnel au format CIDR. Le même sous-réseau doit être utilisé pour l'homologue distant afin d'établir la session IPSec.
- Accédez à Mise en réseau > VPN > Services VPN > Ajouter un service > IPSec. Fournissez les détails suivants :
- Configurez les voisins BGP sur l'interface du tunnel VPN IPSec que vous avez établie à l'étape 2. Reportez-vous à la section Configurer BGP pour plus d'informations.
- Accédez à Mise en réseau > Passerelles de niveau 0
- Sélectionnez la passerelle de niveau 0 créée automatiquement pour laquelle vous avez créé la session IPSec, puis cliquez sur Modifier.
- Cliquez sur le nombre ou l'icône en regard de Voisins BGP sous la section BGP et entrez les détails suivants :
Option Description Adresse IP Utilisez l'adresse IP de la VTI distante configurée sur l'interface de tunnel dans la session IPSec pour l'homologue VPN.
Nombre d'AS distants Ce nombre doit correspondre au nombre d'AS de l'homologue distant.
-
Important : Cette étape est uniquement destinée à NSX-T Data Center 3.0.0. Ignorez-la si vous utilisez NSX-T Data Center 3.0.1.Si vous utilisez Microsoft Azure, après avoir configuré VPN et BGP dans NSX Manager, Activer le transfert IP sur l'interface de liaison montante de l'instance de PCG. Si vous avez une instance de PCG active et une instance en veille, pour HA, activez alors le transfert IP sur les deux instances de la PCG. - Annoncez les préfixes que vous voulez utiliser pour le VPN à l'aide du profil de redistribution. Procédez comme suit :
-
Important : Cette étape est uniquement destinée à NSX-T Data Center 3.0.0. Ignorez-la si vous utilisez NSX-T Data Center 3.0.1.Ajoutez une route statique pour le CIDR du VPC/VNet intégré au Mode d'application du Cloud natif pour pointer vers l'adresse IP de liaison montante de la passerelle de niveau 0, c'est-à-dire la PCG. Reportez-vous à la section Configurer un itinéraire statique pour obtenir des instructions. Si vous disposez d'une paire de PCG pour HA, configurez les tronçons suivants sur chaque adresse IP de liaison montante de la PCG. - Ajoutez une liste de préfixes pour le CIDR de VPC/VNet intégré en Mode d'application du Cloud natif et ajoutez-le en tant que filtre sortant dans la configuration du voisin BGP. Reportez-vous à la section Créer une liste de préfixes IP pour obtenir des instructions.
- Configurez un profil de redistribution de route en activant la route statique et en sélectionnant le filtre de route que vous avez créé pour les CIDR de VPC/VNet à l'étape b.
-
- Dans votre cloud public :
- Accédez à la table de routage du sous-réseau sur lequel se trouvent vos machines virtuelles de charge de travail.
Note : N'utilisez pas la table de routage des sous-réseaux de liaison montante ou de gestion de PCG.
- Ajoutez la balise nsx.managed = true à la table de routage.
- Accédez à la table de routage du sous-réseau sur lequel se trouvent vos machines virtuelles de charge de travail.
-
Important : Cette étape est uniquement destinée à NSX-T Data Center 3.0.0. Ignorez-la si vous utilisez NSX-T Data Center 3.0.1.NSX Cloud crée une règle default-snat pour la passerelle de niveau 0 (PCG) avec Source 0.0.0.0/0 et Destination Any. En raison de cette règle, l'ensemble du trafic provenant de vos machines virtuelles en Mode d'application du Cloud natif dispose de l'adresse IP de liaison montante de la PCG. Si vous souhaitez voir la source réelle de votre trafic, procédez comme suit :- Accédez à Mise en réseau > NAT et désactivez la règle default-snat pour la passerelle de niveau 0 (PCG).
- Créez une nouvelle règle SNAT avec les valeurs suivantes si vous disposez de machines virtuelles en Mode d'application NSX pour continuer à fournir SNAT pour ces machines virtuelles :
Option Description Source CIDR du VPC/VNet en Mode d'application NSX. Destination Quelconque Traduit La même adresse IP dans Traduite qui se trouve dans la règle default-snat. Appliquer à Sélectionnez l'interface de liaison montante de la PCG. Ne modifiez pas la règle default-snat. Elle est rétablie en cas de basculement.
Résultats
Vérifiez que les routes sont créées dans la table de routage gérée pour tous les préfixes IP annoncés par le point de terminaison distant avec le tronçon suivant défini sur l'adresse IP de liaison montante de la PCG.