NSX Cloud prend en charge l'utilisation de services tiers dans votre cloud public pour les machines virtuelles de charge de travail gérées par NSX en Mode d'application NSX.

NSX Cloud prend en charge l'insertion de services pour les éléments suivants :
  • Trafic nord-sud des machines virtuelles de charge de travail via un dispositif de service hébergé dans un VPC/VNet de transit.
  • Trafic VPN de la PCG vers un dispositif Edge ou une passerelle sur site. Ce trafic peut également être routé via un dispositif de service dans un VPC/VNet de transit.

Voici un aperçu des configurations autorisant l'insertion de services pour vos machines virtuelles de charge de travail gérées par NSX.

Tableau 1. Aperçu des configurations requises pour l'insertion de services pour les machines virtuelles de charge de travail gérées par NSX en Mode d'application NSX.
Fréquence Tâche Instructions
Suivez ces instructions pour la configuration initiale si vous souhaitez configurer l'insertion de services pour le trafic nord-sud. Configurez le dispositif de service dans votre cloud public, de préférence dans un VPC ou VNet de transit (où vous avez déployé la PCG). Reportez-vous aux instructions spécifiques du dispositif de service tiers et du cloud public.
Enregistrez le service tiers dans NSX-T Data Center. Reportez-vous à la rubrique Créer la définition de service et un point de terminaison virtuel correspondant
Créez un point de terminaison d'instance virtuelle du service à l'aide d'une adresse IP virtuelle de service (VSIP) /32 à utiliser uniquement pour l'insertion de services par le dispositif de service. La VSIP ne pas doit être en conflit avec la plage CIDR des VPC ou VNet. Cette VSIP est annoncée sur BGP à la PCG. Reportez-vous à la rubrique Créer la définition de service et un point de terminaison virtuel correspondant
Créez un tunnel VPN IPSec entre le dispositif de service et la PCG. Reportez-vous à la rubrique Configurer une session VPN IPSec
Configurez BGP entre la PCG et le dispositif de service et publiez la VSIP à partir du dispositif de service et la route par défaut (0.0.0.0/0) à partir de la PCG. Reportez-vous à la rubrique Configurer le BGP et la redistribution de routes
Suivez ces instructions pour la configuration initiale du trafic VPN du cloud public vers le site. Créez un tunnel VPN entre la PCG et le dispositif Edge ou la passerelle sur site. Reportez-vous à la section Configurer le VPN en mode NSX appliqué.
Suivez ces instructions pour les deux types d'insertion de services dans le cadre de la configuration initiale. Créez une règle catch-all par défaut à basse priorité avec l'action définie sur Ne pas rediriger. Ainsi, aucun paquet n'est redirigé sur l'interface VTI de la PCG et du dispositif de service. Reportez-vous à la section Configurer les règles de redirection.
Suivez ces instructions chaque fois que cela s'avère nécessaire pour chaque type de cas d'utilisation d'insertion de services.

Une fois les configurations à usage unique terminées, configurez des règles de redirection pour réacheminer le trafic sélectif des machines virtuelles de charge de travail gérées par NSX vers la VSIP. Ces règles sont appliquées au port de liaison montante de PCG pour l'insertion de services nord-sud et à l'interface VTI de la PCG pour le trafic vers le site.

Reportez-vous à la section Configurer les règles de redirection.