NSX Cloud prend en charge l'utilisation de services tiers dans votre cloud public pour les machines virtuelles de charge de travail gérées par NSX en Mode d'application NSX.
NSX Cloud prend en charge l'insertion de services pour les éléments suivants :
- Trafic nord-sud des machines virtuelles de charge de travail via un dispositif de service hébergé dans un VPC/VNet de transit.
- Trafic VPN de la PCG vers un dispositif Edge ou une passerelle sur site. Ce trafic peut également être routé via un dispositif de service dans un VPC/VNet de transit.
Voici un aperçu des configurations autorisant l'insertion de services pour vos machines virtuelles de charge de travail gérées par NSX.
Fréquence | Tâche | Instructions |
---|---|---|
Suivez ces instructions pour la configuration initiale si vous souhaitez configurer l'insertion de services pour le trafic nord-sud. | Configurez le dispositif de service dans votre cloud public, de préférence dans un VPC ou VNet de transit (où vous avez déployé la PCG). | Reportez-vous aux instructions spécifiques du dispositif de service tiers et du cloud public. |
Enregistrez le service tiers dans NSX. | Reportez-vous à la section Créer la définition de service et un point de terminaison virtuel correspondant | |
Créez un point de terminaison d'instance virtuelle du service à l'aide d'une adresse IP virtuelle de service (VSIP) /32 à utiliser uniquement pour l'insertion de services par le dispositif de service. La VSIP ne pas doit être en conflit avec la plage CIDR des VPC ou VNet. Cette VSIP est annoncée sur BGP à la PCG. | Reportez-vous à la section Créer la définition de service et un point de terminaison virtuel correspondant | |
Créez un tunnel VPN IPSec entre le dispositif de service et la PCG. | Reportez-vous à la section Configurer une session VPN IPSec | |
Configurez BGP entre la PCG et le dispositif de service et publiez la VSIP à partir du dispositif de service et la route par défaut (0.0.0.0/0) à partir de la PCG. | Reportez-vous à la section Configurer le BGP et la redistribution de routes | |
Suivez ces instructions pour la configuration initiale du trafic VPN du cloud public vers le site. | Créez un tunnel VPN entre la PCG et le dispositif Edge ou la passerelle sur site. | Reportez-vous à la section Configurer le VPN en mode appliqué NSX. |
Suivez ces instructions pour les deux types d'insertion de services dans le cadre de la configuration initiale. | Créez une règle catch-all par défaut à basse priorité avec l'action définie sur Ne pas rediriger. Ainsi, aucun paquet n'est redirigé sur l'interface VTI de la PCG et du dispositif de service. | Reportez-vous à la section Configurer les règles de redirection. |
Suivez ces instructions chaque fois que cela s'avère nécessaire pour chaque type de cas d'utilisation d'insertion de services. | Une fois les configurations à usage unique terminées, configurez des règles de redirection pour réacheminer le trafic sélectif des machines virtuelles de charge de travail gérées par NSX vers la VSIP. Ces règles sont appliquées au port de liaison montante de PCG pour l'insertion de services nord-sud et à l'interface VTI de la PCG pour le trafic vers le site. |
Reportez-vous à la section Configurer les règles de redirection. |