Vous pouvez créer un tunnel VPN entre la PCG et un point de terminaison distant en suivant ce workflow. Ces instructions sont spécifiques aux machines virtuelles de charge de travail en Mode d'application du Cloud natif.

Vous pouvez utiliser des API CSM pour configurer le VPN dans NSX si les deux points de terminaison se trouvent dans le cloud public et sont gérés par des PCG. Reportez-vous à la section Automatiser le VPN pour des points de terminaison de cloud public à l'aide d'API.

Conditions préalables

  • Dans AWS : vérifiez que vous avez déployé un VPC dans le Mode d'application du Cloud natif. Il doit s'agir d'un VPC de transit ou autogéré. Le VPN n'est pas pris en charge pour les VPC de calcul dans AWS.
  • Dans Microsoft Azure : vérifiez que vous avez déployé un VNet dans le Mode d'application du Cloud natif. Vous pouvez utiliser les VNet de transit et de calcul.
  • Vérifiez que le point de terminaison distant est lié à PCG et dispose de capacités VPN IPSec basées sur le routage et BGP.

Procédure

  1. Dans votre cloud public, recherchez le point de terminaison local attribué par NSX à la PCG et attribuez-lui une adresse IP publique si nécessaire :
    1. Accédez à votre instance de PCG dans le cloud public puis accédez à Balises.
    2. Notez l'adresse IP dans le champ de valeur de la balise nsx.local_endpoint_ip.
    3. (Facultatif) Si votre tunnel VPN requiert une adresse IP publique, par exemple, si vous souhaitez configurer un VPN sur un autre cloud public ou sur le déploiement de NSX sur site :
      1. Accédez à l'interface de liaison montante de l'instance de la PCG.
      2. Attachez une adresse IP publique à l'adresse IP nsx.local_endpoint_ip que vous avez notée à l'étape 1.b.
    4. (Facultatif) Si vous disposez d'une paire HA d'instances de PCG, répétez les étapes 1.a et 1.b, et attachez une adresse IP publique si nécessaire, comme décrit à l'étape 1.c.
  2. Dans NSX Manager, activez le VPN IPSec de la PCG qui apparaît comme une passerelle de niveau 0 nommée cloud-t0-vpc/vnet-<vpc/vnet-id> et créez des sessions IPSec basées sur la route entre ce point de terminaison de la passerelle de niveau 0 et l'adresse IP distante de l'homologue VPN souhaité. Reportez-vous à la section Ajouter un NSX service VPN IPSec pour plus d'informations.
    1. Accédez à Mise en réseau > VPN > Services VPN > Ajouter un service > IPSec. Fournissez les détails suivants :
      Option Description
      Nom Entrez un nom descriptif pour le service VPN, par exemple <VPC-ID>-AWS_VPN ou <VNet-ID>-AZURE_VPN.
      Passerelle de niveau 0/niveau 1 Sélectionnez la passerelle de niveau 0 pour la PCG dans votre cloud public.
    2. Accédez à Mise en réseau > VPN > Points de terminaison locaux > Ajouter un point de terminaison local. Fournissez les informations suivantes et consultez la section Ajouter des points de terminaison locaux pour plus d'informations :
      Note : Si vous disposez d'une paire HA d'instances de PCG, créez un point de terminaison local pour chaque instance à l'aide de l'adresse IP du point de terminaison local correspondant dans le cloud public.
      Option Description
      Nom Entrez un nom descriptif pour le point de terminaison local, par exemple <VPC-ID>-PCG-preferred-LE ou <VNET-ID>-PCG-preferred-LE
      Service VPN Sélectionnez le service VPN pour la passerelle de niveau 0 de la PCG que vous avez créée à l'étape 2.a.
      Adresse IP Entrez la valeur de l'adresse IP du point de terminaison local de la PCG que vous avez notée à l'étape 1.b.
    3. Accédez à Mise en réseau > VPN > Sessions IPsec > Ajouter une session IPsec > Basé sur la route. Fournissez les informations suivantes et consultez la section Ajout d'une session IPSec basée sur une route pour plus d'informations :
      Note : Si vous créez un tunnel VPN entre des PCG déployées dans un VPC et des PCG déployées dans un réseau virtuel, vous devez créer un tunnel pour chaque point de terminaison local de PCG dans le VPC et l'adresse IP distante de la PCG dans le réseau virtuel, et inversement de la PCG du réseau virtuel vers l'adresse IP distante de PCG dans le VPC. Vous devez créer un tunnel distinct pour les PCG actives et en veille. Cela entraîne un maillage complet des sessions IPSec entre les deux clouds publics.
      Option Description
      Nom Entrez un nom descriptif pour la session IPsec, par exemple, <VPC--ID>-PCG1-to-remote_edge
      Service VPN Sélectionnez le service VPN créé à l'étape 2.a.
      Point de terminaison local Sélectionnez le point de terminaison local créé à l'étape 2.b.
      Adresse IP distante Entrez l'adresse IP publique de l'homologue distant avec lequel vous créez le tunnel VPN.
      Note : L'adresse IP distante peut être une adresse IP privée si vous pouvez atteindre l'adresse IP privée à l'aide de DirectConnect ou d'ExpressRoute par exemple.
      Interface de tunnel Entrez l'interface du tunnel au format CIDR. Le même sous-réseau doit être utilisé pour l'homologue distant afin d'établir la session IPSec.
  3. Développez BGP et configurez les voisins BGP sur l'interface de tunnel VPN IPSec que vous avez établie à l'étape 2. Reportez-vous à la section Configurer BGP pour plus d'informations.
    1. Accédez à Mise en réseau > Passerelles de niveau 0.
    2. Sélectionnez la passerelle de niveau 0 créée automatiquement pour laquelle vous avez créé la session IPSec, puis cliquez sur Modifier.
    3. Cliquez sur le nombre ou l'icône en regard de Voisins BGP sous la section BGP et entrez les détails suivants :
      Option Description
      Adresse IP

      Utilisez l'adresse IP de la VTI distante configurée sur l'interface de tunnel dans la session IPSec pour l'homologue VPN.

      Nombre d'AS distants Ce nombre doit correspondre au nombre d'AS de l'homologue distant.
  4. Annoncez les préfixes que vous voulez utiliser pour le VPN à l'aide du profil de redistribution. Procédez comme suit :
    Important : Cette étape est uniquement destinée à NSX 3.0.0. Ignorez-la si vous utilisez NSX 3.0.1.
    1. Développez Routage et ajoutez une route statique pour le CIDR du VPC/VNet intégré au Mode d'application du Cloud natif pour pointer sur l'adresse IP de liaison montante de la passerelle de niveau 0, c'est-à-dire la PCG.
      Reportez-vous à la section Configurer un itinéraire statique pour obtenir des instructions. Si vous disposez d'une paire de PCG pour HA, configurez les tronçons suivants sur chaque adresse IP de liaison montante de la PCG.
    2. Dans la catégorie Routage développée, ajoutez une liste de préfixes pour le CIDR de VPC/VNet intégré en Mode d'application du Cloud natif et ajoutez-le en tant que filtre sortant dans la configuration du voisin BGP.
      Reportez-vous à la section Créer une liste de préfixes IP pour obtenir des instructions.
    3. Développez Redistribution des routes et configurez un profil de redistribution des routes en activant la route statique et sélectionnez le filtre de route que vous avez créé pour les CIDR de VPC/VNet aux sous-étapes précédentes.
  5. Dans votre cloud public, procédez comme suit :
    1. Accédez à la table de routage du sous-réseau sur lequel se trouvent vos machines virtuelles de charge de travail.
      Note : N'utilisez pas la table de routage des sous-réseaux de liaison montante ou de gestion de PCG.
    2. Ajoutez la balise nsx.managed = true à la table de routage.

Résultats

Vérifiez que les routes sont créées dans la table de routage gérée pour tous les préfixes IP annoncés par le point de terminaison distant avec le tronçon suivant défini sur l'adresse IP de liaison montante de la PCG.