NSX Cloud supporta l'utilizzo di servizi di terze parti nel cloud pubblico per le macchine virtuali del carico di lavoro gestite da NSX in Modalità NSX applicato.
NSX Cloud supporta l'inserimento del servizio per i seguenti elementi:
- Traffico nord-sud dalle macchine virtuali del carico di lavoro tramite un'appliance di servizio ospitata in un VPC/VNet di transito.
- Traffico VPN dal PCG a un Edge o a un gateway locale. Questo traffico può essere instradato tramite un'appliance di servizio anche in un VPC/VNet di transito.
Di seguito è disponibile una panoramica delle configurazioni per consentire l'inserimento del servizio per le macchine virtuali del carico di lavoro gestite da NSX.
Frequenza | Attività | Istruzioni |
---|---|---|
Attenersi alle seguenti istruzioni per la configurazione iniziale se si desidera configurare l'inserimento del servizio per il traffico nord-sud. | Configurare l'appliance del servizio nel cloud pubblico, preferibilmente in un servizio VPC o VNet di transito (in cui è stato distribuito il PCG. | Vedere le istruzioni specifiche per l'appliance del servizio di terze parti e il cloud pubblico. |
Registrare il servizio di terze parti in NSX. | Vedere Creazione della definizione del servizio e di un endpoint virtuale corrispondente | |
Creare un endpoint dell'istanza virtuale del servizio utilizzando un indirizzo IP di servizio virtuale (VSIP) /32 da utilizzare solo per l'inserimento del servizio dall'appliance del servizio. Il VSIP non deve essere in conflitto con l'intervallo CIDR di VPC o VNet. Questo VSIP viene annunciato su BGP al PCG. | Vedere Creazione della definizione del servizio e di un endpoint virtuale corrispondente | |
Creare un tunnel VPN IPSec tra l'appliance del servizio e il PCG. | Vedere Configurazione di una sessione VPN IPSec | |
Configurare il BGP tra il PCG e l'appliance del servizio e annunciare il VSIP dall'appliance del servizio e la route predefinita (0.0.0.0/0) dal PCG. | Vedere Configurazione della ridistribuzione di BGP e route | |
Seguire queste istruzioni per la configurazione iniziale per il traffico VPN dal cloud pubblico a locale. | Creare un tunnel VPN tra il PCG e l'Edge o il gateway locale. | Vedere Configurazione della VPN nella modalità forzata NSX. |
Seguire queste istruzioni per entrambi i tipi di inserimento del servizio come parte della configurazione iniziale. | Creare una regola catch-all predefinita con la priorità più bassa possibile con l'azione impostata su Non reindirizzare. In questo modo, non viene reindirizzato alcun pacchetto nell'interfaccia VTI di PCG e nell'appliance del servizio. | Vedere Configurazione delle regole di reindirizzamento. |
Seguire queste istruzioni come e quando necessario per ogni tipo di caso d'uso di inserimento del servizio. | Una volta completate le configurazioni una tantum, configurare le regole di reindirizzamento per reindirizzare il traffico selettivo dalle macchine virtuali del carico di lavoro gestite da NSX al VSIP. Queste regole vengono applicate alla porta di uplink del PCG per l'inserimento del servizio nord-sud e all'interfaccia VTI del PCG per il traffico in locale. |
Vedere Configurazione delle regole di reindirizzamento. |