È possibile configurare la VPN utilizzando i PCG che vengono visualizzati come gateway di livello 0 creati automaticamente nella distribuzione di NSX locale. Queste istruzioni sono specifiche delle macchine virtuali del carico di lavoro gestite nella Modalità NSX applicato.

Utilizzare i PCG proprio come si utilizzano i gateway di livello 0 in NSX Manager per configurare la VPN attenendosi alla procedura seguente. È possibile creare tunnel VPN tra PCG distribuiti nello stesso cloud pubblico o in cloud pubblici diversi, oppure con un gateway o un router in locale. Vedere Rete privata virtuale (VPN) per dettagli sul supporto VPN in NSX.

È possibile utilizzare le API CSM per configurare la VPN in NSX se entrambi gli endpoint si trovano nel cloud pubblico e sono gestiti da GRUPPI di PCG. Vedere Automazione della la VPN per gli endpoint di cloud pubblico utilizzando le API.

Prerequisiti

  • Verificare che in un VPC/VNet sia distribuita una o una coppia di PCG HA.
  • Verificare che il peer remoto supporti VPN basato su route e BGP.

Procedura

  1. Nel cloud pubblico, individuare l'endpoint locale assegnato da NSX per il PCG e assegnare un indirizzo IP pubblico, se necessario:
    1. Passare all'istanza di PCG nel cloud pubblico e quindi ai tag.
    2. Prendere nota dell'indirizzo IP nel campo del valore del tag nsx.local_endpoint_ip.
    3. (Facoltativo) Se il tunnel VPN richiede un IP pubblico, ad esempio se si desidera configurare una VPN in un altro cloud pubblico o nella distribuzione di NSX locale:
      1. Passare all'interfaccia di uplink dell'istanza di PCG.
      2. Collegare un indirizzo IP pubblico all'indirizzo IP nsx.local_endpoint_ip annotato nel passaggio 1.b.
    4. (Facoltativo) Se si dispone di una coppia di istanze di PCG con HA, ripetere i passaggi 1.a e 1.b e collegare un indirizzo IP pubblico, se necessario, come descritto nel passaggio 1.c.
  2. In NSX Manager, abilitare VPN IPSec per il PCG che viene visualizzato come gateway di livello 0 denominato cloud-t0-vpc/vnet-<vpc/vnet-id> e creare sessioni IPSec basate su route tra l'endpoint di questo gateway di livello 0 e l'indirizzo IP remoto del peer VPN desiderato. Per altri dettagli, vedere Aggiunta di un servizio VPN IPSec di NSX.
    1. Passare a Rete > VPN > Servizi VPN > Aggiungi servizio > IPSec. Specificare i dettagli seguenti:
      Opzione Descrizione
      Nome Immettere un nome descrittivo per il servizio VPN, ad esempio <VPC-ID>-AWS_VPN o <VNet-ID>-AZURE_VPN.
      Gateway di livello 0 o 1 Selezionare il gateway di livello 0 per il PCG nel cloud pubblico.
    2. Passare a Rete > VPN > Endpoint locali > Aggiungi endpoint locale. Fornire le informazioni seguenti e vedere Aggiunta di endpoint locali per ulteriori dettagli:
      Nota: Se si dispone di una coppia di istanze PCG con HA, creare un endpoint locale per ogni istanza utilizzando l'indirizzo IP dell'endpoint locale corrispondente associato nel cloud pubblico.
      Opzione Descrizione
      Nome Immettere un nome descrittivo per l'endpoint locale, ad esempio <VPC-ID>-PCG-preferred-LE o <VNET-ID>-PCG-preferred-LE
      Servizio VPN Selezionare il servizio VPN per il gateway di livello 0 del PCG creato nel passaggio 2.a.
      Indirizzo IP Immettere il valore dell'indirizzo IP dell'endpoint locale del PCG annotato nel passaggio 1.b.
    3. Passare a Rete > VPN > Sessioni IPSec > Aggiungi sessione IPSec > Basata su route. Fornire le informazioni seguenti e vedere Aggiunta di una sessione IPSec basata su route per ulteriori dettagli:
      Nota: Se si sta creando un tunnel VPN tra PCG distribuiti in un VPC e PCG distribuiti in una VNet, è necessario creare un tunnel per ciascun endpoint locale del PCG nel VPC e l'indirizzo IP remoto del PCG nella VNet e viceversa dai PCG nella VNet all'indirizzo IP remoto dei PCG nel VPC. È necessario creare un tunnel separato per i PCG attivi e in standby. Ciò comporta una mesh completa di sessioni IPSec tra i due cloud pubblici.
      Opzione Descrizione
      Nome Immettere un nome descrittivo per la sessione IPSec, ad esempio <VPC--ID>-PCG1-to-remote_edge
      Servizio VPN Selezionare il servizio VPN creato nel passaggio 2.a.
      Endpoint locale Selezionare l'endpoint locale creato nel passaggio 2.b.
      IP remoto Immettere l'indirizzo IP pubblico del peer remoto con cui si sta creando il tunnel VPN.
      Nota: L'IP remoto può essere un indirizzo IP privato se è possibile raggiungere tale indirizzo, ad esempio utilizzando DirectConnect o ExpressRoute.
      Interfaccia tunnel Immettere l'interfaccia del tunnel in formato CIDR. Per consentire al peer remoto di stabilire la sessione IPSec, è necessario utilizzare la stessa subnet.
  3. Espandere BGP e configurare i router adiacenti BGP nell'interfaccia del tunnel VPN IPSec definita nel passaggio 2. Per ulteriori dettagli, vedere Configurazione di BGP.
    1. Passare a Rete > Gateway di livello 0.
    2. Selezionare il gateway di livello 0 creato automaticamente per il quale è stata creata la sessione IPSec e fare clic su Modifica.
    3. Fare clic sul numero o sull'icona accanto a Router adiacenti BGP nella sezione BGP e specificare i seguenti dettagli:
      Opzione Descrizione
      Indirizzo IP

      Utilizzare l'indirizzo IP della VTI remota configurata nell'interfaccia del tunnel nella sessione IPSec del peer VPN.

      Numero AS remoto Questo numero deve corrispondere al numero AS del peer remoto.
  4. Espandere Ridistribuzione route e annunciare i prefissi che si desidera utilizzare per la VPN utilizzando il profilo di redistribuzione. In Modalità NSX applicato, connettere le route abilitate per il livello 1 nel profilo di redistribuzione.