È possibile creare un tunnel VPN tra il PCG e un endpoint remoto eseguendo questo workflow. Queste istruzioni sono specifiche delle macchine virtuali del carico di lavoro gestite nella Modalità Cloud applicato nativo.

È possibile utilizzare le API CSM per configurare la VPN in NSX se entrambi gli endpoint si trovano nel cloud pubblico e sono gestiti da GRUPPI di PCG. Vedere Automazione della la VPN per gli endpoint di cloud pubblico utilizzando le API.

Prerequisiti

  • In AWS: verificare di aver distribuito un VPC nel Modalità Cloud applicato nativo. Deve essere un VPC di transito o auto-gestito. VPN non supportata per i VPC di elaborazione in AWS.
  • In Microsoft Azure: verificare di aver distribuito una VNet nel Modalità Cloud applicato nativo. È possibile utilizzare le VNet di transito ed elaborazione.
  • Verificare che l'endpoint remoto abbia un peer con il PCG e disponga di funzionalità VPN IPSec e BGP basate su route.

Procedura

  1. Nel cloud pubblico, individuare l'endpoint locale assegnato da NSX per il PCG e assegnare un indirizzo IP pubblico, se necessario:
    1. Passare all'istanza di PCG nel cloud pubblico e quindi ai tag.
    2. Prendere nota dell'indirizzo IP nel campo del valore del tag nsx.local_endpoint_ip.
    3. (Facoltativo) Se il tunnel VPN richiede un IP pubblico, ad esempio se si desidera configurare una VPN in un altro cloud pubblico o nella distribuzione di NSX locale:
      1. Passare all'interfaccia di uplink dell'istanza di PCG.
      2. Collegare un indirizzo IP pubblico all'indirizzo IP nsx.local_endpoint_ip annotato nel passaggio 1.b.
    4. (Facoltativo) Se si dispone di una coppia di istanze di PCG con HA, ripetere i passaggi 1.a e 1.b e collegare un indirizzo IP pubblico, se necessario, come descritto nel passaggio 1.c.
  2. In NSX Manager, abilitare VPN IPSec per il PCG che viene visualizzato come gateway di livello 0 denominato cloud-t0-vpc/vnet-<vpc/vnet-id> e creare sessioni IPSec basate su route tra l'endpoint di questo gateway di livello 0 e l'indirizzo IP remoto del peer VPN desiderato. Per altri dettagli, vedere Aggiunta di un servizio VPN IPSec di NSX.
    1. Passare a Rete > VPN > Servizi VPN > Aggiungi servizio > IPSec. Specificare i dettagli seguenti:
      Opzione Descrizione
      Nome Immettere un nome descrittivo per il servizio VPN, ad esempio <VPC-ID>-AWS_VPN o <VNet-ID>-AZURE_VPN.
      Gateway di livello 0 o 1 Selezionare il gateway di livello 0 per il PCG nel cloud pubblico.
    2. Passare a Rete > VPN > Endpoint locali > Aggiungi endpoint locale. Fornire le informazioni seguenti e vedere Aggiunta di endpoint locali per ulteriori dettagli:
      Nota: Se si dispone di una coppia di istanze PCG con HA, creare un endpoint locale per ogni istanza utilizzando l'indirizzo IP dell'endpoint locale corrispondente associato nel cloud pubblico.
      Opzione Descrizione
      Nome Immettere un nome descrittivo per l'endpoint locale, ad esempio <VPC-ID>-PCG-preferred-LE o <VNET-ID>-PCG-preferred-LE
      Servizio VPN Selezionare il servizio VPN per il gateway di livello 0 del PCG creato nel passaggio 2.a.
      Indirizzo IP Immettere il valore dell'indirizzo IP dell'endpoint locale del PCG annotato nel passaggio 1.b.
    3. Passare a Rete > VPN > Sessioni IPSec > Aggiungi sessione IPSec > Basata su route. Fornire le informazioni seguenti e vedere Aggiunta di una sessione IPSec basata su route per ulteriori dettagli:
      Nota: Se si sta creando un tunnel VPN tra PCG distribuiti in un VPC e PCG distribuiti in una VNet, è necessario creare un tunnel per ciascun endpoint locale del PCG nel VPC e l'indirizzo IP remoto del PCG nella VNet e viceversa dai PCG nella VNet all'indirizzo IP remoto dei PCG nel VPC. È necessario creare un tunnel separato per i PCG attivi e in standby. Ciò comporta una mesh completa di sessioni IPSec tra i due cloud pubblici.
      Opzione Descrizione
      Nome Immettere un nome descrittivo per la sessione IPSec, ad esempio <VPC--ID>-PCG1-to-remote_edge
      Servizio VPN Selezionare il servizio VPN creato nel passaggio 2.a.
      Endpoint locale Selezionare l'endpoint locale creato nel passaggio 2.b.
      IP remoto Immettere l'indirizzo IP pubblico del peer remoto con cui si sta creando il tunnel VPN.
      Nota: L'IP remoto può essere un indirizzo IP privato se è possibile raggiungere tale indirizzo, ad esempio utilizzando DirectConnect o ExpressRoute.
      Interfaccia tunnel Immettere l'interfaccia del tunnel in formato CIDR. Per consentire al peer remoto di stabilire la sessione IPSec, è necessario utilizzare la stessa subnet.
  3. Espandere BGP e configurare i router adiacenti BGP nell'interfaccia del tunnel VPN IPSec definita nel passaggio 2. Per ulteriori dettagli, vedere Configurazione di BGP.
    1. Passare a Rete > Gateway di livello 0.
    2. Selezionare il gateway di livello 0 creato automaticamente per il quale è stata creata la sessione IPSec e fare clic su Modifica.
    3. Fare clic sul numero o sull'icona accanto a Router adiacenti BGP nella sezione BGP e specificare i seguenti dettagli:
      Opzione Descrizione
      Indirizzo IP

      Utilizzare l'indirizzo IP della VTI remota configurata nell'interfaccia del tunnel nella sessione IPSec del peer VPN.

      Numero AS remoto Questo numero deve corrispondere al numero AS del peer remoto.
  4. Annunciare i prefissi che si desidera utilizzare per la VPN utilizzando il profilo di redistribuzione. Eseguire le operazioni seguenti:
    Importante: Questo passaggio è valido solo per NSX 3.0.0. Ignorarlo se si utilizza NSX 3.0.1.
    1. Espandere Routing e aggiungere una route statica per il CIDR del VPC/VNet di cui è stato eseguito l'onboarding con la Modalità Cloud applicato nativo in modo che punti all'indirizzo IP di uplink del gateway di livello 0, ossia PCG.
      Per istruzioni, vedere Configurazione di una route statica. Se si dispone di una coppia di PCG per HA, configurare gli hop successivi a ciascun indirizzo IP di uplink del PCG.
    2. Nella categoria Routing estesa, aggiungere un elenco di prefissi per il CIDR VPC/VNet di cui è stato eseguito l'onboarding nella Modalità Cloud applicato nativo e aggiungerlo come filtro out nella configurazione del router adiacente BGP.
      Per istruzioni, vedere Creazione di un elenco di prefissi IP.
    3. Espandere Ridistribuzione route e configurare un profilo di ridistribuzione della route, abilitando la route statica e selezionando il filtro della route creato per i CIDR VPC/VNet nel precedente passaggio.
  5. Nel cloud pubblico, eseguire le operazioni seguenti:
    1. Passare alla tabella di routing della subnet in cui sono presenti le macchine virtuali del carico di lavoro.
      Nota: Non utilizzare la tabella di routing delle subnet di uplink o di gestione della PCG.
    2. Aggiungere il tag nsx.managed = true alla tabella di routing.

risultati

Verificare che nella tabella di routing gestita siano create route per tutti i prefissi IP annunciati dall'endpoint remoto con l'hop successivo impostato sull'indirizzo IP uplink del PCG.