NSX-T Data Center Edge Gateway とリモート サイトの間でサイト間接続を構成できます。リモート サイトは、NSX-T Data Center を使用し、サードパーティ製ハードウェア ルーター、または IPsec をサポートする VPN ゲートウェイを使用する必要があります。
NSX-T Data Center Edge Gateway で IPsec VPN を構成する場合、VMware Cloud Director はルートの自動再分散をサポートします。
前提条件
証明書認証を使用して IPsec VPN 通信を保護する場合は、
システム管理者がローカル
NSX-T Data Center Edge Gateway のサーバ証明書と組織の CA 証明書を
VMware Cloud Director 証明書ライブラリにアップロードしたことを確認します。
手順
- 上部ナビゲーション バーで [リソース] を選択し、[クラウド リソース] をクリックします。
- 左側のパネルで [Edge Gateway] をクリックし、ターゲット Edge Gateway の名前をクリックします。
- [サービス] で [IPsec VPN] をクリックします。
- IPsec VPN トンネルを設定するには、[新規] をクリックします。
- IPsec VPN トンネルの名前と、オプションで説明を入力します。
- 作成時にトンネルを有効にするには、[状態] オプションをオンにします。
- (オプション) ログ記録を有効にするには、[ログ記録] オプションをオンにします。
- ピア認証モードを選択します。
オプション |
説明 |
事前共有キー |
入力する事前共有キーを選択します。事前共有キーは、IPSec VPN トンネルの相手側でも同じにする必要があります。 |
証明書 |
認証に使用するサイトと CA 証明書を選択します。 |
- ローカル エンドポイントの Edge Gateway で使用できる IP アドレスのいずれかを入力します。
IP アドレスは、Edge Gateway のプライマリ IP アドレス、または外部ネットワークから Edge Gateway に個別に割り当てられる IP アドレスのいずれかにする必要があります。
- IPsec VPN トンネルに使用する 1 つ以上のローカル IP サブネット アドレスを CIDR 表記で入力します。
- リモート エンドポイントの IP アドレスを入力します。
- IPsec VPN トンネルに使用する 1 つ以上のリモート IP サブネット アドレスを CIDR 表記で入力します。
- ピア サイトのリモート ID を入力します。
リモート エンドポイント証明書に SAN(サブジェクト代替名)が使用可能な場合、リモート ID はこの SAN と一致する必要があります。リモート証明書に SAN が含まれていない場合、リモート ID は、リモート エンドポイントを保護するために使用される証明書の識別名と一致する必要があります(例:C=US, ST=Massachusetts, O=VMware,OU=VCD, CN=Edge1)。
- [次へ] をクリックします。
- 設定を確認し、[完了] をクリックします。
- トンネルが機能していることを確認するには、そのトンネルを選択して [統計情報の表示] をクリックします。
トンネルが機能している場合は、
[トンネルのステータス] と
[IKE サービス ステータス] の両方に
到達可能 と表示されます。
結果
新しく作成された IPSec VPN トンネルは、
[IPsec VPN] ビューに表示されます。IPsec VPN トンネルは、デフォルトのセキュリティ プロファイルを使用して作成されます。
次のタスク
- IPsec VPN トンネルのリモート エンドポイントを構成します。
- 必要に応じて IPsec VPN トンネル設定を編集し、そのセキュリティ プロファイルをカスタマイズすることができます。