このワークフローでは、PCG とリモート エンドポイントの間に VPN トンネルを作成できます。この手順は、Native Cloud 強制モード で管理されているワークロード仮想マシンに固有のものです。
前提条件
- AWS:VPC が Native Cloud 強制モード に展開されていることを確認します。これは、中継または自己管理 VPC である必要があります。AWS のコンピュート VPC で VPN はサポートされません。
- Microsoft Azure:VNet が Native Cloud 強制モード に展開されていることを確認します。中継 VNet とコンピュート VNet の両方を使用できます。
- リモート エンドポイントが PCG とピアリングされ、ルートベースの IPsec VPN と BGP 機能を備えていることを確認します。
手順
- パブリック クラウドで、NSX が PCG に割り当てたローカル エンドポイントを検索します。必要に応じてパブリック IP アドレスを割り当てます。
- パブリック クラウドの PCG インスタンスに移動し、タグに移動します。
- nsx.local_endpoint_ip タグの値フィールドにある IP アドレスをメモします。
- (オプション) VPN トンネルでパブリック IP アドレスが必要な場合(たとえば、別のパブリック クラウドやオンプレミスの NSX-T Data Center 環境に VPN を設定する場合)は、次の操作を行います。
- PCG インスタンスのアップリンク インターフェイスに移動します。
- 手順 [b] でメモした nsx.local_endpoint_ip の IP アドレスにパブリック IP アドレスを割り当てます。
- (オプション) PCG インスタンスの HA ペアがある場合は、手順 [a] と [b] を繰り返します。必要であれば、手順 [c] の説明に従ってパブリック IP アドレスを割り当てます。
- NSX Manager で、cloud-t0-vpc/vnet-<vpc/vnet-id> のような前の Tier-0 ゲートウェイとして表示される PCG で IPsec VPN を有効にします。この Tier-0 ゲートウェイのエンドポイントと目的の VPN ピアのリモート IP アドレスの間にルートベースの IPsec セッションを作成します。詳細については、IPsec VPN サービスの追加を参照してください。
- [ネットワーク] > [VPN] > [VPN サービス] > [サービスの追加] > [IPsec] の順に移動します。次のように詳細を指定します。
オプション 説明 名前 VPN サービスにわかりやすい名前を付けます。たとえば <VPC-ID> AWS_VPN、<VNet-ID>-AZURE_VPN などを入力します。 Tier-0/Tier-1 ゲートウェイ パブリック クラウド内の PCG に Tier-0 ゲートウェイを選択します。 - [ネットワーク] > [VPN] > [ローカル エンドポイント] > [ローカル エンドポイントの追加] の順に移動します。次の情報を入力します。その他の詳細については、ローカル エンドポイントの追加を参照してください。
注: PCG インスタンスの HA ペアがある場合は、パブリック クラウドに接続している対応のローカル エンドポイント IP アドレスを使用して、各インスタンスにローカル エンドポイントを作成します。
オプション 説明 名前 ローカル エンドポイントにわかりやすい名前を付けます。たとえば、<VPC-ID>-PCG-preferred-LE や <VNET-ID>-PCG-preferred-LE などを入力します。 VPN サービス 手順 [ 2a ] で PCG に作成した Tier-0 ゲートウェイに VPN サービスを選択します。 IP アドレス 手順 [1b] でメモした PCG のローカル エンドポイントの IP アドレスの値を入力します。 - [ネットワーク] > [VPN] > [IPsec セッション] > [IPsec セッションの追加] > [ルート ベース] の順に移動します。次の情報を入力します。その他の詳細については、ルートベース IPsec セッションの追加を参照してください。
注: VPC に展開されている PCG と VNet に展開されている PCG の間に VPN トンネルを作成する場合は、VPC にある各 PCG のローカル エンドポイントから VNet にある PCG のリモート IP アドレスにトンネルを作成する必要があります。逆に、VNet の PCG から VPC にある PCG のリモート IP アドレスへのトンネルも作成する必要があります。アクティブ PCG とスタンバイ PCG に別のトンネルを作成する必要があります。これにより、2 つのパブリック クラウド間の IPsec セッションで完全なメッシュが構築されます。
オプション 説明 名前 IPsec セッションにわかりやすい名前を付けます。たとえば、<VPC--ID>-PCG1-to-remote_edge のように入力します。 VPN サービス 手順 [2a] で作成した VPN サービスを選択します。 ローカル エンドポイント 手順 [2b] で作成したローカル エンドポイントを選択します。 リモート IP アドレス VPN トンネルを作成するリモート ピアのパブリック IP アドレスを入力します。 注: DirectConnect や ExpressRoute などでプライベート IP アドレスにアクセスできる場合は、リモート IP にプライバート IP アドレスを設定できます。トンネル インターフェイス トンネル インターフェイスを CIDR 形式で入力します。IPsec セッションを確立するには、リモート ピアで同じサブネットを使用する必要があります。
- [ネットワーク] > [VPN] > [VPN サービス] > [サービスの追加] > [IPsec] の順に移動します。次のように詳細を指定します。
- 手順 [2] で設定した IPsec VPN トンネル インターフェイスで BGP ネイバーを設定します。詳細については、BGP の構成を参照してください。
- [ネットワーク] > [Tier-0 ゲートウェイ] の順に移動します。
- IPsec セッションを作成した場所に、自動的に作成された Tier-0 ゲートウェイを選択して、[編集] をクリックします。
- [BGP] セクションの [BGP ネイバー] の横にある番号またはアイコンをクリックして、次の詳細情報を入力します。
オプション 説明 IP アドレス VPN ピアの IPsec セッションのトンネル インターフェイスで構成されたリモート VTI の IP アドレスを使用します。
リモート AS の番号 この番号は、リモート ピアの AS 番号と一致する必要があります。
-
重要: この手順は NSX-T Data Center 3.0.0 のみを対象としています。 NSX-T Data Center 3.0.1 を使用している場合はスキップします。Microsoft Azure を使用している場合は、NSX Manager で VPN と BGP を構成した後で、PCG インスタンスのアップリンク インターフェイスで [IP 転送を有効]にします。HA でアクティブな PCG インスタンスとスタンバイ インスタンスがある場合は、両方の PCG インスタンスで IP 転送を有効にします。 - 再配分プロファイルを使用して、VPN で使用するプレフィックスをアドバタイズします。次の手順を実行します。
-
重要: この手順は NSX-T Data Center 3.0.0 のみを対象としています。 NSX-T Data Center 3.0.1 を使用している場合はスキップします。Tier-0 ゲートウェイ(つまり PCG)のアップリンク IP アドレスを参照するように、 Native Cloud 強制モード でオンボーディングされている VPC/VNet の CIDR にスタティック ルートを追加します。手順については、 スタティック ルートの構成を参照してください。HA の PCG ペアがある場合は、各 PCG のアップリンク IP アドレスにネクスト ホップを設定します。 - Native Cloud 強制モード でオンボーディングされている VPC/VNet の CIDR にプレフィックス リストを追加し、そのリストを BGP ネイバー構成に出力フィルタとして追加します。手順については、IP プレフィックス リストの作成を参照してください。
- ルート再配分プロファイルを設定します。スタティック ルートを有効にして、手順 [b] で VPC/VNet CIDR に作成したルート フィルタを選択します。
-
- パブリック クラウドで次の操作を行います。
- ワークロード仮想マシンが配置されているサブネットのルーティング テーブルに移動します。
注: PCG のアップリンクまたは管理サブネットのルーティング テーブルは使用しないでください。
- nsx.managed = true タグをルーティング テーブルに追加します。
- ワークロード仮想マシンが配置されているサブネットのルーティング テーブルに移動します。
-
重要: この手順は NSX-T Data Center 3.0.0 のみを対象としています。 NSX-T Data Center 3.0.1 を使用している場合はスキップします。NSX Cloud は、送信元に 0.0.0.0/0、宛先に Any が設定された [default-snat] ルールを Tier-0 ゲートウェイ (PCG) に作成します。このルールにより、 Native Cloud 強制モード の仮想マシンから送信されたすべてのトラフィックに、PCG のアップリンク IP アドレスが設定されます。トラフィックの実際の送信元を確認するには、次の手順に従います。- [ネットワーク] > [NAT] の順に移動し、Tier-0 ゲートウェイ (PCG) の [default-snat] ルールを無効にします。
- NSX 強制モード に仮想マシンがある場合は、次の値を使用して新しい SNAT ルールを作成し、このような仮想マシンへの SNAT の提供を継続します。
オプション 説明 送信元 NSX 強制モード の VPC/VNet の CIDR。 宛先 任意 変換 [default-snat] ルールの [Translated] と同じ IP アドレス。 適用先 PCG のアップリンク インターフェイスを選択します。 [default-snat] ルールは編集しないでください。フェイルオーバーが発生すると元に戻ります。
結果
管理対象ルーティング テーブルで、ネクスト ホップが PCG のアップリンク IP アドレスに設定されているリモート エンドポイントによってアドバタイズされたすべての IP プレフィックスにルートが作成されていることを確認します。