Native Cloud 強制モードでの VPN の設定

このワークフローでは、PCG とリモートエンドポイントの間に VPN トンネルを作成できます。この手順は、Native Cloud 強制モードで管理されているワークロード仮想マシンに固有のものです。

両方のエンドポイントがパブリッククラウドにあり、PCG によって管理されている場合は、CSM API を使用して NSX-T Data Center の VPN を構成できます。API を使用したパブリッククラウドエンドポイントの VPN の自動化を参照してください。

前提条件

AWS：VPC が Native Cloud 強制モードに展開されていることを確認します。これは、中継または自己管理 VPC である必要があります。AWS のコンピュート VPC で VPN はサポートされません。
Microsoft Azure：VNet が Native Cloud 強制モードに展開されていることを確認します。中継 VNet とコンピュート VNet の両方を使用できます。
リモートエンドポイントが PCG とピアリングされ、ルートベースの IPsec VPN と BGP 機能を備えていることを確認します。

手順

パブリッククラウドで、NSX が PCG に割り当てたローカルエンドポイントを検索します。必要に応じてパブリック IP アドレスを割り当てます。
1. パブリッククラウドの PCG インスタンスに移動し、タグに移動します。
2. nsx.local_endpoint_ip タグの値フィールドにある IP アドレスをメモします。
3. （オプション） VPN トンネルでパブリック IP アドレスが必要な場合（たとえば、別のパブリッククラウドやオンプレミスの NSX-T Data Center 環境に VPN を設定する場合）は、次の操作を行います。
  1. PCG インスタンスのアップリンクインターフェイスに移動します。
  2. 手順 1.b でメモした nsx.local_endpoint_ip の IP アドレスにパブリック IP アドレスを割り当てます。
4. （オプション） PCG インスタンスの HA ペアがある場合は、手順 1.a と 1.b を繰り返します。必要であれば、手順 1.c の説明に従ってパブリック IP アドレスを割り当てます。

NSX Manager で、cloud-t0-vpc/vnet-<vpc/vnet-id> のような前の Tier-0 ゲートウェイとして表示される PCG で IPsec VPN を有効にします。この Tier-0 ゲートウェイのエンドポイントと目的の VPN ピアのリモート IP アドレスの間にルートベースの IPsec セッションを作成します。詳細については、IPsec VPN サービスの追加を参照してください。

[ネットワーク] > [VPN] > [VPN サービス] > [サービスの追加] > [IPsec] の順に移動します。次のように詳細を指定します。

オプション	説明
名前	VPN サービスにわかりやすい名前を付けます。たとえば `<VPC-ID> AWS_VPN`、`<VNet-ID>-AZURE_VPN` などを入力します。
Tier-0/Tier-1 ゲートウェイ	パブリッククラウド内の PCG に Tier-0 ゲートウェイを選択します。

[ネットワーク] > [VPN] > [ローカルエンドポイント] > [ローカルエンドポイントの追加] の順に移動します。次の情報を入力します。その他の詳細については、ローカルエンドポイントの追加を参照してください。

注： PCG インスタンスの HA ペアがある場合は、パブリッククラウドに接続している対応のローカルエンドポイント IP アドレスを使用して、各インスタンスにローカルエンドポイントを作成します。

オプション	説明
名前	ローカルエンドポイントにわかりやすい名前を付けます。たとえば、`<VPC-ID>-PCG-preferred-LE` や `<VNET-ID>-PCG-preferred-LE` などを入力します。
VPN サービス	手順 2.a で PCG に作成した Tier-0 ゲートウェイに VPN サービスを選択します。
IP アドレス	手順 1.b でメモした PCG のローカルエンドポイントの IP アドレスの値を入力します。

[ネットワーク] > [VPN] > [IPsec セッション] > [IPsec セッションの追加] > [ルートベース] の順に移動します。次の情報を入力します。その他の詳細については、ルートベース IPsec セッションの追加を参照してください。

注： VPC に展開されている PCG と VNet に展開されている PCG の間に VPN トンネルを作成する場合は、VPC にある各 PCG のローカルエンドポイントから VNet にある PCG のリモート IP アドレスにトンネルを作成する必要があります。逆に、VNet の PCG から VPC にある PCG のリモート IP アドレスへのトンネルも作成する必要があります。アクティブ PCG とスタンバイ PCG に別のトンネルを作成する必要があります。これにより、2 つのパブリッククラウド間の IPsec セッションで完全なメッシュが構築されます。

オプション	説明
名前	IPsec セッションにわかりやすい名前を付けます。たとえば、`<VPC--ID>-PCG1-to-remote_edge` のように入力します。
VPN サービス	手順 2.a で作成した VPN サービスを選択します。
ローカルエンドポイント	手順 2.b で作成したローカルエンドポイントを選択します。
リモート IP アドレス	VPN トンネルを作成するリモートピアのパブリック IP アドレスを入力します。注： DirectConnect や ExpressRoute などでプライベート IP アドレスにアクセスできる場合は、リモート IP にプライバート IP アドレスを設定できます。
トンネルインターフェイス	トンネルインターフェイスを CIDR 形式で入力します。IPsec セッションを確立するには、リモートピアで同じサブネットを使用する必要があります。

[BGP] を展開して、手順 2 で設定した IPsec VPN トンネルインターフェイスで BGP ネイバーを設定します。詳細については、BGP の構成を参照してください。

[ネットワーク] > [Tier-0 ゲートウェイ] の順に移動します。
IPsec セッションを作成した場所に、自動的に作成された Tier-0 ゲートウェイを選択して、[編集] をクリックします。

[BGP] セクションの [BGP ネイバー] の横にある番号またはアイコンをクリックして、次の詳細情報を入力します。

オプション	説明
IP アドレス	VPN ピアの IPsec セッションのトンネルインターフェイスで構成されたリモート VTI の IP アドレスを使用します。
リモート AS の番号	この番号は、リモートピアの AS 番号と一致する必要があります。

再配分プロファイルを使用して、VPN で使用するプレフィックスをアドバタイズします。次の手順を実行します。

重要：この手順は NSX-T Data Center 3.0.0 のみを対象としています。 NSX-T Data Center 3.0.1 を使用している場合はスキップします。
1. [ルーティング] を展開して、Tier-0 ゲートウェイ（つまり PCG）のアップリンク IP アドレスを参照するように、Native Cloud 強制モードでオンボーディングされている VPC/VNet の CIDR にスタティックルートを追加します。
  手順については、スタティックルートの構成を参照してください。HA の PCG ペアがある場合は、各 PCG のアップリンク IP アドレスにネクストホップを設定します。
2. 展開された [ルーティング] カテゴリで、Native Cloud 強制モードでオンボーディングされている VPC/VNet の CIDR にプレフィックスリストを追加し、そのリストを BGP ネイバー構成に出力フィルタとして追加します。
  手順については、 IP プレフィックスリストの作成を参照してください。
3. [ルート再配分] を展開して、ルート再配分プロファイルを設定します。スタティックルートを有効にして、前のサブ手順で VPC/VNet CIDR に作成したルートフィルタを選択します。
パブリッククラウドで、次の操作を行います。
1. ワークロード仮想マシンが配置されているサブネットのルーティングテーブルに移動します。
  
  注： PCG のアップリンクまたは管理サブネットのルーティングテーブルは使用しないでください。
2. nsx.managed = true タグをルーティングテーブルに追加します。

結果

管理対象ルーティングテーブルで、ネクストホップが PCG のアップリンク IP アドレスに設定されているリモートエンドポイントによってアドバタイズされたすべての IP プレフィックスにルートが作成されていることを確認します。