NSX Cloud では、NSX の管理対象で NSX 強制モード のワークロード仮想マシンに対して、パブリック クラウド内のサードパーティ サービスの使用をサポートします。
NSX Cloud は、次のサービス挿入をサポートしています。
- 中継 VPC/VNet にホストされているサービス アプライアンスを経由するワークロード仮想マシンからの North-South トラフィック。
- PCG からオンプレミスの Edge またはゲートウェイへの VPN トラフィック。このトラフィックは、中継 VPC/VNet のサービス アプライアンス経由でルーティングすることもできます。
ここでは、NSX の管理対象ワークロード仮想マシンでサービス挿入を許可する構成の概要を説明します。
頻度 | タスク | 方法 |
---|---|---|
North-South トラフィックにサービス挿入を設定する場合は、次の手順で初期設定を行います。 | パブリック クラウド内、可能であれば PCG が展開されている中継 VPC または VNet 内に、サービス アプライアンスを設定します。 | サードパーティのサービス アプライアンスおよびパブリック クラウドに固有の手順を参照してください。 |
NSX にサードパーティ サービスを登録します。 | サービス定義と対応する仮想エンドポイントの作成 を参照してください。 | |
サービス アプライアンスでサービス挿入にのみ使用される /32 仮想サービス IP アドレス (VSIP) を使用して、サービスの仮想インスタンス エンドポイントを作成します。VSIP が VPC または VNet の CIDR 範囲と競合しないようにしてください。この VSIP は BGP 経由で PCG にアドバタイズされます。 | サービス定義と対応する仮想エンドポイントの作成 を参照してください。 | |
サービス アプライアンスと PCG の間に IPsec VPN トンネルを作成します。 | IPsec VPN セッションの設定 を参照してください。 | |
PCG とサービス アプライアンス間に BGP を構成し、サービス アプライアンスから VSIP をアドバタイズし、PCG からデフォルト ルート (0.0.0.0/0) をアドバタイズします。 | BGP とルート再配分の構成 を参照してください。 | |
パブリック クラウドからオンプレミスへの VPN トラフィックは、次の手順で初期設定を行います。 | PCG とオンプレミスの Edge またはゲートウェイとの間に VPN トンネルを作成します。 | NSX 強制モードでの VPN の設定を参照してください。 |
初期設定の一部として、両方のタイプのサービス挿入に次の操作を行います。 | 優先度の最も低いデフォルトの catch-all ルールを作成し、アクションを [リダイレクトしない] に設定します。これにより、PCG とサービス アプライアンスの VTI インターフェイスでパケットがリダイレクトされなくなります。 | リダイレクト ルールの設定 を参照してください。 |
サービス挿入のユースケースに応じて、次の操作を行います。 | 1 回限りの構成が完了したら、NSX の管理対象ワークロード仮想マシンから VSIP にサービス トラフィックを再ルーティングするリダイレクト ルールを設定します。North-South サービス挿入の場合、これらのルールは PCG のアップリンク ポートに適用されます。オンプレミスへのトラフィックの場合は、PCG の VTI インターフェイスに適用されます。 |
リダイレクト ルールの設定 を参照してください。 |