NSX Cloud では、NSX の管理対象で NSX 強制モード のワークロード仮想マシンに対して、パブリック クラウド内のサードパーティ サービスの使用をサポートします。

NSX Cloud は、次のサービス挿入をサポートしています。
  • 中継 VPC/VNet にホストされているサービス アプライアンスを経由するワークロード仮想マシンからの North-South トラフィック。
  • PCG からオンプレミスの Edge またはゲートウェイへの VPN トラフィック。このトラフィックは、中継 VPC/VNet のサービス アプライアンス経由でルーティングすることもできます。

ここでは、NSX の管理対象ワークロード仮想マシンでサービス挿入を許可する構成の概要を説明します。

表 1. NSX 強制モード でNSX 管理対象ワークロード仮想マシンのサービス挿入を行う場合に必要な構成の概要。
頻度 タスク 方法
North-South トラフィックにサービス挿入を設定する場合は、次の手順で初期設定を行います。 パブリック クラウド内、可能であれば PCG が展開されている中継 VPC または VNet 内に、サービス アプライアンスを設定します。 サードパーティのサービス アプライアンスおよびパブリック クラウドに固有の手順を参照してください。
NSX にサードパーティ サービスを登録します。 サービス定義と対応する仮想エンドポイントの作成 を参照してください。
サービス アプライアンスでサービス挿入にのみ使用される /32 仮想サービス IP アドレス (VSIP) を使用して、サービスの仮想インスタンス エンドポイントを作成します。VSIP が VPC または VNet の CIDR 範囲と競合しないようにしてください。この VSIP は BGP 経由で PCG にアドバタイズされます。 サービス定義と対応する仮想エンドポイントの作成 を参照してください。
サービス アプライアンスと PCG の間に IPsec VPN トンネルを作成します。 IPsec VPN セッションの設定 を参照してください。
PCG とサービス アプライアンス間に BGP を構成し、サービス アプライアンスから VSIP をアドバタイズし、PCG からデフォルト ルート (0.0.0.0/0) をアドバタイズします。 BGP とルート再配分の構成 を参照してください。
パブリック クラウドからオンプレミスへの VPN トラフィックは、次の手順で初期設定を行います。 PCG とオンプレミスの Edge またはゲートウェイとの間に VPN トンネルを作成します。 NSX 強制モードでの VPN の設定を参照してください。
初期設定の一部として、両方のタイプのサービス挿入に次の操作を行います。 優先度の最も低いデフォルトの catch-all ルールを作成し、アクションを [リダイレクトしない] に設定します。これにより、PCG とサービス アプライアンスの VTI インターフェイスでパケットがリダイレクトされなくなります。 リダイレクト ルールの設定 を参照してください。
サービス挿入のユースケースに応じて、次の操作を行います。

1 回限りの構成が完了したら、NSX の管理対象ワークロード仮想マシンから VSIP にサービス トラフィックを再ルーティングするリダイレクト ルールを設定します。North-South サービス挿入の場合、これらのルールは PCG のアップリンク ポートに適用されます。オンプレミスへのトラフィックの場合は、PCG の VTI インターフェイスに適用されます。

リダイレクト ルールの設定 を参照してください。