オンプレミスの NSX 環境で、自動作成された Tier-0 ゲートウェイとして表示される PCG を使用して VPN を設定できます。この手順は、NSX 強制モード で管理されているワークロード仮想マシンに固有のものです。

ここで説明する追加の手順に従い、 NSX Manager で Tier-0 ゲートウェイを使用して VPN を設定する場合と同じ方法で PCG を使用します。同じパブリック クラウドまたは異なるパブリック クラウドに展開されている PCG 間、またはオンプレミスのゲートウェイやルーターとの間で VPN トンネルを作成できます。 NSX での VPN サポートの詳細については、 Virtual Private Network (VPN)を参照してください。

両方のエンドポイントがパブリック クラウドにあり、PCG によって管理されている場合は、CSM API を使用して NSX の VPN を構成できます。API を使用したパブリック クラウド エンドポイントの VPN の自動化を参照してください。

前提条件

  • VPC/VNet に PCG または PCG の HA ペアが展開されていることを確認します。
  • リモート ピアがルートベースの VPN と BGP をサポートしていることを確認します。

手順

  1. パブリック クラウドで、NSX が PCG に割り当てたローカル エンドポイントを検索します。必要に応じてパブリック IP アドレスを割り当てます。
    1. パブリック クラウドの PCG インスタンスに移動し、タグに移動します。
    2. nsx.local_endpoint_ip タグの値フィールドにある IP アドレスをメモします。
    3. (オプション) VPN トンネルでパブリック IP アドレスが必要な場合(たとえば、別のパブリック クラウドやオンプレミスの NSX 環境に VPN を設定する場合)は、次の操作を行います。
      1. PCG インスタンスのアップリンク インターフェイスに移動します。
      2. 手順 1.b でメモした nsx.local_endpoint_ip の IP アドレスにパブリック IP アドレスを割り当てます。
    4. (オプション) PCG インスタンスの HA ペアがある場合は、手順 1.a1.b を繰り返します。必要であれば、手順 1.c の説明に従ってパブリック IP アドレスを割り当てます。
  2. NSX Manager で、cloud-t0-vpc/vnet-<vpc/vnet-id> のような前の Tier-0 ゲートウェイとして表示される PCG で IPsec VPN を有効にします。この Tier-0 ゲートウェイのエンドポイントと目的の VPN ピアのリモート IP アドレスの間にルートベースの IPsec セッションを作成します。詳細については、NSX IPsec VPN サービスの追加を参照してください。
    1. [ネットワーク] > [VPN] > [VPN サービス] > [サービスの追加] > [IPsec] の順に移動します。次のように詳細を指定します。
      オプション 説明
      名前 VPN サービスにわかりやすい名前を付けます。たとえば <VPC-ID> AWS_VPN<VNet-ID>-AZURE_VPN などを入力します。
      Tier-0/Tier-1 ゲートウェイ パブリック クラウド内の PCG に Tier-0 ゲートウェイを選択します。
    2. [ネットワーク] > [VPN] > [ローカル エンドポイント] > [ローカル エンドポイントの追加] の順に移動します。次の情報を入力します。その他の詳細については、ローカル エンドポイントの追加を参照してください。
      注: PCG インスタンスの HA ペアがある場合は、パブリック クラウドに接続している対応のローカル エンドポイント IP アドレスを使用して、各インスタンスにローカル エンドポイントを作成します。
      オプション 説明
      名前 ローカル エンドポイントにわかりやすい名前を付けます。たとえば、<VPC-ID>-PCG-preferred-LE<VNET-ID>-PCG-preferred-LE などを入力します。
      VPN サービス 手順 2.a で PCG に作成した Tier-0 ゲートウェイに VPN サービスを選択します。
      IP アドレス 手順 1.b でメモした PCG のローカル エンドポイントの IP アドレスの値を入力します。
    3. [ネットワーク] > [VPN] > [IPsec セッション] > [IPsec セッションの追加] > [ルート ベース] の順に移動します。次の情報を入力します。その他の詳細については、ルートベース IPsec セッションの追加を参照してください。
      注: VPC に展開されている PCG と VNet に展開されている PCG の間に VPN トンネルを作成する場合は、VPC にある各 PCG のローカル エンドポイントから VNet にある PCG のリモート IP アドレスにトンネルを作成する必要があります。逆に、VNet の PCG から VPC にある PCG のリモート IP アドレスへのトンネルも作成する必要があります。アクティブ PCG とスタンバイ PCG に別のトンネルを作成する必要があります。これにより、2 つのパブリック クラウド間の IPsec セッションで完全なメッシュが構築されます。
      オプション 説明
      名前 IPsec セッションにわかりやすい名前を付けます。たとえば、<VPC--ID>-PCG1-to-remote_edge のように入力します。
      VPN サービス 手順 2.a で作成した VPN サービスを選択します。
      ローカル エンドポイント 手順 2.b で作成したローカル エンドポイントを選択します。
      リモート IP アドレス VPN トンネルを作成するリモート ピアのパブリック IP アドレスを入力します。
      注: DirectConnect や ExpressRoute などでプライベート IP アドレスにアクセスできる場合は、リモート IP にプライバート IP アドレスを設定できます。
      トンネル インターフェイス トンネル インターフェイスを CIDR 形式で入力します。IPsec セッションを確立するには、リモート ピアで同じサブネットを使用する必要があります。
  3. [BGP] を展開して、手順 2 で設定した IPsec VPN トンネル インターフェイスで BGP ネイバーを設定します。詳細については、BGP の構成を参照してください。
    1. [ネットワーク] > [Tier-0 ゲートウェイ] の順に移動します。
    2. IPsec セッションを作成した場所に、自動的に作成された Tier-0 ゲートウェイを選択して、[編集] をクリックします。
    3. [BGP] セクションの [BGP ネイバー] の横にある番号またはアイコンをクリックして、次の詳細情報を入力します。
      オプション 説明
      IP アドレス

      VPN ピアの IPsec セッションのトンネル インターフェイスで構成されたリモート VTI の IP アドレスを使用します。

      リモート AS の番号 この番号は、リモート ピアの AS 番号と一致する必要があります。
  4. [ルート再配分] を展開して、再配分プロファイルを使用して、VPN で使用するプレフィックスをアドバタイズします。NSX 強制モード で、再配分プロファイルの Tier-1 対応ルートを接続します。