マルチテナント NSX 環境では、プロジェクト管理者は、プロジェクトの Tier-1 ゲートウェイで L2 VPN および IPsec VPN サービスを構成できます。

プロジェクトの Tier-1 ゲートウェイで VPN を構成するには、Edge クラスタをプロジェクトに割り当てる必要があります。

プロジェクトの VPN サービスでは、次の機能がサポートされています。
  • プロジェクトの各 Tier-1 ゲートウェイでは、1 つの IPsec サービスと 1 つの L2 VPN サービスのみを構成できます。
  • ルートベースの IPsec VPN を構成する場合、スタティック ルートがサポートされます。BGP を使用する仮想トンネル インターフェイス (VTI) を使用した動的ルーティングは、プロジェクトの Tier-1 ゲートウェイではサポートされていません。
  • プロジェクトで IPsec VPN と L2 VPN サービスを構成するワークフローは、これらのサービスをデフォルト領域で構成する場合と同じです。詳細については、「NSX VPN サービスの追加」を参照してください。
  • IPsec VPN セッションの構成では、プリシェアード キー認証と証明書ベースの認証の両方がサポートされます。
    • エンタープライズ管理者は、必要に応じてサービス証明書と証明書失効リスト (CRL) をプロジェクトと共有できます。プロジェクト管理者は、証明書ベースの認証が IPsec VPN セッション用に構成されている場合、共有証明書を使用して IPsec エンドポイントを認証できます。
    • または、プロジェクト管理者は、プロジェクト ビューでサービス証明書と CRL を作成、更新、または管理し、それらを使用してプロジェクトで IPsec VPN セッションを構成できます。
  • システムが作成した VPN プロファイルは、デフォルトでシステム内のすべてのプロジェクトと共有されます。プロジェクト管理者は、次のデフォルトの VPN プロファイルを使用するか、新しいプロファイルを作成してプロジェクトで VPN サービスを構成できます。
    • IKE プロファイル
    • IPsec トンネル プロファイル
    • DPD プロファイル
    • L2 VPN トンネル プロファイル
    • コンプライアンス スイート関連のプロファイル

    IKE、IPsec、および DPD プロファイルの追加については、「プロファイルの追加」を参照してください。エンタープライズ管理者がデフォルト領域に VPN プロファイルを作成している場合は、必要に応じて特定のプロジェクトと共有できます。共有プロファイルは、プロジェクトで読み取り専用モードで使用できます。

  • エンタープライズ管理者は、さまざまなオブジェクト タイプの割り当てを定義することで、プロジェクトで作成できる VPN 関連オブジェクトの数を制限できます。たとえば、次の VPN オブジェクトに割り当てを定義できます。
    • IPsec VPN セッション
    • L2 VPN セッション
    • ローカル エンドポイント
    • IPsec VPN サービス
    • L2 VPN サービス
    • VPN プロファイル

    次に示すリストは、一例にすぎません。オブジェクトの完全なリストについては、NSX Manager ユーザー インターフェイスの [割り当て] タブに移動します。

  • VPN サービス、VPN セッション、およびその他の VPN 統計情報の監視状態は、プロジェクト ビューでサポートされます。
  • 同じ NSX 環境内の 2 つの異なるプロジェクトの Tier-1 ゲートウェイ間の L2 VPN トンネルと IPsec VPN トンネルの構成がサポートされます。
  • 同じプロジェクトの Tier-1 ゲートウェイ間の L2 VPN トンネルと IPsec VPN トンネルの構成がサポートされます。
プロジェクトの Tier-1 ゲートウェイで VPN サービスを構成する場合は、次の点に注意する必要があります。
  • IPsec ローカル エンドポイントは、プロジェクトの Tier-1 ゲートウェイでループバック IP アドレスとして認識されます。ローカル エンドポイントの IP アドレスは、データセンター全体で一意である必要があります。エンドポイント IP アドレスは、プロジェクトに関連付けられている Tier-0 ゲートウェイにアドバタイズされ、BGP を介してアップストリーム ネットワークにプッシュされます。
  • Tier-1 ゲートウェイへの IPsec パケット(IKE UDP ポート 500 および 4500、ESP)を許可するには、エンタープライズ管理者は、プロジェクトに関連付けられている Tier-0 ゲートウェイでファイアウォール ルールを定義する必要があります。Tier-0 ゲートウェイのファイアウォール ルールは、システムによって自動的に作成されません。ただし、プロジェクトの Tier-1 ゲートウェイのファイアウォール ルールは、IPsec VPN セッションのエンドポイント間の IKE および ESP トラフィックを許可するように自動的に作成されます。