マルチテナント NSX 環境では、プロジェクト管理者は、プロジェクトの Tier-1 ゲートウェイで L2 VPN および IPsec VPN サービスを構成できます。
プロジェクトの Tier-1 ゲートウェイで VPN を構成するには、Edge クラスタをプロジェクトに割り当てる必要があります。
プロジェクトの VPN サービスでは、次の機能がサポートされています。
- プロジェクトの各 Tier-1 ゲートウェイでは、1 つの IPsec サービスと 1 つの L2 VPN サービスのみを構成できます。
- ルートベースの IPsec VPN を構成する場合、スタティック ルートがサポートされます。BGP を使用する仮想トンネル インターフェイス (VTI) を使用した動的ルーティングは、プロジェクトの Tier-1 ゲートウェイではサポートされていません。
- プロジェクトで IPsec VPN と L2 VPN サービスを構成するワークフローは、これらのサービスをデフォルト領域で構成する場合と同じです。詳細については、「NSX VPN サービスの追加」を参照してください。
- IPsec VPN セッションの構成では、プリシェアード キー認証と証明書ベースの認証の両方がサポートされます。
- エンタープライズ管理者は、必要に応じてサービス証明書と証明書失効リスト (CRL) をプロジェクトと共有できます。プロジェクト管理者は、証明書ベースの認証が IPsec VPN セッション用に構成されている場合、共有証明書を使用して IPsec エンドポイントを認証できます。
- または、プロジェクト管理者は、プロジェクト ビューでサービス証明書と CRL を作成、更新、または管理し、それらを使用してプロジェクトで IPsec VPN セッションを構成できます。
- システムが作成した VPN プロファイルは、デフォルトでシステム内のすべてのプロジェクトと共有されます。プロジェクト管理者は、次のデフォルトの VPN プロファイルを使用するか、新しいプロファイルを作成してプロジェクトで VPN サービスを構成できます。
- IKE プロファイル
- IPsec トンネル プロファイル
- DPD プロファイル
- L2 VPN トンネル プロファイル
- コンプライアンス スイート関連のプロファイル
IKE、IPsec、および DPD プロファイルの追加については、「プロファイルの追加」を参照してください。エンタープライズ管理者がデフォルト領域に VPN プロファイルを作成している場合は、必要に応じて特定のプロジェクトと共有できます。共有プロファイルは、プロジェクトで読み取り専用モードで使用できます。
- エンタープライズ管理者は、さまざまなオブジェクト タイプの割り当てを定義することで、プロジェクトで作成できる VPN 関連オブジェクトの数を制限できます。たとえば、次の VPN オブジェクトに割り当てを定義できます。
- IPsec VPN セッション
- L2 VPN セッション
- ローカル エンドポイント
- IPsec VPN サービス
- L2 VPN サービス
- VPN プロファイル
次に示すリストは、一例にすぎません。オブジェクトの完全なリストについては、NSX Manager ユーザー インターフェイスの [割り当て] タブに移動します。
- VPN サービス、VPN セッション、およびその他の VPN 統計情報の監視状態は、プロジェクト ビューでサポートされます。
- 同じ NSX 環境内の 2 つの異なるプロジェクトの Tier-1 ゲートウェイ間の L2 VPN トンネルと IPsec VPN トンネルの構成がサポートされます。
- 同じプロジェクトの Tier-1 ゲートウェイ間の L2 VPN トンネルと IPsec VPN トンネルの構成がサポートされます。
プロジェクトの Tier-1 ゲートウェイで VPN サービスを構成する場合は、次の点に注意する必要があります。
- IPsec ローカル エンドポイントは、プロジェクトの Tier-1 ゲートウェイでループバック IP アドレスとして認識されます。ローカル エンドポイントの IP アドレスは、データセンター全体で一意である必要があります。エンドポイント IP アドレスは、プロジェクトに関連付けられている Tier-0 ゲートウェイにアドバタイズされ、BGP を介してアップストリーム ネットワークにプッシュされます。
- Tier-1 ゲートウェイへの IPsec パケット(IKE UDP ポート 500 および 4500、ESP)を許可するには、エンタープライズ管理者は、プロジェクトに関連付けられている Tier-0 ゲートウェイでファイアウォール ルールを定義する必要があります。Tier-0 ゲートウェイのファイアウォール ルールは、システムによって自動的に作成されません。ただし、プロジェクトの Tier-1 ゲートウェイのファイアウォール ルールは、IPsec VPN セッションのエンドポイント間の IKE および ESP トラフィックを許可するように自動的に作成されます。