您可以遵循此工作流程,在 PCG 與遠端端點之間建立 VPN 通道。這些指示僅適用於在 原生雲端強制執行模式 中受到管理的工作負載虛擬機器。
必要條件
- 在 AWS 中:確認您已在 原生雲端強制執行模式 中部署 VPC。這必須是傳送或自我管理的 VPC。AWS 中的計算 VPC 不支援 VPN。
- 在 Microsoft Azure 中:確認您已在 原生雲端強制執行模式 中部署 VNet。您可以同時使用傳送和計算 VNet。
- 確認遠端端點已與 PCG 對等,且具有以路由為基礎的 IPSec VPN 和 BGP 功能。
程序
- 在您的公有雲中,找出 NSX 為 PCG 指派的本機端點,並視需要指派公用 IP 位址:
- 移至公有雲中的 PCG 執行個體,然後導覽至 [標籤]。
- 記下標籤之值欄位中的 IP 位址 nsx.local_endpoint_ip。
- (選擇性) 如果您的 VPN 通道需要公用 IP,例如,如果您想要設定其他公有雲或內部部署 NSX-T Data Center 部署的 VPN:
- 導覽至 PCG 執行個體的上行介面。
- 將公用 IP 位址連結至您在步驟 b 中記下的 nsx.local_endpoint_ip IP 位址。
- (選擇性) 如果您有 PCG 執行個體的 HA 配對,請重複步驟 a 和 b,並視需要連結公用 IP 位址,如步驟 c 中所述。
- 在 NSX Manager 中,為顯示為第 0 層閘道 (名稱類似於 cloud-t0-vpc/vnet-<vpc/vnet-id>) 的 PCG 啟用 IPSec VPN,並在這個第 0 層閘道的端點與所需 VPN 對等的遠端 IP 位址之間建立以路由為基礎的 IPSec 工作階段。如需其他詳細資料,請參閱新增 IPSec VPN 服務。
- 移至網路 > VPN > VPN 服務 > 新增服務 > IPSec。提供下列詳細資料:
選項 敘述 名稱 輸入 VPN 服務的描述性名稱,例如 <VPC-ID>-AWS_VPN 或 <VNet-ID>-AZURE_VPN。 第 0 層/第 1 層閘道 為公有雲中的 PCG 選取第 0 層閘道。 - 移至網路 > VPN > 本機端點 > 新增本機端點。提供下列資訊,並參閱新增本機端點以取得其他詳細資料:
備註: 如果您有 PCG 執行個體的 HA 配對,請為每個執行個體建立本機端點;方法是使用其在公有雲中連結的對應本機端點 IP 位址。
選項 敘述 名稱 輸入本機端點的描述性名稱,例如 <VPC-ID>-PCG-preferred-LE 或 <VNET-ID>-PCG-preferred-LE VPN 服務 選取您在步驟 2a 中所建立 PCG 第 0 層閘道的 VPN 服務。 IP 位址 輸入您在步驟 1b 中記下的 PCG 本機端點 IP 位址值。 - 移至網路 > VPN > IPSec 工作階段 > 新增 IPSec 工作階段 > 以路由為基礎的。提供下列資訊,並參閱新增路由型 IPSec 工作階段以取得其他詳細資料:
備註: 如果您要在部署於 VPC 中的 PCG 與部署於 VNet 中的 PCG 之間建立 VPN 通道,您必須為 VPC 中每個 PCG 的本機端點以及 VNet 中 PCG 的遠端 IP 位址建立通道,並且反向地從 VNet 中的 PCG 到 VPC 中 PCG 的遠端 IP 位址建立通道。您必須為主動和備用 PCG 建立個別的通道。這會使兩個公有雲之間具有完整網格的 IPSec 工作階段。
選項 敘述 名稱 輸入 IPsec 工作階段的描述性名稱,例如 <VPC--ID>-PCG1-to-remote_edge VPN 服務 選取您在步驟 2a 中建立的 VPN 服務。 本機端點 選取您在步驟 2b 中建立的本機端點。 遠端 IP 輸入您要用來建立 VPN 通道之遠端對等的公用 IP 位址。 備註: 如果您可以連線到私人 IP 位址 (例如,使用 DirectConnect 或 ExpressRoute),則遠端 IP 可以是私人 IP 位址。通道介面 輸入 CIDR 格式的通道介面。必須將相同的子網路用於遠端對等,才能建立 IPSec 工作階段。
- 移至網路 > VPN > VPN 服務 > 新增服務 > IPSec。提供下列詳細資料:
- 在您於步驟 2 中建立的 IPSec VPN 通道介面上,設定 BGP 芳鄰。如需更多詳細資料,請參閱設定 BGP。
- 導覽至網路 > 第 0 層閘道
- 選取您建立 IPSec 工作階段所在的自動建立第 0 層閘道,然後按一下編輯。
- 按一下 BGP 區段下方 BGP 芳鄰旁邊的數字或圖示,並提供下列詳細資料:
選項 敘述 IP 位址 使用在 VPN 對等的 IPSec 工作階段中,於通道介面上設定之遠端 VTI 的 IP 位址。
遠端 AS 數目 此數目必須與遠端對等的 AS 數目相符。
-
重要: 此步驟僅適用於 NSX-T Data Center 3.0.0。如果您正在使用 NSX-T Data Center 3.0.1,則可以略過。如果您使用 Microsoft Azure,則在 NSX Manager 中設定 VPN 和 BGP 後,請在 PCG 執行個體的上行介面上 啟用 IP 轉送。如果您有主動和備用 PCG 執行個體 (用於 HA),請在兩個 PCG 執行個體上都啟用 IP 轉送。 - 使用重新分配設定檔通告您要用於 VPN 的首碼。執行下列操作:
-
重要: 此步驟僅適用於 NSX-T Data Center 3.0.0。如果您正在使用 NSX-T Data Center 3.0.1,則可以略過。為使用 原生雲端強制執行模式 上線的 VPC/VNet CIDR 新增靜態路由,以指向第 0 層閘道 (即 PCG) 的上行 IP 位址。如需指示,請參閱 設定靜態路由。如果您有用於 HA 的 PCG 配對,請將下一個躍點設定為每個 PCG 的上行 IP 位址。 - 為使用 原生雲端強制執行模式 上線的 VPC/VNet CIDR 新增首碼清單,並在 BGP 芳鄰組態中將其新增為輸出篩選器。如需指示,請參閱建立 IP 首碼清單。
- 啟用靜態路由,並選取您在步驟 b 中為 VPC/VNet CIDR 建立的路由篩選器,以設定路由重新分配設定檔。
-
- 在您的公用雲端中:
- 前往您擁有工作負載虛擬機器之子網路的路由表。
備註: 請勿使用 PCG 的上行或管理子網路的路由表。
- 將 nsx.managed = true 標籤新增至路由表。
- 前往您擁有工作負載虛擬機器之子網路的路由表。
-
重要: 此步驟僅適用於 NSX-T Data Center 3.0.0。如果您正在使用 NSX-T Data Center 3.0.1,則可以略過。NSX Cloud 會為具有來源 0.0.0.0/0 和目的地 Any 的第 0 層閘道 (PCG) 建立 default-snat 規則。基於此規則,使用 原生雲端強制執行模式 之虛擬機器所產生的所有流量,都會具有 PCG 的上行 IP 位址。如果您想要查看流量的實際來源,請執行下列動作:- 移至網路 > NAT,並停用第 0 層閘道 (PCG) 的 default-snat 規則。
- 如果您有使用 NSX 強制執行模式 的虛擬機器,請使用下列值建立新的 SNAT 規則,以繼續為此類虛擬機器提供 SNAT:
選項 敘述 來源 NSX 強制執行模式 中的 VPC/VNet 的 CIDR。 目的地 任何 已轉譯 在 default-snat 規則中位於已轉譯中的相同 IP 位址。 套用至 選取 PCG 的上行介面。 請勿編輯 default-snat 規則。該規則會在容錯移轉時還原。
結果
確認路由是針對遠端端點所通告的所有 IP 首碼在受管理路由表中所建立,且下一個躍點設定為 PCG 的上行 IP 位址。