您可以遵循此工作流程,在 PCG 與遠端端點之間建立 VPN 通道。這些指示僅適用於在 原生雲端強制執行模式 中受到管理的工作負載虛擬機器。

必要條件

  • 在 AWS 中:確認您已在 原生雲端強制執行模式 中部署 VPC。這必須是傳送或自我管理的 VPC。AWS 中的計算 VPC 不支援 VPN。
  • 在 Microsoft Azure 中:確認您已在 原生雲端強制執行模式 中部署 VNet。您可以同時使用傳送和計算 VNet。
  • 確認遠端端點已與 PCG 對等,且具有以路由為基礎的 IPSec VPN 和 BGP 功能。

程序

  1. 在您的公有雲中,找出 NSX 為 PCG 指派的本機端點,並視需要指派公用 IP 位址:
    1. 移至公有雲中的 PCG 執行個體,然後導覽至 [標籤]。
    2. 記下標籤之值欄位中的 IP 位址 nsx.local_endpoint_ip
    3. (選擇性) 如果您的 VPN 通道需要公用 IP,例如,如果您想要設定其他公有雲或內部部署 NSX-T Data Center 部署的 VPN:
      1. 導覽至 PCG 執行個體的上行介面。
      2. 將公用 IP 位址連結至您在步驟 b 中記下的 nsx.local_endpoint_ip IP 位址。
    4. (選擇性) 如果您有 PCG 執行個體的 HA 配對,請重複步驟 ab,並視需要連結公用 IP 位址,如步驟 c 中所述。
  2. 在 NSX Manager 中,為顯示為第 0 層閘道 (名稱類似於 cloud-t0-vpc/vnet-<vpc/vnet-id>) 的 PCG 啟用 IPSec VPN,並在這個第 0 層閘道的端點與所需 VPN 對等的遠端 IP 位址之間建立以路由為基礎的 IPSec 工作階段。如需其他詳細資料,請參閱新增 IPSec VPN 服務
    1. 移至網路 > VPN > VPN 服務 > 新增服務 > IPSec。提供下列詳細資料:
      選項 敘述
      名稱 輸入 VPN 服務的描述性名稱,例如 <VPC-ID>-AWS_VPN<VNet-ID>-AZURE_VPN
      第 0 層/第 1 層閘道 為公有雲中的 PCG 選取第 0 層閘道。
    2. 移至網路 > VPN > 本機端點 > 新增本機端點。提供下列資訊,並參閱新增本機端點以取得其他詳細資料:
      備註: 如果您有 PCG 執行個體的 HA 配對,請為每個執行個體建立本機端點;方法是使用其在公有雲中連結的對應本機端點 IP 位址。
      選項 敘述
      名稱 輸入本機端點的描述性名稱,例如 <VPC-ID>-PCG-preferred-LE<VNET-ID>-PCG-preferred-LE
      VPN 服務 選取您在步驟 2a 中所建立 PCG 第 0 層閘道的 VPN 服務。
      IP 位址 輸入您在步驟 1b 中記下的 PCG 本機端點 IP 位址值。
    3. 移至網路 > VPN > IPSec 工作階段 > 新增 IPSec 工作階段 > 以路由為基礎的。提供下列資訊,並參閱新增路由型 IPSec 工作階段以取得其他詳細資料:
      備註: 如果您要在部署於 VPC 中的 PCG 與部署於 VNet 中的 PCG 之間建立 VPN 通道,您必須為 VPC 中每個 PCG 的本機端點以及 VNet 中 PCG 的遠端 IP 位址建立通道,並且反向地從 VNet 中的 PCG 到 VPC 中 PCG 的遠端 IP 位址建立通道。您必須為主動和備用 PCG 建立個別的通道。這會使兩個公有雲之間具有完整網格的 IPSec 工作階段。
      選項 敘述
      名稱 輸入 IPsec 工作階段的描述性名稱,例如 <VPC--ID>-PCG1-to-remote_edge
      VPN 服務 選取您在步驟 2a 中建立的 VPN 服務。
      本機端點 選取您在步驟 2b 中建立的本機端點。
      遠端 IP 輸入您要用來建立 VPN 通道之遠端對等的公用 IP 位址。
      備註: 如果您可以連線到私人 IP 位址 (例如,使用 DirectConnect 或 ExpressRoute),則遠端 IP 可以是私人 IP 位址。
      通道介面 輸入 CIDR 格式的通道介面。必須將相同的子網路用於遠端對等,才能建立 IPSec 工作階段。
  3. 在您於步驟 2 中建立的 IPSec VPN 通道介面上,設定 BGP 芳鄰。如需更多詳細資料,請參閱設定 BGP
    1. 導覽至網路 > 第 0 層閘道
    2. 選取您建立 IPSec 工作階段所在的自動建立第 0 層閘道,然後按一下編輯
    3. 按一下 BGP 區段下方 BGP 芳鄰旁邊的數字或圖示,並提供下列詳細資料:
      選項 敘述
      IP 位址

      使用在 VPN 對等的 IPSec 工作階段中,於通道介面上設定之遠端 VTI 的 IP 位址。

      遠端 AS 數目 此數目必須與遠端對等的 AS 數目相符。

  4. 重要: 此步驟僅適用於 NSX-T Data Center 3.0.0。如果您正在使用 NSX-T Data Center 3.0.1,則可以略過。
    如果您使用 Microsoft Azure,則在 NSX Manager 中設定 VPN 和 BGP 後,請在 PCG 執行個體的上行介面上 啟用 IP 轉送。如果您有主動和備用 PCG 執行個體 (用於 HA),請在兩個 PCG 執行個體上都啟用 IP 轉送。
  5. 使用重新分配設定檔通告您要用於 VPN 的首碼。執行下列操作:

    1. 重要: 此步驟僅適用於 NSX-T Data Center 3.0.0。如果您正在使用 NSX-T Data Center 3.0.1,則可以略過。
      為使用 原生雲端強制執行模式 上線的 VPC/VNet CIDR 新增靜態路由,以指向第 0 層閘道 (即 PCG) 的上行 IP 位址。如需指示,請參閱 設定靜態路由。如果您有用於 HA 的 PCG 配對,請將下一個躍點設定為每個 PCG 的上行 IP 位址。
    2. 為使用 原生雲端強制執行模式 上線的 VPC/VNet CIDR 新增首碼清單,並在 BGP 芳鄰組態中將其新增為輸出篩選器。如需指示,請參閱建立 IP 首碼清單
    3. 啟用靜態路由,並選取您在步驟 b 中為 VPC/VNet CIDR 建立的路由篩選器,以設定路由重新分配設定檔。
  6. 在您的公用雲端中:
    1. 前往您擁有工作負載虛擬機器之子網路的路由表。
      備註: 請勿使用 PCG 的上行或管理子網路的路由表。
    2. nsx.managed = true 標籤新增至路由表。

  7. 重要: 此步驟僅適用於 NSX-T Data Center 3.0.0。如果您正在使用 NSX-T Data Center 3.0.1,則可以略過。
    NSX Cloud 會為具有來源 0.0.0.0/0 和目的地 Any 的第 0 層閘道 (PCG) 建立 default-snat 規則。基於此規則,使用 原生雲端強制執行模式 之虛擬機器所產生的所有流量,都會具有 PCG 的上行 IP 位址。如果您想要查看流量的實際來源,請執行下列動作:
    1. 移至網路 > NAT,並停用第 0 層閘道 (PCG) 的 default-snat 規則。
    2. 如果您有使用 NSX 強制執行模式 的虛擬機器,請使用下列值建立新的 SNAT 規則,以繼續為此類虛擬機器提供 SNAT:
      選項 敘述
      來源 NSX 強制執行模式 中的 VPC/VNet 的 CIDR。
      目的地 任何
      已轉譯 default-snat 規則中位於已轉譯中的相同 IP 位址。
      套用至 選取 PCG 的上行介面。
      請勿編輯 default-snat 規則。該規則會在容錯移轉時還原。

結果

確認路由是針對遠端端點所通告的所有 IP 首碼在受管理路由表中所建立,且下一個躍點設定為 PCG 的上行 IP 位址。