您可以使用 CSM API 在 VPC 或 VNet 之間自動化 VPN 設定。
您無法使用 CSM API 來設定使用內部部署端點的 VPN。
- VPN 通道的兩個端點都必須位於公有雲中,且已在其中部署 PCG 並處於執行中或
up狀態。
下列實體是使用 CSM API 所設定。您也可以使用這些 API 來取消設定 VPN 設定。
對於支援標籤的 NSX-T Data Center 實體,API 透過將標籤套用至具有新 VPN 工作階段識別碼的實體,來重複使用先前建立的實體,例如 CsmVpnSessionId:<csm-vpn-session-id-new>。
-
對於每個來源和目的地端點:
-
IPSec VPN 服務已設定,名為
cloud-vpn-service-<vpc/vnet-id>。 -
BGP 路由已設定,名為
cloud-routing-config-<vpc/vnet-id>。如果尚未啟用 BGP,則 API 會啟用它,並指派格式為55555.<1-64999>的 AS 編號。
-
-
對於來源和目的地端點中的每個 PCG:
-
已為第 0 層靜態路由和第 1 層連線的區段啟用 BGP 路由重新分配。
-
公用 IP 會指派給 PCG 的上行介面,並與 PCG 的上行介面上的 VPN 次要私人 IP 相關聯。
-
IPSec VPN 本機端點已建立,名為
cloud-vpn-local-endpoint-<gateway-id>-<preferred/non-preferred>。
-
-
對於來源和目的地端點之間的每個 PCG 組合:
-
以路由為基礎的 IPSec VPN 工作階段已建立,名為
<csm-vpn-session-id>-<Preferred/non-preferred>To<Preferred/non-preferred>-<hash-from-source-and-destination-PCG-ids> -
針對每個已設定 IPSec VPN 工作階段,系統會在第 0 層閘道上新增 BGP 芳鄰。
-
設定/更新 VPN 工作階段
- 若要設定新的 VPN 工作階段,請執行下列操作:
-
GET /api/v1/csm/vpn/endpoints
-
POST /api/v1/csm/vpn/session Example Request: POST https://<nsx-csm>/api/v1/csm/vpn/sessions { "display_name": "aws azure session 01", "source_endpoint": { "id": "vpc-12345678", "display_name": "vpc test", "endpoint_type": "AWS" }, "destination_endpoint": { "id": "d02af61a-e212-486e-b6c8-10462ccfbad6", "display_name": "vnet-01", "endpoint_type": "AZURE" } }
-
- 若要更新現有 VPN 工作階段的顯示名稱:
PUT /api/v1/csm/vpn/sessions/<session-id> Example Request: PUT https://<nsx-csm>/api/v1/csm/vpn/sessions/9174ffd1-41b1-42d6-a28d-05c61a0698e2 { "display_name": "New VPN session", "source_endpoint": { "id": "vpc-12345678", "display_name": "vpc test", "endpoint_type": "AWS" }, "destination_endpoint": { "id": "d02af61a-e212-486e-b6c8-10462ccfbad6", "display_name": "vnet-01", "endpoint_type": "AZURE" } }
取得現有 VPN 工作階段的狀態
- 若要取得所有工作階段的狀態:
GET /api/v1/csm/vpn/sessions/status
- 若要透過提供工作階段識別碼以取得特定工作階段的狀態:
GET /api/v1/csm/vpn/sessions/<session-id>/status
刪除工作階段
DELETE /api/v1/csm/vpn/sessions/<session-id>
疑難排解
- 取得特定工作階段識別碼的狀態:
GET /api/v1/csm/vpn/sessions/<session-id>/status
- 您可以在回應中看到失敗點。進行必要的變更以解決失敗。
- 使用 API 呼叫針對相同工作階段識別碼重新建立剩餘實體:
POST /api/v1/csm/vpn/sessions/<session-id>?action=recreate
如需 API 的詳細資料,請參閱最新版本的《NSX-T Data Center REST API 指南》,網址為 https://code.vmware.com/。
