您可以使用在內部部署 NSX 部署中顯示為自動建立第 0 層閘道的 PCG 來設定 VPN。這些指示僅適用於在 NSX 強制執行模式 中受到管理的工作負載虛擬機器。
如果兩個端點都在公有雲,且由 PCG 管理,則您可以使用 CSM API 在 NSX 中設定 VPN。請參閱使用 API 自動化公有雲端點的 VPN。
必要條件
- 確認您已在 VPC/VNet 中部署一個 PCG 或 PCG 的 HA 配對。
- 確認遠端對等支援以路由為基礎的 VPN 和 BGP。
程序
- 在您的公有雲中,找出 NSX 為 PCG 指派的本機端點,並視需要指派公用 IP 位址:
- 在 NSX Manager 中,為顯示為第 0 層閘道 (名稱類似於 cloud-t0-vpc/vnet-<vpc/vnet-id>) 的 PCG 啟用 IPSec VPN,並在這個第 0 層閘道的端點與所需 VPN 對等的遠端 IP 位址之間建立以路由為基礎的 IPSec 工作階段。如需其他詳細資料,請參閱新增 NSX IPSec VPN 服務。
- 導覽至
。提供下列詳細資料:
選項 敘述 名稱 輸入 VPN 服務的描述性名稱,例如 <VPC-ID>-AWS_VPN 或 <VNet-ID>-AZURE_VPN。 第 0 層/第 1 層閘道 為公有雲中的 PCG 選取第 0 層閘道。 - 導覽至新增本機端點以取得其他詳細資料:
。提供下列資訊,並參閱備註: 如果您有 PCG 執行個體的 HA 配對,請為每個執行個體建立本機端點;方法是使用其在公有雲中連結的對應本機端點 IP 位址。
選項 敘述 名稱 輸入本機端點的描述性名稱,例如 <VPC-ID>-PCG-preferred-LE 或 <VNET-ID>-PCG-preferred-LE VPN 服務 選取您在步驟 2.a 中所建立 PCG 第 0 層閘道的 VPN 服務。 IP 位址 輸入您在步驟 1.b 中記下的 PCG 本機端點 IP 位址值。 - 導覽至新增路由型 IPSec 工作階段以取得其他詳細資料:
。提供下列資訊,並參閱備註: 如果您要在部署於 VPC 中的 PCG 與部署於 VNet 中的 PCG 之間建立 VPN 通道,您必須為 VPC 中每個 PCG 的本機端點以及 VNet 中 PCG 的遠端 IP 位址建立通道,並且反向地從 VNet 中的 PCG 到 VPC 中 PCG 的遠端 IP 位址建立通道。您必須為作用中和待命 PCG 建立個別的通道。這會使兩個公有雲之間具有完整網格的 IPSec 工作階段。
選項 敘述 名稱 輸入 IPsec 工作階段的描述性名稱,例如 <VPC--ID>-PCG1-to-remote_edge VPN 服務 選取您在步驟 2.a 中建立的 VPN 服務。 本機端點 選取步驟 2.b 中建立的本機端點。 遠端 IP 輸入您要用來建立 VPN 通道之遠端對等的公用 IP 位址。 備註: 如果您可以連線到私人 IP 位址 (例如,使用 DirectConnect 或 ExpressRoute),則遠端 IP 可以是私人 IP 位址。通道介面 輸入 CIDR 格式的通道介面。必須將相同的子網路用於遠端對等,才能建立 IPSec 工作階段。
- 導覽至
。提供下列詳細資料:
- 展開 BGP,並在您於步驟 2 中建立的 IPSec VPN 通道介面上,設定 BGP 芳鄰。如需更多詳細資料,請參閱設定 BGP。
- 導覽至 。
- 選取您建立 IPSec 工作階段所在的自動建立第 0 層閘道,然後按一下編輯。
- 按一下 BGP 區段下方 BGP 芳鄰旁邊的數字或圖示,並提供下列詳細資料:
選項 敘述 IP 位址 使用在 VPN 對等的 IPSec 工作階段中,於通道介面上設定之遠端 VTI 的 IP 位址。
遠端 AS 數目 此數目必須與遠端對等的 AS 數目相符。
- 展開路由重新分配,使用重新分配設定檔來通告要用於 VPN 的首碼。在 NSX 強制執行模式 中,在重新分配設定檔中連線已啟用第 1 層的路由。