Добавление подсети к VPN

Использование VPNaaS с endpoint groups (конечными точками).

Соединение IPSec поддерживает несколько локальных подсетей, в дополнение к текущим множественными пирам CIDR. Со временем это стало называться "End Point Groups" -  группы конечных точек. Каждая такая группа определяет одну  или несколько конечных точек определенного типа и может быть использована для указания локальных и равноправных конечных точек в IPSec-соединении.

Данные группы конечных точек разделяют «что будет подключено» от того «как подключено» для VPN-сервиса; и в будущем могут быть использованы для разных флэйворов VPN.

Последовательность действий выглядит так:

  • создание IKE policy
  • создание IPSec policy
  • VPN service
  • локальная группа конечных точек
  • пир группы.

Затем создаем IPSec подключение к сайту, которое применяет вышеуказанные политики и услуги.

Действия выполняются в локальном клиенте управления виртуальными машинами, например OpenStack CLI. Подробнее о локальных клиентах вы можете прочитать в этой статье.

1. Создаем IKE policy:

2. Создаем IPSec policy:

3. Создаем сервис VPN:

Важно

Пожалуйста, не указывайте опцию --subnet в этом случае. Для сетевого клиента OpenStack требуется маршрутизатор (имя или ID) и имя.

4. Создание локальной endpoint group:

Важно

Для локальной endpoint group должен быть указан тип subnet.

5. Создание пира данной группы:

Важно

Для пира группы должен быть указан тип cidr.

6. Создание IPSec подключения к сайту:

Важно

Пожалуйста, не указывайте опцию --peer-cidr в этом случае. Пир CIDR(s) предоставляются для пира endpoint group.


Также см. раздел документации "Сети".