NSX-T を使用してオンプレミス レイヤ 2 ネットワークをプライベート クラウドに拡張する

このドキュメントでは、NSX-T ベースのレイヤ 2 VPN を使用して、レイヤ 2 ネットワークをオンプレミス環境から Google Cloud VMware Engine プライベート クラウドに拡張する方法について説明します。HCX ネットワーク拡張機能を使用してレイヤ 2 ネットワークを拡張する方法については、VMware HCX のドキュメントをご覧ください。

レイヤ 2 ネットワークのレイヤ 2 VPN ベースの拡張は、NSX-T ベースのネットワークの有無に関係なく、オンプレミスの VMware 環境で機能します。オンプレミス ワークロードに NSX-T ベースのオーバーレイ ネットワークがない場合は、NSX-T Autonomous Edge を使用します。これは、データプレーン開発キット（DPDK）対応の高性能なインターフェースを備えています。

HCX ネットワーク拡張を使用する場合に比べて、NSX-T を使用したレイヤ 2 ネットワークの拡張には次のようなメリットがあります。

• NSX-T のレイヤ 2 VPN 拡張は、トランク インターフェースの使用をサポートしています。
• NSX-T のネットワーク スループットは、HCX ネットワーク拡張を使用する場合よりも高くなります。
• NSX-T は HCX に比べてアップグレードが少なく、ダウンタイムが少なくなります。
• HCX ネットワーク拡張には、オンプレミスの vSphere Enterprise Plus ライセンスが必要ですが、レイヤ 2 VPN ストレッチはオンプレミスの vSphere Standard ライセンスで機能します。

デプロイ シナリオ

レイヤ 2 VPN を使用してオンプレミス ネットワークを拡張するため、デプロイ シナリオでは、レイヤ 2 VPN サーバーとレイヤ 2 VPN クライアントを構成します。このプロセスは以下のステップから構成されます。

1. オンプレミス環境で NSX-T Autonomous Edge（レイヤ 2 VPN クライアント）をデプロイします。
2. プライベート クラウドの NSX-T Manager でレイヤ 2 VPN サーバーを構成します。
3. オンプレミス環境の自律エッジで、レイヤ 2 VPN クライアントを構成します。
4. （省略可）オンプレミス環境に、HA モードにセカンダリ自律エッジ（レイヤ 2 VPN クライアント）をデプロイします。

プライベート クラウドは、Cloud VPN または Cloud Interconnect 経由でオンプレミス環境に接続します。これにより、プライベート クラウドの Tier-0 または Tier-1 ゲートウェイとオンプレミス ネットワーク内の自律エッジ クライアントの間にルーティング パスが存在するようになります。

レイヤ 2 VPN デプロイのサンプル仕様については、レイヤ 2 VPN デプロイのサンプルをご覧ください。

始める前に

始める前に、次のことを行います。

• VPC ネットワークにオンプレミス環境を接続します。
• プライベート クラウドに拡張するワークロード レイヤ 2 ネットワークを特定します。
• 自律エッジ アプライアンス（レイヤ 2 VPN クライアント）をデプロイするために、オンプレミス環境で 2 つの VLAN を特定します。
• プライベート クラウドを作成します。
• オンプレミス DNS サーバーで DNS 転送を設定して、ドメインがプライベート クラウド DNS サーバーを参照するようにします。
• ポート 500 と 4500 で、自律エッジのアップリンク IP アドレスとローカル エンドポイント IP アドレス間の UDP トラフィックを許可し、プライベート クラウドの Tier-0 または Tier-1 ゲートウェイで使用できるようにします。

また、次の前提条件が満たされていることを確認します。

• オンプレミスの vSphere のバージョンが 6.7U1 以降または 6.5P03 以降で、対応するライセンスが Enterprise Plus レベルである（vSphere Distributed Switch の場合）。
• 自律エッジ アプライアンスのバージョンは、プライベート クラウドで使用されている NSX-T Manager バージョンと互換性がある。
• 2 つのサイト間で vMotion が機能するために、ラウンドトリップ時間（RTT）レイテンシが 150 ミリ秒以下になっている（ワークロードの移行が試行された場合）。

制限事項と考慮事項

次の表に、サポートされている vSphere のバージョンとネットワーク アダプタ タイプを示します。

vSphere のバージョン	ソース vSwitch タイプ	仮想 NIC ドライバ	ターゲット vSwitch タイプ	サポート対象
すべて	DVS	すべて	DVS	○
vSphere 6.7UI 以降、6.5P03 以降	DVS	VMXNET3	N-VDS	○
vSphere 6.7UI 以降、6.5P03 以降	DVS	E1000	N-VDS	VMware ではサポートされていません
vSphere 6.7UI または 6.5P03、NSX-V または NSX-T2.2 以前、6.5P03 以降のバージョン	すべて	すべて	N-VDS	VMware ではサポートされていません

NSX-T Autonomous Edge（レイヤ 2 VPN クライアント）をデプロイする

オンプレミス環境に NSX-T Autonomous Edge をデプロイするには、オンプレミスにトランク ポート グループを作成し、そのポートグループを使用して自律エッジを作成します。

トランク ポート グループを作成して構成する

トランク ポート グループを作成して構成する手順は次のとおりです。

1. [VLAN type] を [VLAN trunking] に設定して、分散ポートグループを作成します。拡張する VLAN を指定します。

   

2. [Security] オプションで、[Promiscuous mode] と [Forged transmits] の両方を [Accept] に設定します。

3. チーミングとフェイルオーバーのオプションで、[Load balancing] を [Use explicit failover order] に設定します。

4. チームとフェイルオーバー オプションで、[Active uplinks] を uplink1 に、[Standby uplinks] を uplink2 に設定します。

5. 残りのポートグループの作成手順を完了します。

オンプレミス環境に自律エッジをデプロイする

次に、オンプレミス環境に NSX-T Autonomous Edge（レイヤ 2 VPN クライアント）をデプロイします。

1. Cloud カスタマーケアに連絡して、適切なバージョンの NSX Edge for VMware ESXi をダウンロードします。

2. NSX Edge OVA を OVF テンプレートとしてデプロイします。

   1. [Configuration] ステップで、VMware Engine プライベート クラウドの Large フォーム ファクタの NSX-T Edge に合わせて [Large] を選択します。
   2. [Select storage] ステップで、使用するデータストアを選択します。

   3. [Select network] ステップで、トラフィック タイプに使用するポートグループを指定します。

      • Network 0 (eth1 on the appliance): 管理トラフィック用に予約されたポートグループを選択します。
      • Network 1 (eth2 on the appliance): アップリンク トラフィック用に予約されたポートグループを選択します。
      • Network 2 (eth3 on the appliance): トランク ポート グループを選択します。
      • Network 3 (eth4 on the appliance): HA トラフィック用に予約されたポートグループを選択します。次の図では、管理トラフィック用に予約されたポートグループが HA トラフィックにも使用されています。

      

   4. [Customize template] ステップで、次の詳細を入力します。

      1. [Application] で、次の操作を行います。

         1. システム root ユーザーのパスワードを設定します。
         2. CLI "admin" ユーザーのパスワードを設定します。
         3. [Is Autonomous Edge] チェックボックスをオンにします。
         4. 残りのフィールドは空欄のままにします。

      2. [Network Properties] セクションで、次の操作を行います。

         1. ホスト名を設定します。
         2. デフォルトの IPv4 ゲートウェイを設定します。これは、管理ネットワークのデフォルト ゲートウェイです。
         3. 管理ネットワークの IPv4 アドレスを設定します。これは自律エッジの管理 IP です。
         4. 管理ネットワークのネットマスクを設定します。これは、管理ネットワークのプレフィックス長です。

      3. [DNS] セクションで、次の操作を行います。

         1. [DNS Server list] フィールドに、DNS サーバーの IP アドレスをスペース区切りで入力します。
         2. [Domain Search List] フィールドにドメイン名を入力します。

      4. [Services Configuration] セクションで、次の操作を行います。

         1. NTP サーバーリストを入力します。
         2. NTP サーバーをスペースで区切って入力します。
         3. [Enable SSH] チェックボックスをオンにします。
         4. [Allow Root SSH logins] チェックボックスをオンにします。
         5. ロギング サーバーを入力します（存在する場合）。

      5. [External] セクションで、次の操作を行います。

         1. 外部ポートの詳細を VLAN ID,Exit Interface,IP,Prefix Length の形式で入力します。例: 2871,eth2,172.16.8.46,28次の値を置き換えます。

            • VLAN ID: アップリンク VLAN の VLAN ID
            • Exit Interface: アップリンク トラフィック用に予約されたインターフェース ID
            • IP: アップリンク インターフェース用に予約された IP アドレス
            • Prefix Length: アップリンク ネットワークのプレフィックス長

         2. [External Gateway] フィールドに、アップリンク ネットワークのデフォルト ゲートウェイを入力します。

      6. [HA] セクションで、次の操作を行います。

         1. HA ポートの詳細を VLAN ID,exitPnic,IP,Prefix Length の形式で入力します。例: 2880,eth4,172.16.8.46,28次の値を置き換えます。

            • VLAN ID: 管理 VLAN の VLAN ID
            • exitPnic: HA トラフィック用に予約されたインターフェース ID
            • IP: HA インターフェース用に予約されている IP アドレス
            • Prefix Length: HA ネットワークのプレフィックス長

         2. [HA Port Default Gateway] フィールドに、管理ネットワークのデフォルト ゲートウェイを入力します。HA 通信に別のネットワークを使用する場合は、対応するデフォルト ゲートウェイを指定します。

         3. 残りのフィールドは空欄のままにします。

3. OVF テンプレート デプロイの残りの手順を完了します。

プライベート クラウドで NSX-T Manager にレイヤ 2 VPN サーバーを構成する

以下では、プライベート クラウドの NSX-T Manager の Tier-0 または Tier-1 ゲートウェイでレイヤ 2 VPN サーバーを構成する方法について説明します。

レイヤ 2 VPN サービスを作成する

1. NSX-T Manager で、[Networking] > [VPN] > [VPN Services] > [Add Service] > [IPSec] の順に移動します。

2. 次の詳細情報を入力して IPSec サービスを作成します。

   • 名前を入力します。
   • [Tier0/Tier1 Gateway] 列で、レイヤ 2 VPN サーバーを実行するゲートウェイを選択します。
   • その他のフィールドは空欄にしておきます。

   

3. [Networking] > [VPN] > [Local Endpoints] の順に移動します。

4. 次の詳細を入力して、ローカル エンドポイントを作成します。

   • 名前を入力します。
   • [VPN Service] 列で、作成した IPSec VPN サービスを選択します。
   • [IP Address] フィールドに、ローカル エンドポイント用に予約されている IP アドレスを入力します。これは、IPSec/レイヤ 2 VPN トンネルが終端する IP アドレスです。
   • [Local ID] フィールドに、同じ予約済みの IP アドレスを入力します。
   • その他のフィールドは空欄にしておきます。

5. [Networking] > [VPN] > [VPN Services] > [Add Service] > [L2 VPN Server] の順に移動します。

6. 次の詳細を入力して、レイヤ 2 VPN サービスを作成します。

   • 名前を入力します。
   • [Tier0/Tier1 Gateway] 列で、レイヤ 2 VPN サーバーを実行するゲートウェイを選択します（手順 2 で使用したものと同じゲートウェイ）。
   • その他のフィールドは空欄にしておきます。

レイヤ 2 VPN セッションを作成する

1. NSX-T Manager で、[Networking] > [VPN] > [L2 VPN Sessions] > [Add L2 VPN Session] > [L2 VPN Server] の順に移動します。

2. 次の詳細を入力して、レイヤ 2 VPN セッションを作成します。

   • 名前を入力します。
   • レイヤ 2 VPN サービスを作成するの手順 4 で作成したローカル エンドポイント / IP を選択します。
   • [Remote IP] フィールドに、オンプレミス環境の自律エッジのアップリンク IP アドレスを入力します。
   • 事前共有キーを入力します。
   • [Tunnel Interface] フィールドに、予約済みのトンネル インターフェース サブネットの IP アドレスを 1 つ入力します。
   • [Remote ID] フィールドに、[Remote IP] の値を入力します。
   • その他のフィールドは空欄にしておきます。

ネットワーク セグメントを作成してオンプレミス VLAN に拡張する

1. NSX-T Manager で、[Networking] > [Segments] > [Add Segment] の順に移動します。

2. 次の詳細を入力して、オンプレミス VLAN に拡張するセグメントを作成します。

   • セグメント名を入力します。
   • [Connected Gateway] フィールドで [None] を選択します。
   • [Transport Zone] で [TZ-Overlay] を選択します。
   • [L2 VPN] フィールドで、レイヤ 2 VPN セッションを作成するで作成したレイヤ 2 VPN セッションを選択します。
   • [VPN Tunnel ID] フィールドに、一意のトンネル ID を入力します（例: 100）。このトンネル ID は、オンプレミスから VLAN を拡張するときに使用されるトンネル ID と一致させる必要があります。
   • その他のフィールドは空欄にしておきます。

   

3. [Networking] > [VPN] > [L2 VPN Sessions] の順に移動します。

4. [Session] を開いて [Download Config] をクリックして、レイヤ 2 VPN 構成をダウンロードします。

5. ダウンロードしたファイルをテキスト エディタで開き、peer_code 文字列をコピーします（引用符は除きます）。この文字列は、後のセクションでレイヤ 2 VPN 用の自律エッジ オンプレミスを構成するときに使用します。

IPSec ローカル エンドポイント IP を外部ネットワークにアドバタイズする

この手順は、レイヤ 2 VPN サービスに使用するゲートウェイが Tier-0 か Tier-1 かによって異なります。

Tier-0 ゲートウェイからアドバタイズする

Tier-0 ゲートウェイを使用する場合は、次の手順で Tier-0 ゲートウェイから外部ネットワークに IPSec ローカル エンドポイント IP をアドバタイズします。

1. [Networking] > [Tier-0 Gateways] の順に移動します。
2. レイヤ 2 VPN に使用される Tier-0 ゲートウェイを編集します（理想的には Provider-LR）。
3. [Route Re-Distribution] を開きます。
4. [Tier-0 Subnets] セクションで、[IPSec Local IP] チェックボックスをオンにします。
5. [Save] をクリックします。

6. Tier-0 ゲートウェイの IPSec ローカル エンドポイント サブネットを集約します。IPSec ローカル エンドポイントがオンプレミスの自律エッジのアップリンク IP に到達可能であり、ネットワーク ファブリックでフィルタリングされないようにするには、Tier-0 ゲートウェイでルーターの集約が必要です。

   1. [Networking] > [Tier-0 Gateways] の順に移動します。
   2. レイヤ 2 VPN 用に選択された Tier-0 ゲートウェイを編集します（理想的には Provider-LR）。
   3. [BGP] > [Route Aggregation] > [Add Prefix] の順に移動します。
   4. [Prefix] 列にローカル エンドポイント ネットワークを入力します。
   5. [Summary-Only] 列で [Yes] を選択します。
   6. [Apply]、[Save] の順にクリックします。

Tier-1 ゲートウェイからアドバタイズする

サンプル デプロイのように、レイヤ 2 VPN サービスにレイヤ 1 ゲートウェイを使用する場合は、次の手順を行います。

1. Tier-0 ゲートウェイの IPSec ローカル エンドポイント サブネットを集約します。IPSec ローカル エンドポイントがオンプレミスの自律エッジのアップリンク IP に到達可能であり、ネットワーク ファブリックでフィルタリングされないようにするには、Tier-0 ゲートウェイでルーターの集約が必要です。

   1. [Networking] > [Tier-0 Gateways] の順に移動します。
   2. レイヤ 2 VPN 用に選択された Tier-0 ゲートウェイを編集します（理想的には Provider-LR）。
   3. [BGP] > [Route Aggregation] > [Add Prefix] の順に移動します。
   4. [Prefix] 列にローカル エンドポイント ネットワークを入力します。
   5. [Summary-Only] 列で [Yes] を選択します。
   6. [Apply]、[Save] の順にクリックします。

2. [Networking] > [Tier-1 Gateways] の順に移動します。

3. レイヤ 2 VPN に使用される Tier-1 ゲートウェイを編集します（理想的には Provider-LR）。

4. [Route Advertisement] セクションで、[IPSec Local Endpoint] の切り替えを有効にします。

5. [Save] をクリックします。

自律エッジ（オンプレミス）でレイヤ 2 VPN クライアントを構成する

次に、NSX-T Autonomous Edge をデプロイするでオンプレミスにデプロイした自律エッジでレイヤ 2 VPN クライアントを構成します。

1. 管理アプライアンスの IP アドレスで NSX-T Autonomous Edge にログインします。

2. レイヤ 2 VPN セッションを追加します。

   1. [L2 VPN] に移動し、[Add Session] をクリックします。

   2. 次の詳細情報を入力します。

      • [Session Name] フィールドに、レイヤ 2 VPN セッションを作成するで構成したセッション名を入力します。
      • [Admin Status] を [Enabled] に設定します。
      • [Local IP] フィールドに、自律エッジのアップリンク IP アドレスを入力します。
      • [Remote IP] フィールドに、プライベート クラウドで NSX-T Manager にレイヤ 2 VPN サーバーを構成するでローカル エンドポイントとして構成した IP アドレスを入力します。
      • [Peer code] フィールドに、プライベート クラウドで NSX-T Manager にレイヤ 2 VPN サーバーを構成するでコピーした peer_code 文字列を入力します。

   3. [Save] をクリックします。

3. オンプレミス VLAN を拡張します。

   1. [Port] に移動し、[Add Port] をクリックします。

   2. 次の詳細情報を入力します。

      • [Port Name] フィールドにポート名を入力します。
      • [Subnet] フィールドは空欄のままにします。
      • [VLAN] フィールドに、拡張するオンプレミス VLAN の VLAN ID を入力します。
      • [Exit Interface] で、アップリンク インターフェース（eth2 など）を選択します。

   3. [Save] をクリックします。

4. ポートを L2 VPN セッションに接続します。

   1. [L2 VPN] に移動し、[Attach Port] をクリックします。

   2. 次の詳細情報を入力します。

      • 手順 2 で作成した L2 VPN セッションを選択します。
      • 手順 3 で作成したポートを選択します。
      • [Tunnel ID] フィールドに、（プライベート クラウドで NSX-T Manager にレイヤ 2 VPN サーバーを構成するで）プライベート クラウドのセグメントを拡張するために使用したトンネル ID を入力します。

   3. レイヤ 2 VPN セッションがテーブルに表示され、[Status] が「UP」になります。これで、オンプレミス VLAN が VMware Engine プライベート クラウド（拡張セグメント）に拡張されました。オンプレミス拡張 VLAN に接続しているワークロードは、VMware Engine プライベート クラウドの拡張セグメントに接続しているワークロードに到達できます。

セカンダリ NSX-T Autonomous Edge（レイヤ 2 VPN クライアント）を HA モードでデプロイする

必要に応じて、次の手順を行い、オンプレミス環境にセカンダリ NSX-T Autonomous Edge（レイヤ 2 VPN クライアント）を HA モードでデプロイします。

1. [Customize template] ステップまでは、オンプレミス環境に NSX-T Autonomous Edge をデプロイするの手順を行います。

2. [Customize template] ステップで、次の操作を行います。

   1. [Application] セクションに、次の詳細を入力します。

      • システム root ユーザーのパスワードを設定します。
      • CLI "admin" ユーザーのパスワードを設定します。
      • [Is Autonomous Edge] チェックボックスをオンにします。
      • 他のフィールドは空欄のままにします。

   2. [Network Properties] に次の情報を入力します。

      • ホスト名を設定します。
      • デフォルトの IPv4 ゲートウェイを設定します。これは、管理ネットワークのデフォルト ゲートウェイです。
      • 管理ネットワークの IPv4 アドレスを設定します。これは、セカンダリ自律エッジの管理 IP です。
      • 管理ネットワークのネットマスクを設定します。これは、管理ネットワークのプレフィックス長です。

   3. [DNS] セクションに、次の詳細を入力します。

      • DNS サーバーリストを入力します。
      • DNS サーバー IP アドレスをスペース区切りで入力します。
      • ドメイン検索リストを入力します。
      • ドメイン名を入力します。

   4. [Services Configuration] セクションで、次の詳細を入力します。

      • NTP サーバーリストを入力します。
      • NTP サーバーをスペースで区切って入力します。
      • [Enable SSH] チェックボックスをオンにします。
      • [Allow Root SSH logins] チェックボックスをオンにします。
      • ロギング サーバーを入力します（存在する場合）。

   5. [External] セクションは空白のままにします。

   6. [HA] セクションに、次の詳細を入力します。

      • HA ポートの詳細を VLAN ID,exitPnic,IP,Prefix Length の形式で入力します。例: 2880,eth4,172.16.8.11,28次の値を置き換えます。

        • VLAN ID: 管理 VLAN の VLAN ID
        • exitPnic: HA トラフィック用に予約されたインターフェース ID
        • IP: セカンダリ自律エッジの HA インターフェース用に予約されている IP アドレス
        • Prefix Length: HA ネットワークのプレフィックス長

      • [HA Port Default Gateway] フィールドに、管理ネットワークのデフォルト ゲートウェイを入力します。

      • [Secondary API Node] チェックボックスをオンにします。

      • [Primary Node Management IP] フィールドに、プライマリ自律エッジの管理 IP アドレスを入力します。

      • [Primary Node Username] フィールドに、プライマリ自律エッジのユーザー名（admin など）を入力します。

      • [Primary Node Password] フィールドに、プライマリ自律エッジのパスワードを入力します。

      • [Primary Node Management Thumbprint] フィールドに、プライマリ自律エッジの API サムプリントを入力します。これを取得するには、管理者認証情報を使用してプライマリ自律エッジに SSH 接続し、get certificate api thumbprint コマンドを実行します。

3. 残りの OVF テンプレートのデプロイ手順を完了して、セカンダリ自律エッジ（オンプレミスのレイヤ 2 VPN クライアント）をデプロイします。

作成された自律エッジの高可用性ステータスは「Active」になります。

レイヤ 2 VPN のデプロイの例

次の表に、レイヤ 2 VPN デプロイのサンプル仕様を示します。

拡張されるオンプレミス ネットワーク

ネットワーク プロパティ	値
VLAN	2875
CIDR	172.16.8.16/28

自律エッジがデプロイされるオンプレミス ネットワーク

ネットワーク プロパティ	値
管理 VLAN	2880
管理 CIDR	172.16.8.0/28
アップリンク VLAN	2871
アップリンク CIDR	172.16.8.32/28
HA VLAN（管理と同じ）	2880
HA CIDR（管理と同じ）	172.16.8.0/28
プライマリ自律エッジ管理 IP アドレス	172.16.8.14
プライマリ自律エッジ アップリンクの IP アドレス	172.16.8.46
プライマリ自律エッジ HA IP アドレス	172.16.8.12
セカンダリ自律エッジ管理 IP アドレス	172.16.8.13
セカンダリ自律エッジ HA IP アドレス	172.16.8.11

NSX-T Tier-1 ルーター（レイヤ 2 VPN サーバー）のプライベート クラウド IP スキーマ

ネットワーク プロパティ	値
ローカル エンドポイントの IP アドレス	192.168.198.198
ローカル エンドポイント ネットワーク	192.168.198.198/31
トンネル インターフェース	192.168.199.1/30
セグメント（拡張）	L2 VPN-Seg-test
ループバック インターフェース（NAT IP アドレス）	104.40.21.81

拡張ネットワークにマッピングするプライベート クラウド ネットワーク

ネットワーク プロパティ	値
セグメント（拡張）	L2 VPN-Seg-test
CIDR	172.16.8.16/28

次のステップ

• NSX-T レイヤ 2 VPN を使用してオンプレミス ネットワークを拡張する方法の詳細については、VMware ドキュメントのレイヤ 2 VPN についてをご覧ください。