Ampliar redes locais de camada 2 em uma nuvem privada usando NSX-T

Este documento descreve como estender uma rede da camada 2 do ambiente local para a nuvem privada do Google Cloud VMware Engine usando a VPN de camada 2 baseada em NSX-T. Para esticar uma rede de camada 2 usando uma extensão de rede do HCX, consulte a documentação do HCX da VMware.

É possível que a extensão baseada na VPN de camada 2 das redes de camada 2 funcione com ou sem redes baseadas em NSX-T no ambiente VMware local. Se você não tiver redes de sobreposição baseadas em NSX-T para cargas de trabalho locais, use uma borda autônoma NSX-T, que tem interfaces ativadas para o kit de desenvolvimento do plano de dados (DPDK, na sigla em inglês) para alto desempenho

Ampliar uma rede de camada 2 usando NSX-T tem as seguintes vantagens em relação a usar uma extensão de rede HCX:

  • O alongamento da VPN de camada 2 no NSX-T é compatível com o uso de uma interface tronco.
  • A capacidade de rede no NSX-T é maior do que com o uso de uma extensão de rede HCX.
  • O NSX-T tem menos upgrades e menos inatividade em comparação com o HCX.
  • Uma extensão de rede HCX requer uma licença do vSphere Enterprise Plus no local, mas o alongamento da VPN de camada 2 pode funcionar em uma licença local do vSphere Standard.

Cenário de implantação

Para estender a rede local usando a VPN de camada 2, o cenário de implantação descrito configura um servidor de VPN de camada 2 e um cliente de VPN de camada 2. O processo consiste nas etapas principais a seguir.

  1. No ambiente local, implante o NSX-T Autonomous Edge (cliente de VPN de camada 2).
  2. Na sua nuvem privada, configure um servidor VPN de camada 2 no NSX-T Manager.
  3. No ambiente local, configure o cliente da VPN de camada 2 na borda autônoma.
  4. (Opcional) No ambiente local, implante a borda autônoma secundária (cliente de VPN de camada 2) no modo de alta disponibilidade.

A nuvem privada é conectada ao ambiente local pelo Cloud VPN ou pelo Cloud Interconnect. Essa configuração garante que exista um caminho de roteamento entre o gateway nível-0 ou nível 1 na nuvem privada e o cliente de borda autônomo na rede local.

A rede da camada 2 se estende entre um ambiente local e uma nuvem privada.

Para ver exemplos de especificações de uma implantação de VPN de camada 2, consulte a seção Exemplo de implantação de VPN de camada 2.

Antes de começar

Antes de começar, faça o seguinte:

  • Conecte o ambiente local à rede VPC.
  • Identifique a rede da Camada 2 da carga de trabalho que você quer estender para a nuvem privada.
  • Identifique duas VLANs no ambiente local para implantar seu dispositivo de borda autônomo (cliente de VPN de camada 2).
  • Criar nuvem privada.
  • Configure o encaminhamento de DNS nos servidores DNS locais para que o domínio aponte para os servidores DNS da nuvem privada.
  • Permita o tráfego UDP nas portas 500 e 4500 entre o endereço IP de uplink da borda autônoma e o endereço IP de endpoint local que será usado no gateway de nível 0 ou 1 na nuvem privada.

Além disso, verifique se os seguintes pré-requisitos estão em vigor:

  • A versão do vSphere local precisa ser 6.7U1+ ou 6.5P03+. A licença correspondente precisa ser do nível Enterprise Plus (para a chave distribuída do vSphere).
  • A versão do dispositivo de borda autônoma é compatível com a versão do Gerenciador NSX-T usada na sua nuvem privada.
  • A latência do tempo de retorno (RTT) é menor ou igual a 150 ms, o que é necessário para que a vMotion funcione nos dois sites (caso ocorra uma tentativa de migração de carga de trabalho).

Limitações e considerações

A tabela a seguir lista as versões do vSphere e os tipos de adaptador de rede compatíveis:

Versão do vSphere Tipo de vSwitch de origem Driver da placa de rede virtual (NIC, na sigla em inglês) Tipo de vSwitch de destino Compatível?
Tudo DVS Tudo DVS Sim
vSphere 6.7UI ou posterior, 6.5P03 ou posterior DVS VMXNET3 N-VDS Sim
vSphere 6.7UI ou posterior, 6.5P03 ou posterior DVS E1000 N-VDS Incompatível com VMware
vSphere 6.7UI ou 6.5P03, NSX-V ou versões anteriores a NSX-T2.2, 6.5P03 ou posterior Tudo Tudo N-VDS Incompatível com VMware

Implantar o NSX-T Autonomous Edge (cliente de VPN de camada 2)

Para implantar o NSX-T Autonomous Edge no seu ambiente local, crie um grupo de portas de entroncamento no local e, em seguida, crie a borda autônoma usando esse grupo de portas.

Criar e configurar um grupo de portas de entroncamento

As etapas a seguir mostram como criar e configurar um grupo de portas de entroncamento:

  1. Crie um grupo de portas distribuídas com o tipo da VLAN definido como entrucamento da VLAN. Forneça as VLANs que você quer esticar.

    Defina as configurações de VLAN para um novo grupo de portas distribuído.

  2. Nas opções de Segurança, defina Modo promissor e Transmissões forjadas como Aceitar.

  3. Nas opções de equipe e failover, defina Balanceamento de carga como Usar ordem de failover explicita.

  4. Nas opções de equipe e failover, defina Uplinks ativos como uplink1 e Uplinks em espera como uplink2.

  5. Conclua as etapas restantes de criação do grupo de portas.

Implantar uma borda autônoma no ambiente local

As etapas a seguir mostram como implantar o NSX-T Autonomous Edge (cliente de VPN de camada 2) no ambiente local:

  1. Entre em contato com o Cloud Customer Care para fazer o download da versão correta do NSX Edge para VMware ESXi.
  2. Implante o OVA do NSX Edge como um modelo OVF.

    1. Na etapa Configuração, selecione a configuração Grande para corresponder ao NSX-T Edges do formato grande que acompanha a nuvem privada do VMware Engine.
    2. Na etapa Selecionar armazenamento, escolha o repositório de dados que você quer usar.
    3. Na etapa Selecionar redes, forneça os grupos de portas a serem usados para diferentes tipos de tráfego:

      • Rede 0 (eth1 no dispositivo): selecione o grupo de portas reservado para o tráfego de gerenciamento.
      • Rede 1 (eth2 no dispositivo): selecione o grupo de portas reservado para tráfego de uplink.
      • Rede 2 (eth3 no dispositivo): selecione o grupo de portas de entroncamento.
      • Rede 3 (eth4 no dispositivo): selecione o grupo de portas reservado para o tráfego de alta disponibilidade. Na imagem a seguir, o grupo de portas reservado para o tráfego de gerenciamento também é usado para o tráfego de alta disponibilidade.

      Selecione redes de destino para cada rede de origem durante a implantação do modelo OVF.

    4. Na etapa Personalizar modelo, digite os seguintes detalhes:

      1. Na seção Aplicativo, faça o seguinte:

        1. Defina a Senha de usuário raiz do sistema.
        2. Defina a senha de usuário "admin" da CLI.
        3. Marque a caixa de seleção Is Autonomous Edge.
        4. Deixe os campos restantes em branco.
      2. Na seção Propriedades de rede, faça o seguinte:

        1. Defina o Nome do host.
        2. Defina o Gateway IPv4 padrão. Esse é o gateway padrão da rede de gerenciamento.
        3. Defina o Endereço IPv4 da rede de gerenciamento. Esse é o IP de gerenciamento para a borda autônoma.
        4. Defina a Máscara de rede da rede de gerenciamento. Esse é o tamanho do prefixo da rede de gerenciamento.
      3. Na seção DNS, faça o seguinte:

        1. No campo Lista de servidores DNS, insira os endereços IP do servidor DNS separados por espaços.
        2. No campo Domain Search List, digite o nome de domínio.
      4. Na seção Configuração dos serviços, faça o seguinte:

        1. Digite NTP Server List.
        2. Digite os Servidores NTP, separados por espaços.
        3. Marque a caixa de seleção Ativar SSH.
        4. Marque a caixa de seleção Permitir logins SSH raiz.
        5. Insira o servidor de geração de registros (se houver).
      5. Na seção External, faça o seguinte:

        1. Insira os detalhes da Porta externa no seguinte formato: VLAN ID,Exit Interface,IP,Prefix Length. Por exemplo: 2871,eth2,172.16.8.46,28. Substitua os seguintes valores:

          • VLAN ID: ID da VLAN da uplink
          • Exit Interface: ID da interface reservado para o tráfego de uplink
          • IP: endereço IP reservado para a interface de uplink
          • Prefix Length: tamanho do prefixo da rede de uplink
        2. No campo External Gateway, insira o gateway padrão da rede de uplink.

      6. Na seção HA, faça o seguinte:

        1. Insira os detalhes da porta de alta disponibilidade no seguinte formato: VLAN ID,exitPnic,IP,Prefix Length. Por exemplo: 2880,eth4,172.16.8.46,28. Substitua os seguintes valores:

          • VLAN ID: ID da VLAN de gerenciamento
          • exitPnic: ID da interface reservado para o tráfego de alta disponibilidade
          • IP: endereço IP reservado para a interface de alta disponibilidade
          • Prefix Length: tamanho do prefixo da rede de alta disponibilidade
        2. No campo Gateway padrão da porta de alta disponibilidade, insira o gateway padrão da rede de gerenciamento. Se estiver usando uma rede diferente para comunicação de alta disponibilidade, forneça o gateway padrão correspondente.

        3. Deixe os campos restantes em branco.

  3. Conclua as etapas restantes de implantação do modelo OVF.

Configurar o servidor VPN de camada 2 no NSX-T Manager na sua nuvem privada

As etapas a seguir descrevem como configurar o servidor VPN de camada 2 em um gateway de nível 0 ou 1 no seu gerenciador NSX-T de nuvem privada.

Criar um serviço de VPN de camada 2

  1. No Gerenciador NSX-T, acesse Rede > VPN > Serviços de VPN > Adicionar serviço > IPSec
  2. Digite os seguintes detalhes para criar um serviço IPSec:

    • Insira o Nome.
    • Na coluna Tier0/Tier1 Gateway, selecione o gateway em que você quer que o servidor de VPN de camada 2 seja executado.
    • Deixe os outros campos em branco.

    Crie um serviço de VPN IPSec no Gerenciador NSX-T.

  3. Acesse Rede > VPN > Endpoints locais.

  4. Digite os seguintes detalhes para criar um endpoint local:

    • Insira o Nome.
    • Na coluna Serviço VPN, selecione o serviço VPN IPSec que você acabou de criar.
    • No campo Endereço IP, insira o endereço IP reservado para o endpoint local, que também será o endereço IP em que o túnel VPN IPSec/Layer 2 termina.
    • No campo ID local, digite o mesmo endereço IP reservado.
    • Deixe os outros campos em branco.
  5. Acesse Rede > VPN > Serviços de VPN > Adicionar serviço > Servidor VPN L2.

  6. Digite os seguintes detalhes para criar um serviço de VPN de camada 2:

    • Insira o Nome.
    • Na coluna Tier0/Tier1 Gateway, selecione o gateway em que você quer que o servidor de VPN de camada 2 seja executado (o mesmo gateway usado na etapa 2).
    • Deixe os outros campos em branco.

Criar uma sessão de VPN de camada 2

  1. No Gerenciador NSX-T, acesse Rede > VPN > Sessões de VPN L2 > Adicionar sessão de VPN L2 > Servidor VPN L2.
  2. Digite os seguintes detalhes para criar uma sessão de VPN de camada 2:

    • Insira o Nome.
    • Selecione o Local Endpoint/IP criado anteriormente na etapa 4 de Criar um serviço de VPN de camada 2.
    • No campo IP remoto, insira o endereço IP de uplink da borda autônoma no seu ambiente local.
    • Insira a chave pré-compartilhada.
    • No campo Interface do túnel, insira um endereço IP da sub-rede da interface de túnel reservada.
    • No campo Código remoto, insira o valor do IP remoto.
    • Deixe os outros campos em branco.

Criar um segmento de rede para estender para a VLAN local

  1. No Gerenciador de NSX-T, acesse Rede > Segmentos > Adicionar segmento.
  2. Forneça os seguintes detalhes para criar um segmento que será estendido à VLAN local:

    • Insira o nome do segmento.
    • No campo Gateway conectado, selecione Nenhum.
    • Em Zona de transporte, selecione TZ-Overlay.
    • No campo VPN L2, selecione a sessão VPN da camada 2 criada anteriormente em Criar uma sessão da VPN da camada 2.
    • No campo ID do túnel VPN, digite um ID de túnel exclusivo (por exemplo, 100). Esse ID do túnel precisa corresponder ao ID do túnel usado ao estender a VLAN do local.
    • Deixe os outros campos em branco.

    Crie um segmento de rede que inclua uma sessão de VPN de camada 2 e um ID de túnel VPN.

  3. Acesse Rede > VPN > Sessões VPN L2.

  4. Abra a Sessão e clique em Fazer download da configuração para fazer o download da configuração de VPN de camada 2.

  5. Abra o arquivo salvo usando qualquer editor de texto e copie a string Peer_code sem as aspas. Você usará essa string mais tarde ao configurar a borda autônoma no local para a VPN de camada 2 nas seções subsequentes.

Essa etapa varia dependendo se você usa um gateway nível 1 ou 0 para serviços de VPN de camada 2.

Se você usa um gateway de nível 0, faça o seguinte para anunciar o IP do endpoint local IPSec do gateway de nível 0 para a rede externa:

  1. Acesse Rede > Gateways de nível 0.
  2. Edite o Gateway de nível 0 usado para a VPN da camada 2 (o ideal é Provider-LR).
  3. Expanda Redistribuição de rotas.
  4. Na seção Sub-redes do nível 0, marque a caixa de seleção IP local IPSec.
  5. Clique em Save.
  6. Agregue a sub-rede de endpoint local IPSec no gateway de nível 0. A agregação de roteador no gateway de nível 0 é necessária para que o endpoint local IPSec seja acessível pelo IP de uplink da borda autônoma local e não seja filtrado na malha de rede.

    1. Acesse Rede > Gateways de nível 0.
    2. Edite o Gateway de nível 0 selecionado usado para a VPN da camada 2 (o ideal é Provider-LR).
    3. Acesse BGP > Agregação de rota > Adicionar prefixo.
    4. Na coluna Prefixo, insira a rede do endpoint local.
    5. Na coluna Somente resumo, selecione Sim.
    6. Clique em Aplicar e Salvar.

Se você usar um gateway de nível 1 para os serviços de VPN de camada 2 (como na implantação de amostra), siga estas etapas:

  1. Agregue a sub-rede de endpoint local IPSec no gateway de nível 0. A agregação de roteador no gateway de nível 0 é necessária para que o endpoint local IPSec seja acessível pelo IP de uplink da borda autônoma local e não seja filtrado na malha de rede.

    1. Acesse Rede > Gateways de nível 0.
    2. Edite o Gateway de nível 0 selecionado usado para a VPN da camada 2 (o ideal é Provider-LR).
    3. Acesse BGP > Agregação de rota > Adicionar prefixo.
    4. Na coluna Prefixo, insira a rede do endpoint local.
    5. Na coluna Somente resumo, selecione Sim.
    6. Clique em Aplicar e Salvar.
  2. Acesse Rede > Gateways de nível 1.

  3. Edite o Gateway de nível 1 usado para a VPN da camada 2 (o ideal é Provider-LR).

  4. Na seção Divulgação de rota, ative o botão IPSec Local Endpoint.

  5. Clique em Save.

Configurar o cliente VPN de camada 2 no Edge autônomo (local)

As etapas a seguir mostram como configurar um cliente VPN de camada 2 na borda autônoma implantada no local em Implantar a borda autônoma de NSX-T:

  1. Faça login no NSX-T Autonomous Edge no endereço IP do dispositivo de gerenciamento.
  2. Adicione uma sessão de VPN de camada 2:

    1. Acesse a VPN L2 e clique em Adicionar sessão.
    2. Digite os seguintes detalhes:

    3. Clique em Save.

  3. Estenda a VLAN local:

    1. Acesse Porta e clique em Adicionar porta.
    2. Digite os seguintes detalhes:

      • No campo Nome da porta, digite o nome da porta.
      • Deixe o campo Sub-rede em branco.
      • No campo VLAN, insira o ID da VLAN local a ser estendida.
      • Em Exit Interface, selecione a interface de uplink (como eth2).
    3. Clique em Save.

  4. Anexe a porta à sessão de VPN L2.

    1. Acesse a VPN L2 e clique em Anexar porta.
    2. Digite os seguintes detalhes:

    3. A sessão da VPN de camada 2 é exibida na tabela com um status de "UP". A VLAN no local agora é estendida para a nuvem privada do VMware Engine (segmento estendido). As cargas de trabalho anexadas à VLAN estendida no local podem ser acessadas pelas cargas de trabalho anexadas ao segmento estendido na nuvem privada do VMware Engine.

Implantar o NSX-T Autonomous Edge secundário (cliente de VPN de camada 2) no modo de alta disponibilidade

Se quiser, use as etapas a seguir para implantar um NSX-T Autonomous Edge secundário (cliente de VPN de camada 2) no modo de alta disponibilidade no seu ambiente local:

  1. Siga as etapas em Implantar o NSX-T Autonomous Edge no seu ambiente local até chegar à etapa Personalizar modelo.
  2. Na etapa Personalizar modelo, faça o seguinte:

    1. Na seção Aplicativo, digite os seguintes detalhes:

      • Defina a Senha de usuário raiz do sistema.
      • Defina a senha de usuário "admin" da CLI.
      • Marque a caixa de seleção Is Autonomous Edge.
      • Deixe os outros campos vazios.
    2. Na seção Propriedades da rede, insira os seguintes detalhes:

      • Defina o Nome do host.
      • Defina o Gateway IPv4 padrão. Esse é o gateway padrão da rede de gerenciamento.
      • Defina o Endereço IPv4 da rede de gerenciamento. Esse é o IP de gerenciamento para a borda autônoma.
      • Defina a Máscara de rede da rede de gerenciamento. Esse é o tamanho do prefixo da rede de gerenciamento.
    3. Na seção DNS, digite os seguintes detalhes:

      • Digite a lista de servidores DNS.
      • Digite os endereços IP do servidor DNS, separados por espaços.
      • Digite a Lista de pesquisa de domínio.
      • Insira o Nome do domínio.
    4. Na seção Configuração dos serviços, digite os seguintes detalhes:

      • Digite NTP Server List.
      • Digite os Servidores NTP, separados por espaços.
      • Marque a caixa de seleção Ativar SSH.
      • Marque a caixa de seleção Permitir logins SSH raiz.
      • Insira o servidor de geração de registros (se houver).
    5. Deixe a seção Externo vazia.

    6. Na seção de alta disponibilidade, digite os seguintes detalhes:

      • Insira os detalhes da porta de alta disponibilidade no seguinte formato: VLAN ID,exitPnic,IP,Prefix Length. Por exemplo: 2880,eth4,172.16.8.11,28. Substitua os seguintes valores:

        • VLAN ID: ID da VLAN de gerenciamento
        • exitPnic: ID da interface reservado para o tráfego de alta disponibilidade
        • IP: endereço IP reservado para a interface de alta disponibilidade para a borda autônoma secundária
        • Prefix Length: tamanho do prefixo da rede de alta disponibilidade
      • No campo Gateway padrão da porta de alta disponibilidade, insira o gateway padrão da rede de gerenciamento.

      • Marque a caixa de seleção Nó de API secundária.

      • No campo IP principal de gerenciamento de nós, insira o endereço IP de gerenciamento da borda autônoma principal.

      • No campo Nome de usuário do nó principal, insira o nome de usuário da borda autônoma principal (por exemplo, "admin").

      • No campo Senha do nó principal, digite a senha da borda autônoma principal.

      • No campo Impressão digital do gerenciamento de nós principal, insira a impressão digital da API da borda autônoma principal. Para fazer isso, conecte-se usando SSH na borda autônoma principal usando credenciais de administrador e execute o comando get certificate api thumbprint.

  3. Conclua as etapas restantes da implantação do modelo OVF para implantar a borda automática secundária (cliente de VPN de camada 2 no local).

A borda autônoma resultante tem um Status de alta disponibilidade de Ativa.

Exemplo de implantação de VPN de camada 2

As tabelas a seguir fornecem especificações para uma amostra de implantação de VPN de camada 2.

Rede local a ser estendida

Propriedade da rede Valor
VLAN 2875
CIDR 172.16.8.16/28

Rede local em que a borda autônoma é implantada

Propriedade da rede Valor
VLAN de gerenciamento 2880
CIDR de gerenciamento 172.16.8.0/28
VLAN de uplink 2871
CIDR de uplink 172.16.8.32/28
VLAN de alta disponibilidade (igual à de gerenciamento) 2880
CIDR de alta disponibilidade (igual à de gerenciamento) 172.16.8.0/28
Endereço IP de gerenciamento de borda autônomo principal 172.16.8.14
Endereço IP de uplink de borda autônomo principal 172.16.8.46
Endereço IP principal de alta disponibilidade autônomo da borda 172.16.8.12
Endereço IP secundário do gerenciamento autônomo de borda 172.16.8.13
Endereço IP secundário de alta disponibilidade autônomo da borda 172.16.8.11

Esquema de IP de nuvem privada para o roteador NSX-T tier-1 (servidor VPN de camada 2)

Propriedade da rede Valor
Endereço IP do endpoint local 192.168.198.198
Rede de endpoints local 192.168.198.198/31
Interface do túnel 192.168.199.1/30
Segmento (esticado) L2 VPN-Seg-test
Interface de loopback (endereço IP NAT) 104.40.21.81

Rede de nuvem privada a ser mapeada para a rede esticada

Propriedade da rede Valor
Segmento (esticado) L2 VPN-Seg-test
CIDR 172.16.8.16/28

A seguir