Ampliar redes locais de camada 2 em uma nuvem privada usando NSX-T
Este documento descreve como estender uma rede da camada 2 do ambiente local para a nuvem privada do Google Cloud VMware Engine usando a VPN de camada 2 baseada em NSX-T. Para esticar uma rede de camada 2 usando uma extensão de rede do HCX, consulte a documentação do HCX da VMware.
É possível que a extensão baseada na VPN de camada 2 das redes de camada 2 funcione com ou sem redes baseadas em NSX-T no ambiente VMware local. Se você não tiver redes de sobreposição baseadas em NSX-T para cargas de trabalho locais, use uma borda autônoma NSX-T, que tem interfaces ativadas para o kit de desenvolvimento do plano de dados (DPDK, na sigla em inglês) para alto desempenho
Ampliar uma rede de camada 2 usando NSX-T tem as seguintes vantagens em relação a usar uma extensão de rede HCX:
- O alongamento da VPN de camada 2 no NSX-T é compatível com o uso de uma interface tronco.
- A capacidade de rede no NSX-T é maior do que com o uso de uma extensão de rede HCX.
- O NSX-T tem menos upgrades e menos inatividade em comparação com o HCX.
- Uma extensão de rede HCX requer uma licença do vSphere Enterprise Plus no local, mas o alongamento da VPN de camada 2 pode funcionar em uma licença local do vSphere Standard.
Cenário de implantação
Para estender a rede local usando a VPN de camada 2, o cenário de implantação descrito configura um servidor de VPN de camada 2 e um cliente de VPN de camada 2. O processo consiste nas etapas principais a seguir.
- No ambiente local, implante o NSX-T Autonomous Edge (cliente de VPN de camada 2).
- Na sua nuvem privada, configure um servidor VPN de camada 2 no NSX-T Manager.
- No ambiente local, configure o cliente da VPN de camada 2 na borda autônoma.
- (Opcional) No ambiente local, implante a borda autônoma secundária (cliente de VPN de camada 2) no modo de alta disponibilidade.
A nuvem privada é conectada ao ambiente local pelo Cloud VPN ou pelo Cloud Interconnect. Essa configuração garante que exista um caminho de roteamento entre o gateway nível-0 ou nível 1 na nuvem privada e o cliente de borda autônomo na rede local.
Para ver exemplos de especificações de uma implantação de VPN de camada 2, consulte a seção Exemplo de implantação de VPN de camada 2.
Antes de começar
Antes de começar, faça o seguinte:
- Conecte o ambiente local à rede VPC.
- Identifique a rede da Camada 2 da carga de trabalho que você quer estender para a nuvem privada.
- Identifique duas VLANs no ambiente local para implantar seu dispositivo de borda autônomo (cliente de VPN de camada 2).
- Criar nuvem privada.
- Configure o encaminhamento de DNS nos servidores DNS locais para que o domínio aponte para os servidores DNS da nuvem privada.
- Permita o tráfego UDP nas portas 500 e 4500 entre o endereço IP de uplink da borda autônoma e o endereço IP de endpoint local que será usado no gateway de nível 0 ou 1 na nuvem privada.
Além disso, verifique se os seguintes pré-requisitos estão em vigor:
- A versão do vSphere local precisa ser 6.7U1+ ou 6.5P03+. A licença correspondente precisa ser do nível Enterprise Plus (para a chave distribuída do vSphere).
- A versão do dispositivo de borda autônoma é compatível com a versão do Gerenciador NSX-T usada na sua nuvem privada.
- A latência do tempo de retorno (RTT) é menor ou igual a 150 ms, o que é necessário para que a vMotion funcione nos dois sites (caso ocorra uma tentativa de migração de carga de trabalho).
Limitações e considerações
A tabela a seguir lista as versões do vSphere e os tipos de adaptador de rede compatíveis:
Versão do vSphere | Tipo de vSwitch de origem | Driver da placa de rede virtual (NIC, na sigla em inglês) | Tipo de vSwitch de destino | Compatível? |
---|---|---|---|---|
Tudo | DVS | Tudo | DVS | Sim |
vSphere 6.7UI ou posterior, 6.5P03 ou posterior | DVS | VMXNET3 | N-VDS | Sim |
vSphere 6.7UI ou posterior, 6.5P03 ou posterior | DVS | E1000 | N-VDS | Incompatível com VMware |
vSphere 6.7UI ou 6.5P03, NSX-V ou versões anteriores a NSX-T2.2, 6.5P03 ou posterior | Tudo | Tudo | N-VDS | Incompatível com VMware |
Implantar o NSX-T Autonomous Edge (cliente de VPN de camada 2)
Para implantar o NSX-T Autonomous Edge no seu ambiente local, crie um grupo de portas de entroncamento no local e, em seguida, crie a borda autônoma usando esse grupo de portas.
Criar e configurar um grupo de portas de entroncamento
As etapas a seguir mostram como criar e configurar um grupo de portas de entroncamento:
Crie um grupo de portas distribuídas com o tipo da VLAN definido como entrucamento da VLAN. Forneça as VLANs que você quer esticar.
Nas opções de Segurança, defina Modo promissor e Transmissões forjadas como Aceitar.
Nas opções de equipe e failover, defina Balanceamento de carga como Usar ordem de failover explicita.
Nas opções de equipe e failover, defina Uplinks ativos como uplink1 e Uplinks em espera como uplink2.
Conclua as etapas restantes de criação do grupo de portas.
Implantar uma borda autônoma no ambiente local
As etapas a seguir mostram como implantar o NSX-T Autonomous Edge (cliente de VPN de camada 2) no ambiente local:
- Entre em contato com o Cloud Customer Care para fazer o download da versão correta do NSX Edge para VMware ESXi.
Implante o OVA do NSX Edge como um modelo OVF.
- Na etapa Configuração, selecione a configuração Grande para corresponder ao NSX-T Edges do formato grande que acompanha a nuvem privada do VMware Engine.
- Na etapa Selecionar armazenamento, escolha o repositório de dados que você quer usar.
Na etapa Selecionar redes, forneça os grupos de portas a serem usados para diferentes tipos de tráfego:
- Rede 0 (eth1 no dispositivo): selecione o grupo de portas reservado para o tráfego de gerenciamento.
- Rede 1 (eth2 no dispositivo): selecione o grupo de portas reservado para tráfego de uplink.
- Rede 2 (eth3 no dispositivo): selecione o grupo de portas de entroncamento.
- Rede 3 (eth4 no dispositivo): selecione o grupo de portas reservado para o tráfego de alta disponibilidade. Na imagem a seguir, o grupo de portas reservado para o tráfego de gerenciamento também é usado para o tráfego de alta disponibilidade.
Na etapa Personalizar modelo, digite os seguintes detalhes:
Na seção Aplicativo, faça o seguinte:
- Defina a Senha de usuário raiz do sistema.
- Defina a senha de usuário "admin" da CLI.
- Marque a caixa de seleção Is Autonomous Edge.
- Deixe os campos restantes em branco.
Na seção Propriedades de rede, faça o seguinte:
- Defina o Nome do host.
- Defina o Gateway IPv4 padrão. Esse é o gateway padrão da rede de gerenciamento.
- Defina o Endereço IPv4 da rede de gerenciamento. Esse é o IP de gerenciamento para a borda autônoma.
- Defina a Máscara de rede da rede de gerenciamento. Esse é o tamanho do prefixo da rede de gerenciamento.
Na seção DNS, faça o seguinte:
- No campo Lista de servidores DNS, insira os endereços IP do servidor DNS separados por espaços.
- No campo Domain Search List, digite o nome de domínio.
Na seção Configuração dos serviços, faça o seguinte:
- Digite NTP Server List.
- Digite os Servidores NTP, separados por espaços.
- Marque a caixa de seleção Ativar SSH.
- Marque a caixa de seleção Permitir logins SSH raiz.
- Insira o servidor de geração de registros (se houver).
Na seção External, faça o seguinte:
Insira os detalhes da Porta externa no seguinte formato:
VLAN ID,Exit Interface,IP,Prefix Length
. Por exemplo:2871,eth2,172.16.8.46,28
. Substitua os seguintes valores:VLAN ID
: ID da VLAN da uplinkExit Interface
: ID da interface reservado para o tráfego de uplinkIP
: endereço IP reservado para a interface de uplinkPrefix Length
: tamanho do prefixo da rede de uplink
No campo External Gateway, insira o gateway padrão da rede de uplink.
Na seção HA, faça o seguinte:
Insira os detalhes da porta de alta disponibilidade no seguinte formato:
VLAN ID,exitPnic,IP,Prefix Length
. Por exemplo:2880,eth4,172.16.8.46,28
. Substitua os seguintes valores:VLAN ID
: ID da VLAN de gerenciamentoexitPnic
: ID da interface reservado para o tráfego de alta disponibilidadeIP
: endereço IP reservado para a interface de alta disponibilidadePrefix Length
: tamanho do prefixo da rede de alta disponibilidade
No campo Gateway padrão da porta de alta disponibilidade, insira o gateway padrão da rede de gerenciamento. Se estiver usando uma rede diferente para comunicação de alta disponibilidade, forneça o gateway padrão correspondente.
Deixe os campos restantes em branco.
Conclua as etapas restantes de implantação do modelo OVF.
Configurar o servidor VPN de camada 2 no NSX-T Manager na sua nuvem privada
As etapas a seguir descrevem como configurar o servidor VPN de camada 2 em um gateway de nível 0 ou 1 no seu gerenciador NSX-T de nuvem privada.
Criar um serviço de VPN de camada 2
- No Gerenciador NSX-T, acesse Rede > VPN > Serviços de VPN > Adicionar serviço > IPSec
Digite os seguintes detalhes para criar um serviço IPSec:
- Insira o Nome.
- Na coluna Tier0/Tier1 Gateway, selecione o gateway em que você quer que o servidor de VPN de camada 2 seja executado.
- Deixe os outros campos em branco.
Acesse Rede > VPN > Endpoints locais.
Digite os seguintes detalhes para criar um endpoint local:
- Insira o Nome.
- Na coluna Serviço VPN, selecione o serviço VPN IPSec que você acabou de criar.
- No campo Endereço IP, insira o endereço IP reservado para o endpoint local, que também será o endereço IP em que o túnel VPN IPSec/Layer 2 termina.
- No campo ID local, digite o mesmo endereço IP reservado.
- Deixe os outros campos em branco.
Acesse Rede > VPN > Serviços de VPN > Adicionar serviço > Servidor VPN L2.
Digite os seguintes detalhes para criar um serviço de VPN de camada 2:
- Insira o Nome.
- Na coluna Tier0/Tier1 Gateway, selecione o gateway em que você quer que o servidor de VPN de camada 2 seja executado (o mesmo gateway usado na etapa 2).
- Deixe os outros campos em branco.
Criar uma sessão de VPN de camada 2
- No Gerenciador NSX-T, acesse Rede > VPN > Sessões de VPN L2 > Adicionar sessão de VPN L2 > Servidor VPN L2.
Digite os seguintes detalhes para criar uma sessão de VPN de camada 2:
- Insira o Nome.
- Selecione o Local Endpoint/IP criado anteriormente na etapa 4 de Criar um serviço de VPN de camada 2.
- No campo IP remoto, insira o endereço IP de uplink da borda autônoma no seu ambiente local.
- Insira a chave pré-compartilhada.
- No campo Interface do túnel, insira um endereço IP da sub-rede da interface de túnel reservada.
- No campo Código remoto, insira o valor do IP remoto.
- Deixe os outros campos em branco.
Criar um segmento de rede para estender para a VLAN local
- No Gerenciador de NSX-T, acesse Rede > Segmentos > Adicionar segmento.
Forneça os seguintes detalhes para criar um segmento que será estendido à VLAN local:
- Insira o nome do segmento.
- No campo Gateway conectado, selecione Nenhum.
- Em Zona de transporte, selecione TZ-Overlay.
- No campo VPN L2, selecione a sessão VPN da camada 2 criada anteriormente em Criar uma sessão da VPN da camada 2.
- No campo ID do túnel VPN, digite um ID de túnel exclusivo (por exemplo, 100). Esse ID do túnel precisa corresponder ao ID do túnel usado ao estender a VLAN do local.
- Deixe os outros campos em branco.
Acesse Rede > VPN > Sessões VPN L2.
Abra a Sessão e clique em Fazer download da configuração para fazer o download da configuração de VPN de camada 2.
Abra o arquivo salvo usando qualquer editor de texto e copie a string Peer_code sem as aspas. Você usará essa string mais tarde ao configurar a borda autônoma no local para a VPN de camada 2 nas seções subsequentes.
Anunciar o IP do endpoint local IPSec para rede externa
Essa etapa varia dependendo se você usa um gateway nível 1 ou 0 para serviços de VPN de camada 2.
Anunciar de um gateway de nível 0
Se você usa um gateway de nível 0, faça o seguinte para anunciar o IP do endpoint local IPSec do gateway de nível 0 para a rede externa:
- Acesse Rede > Gateways de nível 0.
- Edite o Gateway de nível 0 usado para a VPN da camada 2 (o ideal é Provider-LR).
- Expanda Redistribuição de rotas.
- Na seção Sub-redes do nível 0, marque a caixa de seleção IP local IPSec.
- Clique em Save.
Agregue a sub-rede de endpoint local IPSec no gateway de nível 0. A agregação de roteador no gateway de nível 0 é necessária para que o endpoint local IPSec seja acessível pelo IP de uplink da borda autônoma local e não seja filtrado na malha de rede.
- Acesse Rede > Gateways de nível 0.
- Edite o Gateway de nível 0 selecionado usado para a VPN da camada 2 (o ideal é Provider-LR).
- Acesse BGP > Agregação de rota > Adicionar prefixo.
- Na coluna Prefixo, insira a rede do endpoint local.
- Na coluna Somente resumo, selecione Sim.
- Clique em Aplicar e Salvar.
Anunciar de um gateway de nível 1
Se você usar um gateway de nível 1 para os serviços de VPN de camada 2 (como na implantação de amostra), siga estas etapas:
Agregue a sub-rede de endpoint local IPSec no gateway de nível 0. A agregação de roteador no gateway de nível 0 é necessária para que o endpoint local IPSec seja acessível pelo IP de uplink da borda autônoma local e não seja filtrado na malha de rede.
- Acesse Rede > Gateways de nível 0.
- Edite o Gateway de nível 0 selecionado usado para a VPN da camada 2 (o ideal é Provider-LR).
- Acesse BGP > Agregação de rota > Adicionar prefixo.
- Na coluna Prefixo, insira a rede do endpoint local.
- Na coluna Somente resumo, selecione Sim.
- Clique em Aplicar e Salvar.
Acesse Rede > Gateways de nível 1.
Edite o Gateway de nível 1 usado para a VPN da camada 2 (o ideal é Provider-LR).
Na seção Divulgação de rota, ative o botão IPSec Local Endpoint.
Clique em Save.
Configurar o cliente VPN de camada 2 no Edge autônomo (local)
As etapas a seguir mostram como configurar um cliente VPN de camada 2 na borda autônoma implantada no local em Implantar a borda autônoma de NSX-T:
- Faça login no NSX-T Autonomous Edge no endereço IP do dispositivo de gerenciamento.
Adicione uma sessão de VPN de camada 2:
- Acesse a VPN L2 e clique em Adicionar sessão.
Digite os seguintes detalhes:
- No campo Nome da sessão, insira o nome da sessão configurado em Criar uma sessão de VPN de camada 2.
- Defina o Status do administrador como Ativado.
- No campo IP local, insira o endereço IP de uplink da borda autônoma.
- No campo IP remoto, insira o endereço IP configurado como um endpoint local em Configurar o servidor de VPN de camada 2 no Gerenciador NSX-T na nuvem privada.
- No campo Código de peering, insira a string Peer_code copiada no artigo Configurar o servidor VPN de camada 2 no NSX-T Manager na sua nuvem privada.
Clique em Save.
Estenda a VLAN local:
- Acesse Porta e clique em Adicionar porta.
Digite os seguintes detalhes:
- No campo Nome da porta, digite o nome da porta.
- Deixe o campo Sub-rede em branco.
- No campo VLAN, insira o ID da VLAN local a ser estendida.
- Em Exit Interface, selecione a interface de uplink (como eth2).
Clique em Save.
Anexe a porta à sessão de VPN L2.
- Acesse a VPN L2 e clique em Anexar porta.
Digite os seguintes detalhes:
- Selecione a L2 VPN Session criada na etapa 2.
- Selecione a Porta que você criou na etapa 3.
- No campo ID do túnel, insira o mesmo ID do túnel usado para estender o segmento na nuvem privada. Em Configurar o servidor VPN da camada 2 no gerenciador NSX-T na nuvem privada.
A sessão da VPN de camada 2 é exibida na tabela com um status de "UP". A VLAN no local agora é estendida para a nuvem privada do VMware Engine (segmento estendido). As cargas de trabalho anexadas à VLAN estendida no local podem ser acessadas pelas cargas de trabalho anexadas ao segmento estendido na nuvem privada do VMware Engine.
Implantar o NSX-T Autonomous Edge secundário (cliente de VPN de camada 2) no modo de alta disponibilidade
Se quiser, use as etapas a seguir para implantar um NSX-T Autonomous Edge secundário (cliente de VPN de camada 2) no modo de alta disponibilidade no seu ambiente local:
- Siga as etapas em Implantar o NSX-T Autonomous Edge no seu ambiente local até chegar à etapa Personalizar modelo.
Na etapa Personalizar modelo, faça o seguinte:
Na seção Aplicativo, digite os seguintes detalhes:
- Defina a Senha de usuário raiz do sistema.
- Defina a senha de usuário "admin" da CLI.
- Marque a caixa de seleção Is Autonomous Edge.
- Deixe os outros campos vazios.
Na seção Propriedades da rede, insira os seguintes detalhes:
- Defina o Nome do host.
- Defina o Gateway IPv4 padrão. Esse é o gateway padrão da rede de gerenciamento.
- Defina o Endereço IPv4 da rede de gerenciamento. Esse é o IP de gerenciamento para a borda autônoma.
- Defina a Máscara de rede da rede de gerenciamento. Esse é o tamanho do prefixo da rede de gerenciamento.
Na seção DNS, digite os seguintes detalhes:
- Digite a lista de servidores DNS.
- Digite os endereços IP do servidor DNS, separados por espaços.
- Digite a Lista de pesquisa de domínio.
- Insira o Nome do domínio.
Na seção Configuração dos serviços, digite os seguintes detalhes:
- Digite NTP Server List.
- Digite os Servidores NTP, separados por espaços.
- Marque a caixa de seleção Ativar SSH.
- Marque a caixa de seleção Permitir logins SSH raiz.
- Insira o servidor de geração de registros (se houver).
Deixe a seção Externo vazia.
Na seção de alta disponibilidade, digite os seguintes detalhes:
Insira os detalhes da porta de alta disponibilidade no seguinte formato:
VLAN ID,exitPnic,IP,Prefix Length
. Por exemplo:2880,eth4,172.16.8.11,28
. Substitua os seguintes valores:VLAN ID
: ID da VLAN de gerenciamentoexitPnic
: ID da interface reservado para o tráfego de alta disponibilidadeIP
: endereço IP reservado para a interface de alta disponibilidade para a borda autônoma secundáriaPrefix Length
: tamanho do prefixo da rede de alta disponibilidade
No campo Gateway padrão da porta de alta disponibilidade, insira o gateway padrão da rede de gerenciamento.
Marque a caixa de seleção Nó de API secundária.
No campo IP principal de gerenciamento de nós, insira o endereço IP de gerenciamento da borda autônoma principal.
No campo Nome de usuário do nó principal, insira o nome de usuário da borda autônoma principal (por exemplo, "admin").
No campo Senha do nó principal, digite a senha da borda autônoma principal.
No campo Impressão digital do gerenciamento de nós principal, insira a impressão digital da API da borda autônoma principal. Para fazer isso, conecte-se usando SSH na borda autônoma principal usando credenciais de administrador e execute o comando
get certificate api thumbprint
.
Conclua as etapas restantes da implantação do modelo OVF para implantar a borda automática secundária (cliente de VPN de camada 2 no local).
A borda autônoma resultante tem um Status de alta disponibilidade de Ativa.
Exemplo de implantação de VPN de camada 2
As tabelas a seguir fornecem especificações para uma amostra de implantação de VPN de camada 2.
Rede local a ser estendida
Propriedade da rede | Valor |
---|---|
VLAN | 2875 |
CIDR | 172.16.8.16/28 |
Rede local em que a borda autônoma é implantada
Propriedade da rede | Valor |
---|---|
VLAN de gerenciamento | 2880 |
CIDR de gerenciamento | 172.16.8.0/28 |
VLAN de uplink | 2871 |
CIDR de uplink | 172.16.8.32/28 |
VLAN de alta disponibilidade (igual à de gerenciamento) | 2880 |
CIDR de alta disponibilidade (igual à de gerenciamento) | 172.16.8.0/28 |
Endereço IP de gerenciamento de borda autônomo principal | 172.16.8.14 |
Endereço IP de uplink de borda autônomo principal | 172.16.8.46 |
Endereço IP principal de alta disponibilidade autônomo da borda | 172.16.8.12 |
Endereço IP secundário do gerenciamento autônomo de borda | 172.16.8.13 |
Endereço IP secundário de alta disponibilidade autônomo da borda | 172.16.8.11 |
Esquema de IP de nuvem privada para o roteador NSX-T tier-1 (servidor VPN de camada 2)
Propriedade da rede | Valor |
---|---|
Endereço IP do endpoint local | 192.168.198.198 |
Rede de endpoints local | 192.168.198.198/31 |
Interface do túnel | 192.168.199.1/30 |
Segmento (esticado) | L2 VPN-Seg-test |
Interface de loopback (endereço IP NAT) | 104.40.21.81 |
Rede de nuvem privada a ser mapeada para a rede esticada
Propriedade da rede | Valor |
---|---|
Segmento (esticado) | L2 VPN-Seg-test |
CIDR | 172.16.8.16/28 |
A seguir
- Para mais informações sobre como estender redes locais usando a VPN de camada 2 do NSX-T, consulte a documentação do VMware Noções básicas sobre a VPN de camada 2.