Estendi le reti di livello 2 on-premise a un cloud privato utilizzando NSX-T

Questo documento descrive come estendere una rete di livello 2 dal tuo ambiente on-premise al cloud privato Google Cloud VMware Engine utilizzando la VPN di livello 2 basata su NSX-T. Per estendere una rete di livello 2 utilizzando invece un'estensione di rete HCX, consulta la documentazione di VMware HCX.

Lo stretching basato su VPN di livello 2 delle reti di livello 2 può funzionare con o senza le reti basate su NSX-T nell'ambiente VMware on-premise. Se non disponi di reti overlay basate su NSX-T per i carichi di lavoro on-premise, utilizza NSX-T Autonomous Edge, che dispone di interfacce abilitate per Data Plane Development Kit (DPDK) per garantire prestazioni elevate.

L'estensione di una rete di livello 2 mediante NSX-T presenta i seguenti vantaggi rispetto all'utilizzo di un'estensione di rete HCX:

• Lo stretching VPN di livello 2 in NSX-T supporta l'utilizzo di un'interfaccia trunk.
• La velocità effettiva di rete in NSX-T è superiore rispetto all'utilizzo di un'estensione di rete HCX.
• NSX-T offre meno upgrade e meno tempi di inattività rispetto ad HCX.
• Un'estensione di rete HCX richiede una licenza vSphere Enterprise Plus on-premise, ma lo stretching della VPN di livello 2 può funzionare su una licenza vSphere Standard on-premise.

Scenario di deployment

Per ampliare la tua rete on-premise utilizzando la VPN di livello 2, lo scenario di deployment descritto configura un server VPN di livello 2 e un client VPN di livello 2. Il processo prevede i seguenti passaggi principali:

1. Nel tuo ambiente on-premise, esegui il deployment dell'Autonomous Edge (client VPN di livello 2) NSX-T.
2. Nel tuo cloud privato, configura un server VPN di livello 2 su NSX-T Manager.
3. Nel tuo ambiente on-premise, configura il client VPN di livello 2 sul perimetro autonomo.
4. (Facoltativo) Nell'ambiente on-premise, esegui il deployment del perimetro autonomo secondario (client VPN di livello 2) in modalità ad alta disponibilità.

Il cloud privato è connesso al tuo ambiente on-premise tramite Cloud VPN o Cloud Interconnect. Questa configurazione garantisce l'esistenza di un percorso di routing tra il gateway di livello 0 o di livello 1 nel tuo cloud privato e il client perimetrale autonomo nella tua rete on-premise.

Per le specifiche di esempio di un deployment VPN di livello 2, consulta la sezione Deployment VPN di livello 2 di esempio.

Prima di iniziare

Prima di iniziare, segui questi passaggi:

• Connetti l'ambiente on-premise alla tua rete VPC.
• Identifica la rete di livello 2 del carico di lavoro che vuoi estendere al tuo cloud privato.
• Identifica due VLAN nel tuo ambiente on-premise per il deployment della tua appliance perimetrale autonoma (client VPN di livello 2).
• Crea un cloud privato.
• Configura l'inoltro DNS sui server DNS on-premise in modo che il dominio punti ai server DNS del cloud privato.
• Consenti l'utilizzo del traffico UDP sulle porte 500 e 4500 tra l'indirizzo IP dell'uplink del perimetro autonomo e l'indirizzo IP dell'endpoint locale sul gateway di livello 0 o 1 nel tuo cloud privato.

Inoltre, verifica che siano soddisfatti i seguenti prerequisiti:

• La versione on-premise di vSphere deve essere 6.7U1+ o 6.5P03+. La licenza corrispondente deve essere a livello Enterprise Plus (per lo switch distribuito vSphere).
• La versione dell'appliance perimetrale autonoma è compatibile con la versione NSX-T Manager utilizzata nel tuo cloud privato.
• La latenza del tempo di round trip (RTT) è inferiore o uguale a 150 ms, necessaria per il funzionamento di vMotion tra i due siti (in caso di tentativo di migrazione del carico di lavoro).

Limitazioni e considerazioni

Nella tabella seguente sono elencati le versioni di vSphere e i tipi di adattatori di rete supportati:

Versione vSphere	Tipo di vSwitch di origine	Driver NIC virtuale	Tipo di vSwitch di destinazione	Supportato?
Tutto	DVS	Tutto	DVS	Sì
vSphere 6.7UI o superiore, 6.5P03 o successiva	DVS	VMXNET3	N-VDS	Sì
vSphere 6.7UI o superiore, 6.5P03 o successiva	DVS	E1000	N-VDS	Non supportato, per VMware
vSphere 6.7UI o 6.5P03, NSX-V o versioni precedenti a NSX-T2.2, 6.5P03 o successive	Tutto	Tutto	N-VDS	Non supportato, per VMware

Esegui il deployment di NSX-T Autonomous Edge (client VPN di livello 2)

Per eseguire il deployment di NSX-T Autonomous Edge nel tuo ambiente on-premise, crea un gruppo di porte trunk on-premise, quindi crea il perimetro autonomo utilizzando questo gruppo di porte.

Crea e configura un gruppo di porte trunk

I passaggi seguenti mostrano come creare e configurare un gruppo di porte trunk:

1. Crea un gruppo di porte distribuite con il tipo VLAN impostato su trunking VLAN. Fornisci le VLAN che vuoi ampliare.

   

2. Nelle opzioni Sicurezza, imposta sia Modalità promiscuo sia Trasmissioni forgiate su Accetta.

3. Nelle opzioni di teaming e failover, imposta Bilanciamento del carico su Utilizza ordine di failover esplicito.

4. Nelle opzioni di teaming e failover, imposta uplink attivi su uplink1 e uplink in standby per uplink2.

5. Completa i restanti passaggi di creazione dei gruppi di porte.

Esegui il deployment del perimetro autonomo nel tuo ambiente on-premise

I passaggi seguenti mostrano come eseguire il deployment di NSX-T Autonomous Edge (client VPN di livello 2) nel tuo ambiente on-premise:

1. Contatta l'assistenza clienti Google Cloud per scaricare la versione corretta di NSX Edge for VMware ESXi.

2. Esegui il deployment dell'OVA di NSX Edge come modello OVF.

   1. Nel passaggio Configurazione, seleziona la configurazione Large in modo che corrisponda ai componenti NSX-T Edge con fattore di forma grande forniti con il cloud privato VMware Engine.
   2. Nel passaggio Seleziona spazio di archiviazione, scegli il datastore che vuoi utilizzare.

   3. Nel passaggio Seleziona reti, specifica i gruppi di porte da utilizzare per i diversi tipi di traffico:

      • Rete 0 (eth1 sull'appliance): seleziona il gruppo di porte riservato per il traffico di gestione.
      • Rete 1 (eth2 sull'appliance): seleziona il gruppo di porte riservato per il traffico di uplink.
      • Rete 2 (eth3 sull'appliance): seleziona il gruppo di porte trunk.
      • Rete 3 (eth4 sull'appliance): seleziona il gruppo di porte riservato al traffico ad alta disponibilità. Nell'immagine seguente, il gruppo di porte riservato per la gestione del traffico viene utilizzato anche per il traffico ad alta disponibilità.

      

   4. Nel passaggio Personalizza modello, inserisci i seguenti dettagli:

      1. Nella sezione Applicazione, procedi nel seguente modo:

         1. Imposta la Password dell'utente root del sistema.
         2. Imposta la password dell'utente "amministratore" dell'interfaccia a riga di comando.
         3. Seleziona la casella di controllo È Autonomous Edge.
         4. Lascia vuoti i campi rimanenti.

      2. Nella sezione Proprietà di rete, procedi nel seguente modo:

         1. Imposta il Nome host.
         2. Imposta il Gateway IPv4 predefinito. Questo è il gateway predefinito della rete di gestione.
         3. Imposta l'indirizzo IPv4 della rete di gestione. Questo è l'IP di gestione per il perimetro autonomo.
         4. Imposta la netmask della rete di gestione. ovvero la lunghezza del prefisso della rete di gestione.

      3. Nella sezione DNS, segui questi passaggi:

         1. Nel campo Elenco dei server DNS, inserisci gli indirizzi IP dei server DNS separati da spazi.
         2. Nel campo Domain Search List (Elenco di ricerca domini), inserisci il nome del dominio.

      4. Nella sezione Configurazione dei servizi, procedi nel seguente modo:

         1. Inserisci l'elenco dei server NTP.
         2. Inserisci i server NTP, separati da spazi.
         3. Seleziona la casella di controllo Abilita SSH.
         4. Seleziona la casella di controllo Consenti accessi SSH root.
         5. Inserisci il server di logging (se presente).

      5. Nella sezione Esterni, procedi nel seguente modo:

         1. Inserisci i dettagli della Porta esterna nel seguente formato: VLAN ID,Exit Interface,IP,Prefix Length. Ad esempio: 2871,eth2,172.16.8.46,28. Sostituisci i seguenti valori:

            • VLAN ID: ID VLAN della VLAN per l'uplink
            • Exit Interface: ID interfaccia riservato per il traffico di uplink
            • IP: indirizzo IP riservato per l'interfaccia di uplink
            • Prefix Length: lunghezza del prefisso per la rete uplink

         2. Nel campo Gateway esterno, inserisci il gateway predefinito della rete di uplink.

      6. Nella sezione Alta disponibilità, procedi nel seguente modo:

         1. Inserisci i dettagli della porta ad alta disponibilità nel seguente formato: VLAN ID,exitPnic,IP,Prefix Length. Ad esempio: 2880,eth4,172.16.8.46,28. Sostituisci i seguenti valori:

            • VLAN ID: ID VLAN della VLAN di gestione
            • exitPnic: ID interfaccia riservato per il traffico ad alta disponibilità
            • IP: indirizzo IP riservato per l'interfaccia ad alta disponibilità
            • Prefix Length: lunghezza del prefisso per la rete ad alta disponibilità

         2. Nel campo Gateway predefinito della porta ad alta disponibilità, inserisci il gateway predefinito della rete di gestione. Se utilizzi una rete diversa per la comunicazione ad alta disponibilità, fornisci il gateway predefinito corrispondente.

         3. Lascia vuoti i campi rimanenti.

3. Completa i restanti passaggi di deployment del modello OVF.

Configura il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato

I passaggi seguenti descrivono come configurare il server VPN di livello 2 su un gateway di livello 0 o 1 in NSX-T Manager del cloud privato.

Crea un servizio VPN di livello 2

1. In NSX-T Manager, vai a Networking > VPN > Servizi VPN > Aggiungi servizio > IPSec.

2. Inserisci i seguenti dettagli per creare un servizio IPSec:

   • Inserisci il Nome.
   • Nella colonna Gateway di livello 1, seleziona il gateway in cui vuoi che venga eseguito il server VPN di livello 2.
   • Lascia vuoti gli altri campi.

   

3. Vai a Networking > VPN > Endpoint locali.

4. Inserisci i seguenti dettagli per creare un endpoint locale:

   • Inserisci il Nome.
   • Nella colonna Servizio VPN, seleziona il servizio VPN IPSec che hai appena creato.
   • Nel campo Indirizzo IP, inserisci l'indirizzo IP riservato per l'endpoint locale, che sarà anche l'indirizzo IP su cui termina il tunnel VPN IPSec/livello 2.
   • Nel campo ID locale, inserisci lo stesso indirizzo IP riservato.
   • Lascia vuoti gli altri campi.

5. Vai a Networking > VPN > Servizi VPN > Aggiungi servizio > Server VPN L2.

6. Inserisci i seguenti dettagli per creare un servizio VPN di livello 2:

   • Inserisci il Nome.
   • Nella colonna Gateway di livello 1, seleziona il gateway in cui vuoi che venga eseguito il server VPN di livello 2 (lo stesso gateway utilizzato in precedenza nel passaggio 2).
   • Lascia vuoti gli altri campi.

Crea una sessione VPN di livello 2

1. In NSX-T Manager, vai a Networking > VPN > L2 VPN Sessions > Add L2 VPN Session > Server VPN L2.

2. Inserisci i dettagli seguenti per creare una sessione VPN di livello 2:

   • Inserisci il Nome.
   • Seleziona l'endpoint/IP locale creato in precedenza nel passaggio 4 della sezione Creare un servizio VPN di livello 2.
   • Nel campo IP remoto, inserisci l'indirizzo IP di uplink del perimetro autonomo nel tuo ambiente on-premise.
   • Inserisci la Chiave precondivisa.
   • Nel campo Tunnel Interface, inserisci un indirizzo IP dalla subnet dell'interfaccia tunnel riservata.
   • Nel campo ID remoto, inserisci il valore indicato in IP remoto.
   • Lascia vuoti gli altri campi.

Crea un segmento di rete da estendere alla tua VLAN on-premise

1. In NSX-T Manager, vai a Networking > Segmenti > Aggiungi segmento.

2. Fornisci i seguenti dettagli per creare un segmento da estendere alla tua VLAN on-premise:

   • Inserisci il Nome del segmento.
   • Nel campo Gateway connesso, seleziona Nessuno.
   • In Transport Zone (Zona di trasporto), seleziona TZ-Overlay.
   • Nel campo VPN L2, seleziona la sessione VPN di livello 2 creata in precedenza in Creare una sessione VPN di livello 2.
   • Nel campo ID tunnel VPN, inserisci un ID tunnel univoco (ad esempio, 100). Questo ID tunnel deve corrispondere all'ID tunnel utilizzato quando si estende la VLAN da on-premise.
   • Lascia vuoti gli altri campi.

   

3. Vai a Networking > VPN > Sessioni VPN L2.

4. Espandi la sezione Sessione e fai clic su Scarica configurazione per scaricare la configurazione VPN di livello 2.

5. Apri il file scaricato utilizzando un editor di testo e copia la stringa peer_code senza le virgolette. Utilizzerai questa stringa in un secondo momento per configurare il perimetro autonomo on-premise per la VPN di livello 2 nelle sezioni successive.

Pubblicizza l'IP dell'endpoint locale IPSec alla rete esterna

Questo passaggio varia a seconda che utilizzi un gateway di livello 1 o di livello 0 per i servizi VPN di livello 2.

Fai pubblicità da un gateway di livello 0

Se utilizzi un gateway di livello 0, procedi come segue per pubblicizzare l'IP dell'endpoint locale IPSec dal gateway di livello 0 alla rete esterna:

1. Vai a Networking > Gateway di livello 0.
2. Modifica il gateway di livello 0 utilizzato per la VPN di livello 2 (preferibilmente Provider-LR).
3. Espandi Ridistribuzione di percorsi.
4. Nella sezione Subnet di livello 0, seleziona la casella di controllo IP locale IPSec.
5. Fai clic su Salva.

6. Aggrega la subnet endpoint locale IPSec sul gateway di livello 0. L'aggregazione del router sul gateway di livello 0 è necessaria in modo che l'endpoint locale IPSec sia raggiungibile all'IP di uplink del perimetro autonomo on-premise e non sia filtrato nell'infrastruttura di rete.

   1. Vai a Networking > Gateway di livello 0.
   2. Modifica il Gateway di livello 0 selezionato utilizzato per la VPN di livello 2 (preferibilmente Provider-LR).
   3. Vai a BGP > Aggregazione di route > Aggiungi prefisso.
   4. Nella colonna Prefisso, inserisci la rete di endpoint locali.
   5. Nella colonna Solo riepilogo, seleziona Sì.
   6. Fai clic su Applica e Salva.

Fai pubblicità da un gateway di livello 1

Se utilizzi un gateway di livello 1 per i servizi VPN di livello 2 (come nel deployment di esempio), esegui invece questi passaggi:

1. Aggrega la subnet endpoint locale IPSec sul gateway di livello 0. L'aggregazione del router sul gateway di livello 0 è necessaria in modo che l'endpoint locale IPSec sia raggiungibile all'IP di uplink del perimetro autonomo on-premise e non sia filtrato nell'infrastruttura di rete.

   1. Vai a Networking > Gateway di livello 0.
   2. Modifica il Gateway di livello 0 selezionato utilizzato per la VPN di livello 2 (preferibilmente Provider-LR).
   3. Vai a BGP > Aggregazione di route > Aggiungi prefisso.
   4. Nella colonna Prefisso, inserisci la rete di endpoint locali.
   5. Nella colonna Solo riepilogo, seleziona Sì.
   6. Fai clic su Applica e Salva.

2. Vai a Networking > Gateway di livello 1.

3. Modifica il Gateway di livello 1 utilizzato per la VPN di livello 2 (preferibilmente Provider-LR).

4. Nella sezione Route Pubblicità, abilita l'opzione Endpoint locale IPSec.

5. Fai clic su Salva.

Configura un client VPN di livello 2 sul perimetro autonomo (on-premise)

I passaggi seguenti mostrano come configurare un client VPN di livello 2 sul perimetro autonomo di cui è stato eseguito il deployment on-premise in Esegui il deployment di NSX-T Autonomous Edge:

1. Accedi ad NSX-T Autonomous Edge all'indirizzo IP dell'appliance di gestione.

2. Aggiungi una sessione VPN di livello 2:

   1. Vai a VPN L2 e fai clic su Add Session (Aggiungi sessione).

   2. Inserisci i seguenti dettagli:

      • Nel campo Nome sessione, inserisci il nome della sessione configurato in Creare una sessione VPN di livello 2.
      • Imposta Stato amministratore su Attivato.
      • Nel campo IP locale, inserisci l'indirizzo IP del uplink del perimetro autonomo.
      • Nel campo IP remoto, inserisci l'indirizzo IP configurato come endpoint locale in Configurare il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato.
      • Nel campo Codice peer, inserisci la stringa peer_code copiata in Configurare il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato.

   3. Fai clic su Salva.

3. Estendi la VLAN on-premise:

   1. Vai a Porta e fai clic su Aggiungi porta.

   2. Inserisci i seguenti dettagli:

      • Nel campo Nome porta, inserisci il nome della porta.
      • Lascia vuoto il campo Subnet.
      • Nel campo VLAN, inserisci l'ID VLAN della VLAN on-premise da estendere.
      • Per Exit Interface, seleziona l'interfaccia di uplink (ad esempio eth2).

   3. Fai clic su Salva.

4. Collega la porta alla sessione VPN L2.

   1. Vai a VPN L2 e fai clic su Collega porta.

   2. Inserisci i seguenti dettagli:

      • Seleziona la sessione VPN L2 creata in precedenza nel passaggio 2.
      • Seleziona la Porta creata in precedenza nel passaggio 3.
      • Nel campo ID tunnel, inserisci lo stesso ID tunnel utilizzato per estendere il segmento nel tuo cloud privato (in Configurare il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato).

   3. La sessione VPN di livello 2 viene visualizzata nella tabella con lo stato "UP". La VLAN on-premise è ora estesa al cloud privato di VMware Engine (segmento esteso). I carichi di lavoro collegati alla VLAN estesa on-premise diventano raggiungibili ai carichi di lavoro collegati al segmento esteso nel cloud privato di VMware Engine.

Esegui il deployment dell'Autonomous Edge secondario NSX-T (client VPN di livello 2) in modalità ad alta disponibilità

Facoltativamente, segui questi passaggi per eseguire il deployment di un Autonomous Edge (client VPN di livello 2) secondario in modalità ad alta disponibilità nell'ambiente on-premise:

1. Segui i passaggi descritti in Eseguire il deployment di NSX-T Autonomous Edge nel tuo ambiente on-premise fino a quando non raggiungi il passaggio Personalizza modello.

2. Nel passaggio Personalizza modello, segui invece questi passaggi:

   1. Nella sezione Applicazione, inserisci i seguenti dettagli:

      • Imposta la Password dell'utente root del sistema.
      • Imposta la password dell'utente "amministratore" dell'interfaccia a riga di comando.
      • Seleziona la casella di controllo È Autonomous Edge.
      • Lascia vuoti gli altri campi.

   2. Nella sezione Proprietà di rete, inserisci i seguenti dettagli:

      • Imposta il Nome host.
      • Imposta il Gateway IPv4 predefinito. Questo è il gateway predefinito della rete di gestione.
      • Imposta l'indirizzo IPv4 della rete di gestione. Questo è l'IP di gestione per il perimetro autonomo secondario.
      • Imposta la netmask della rete di gestione. È la lunghezza del prefisso della rete di gestione.

   3. Nella sezione DNS, inserisci i seguenti dettagli:

      • Inserisci l'elenco dei server DNS.
      • Inserisci gli indirizzi IP del server DNS, separati da spazi.
      • Inserisci l'elenco di ricerca domini.
      • Inserisci il Nome di dominio.

   4. Nella sezione Services Configuration (Configurazione dei servizi), inserisci i seguenti dettagli:

      • Inserisci l'elenco dei server NTP.
      • Inserisci i server NTP, separati da spazi.
      • Seleziona la casella di controllo Abilita SSH.
      • Seleziona la casella di controllo Consenti accessi SSH root.
      • Inserisci il server di logging (se presente).

   5. Lascia vuota la sezione External.

   6. Nella sezione ad alta disponibilità, inserisci i seguenti dettagli:

      • Inserisci i dettagli della porta ad alta disponibilità nel seguente formato: VLAN ID,exitPnic,IP,Prefix Length. Ad esempio: 2880,eth4,172.16.8.11,28. Sostituisci i seguenti valori:

        • VLAN ID: ID VLAN della VLAN di gestione
        • exitPnic: ID interfaccia riservato al traffico ad alta disponibilità
        • IP: indirizzo IP riservato all'interfaccia ad alta disponibilità per il perimetro autonomo secondario
        • Prefix Length: lunghezza del prefisso per la rete ad alta disponibilità

      • Nel campo Gateway predefinito della porta ad alta disponibilità, inserisci il gateway predefinito della rete di gestione.

      • Seleziona la casella di controllo Nodo API secondario.

      • Nel campo IP gestione nodo principale, inserisci l'indirizzo IP di gestione del perimetro autonomo primario.

      • Nel campo Nome utente del nodo principale, inserisci il nome utente del perimetro autonomo primario (ad esempio, "admin").

      • Nel campo Password del nodo principale, inserisci la password del perimetro autonomo principale.

      • Nel campo Before Node Management Thumbprint (Impronta per la gestione dei nodi principale), inserisci l'impronta digitale dell'API del bordo autonomo primario. Puoi ottenerlo connettendoti tramite SSH al perimetro autonomo principale utilizzando le credenziali di amministratore ed eseguendo il comando get certificate api thumbprint.

3. Completa i restanti passaggi di deployment del modello OVF per eseguire il deployment del perimetro autonomo secondario (client VPN di livello 2 on-premise).

Il perimetro autonomo risultante ha uno stato di alta disponibilità Attivo.

Deployment VPN di livello 2 di esempio

Le seguenti tabelle forniscono le specifiche per un deployment VPN di livello 2 di esempio.

Rete on-premise da ampliare

Proprietà di rete	Valore
VLAN	2875
CIDR	172.16.8.16/28

Rete on-premise in cui viene eseguito il deployment del perimetro autonomo

Proprietà di rete	Valore
VLAN di gestione	2880
CIDR gestione	172.16.8.0/28
VLAN per uplink	2871
CIDR uplink	172.16.8.32/28
VLAN ad alta disponibilità (uguale alla gestione)	2880
CIDR ad alta disponibilità (uguale alla gestione)	172.16.8.0/28
Indirizzo IP principale di gestione perimetrale autonoma	172.16.8.14
Indirizzo IP uplink perimetrale autonomo principale	172.16.8.46
Indirizzo IP ad alta disponibilità del perimetro autonomo principale	172.16.8.12
Indirizzo IP gestione perimetrale autonoma secondaria	172.16.8.13
Indirizzo IP ad alta disponibilità del perimetro autonomo secondario	172.16.8.11

Schema IP del cloud privato per il router NSX-T di livello 1 (server VPN di livello 2)

Proprietà di rete	Valore
Indirizzo IP dell'endpoint locale	192.168.198.198
Rete di endpoint locali	192.168.198.198/31
Interfaccia a tunnel	192.168.199.1/30
Segmento (esteso)	Test-Seg-VPN L2
Interfaccia di loopback (indirizzo IP NAT)	104.40.21.81

Rete cloud privata da mappare alla rete estesa

Proprietà di rete	Valore
Segmento (esteso)	Test-Seg-VPN L2
CIDR	172.16.8.16/28

Passaggi successivi

• Per ulteriori informazioni sull'estensione delle reti on-premise utilizzando la VPN NSX-T di livello 2, consulta la documentazione di VMware Informazioni sulla VPN di livello 2.