Estendi le reti on-premise di livello 2 a un cloud privato utilizzando NSX

Questo documento descrive come estendere una rete di livello 2 dal tuo ambiente on-premise al tuo cloud privato Google Cloud VMware Engine utilizzando la VPN di livello 2 basata su NSX. Per estendere una rete di livello 2 utilizzando un'estensione di rete HCX, consulta la documentazione di VMware HCX.

L'estensione basata su VPN di reti di livello 2 può funzionare con o senza reti basate su NSX nel tuo ambiente VMware on-premise. Se non disponi di reti di overlay basate su NSX per i carichi di lavoro on-premise, utilizza un Autonomous Edge NSX-T, che dispone di interfacce abilitate per Data Plane Development Kit (DPDK) per prestazioni elevate.

L'estensione di una rete di livello 2 utilizzando NSX presenta i seguenti vantaggi rispetto all'utilizzo di un'estensione di rete HCX:

• L'estensione VPN di livello 2 in NSX supporta l'utilizzo di un'interfaccia trunk.
• Il throughput di rete in NSX è superiore rispetto a quando si utilizza un'estensione di rete HCX.
• NSX ha meno upgrade e meno tempi di inattività rispetto a HCX.
• Un'estensione di rete HCX richiede una licenza vSphere Enterprise Plus on-premise, ma l'estensione VPN di livello 2 può funzionare con una licenza vSphere Standard on-premise.

Scenario di deployment

Per estendere la tua rete on-premise utilizzando la VPN di livello 2, lo scenario di deployment descritto configura un server VPN di livello 2 e un client VPN di livello 2. La procedura è costituita dai seguenti passaggi principali:

1. Nell'ambiente on-premise, esegui il deployment del client VPN NSX-T Autonomous Edge (livello 2).
2. Nel tuo cloud privato, configura un server VPN di livello 2 su NSX-T Manager.
3. Nel tuo ambiente on-premise, configura il client VPN di livello 2 sull'edge autonomo.
4. (Facoltativo) Nel tuo ambiente on-premise, esegui il deployment dell'edge autonomo secondario (client VPN di livello 2) in modalità HA.

Il tuo cloud privato è connesso al tuo ambiente on-premise tramite Cloud VPN o Cloud Interconnect. Questa configurazione garantisce l'esistenza di un percorso di routing tra il gateway di livello 0 o di livello 1 nel tuo cloud privato e il client edge autonomo nella tua rete on-premise.

Per le specifiche di esempio di un deployment VPN di livello 2, consulta la sezione Deployment VPN di livello 2 di esempio.

Prima di iniziare

Prima di iniziare, segui questi passaggi:

• Collega il tuo ambiente on-premise alla tua rete VPC.
• Identifica la rete di livello 2 del carico di lavoro che vuoi estendere al tuo cloud privato.
• Identifica due VLAN nel tuo ambiente on-premise per il deployment dell'appliance edge autonoma (client VPN di livello 2).
• Crea un cloud privato.
• Configura l'inoltro DNS sui server DNS on-premise in modo che il dominio punti ai server DNS del cloud privato.
• Consenti il traffico UDP sulle porte 500 e 4500 tra l'indirizzo IP uplink dell'edge autonomo e l'indirizzo IP dell'endpoint locale da utilizzare sul gateway di livello 0 o di livello 1 nel tuo cloud privato.

Inoltre, verifica che siano soddisfatti i seguenti prerequisiti:

• La versione on-premise di vSphere deve essere 6.7U1+ o 6.5P03+. La licenza corrispondente deve essere a livello Enterprise Plus (per vSphere Distributed Switch).
• La versione dell'appliance edge autonoma è compatibile con la versione di NSX-T Manager utilizzata nel tuo cloud privato.
• La latenza del tempo di round trip (RTT) è inferiore o uguale a 150 ms, il che è necessario per il funzionamento di vMotion nei due siti (nel caso in cui venga tentata la migrazione del carico di lavoro).

Limitazioni e considerazioni

La tabella seguente elenca le versioni di vSphere e i tipi di schede di rete supportati:

Versione vSphere	Tipo di vSwitch di origine	Driver NIC virtuale	Tipo di vSwitch di destinazione	Supportato?
Tutti	DVS	Tutti	DVS	Sì
vSphere 6.7UI o versioni successive, 6.5P03 o versioni successive	DVS	VMXNET3	N-VDS	Sì
vSphere 6.7UI o versioni successive, 6.5P03 o versioni successive	DVS	E1000	N-VDS	Non supportato, secondo VMware
vSphere 6.7UI o 6.5P03, NSX-V o versioni precedenti NSX-T2.2, 6.5P03 o versioni successive	Tutti	Tutti	N-VDS	Non supportato, secondo VMware

Esegui il deployment di NSX-T Autonomous Edge (client VPN di livello 2)

Per eseguire il deployment di NSX-T Autonomous Edge nel tuo ambiente on-premise, crea un gruppo di porte trunk on-premise, quindi crea l'Autonomous Edge utilizzando questo gruppo di porte.

Creare e configurare un gruppo di porte trunk

I seguenti passaggi mostrano come creare e configurare un gruppo di porte trunk:

1. Crea un gruppo di porte distribuite con Tipo VLAN impostato su Trunking VLAN. Fornisci le VLAN che vuoi estendere.

   

2. Nelle opzioni Sicurezza, imposta sia Modalità promiscua che Trasmissioni falsificate su Accetta.

3. Nelle opzioni di teaming e failover, imposta Bilanciamento del carico su Usa ordine di failover esplicito.

4. Nelle opzioni di teaming e failover, imposta Uplink attivi su uplink1 e Uplink di standby su uplink2.

5. Completa i restanti passaggi di creazione del gruppo di porte.

Esegui il deployment di Autonomous Edge nel tuo ambiente on-premise

I seguenti passaggi mostrano come eseguire il deployment di NSX-T Autonomous Edge (client VPN di livello 2) nel tuo ambiente on-premise:

1. Contatta l'assistenza clienti Google Cloud per scaricare la versione corretta di NSX Edge per VMware ESXi.

2. Esegui il deployment del file OVA NSX Edge come modello OVF.

   1. Nel passaggio Configurazione, seleziona la configurazione Large in modo che corrisponda agli NSX Edge di grandi dimensioni forniti con il tuo cloud privato VMware Engine.
   2. Nel passaggio Seleziona spazio di archiviazione, seleziona il datastore che vuoi utilizzare.

   3. Nel passaggio Seleziona reti, fornisci i gruppi di porte da utilizzare per diversi tipi di traffico:

      • Rete 0 (eth1 sull'appliance): seleziona il gruppo di porte riservato per il traffico di gestione.
      • Rete 1 (eth2 sull'appliance): seleziona il gruppo di porte riservato per il traffico di uplink.
      • Rete 2 (eth3 sull'appliance): seleziona il gruppo di porte trunk.
      • Rete 3 (eth4 sull'appliance): seleziona il gruppo di porte riservato al traffico HA. Nell'immagine seguente, il gruppo di porte riservato al traffico di gestione viene utilizzato anche per il traffico HA.

      

   4. Nel passaggio Personalizza modello, inserisci i seguenti dettagli:

      1. Nella sezione Applicazione, segui questi passaggi:

         1. Imposta la password dell'utente root di sistema.
         2. Imposta la password utente "admin" della CLI.
         3. Seleziona la casella di controllo Is Autonomous Edge.
         4. Lascia vuoti i restanti campi.

      2. Nella sezione Proprietà di rete:

         1. Imposta il nome host.
         2. Imposta il gateway IPv4 predefinito. Questo è il gateway predefinito della rete di gestione.
         3. Imposta l'indirizzo IPv4 della rete di gestione. Questo è l'IP di gestione per l'edge autonomo.
         4. Imposta la maschera di rete della rete di gestione. Questa è la lunghezza del prefisso di rete di gestione.

      3. Nella sezione DNS, segui questi passaggi:

         1. Nel campo Elenco server DNS, inserisci gli indirizzi IP del server DNS separati da spazi.
         2. Nel campo Domain Search List (Elenco di ricerca dei domini), inserisci il nome del dominio.

      4. Nella sezione Configurazione servizi, segui questi passaggi:

         1. Inserisci l'elenco dei server NTP.
         2. Inserisci i server NTP, separati da spazi.
         3. Seleziona la casella di controllo Abilita SSH.
         4. Seleziona la casella di controllo Consenti accessi SSH root.
         5. Inserisci il server di logging (se presente).

      5. Nella sezione Esterno, segui questi passaggi:

         1. Inserisci i dettagli della porta esterna nel seguente formato: VLAN ID,Exit Interface,IP,Prefix Length. Ad esempio: 2871,eth2,172.16.8.46,28. Sostituisci i seguenti valori:

            • VLAN ID: ID VLAN della VLAN uplink
            • Exit Interface: ID interfaccia riservato al traffico uplink
            • IP: Indirizzo IP riservato all'interfaccia di uplink
            • Prefix Length: lunghezza del prefisso per la rete di uplink

         2. Nel campo Gateway esterno, inserisci il gateway predefinito della rete di uplink.

      6. Nella sezione HA, segui questi passaggi:

         1. Inserisci i dettagli della porta HA nel seguente formato: VLAN ID,exitPnic,IP,Prefix Length. Ad esempio: 2880,eth4,172.16.8.46,28. Sostituisci i seguenti valori:

            • VLAN ID: ID VLAN della VLAN di gestione
            • exitPnic: ID interfaccia riservato al traffico HA
            • IP: Indirizzo IP riservato all'interfaccia HA
            • Prefix Length: lunghezza del prefisso per la rete HA

         2. Nel campo HA Port Default Gateway (Gateway predefinito della porta HA), inserisci il gateway predefinito della rete di gestione. Se utilizzi una rete diversa per la comunicazione HA, fornisci il gateway predefinito corrispondente.

         3. Lascia vuoti i restanti campi.

3. Completa i restanti passaggi di deployment del modello OVF.

Configura il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato

I passaggi seguenti descrivono come configurare il server VPN di livello 2 su un gateway di livello 0 o di livello 1 in NSX-T Manager del tuo cloud privato.

Crea un servizio VPN di livello 2

1. In NSX-T Manager, vai a Networking > VPN > Servizi VPN > Aggiungi servizio > IPSec.

2. Inserisci i seguenti dettagli per creare un servizio IPSec:

   • Inserisci il Nome.
   • Nella colonna Tier0/Tier1 Gateway, seleziona il gateway in cui vuoi che venga eseguito il server VPN di livello 2.
   • Lascia vuoti gli altri campi.

   

3. Vai a Networking > VPN > Endpoint locali.

4. Inserisci i seguenti dettagli per creare un endpoint locale:

   • Inserisci il Nome.
   • Nella colonna Servizio VPN, seleziona il servizio VPN IPSec che hai appena creato.
   • Nel campo Indirizzo IP, inserisci l'indirizzo IP riservato all'endpoint locale, che sarà anche l'indirizzo IP su cui termina il tunnel VPN IPSec/livello 2.
   • Nel campo ID locale, inserisci lo stesso indirizzo IP riservato.
   • Lascia vuoti gli altri campi.

5. Vai a Networking > VPN > Servizi VPN > Aggiungi servizio > Server VPN L2.

6. Inserisci i seguenti dettagli per creare un servizio VPN di livello 2:

   • Inserisci il Nome.
   • Nella colonna Gateway di livello 0/livello 1, seleziona il gateway in cui vuoi che venga eseguito il server VPN di livello 2 (lo stesso gateway utilizzato in precedenza nel passaggio 2).
   • Lascia vuoti gli altri campi.

Crea una sessione VPN di livello 2

1. In NSX-T Manager, vai a Networking > VPN > Sessioni VPN L2 > Aggiungi sessione VPN L2 > Server VPN L2.

2. Inserisci i seguenti dettagli per creare una sessione VPN di livello 2:

   • Inserisci il Nome.
   • Seleziona l'endpoint/IP locale creato in precedenza nel passaggio 4 di Crea un servizio VPN di livello 2.
   • Nel campo IP remoto, inserisci l'indirizzo IP uplink dell'edge autonomo nel tuo ambiente on-premise.
   • Inserisci la chiave precondivisa.
   • Nel campo Interfaccia tunnel, inserisci un indirizzo IP della subnet dell'interfaccia tunnel riservata.
   • Nel campo ID remoto, inserisci il valore di IP remoto.
   • Lascia vuoti gli altri campi.

Crea un segmento di rete da estendere alla tua VLAN on-premise

1. In NSX-T Manager, vai a Networking > Segmenti > Aggiungi segmento.

2. Fornisci i seguenti dettagli per creare un segmento da estendere alla tua VLAN on-premise:

   • Inserisci il Nome segmento.
   • Nel campo Gateway connesso, seleziona Nessuno.
   • In Zona di trasporto, seleziona TZ-Overlay.
   • Nel campo VPN di livello 2, seleziona la sessione VPN di livello 2 creata in precedenza in Crea una sessione VPN di livello 2.
   • Nel campo ID tunnel VPN, inserisci un ID tunnel univoco (ad esempio, 100). Questo ID tunnel deve corrispondere all'ID tunnel utilizzato per estendere la VLAN dall'ambiente on-premise.
   • Lascia vuoti gli altri campi.

   

3. Vai a Networking > VPN > Sessioni VPN L2.

4. Espandi Sessione e fai clic su Scarica configurazione per scaricare la configurazione VPN di livello 2.

5. Apri il file scaricato utilizzando un qualsiasi editor di testo e copia la stringa peer_code senza le virgolette. Utilizzerai questa stringa in un secondo momento per configurare l'edge autonomo on-premise per la VPN di livello 2 nelle sezioni successive.

Pubblica l'IP dell'endpoint locale IPSec sulla rete esterna

Questo passaggio varia a seconda che utilizzi un gateway di livello 1 o di livello 0 per i servizi VPN di livello 2.

Pubblicizzare da un gateway di livello 0

Se utilizzi un gateway di livello 0, segui questi passaggi per annunciare l'IP dell'endpoint locale IPSec dal gateway di livello 0 alla rete esterna:

1. Vai a Networking > Tier-0 Gateways.
2. Modifica il gateway di livello 0 utilizzato per la VPN di livello 2 (idealmente Provider-LR).
3. Espandi Ridistribuzione delle route.
4. Nella sezione Subnet di livello 0, seleziona la casella di controllo IP locale IPSec.
5. Fai clic su Salva.

6. Aggrega la subnet dell'endpoint locale IPSec sul gateway di livello 0. L'aggregazione dei router sul gateway di livello 0 è necessaria affinché l'endpoint locale IPSec sia raggiungibile dall'IP uplink dell'edge autonomo on-premise e non venga filtrato nel fabric di rete.

   1. Vai a Networking > Tier-0 Gateways.
   2. Modifica il gateway di livello 0 selezionato utilizzato per la VPN di livello 2 (idealmente Provider-LR).
   3. Vai a BGP > Aggregazione route > Aggiungi prefisso.
   4. Nella colonna Prefisso, inserisci la rete dell'endpoint locale.
   5. Nella colonna Solo riepilogo, seleziona Sì.
   6. Fai clic su Applica e Salva.

Pubblicizzare da un gateway di livello 1

Se utilizzi un gateway di livello 1 per i servizi VPN di livello 2 (come nell'implementazione di esempio), segui questi passaggi:

1. Aggrega la subnet dell'endpoint locale IPSec sul gateway di livello 0. L'aggregazione dei router sul gateway di livello 0 è necessaria affinché l'endpoint locale IPSec sia raggiungibile dall'IP uplink dell'edge autonomo on-premise e non venga filtrato nel fabric di rete.

   1. Vai a Networking > Tier-0 Gateways.
   2. Modifica il gateway di livello 0 selezionato utilizzato per la VPN di livello 2 (idealmente Provider-LR).
   3. Vai a BGP > Aggregazione route > Aggiungi prefisso.
   4. Nella colonna Prefisso, inserisci la rete dell'endpoint locale.
   5. Nella colonna Solo riepilogo, seleziona Sì.
   6. Fai clic su Applica e Salva.

2. Vai a Networking > Tier-1 Gateways.

3. Modifica il gateway di livello 1 utilizzato per la VPN di livello 2 (idealmente Provider-LR).

4. Nella sezione Route Advertisement (Pubblicità di route), attiva l'opzione IPSec Local Endpoint (Endpoint locale IPSec).

5. Fai clic su Salva.

Configura il client VPN di livello 2 sull'edge autonomo (on-premise)

I passaggi seguenti mostrano come configurare un client VPN di livello 2 sull'edge autonomo di cui è stato eseguito il deployment on-premise in Esegui il deployment di NSX-T Autonomous Edge:

1. Accedi a NSX-T Autonomous Edge all'indirizzo IP dell'appliance di gestione.

2. Aggiungi una sessione VPN di livello 2:

   1. Vai a L2 VPN e fai clic su Aggiungi sessione.

   2. Inserisci i seguenti dettagli:

      • Nel campo Nome sessione, inserisci il nome della sessione configurato in Crea una sessione VPN di livello 2.
      • Imposta Stato amministratore su Attivato.
      • Nel campo IP locale, inserisci l'indirizzo IP di uplink dell'edge autonomo.
      • Nel campo IP remoto, inserisci l'indirizzo IP configurato come endpoint locale in Configura il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato.
      • Nel campo Peer code (Codice peer), inserisci la stringa peer_code copiata in Configura il server VPN di livello 2 in NSX-T Manager nel tuo cloud privato.

   3. Fai clic su Salva.

3. Estendi la VLAN on-premise:

   1. Vai a Porta e fai clic su Aggiungi porta.

   2. Inserisci i seguenti dettagli:

      • Nel campo Nome porta, inserisci il nome della porta.
      • Lascia vuoto il campo Subnet (Sottorete).
      • Nel campo VLAN, inserisci l'ID VLAN della VLAN on-premise da estendere.
      • Per Interfaccia di uscita, seleziona l'interfaccia di uplink (ad esempio eth2).

   3. Fai clic su Salva.

4. Collega la porta alla sessione VPN di livello 2.

   1. Vai a VPN di livello 2 e fai clic su Collega porta.

   2. Inserisci i seguenti dettagli:

      • Seleziona la sessione VPN di livello 2 creata in precedenza nel passaggio 2.
      • Seleziona la Porta creata in precedenza nel passaggio 3.
      • Nel campo ID tunnel, inserisci lo stesso ID tunnel utilizzato per estendere il segmento nel tuo cloud privato (in Configura il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato).

   3. La sessione VPN di livello 2 viene visualizzata nella tabella con lo Stato "UP". La VLAN on-premise ora è estesa al cloud privato VMware Engine (segmento esteso). I carichi di lavoro collegati alla VLAN estesa on-premise diventano raggiungibili per i carichi di lavoro collegati al segmento esteso nel tuo cloud privato VMware Engine.

Esegui il deployment del client VPN di livello 2 (NSX-T Autonomous Edge) secondario in modalità HA

(Facoltativo) Utilizza i seguenti passaggi per eseguire il deployment di un client VPN NSX-T Autonomous Edge (livello 2) secondario in modalità HA nel tuo ambiente on-premise:

1. Segui i passaggi descritti in Implementare NSX-T Autonomous Edge nel tuo ambiente on-premise fino al passaggio Personalizza modello.

2. Nel passaggio Personalizza modello, procedi nel seguente modo:

   1. Nella sezione Applicazione, inserisci i seguenti dettagli:

      • Imposta la password dell'utente root di sistema.
      • Imposta la password utente "admin" della CLI.
      • Seleziona la casella di controllo Is Autonomous Edge.
      • Lascia vuoti tutti gli altri campi.

   2. Nella sezione Proprietà di rete, inserisci i seguenti dettagli:

      • Imposta il nome host.
      • Imposta il gateway IPv4 predefinito. Questo è il gateway predefinito della rete di gestione.
      • Imposta l'indirizzo IPv4 della rete di gestione. Questo è l'IP di gestione per l'edge autonomo secondario.
      • Imposta la maschera di rete della rete di gestione. Questa è la lunghezza del prefisso della rete di gestione.

   3. Nella sezione DNS, inserisci i seguenti dettagli:

      • Inserisci l'elenco dei server DNS.
      • Inserisci gli indirizzi IP del server DNS, separati da spazi.
      • Inserisci l'elenco di ricerca dei domini.
      • Inserisci il nome di dominio.

   4. Nella sezione Configurazione servizi, inserisci i seguenti dettagli:

      • Inserisci l'elenco dei server NTP.
      • Inserisci i server NTP, separati da spazi.
      • Seleziona la casella di controllo Abilita SSH.
      • Seleziona la casella di controllo Consenti accessi SSH root.
      • Inserisci il server di logging (se presente).

   5. Lascia vuota la sezione External (Esterno).

   6. Nella sezione HA, inserisci i seguenti dettagli:

      • Inserisci i dettagli della porta HA nel seguente formato: VLAN ID,exitPnic,IP,Prefix Length. Ad esempio: 2880,eth4,172.16.8.11,28. Sostituisci i seguenti valori:

        • VLAN ID: ID VLAN della VLAN di gestione
        • exitPnic: ID interfaccia riservato al traffico HA
        • IP: Indirizzo IP riservato all'interfaccia HA per il perimetro autonomo secondario
        • Prefix Length: lunghezza del prefisso per la rete HA

      • Nel campo Gateway predefinito della porta HA, inserisci il gateway predefinito della rete di gestione.

      • Seleziona la casella di controllo Nodo API secondario.

      • Nel campo IP di gestione del nodo primario, inserisci l'indirizzo IP di gestione dell'edge autonomo primario.

      • Nel campo Primary Node Username (Nome utente del nodo primario), inserisci il nome utente dell'edge autonomo primario (ad esempio "admin").

      • Nel campo Password nodo primario, inserisci la password dell'edge autonomo primario.

      • Nel campo Primary Node Management Thumbprint (Impronta di gestione del nodo primario), inserisci l'impronta dell'API dell'edge autonomo primario. Puoi ottenerlo connettendoti tramite SSH all'edge autonomo principale utilizzando le credenziali di amministratore ed eseguendo il comando get certificate api thumbprint.

3. Completa i passaggi rimanenti del deployment del modello OVF per eseguire il deployment dell'edge autonomo secondario (client VPN di livello 2 on-premise).

L'edge autonomo risultante ha uno stato di alta disponibilità Attivo.

Deployment VPN di livello 2 di esempio

Le tabelle seguenti forniscono le specifiche per un deployment VPN di livello 2 di esempio.

Rete on-premise da estendere

Proprietà di rete	Valore
VLAN	2875
CIDR	172.16.8.16/28

Rete on-premise in cui viene eseguito il deployment dell'edge autonomo

Proprietà di rete	Valore
VLAN di gestione	2880
CIDR di gestione	172.16.8.0/28
VLAN uplink	2871
CIDR uplink	172.16.8.32/28
VLAN ad alta disponibilità (uguale a quella di gestione)	2880
CIDR HA (uguale a quello di gestione)	172.16.8.0/28
Indirizzo IP di gestione edge autonomo principale	172.16.8.14
Indirizzo IP di uplink edge autonomo principale	172.16.8.46
Indirizzo IP HA edge autonomo principale	172.16.8.12
Indirizzo IP di gestione edge autonomo secondario	172.16.8.13
Indirizzo IP HA edge autonomo secondario	172.16.8.11

Schema IP del cloud privato per il router di livello 1 NSX (server VPN di livello 2)

Proprietà di rete	Valore
Indirizzo IP dell'endpoint locale	192.168.198.198
Rete di endpoint locale	192.168.198.198/31
Interfaccia tunnel	192.168.199.1/30
Segmento (esteso)	L2 VPN-Seg-test
Interfaccia loopback (indirizzo IP NAT)	104.40.21.81

Rete cloud privato da mappare alla rete estesa

Proprietà di rete	Valore
Segmento (esteso)	L2 VPN-Seg-test
CIDR	172.16.8.16/28

Passaggi successivi

• Per ulteriori informazioni sull'estensione delle reti on-premise utilizzando la VPN di livello 2 NSX, consulta la documentazione di VMware Understanding Layer 2 VPN.