Expanda as redes da camada 2 no local para uma nuvem privada através do NSX

Este documento descreve como expandir uma rede de camada 2 do seu ambiente no local para a sua nuvem privada do Google Cloud VMware Engine através de uma VPN de camada 2 baseada no NSX. Em alternativa, para expandir uma rede de camada 2 através de uma extensão de rede do HCX, consulte a documentação do VMware HCX.

O alongamento baseado em VPN da camada 2 de redes da camada 2 pode funcionar com ou sem redes baseadas em NSX no seu ambiente VMware nas instalações. Se não tiver redes de sobreposição baseadas no NSX para cargas de trabalho no local, use um NSX-T Autonomous Edge, que tem interfaces ativadas para o Data Plane Development Kit (DPDK) para um elevado desempenho.

A expansão de uma rede de camada 2 através do NSX tem as seguintes vantagens em relação à utilização de uma extensão de rede HCX:

• A extensão de VPN de camada 2 no NSX suporta a utilização de uma interface de tronco.
• O débito da rede no NSX é superior ao da rede HCX.
• O NSX tem menos atualizações e menos tempo de inatividade em comparação com o HCX.
• Uma extensão de rede HCX requer uma licença do vSphere Enterprise Plus no local, mas o alongamento da VPN de camada 2 pode funcionar com uma licença do vSphere Standard no local.

Cenário de implementação

Para expandir a sua rede no local através da VPN de camada 2, o cenário de implementação descrito configura um servidor VPN de camada 2 e um cliente VPN de camada 2. O processo consiste nos seguintes passos principais:

1. No seu ambiente no local, implemente o NSX-T Autonomous Edge (cliente VPN de camada 2).
2. Na sua nuvem privada, configure um servidor de VPN de camada 2 no NSX-T Manager.
3. No seu ambiente no local, configure o cliente de VPN de camada 2 no limite autónomo.
4. (Opcional) No seu ambiente no local, implemente o limite autónomo secundário (cliente VPN de camada 2) no modo de HA.

A sua nuvem privada está ligada ao seu ambiente nas instalações através do Cloud VPN ou do Cloud Interconnect. Esta configuração garante que existe um caminho de encaminhamento entre o gateway de nível 0 ou nível 1 na sua nuvem privada e o cliente autónomo na sua rede no local.

Para ver exemplos de especificações de uma implementação de VPN de camada 2, consulte a secção Exemplo de implementação de VPN de camada 2.

Antes de começar

Antes de começar, faça o seguinte:

• Ligue o seu ambiente no local à sua rede VPC.
• Identifique a rede de camada 2 da carga de trabalho que quer expandir para a sua nuvem privada.
• Identifique duas VLANs no seu ambiente no local para implementar o seu dispositivo autónomo de extremidade (cliente de VPN de camada 2).
• Crie uma nuvem privada.
• Configure o encaminhamento de DNS nos servidores DNS no local para que o domínio aponte para os servidores DNS da nuvem privada.
• Permita o tráfego UDP nas portas 500 e 4500 entre o endereço IP de carregamento do limite autónomo e o endereço IP do ponto final local a usar no gateway de nível 0 ou nível 1 na sua nuvem privada.

Além disso, verifique se os seguintes pré-requisitos estão em vigor:

• A versão do vSphere no local tem de ser 6.7U1+ ou 6.5P03+. A licença correspondente tem de estar ao nível do Enterprise Plus (para o vSphere Distributed Switch).
• A versão do dispositivo autónomo de extremidade é compatível com a versão do NSX-T Manager usada na sua nuvem privada.
• A latência do tempo de resposta (RTT) é inferior ou igual a 150 ms, o que é necessário para que o vMotion funcione nos dois sites (caso se tente a migração da carga de trabalho).

Limitações e considerações

A tabela seguinte indica as versões do vSphere e os tipos de adaptadores de rede suportados:

Versão do vSphere	Tipo de vSwitch de origem	Controlador de NIC virtual	Tipo de vSwitch de destino	Suportado?
Tudo	DVS	Tudo	DVS	Sim
vSphere 6.7UI ou superior, 6.5P03 ou superior	DVS	VMXNET3	N-VDS	Sim
vSphere 6.7UI ou superior, 6.5P03 ou superior	DVS	E1000	N-VDS	Não suportado, de acordo com a VMware
vSphere 6.7UI ou 6.5P03, NSX-V ou versões inferiores a NSX-T2.2, 6.5P03 ou superior	Tudo	Tudo	N-VDS	Não suportado, de acordo com a VMware

Implemente o Autonomous Edge do NSX-T (cliente VPN de camada 2)

Para implementar o Autonomous Edge do NSX-T no seu ambiente no local, crie um grupo de portas no local e, em seguida, crie o Autonomous Edge com esse grupo de portas.

Crie e configure um grupo de portas de tronco

Os passos seguintes mostram como criar e configurar um grupo de portas de tronco:

1. Crie um grupo de portas distribuídas com o tipo de VLAN definido como VLAN trunking. Indique as VLANs que quer expandir.

   

2. Nas opções de Segurança, defina Modo promíscuo e Transmissões falsificadas como Aceitar.

3. Nas opções de agrupamento e comutação por falha, defina Equilíbrio de carga como Usar ordem de comutação por falha explícita.

4. Nas opções de agrupamento e comutação por falha, defina Ligações de carregamento ativas como uplink1 e Ligações de carregamento em espera como uplink2.

5. Conclua os restantes passos de criação do grupo de portas.

Implemente a extremidade autónoma no seu ambiente no local

Os passos seguintes mostram como implementar o NSX-T Autonomous Edge (cliente VPN de camada 2) no seu ambiente no local:

1. Contacte o apoio ao cliente da Google Cloud para transferir a versão correta do NSX Edge para VMware ESXi.

2. Implemente o OVA do NSX Edge como um modelo OVF.

   1. No passo Configuração, selecione a configuração Grande para corresponder aos NSX Edges de formato grande fornecidos com a sua nuvem privada do VMware Engine.
   2. No passo Selecionar armazenamento, selecione o arquivo de dados que quer usar.

   3. No passo Selecionar redes, indique os grupos de portas a usar para diferentes tipos de tráfego:

      • Rede 0 (eth1 no dispositivo): selecione o grupo de portas reservado para tráfego de gestão.
      • Rede 1 (eth2 no dispositivo): selecione o grupo de portas reservado para tráfego de carregamento.
      • Rede 2 (eth3 no dispositivo): selecione o grupo de portas de tronco.
      • Rede 3 (eth4 no dispositivo): selecione o grupo de portas reservado para tráfego de HA. Na imagem seguinte, o grupo de portas reservado para o tráfego de gestão também é usado para o tráfego de HA.

      

   4. No passo Personalizar modelo, introduza os seguintes detalhes:

      1. Na secção Aplicação, faça o seguinte:

         1. Defina a palavra-passe do utilizador raiz do sistema.
         2. Defina a palavra-passe do utilizador "admin" da CLI.
         3. Selecione a caixa de verificação É um dispositivo autónomo.
         4. Deixe os restantes campos vazios.

      2. Na secção Propriedades de rede, faça o seguinte:

         1. Defina o Nome do anfitrião.
         2. Defina o Gateway IPv4 predefinido. Este é o gateway predefinido da rede de gestão.
         3. Defina o endereço IPv4 da rede de gestão. Este é o IP de gestão para o limite autónomo.
         4. Defina a máscara de sub-rede da rede de gestão. Este é o comprimento do prefixo de rede de gestão.

      3. Na secção DNS, faça o seguinte:

         1. No campo Lista de servidores DNS, introduza os endereços IP do servidor DNS separados por espaços.
         2. No campo Lista de pesquisa de domínios, introduza o nome do domínio.

      4. Na secção Configuração dos serviços, faça o seguinte:

         1. Introduza a lista de servidores NTP.
         2. Introduza os servidores NTP, separados por espaços.
         3. Selecione a caixa de verificação Ativar SSH.
         4. Selecione a caixa de verificação Permitir inícios de sessão SSH de raiz.
         5. Introduza o servidor de registo (se existir).

      5. Na secção Externo, faça o seguinte:

         1. Introduza os detalhes da Porta externa no seguinte formato: VLAN ID,Exit Interface,IP,Prefix Length. Por exemplo: 2871,eth2,172.16.8.46,28. Substitua os seguintes valores:

            • VLAN ID: ID da VLAN da ligação ascendente
            • Exit Interface: ID da interface reservado para tráfego de carregamento
            • IP: endereço IP reservado para a interface de carregamento
            • Prefix Length: comprimento do prefixo para a rede de carregamento

         2. No campo Gateway externo, introduza o gateway predefinido da rede de carregamento.

      6. Na secção HA, faça o seguinte:

         1. Introduza os detalhes da porta de HA no seguinte formato: VLAN ID,exitPnic,IP,Prefix Length. Por exemplo: 2880,eth4,172.16.8.46,28. Substitua os seguintes valores:

            • VLAN ID: ID da VLAN de gestão
            • exitPnic: ID da interface reservado para tráfego de HA
            • IP: endereço IP reservado para a interface de HA
            • Prefix Length: comprimento do prefixo para a rede de HA

         2. No campo HA Port Default Gateway, introduza o gateway predefinido da rede de gestão. Se usar uma rede diferente para a comunicação de HA, indique o gateway predefinido correspondente.

         3. Deixe os restantes campos vazios.

3. Conclua os restantes passos de implementação do modelo OVF.

Configure o servidor de VPN de camada 2 no NSX-T Manager na sua nuvem privada

Os passos seguintes descrevem como configurar o servidor VPN de camada 2 num gateway de nível 0 ou de nível 1 na sua nuvem privada do NSX-T Manager.

Crie um serviço de VPN de camada 2

1. No NSX-T Manager, aceda a Networking > VPN > VPN Services > Add Service > IPSec.

2. Introduza os seguintes detalhes para criar um serviço IPSec:

   • Introduza o Nome.
   • Na coluna Tier0/Tier1 Gateway, selecione o gateway onde quer que o servidor VPN de camada 2 seja executado.
   • Deixe os outros campos em branco.

   

3. Aceda a Rede > VPN > Pontos finais locais.

4. Introduza os seguintes detalhes para criar um ponto final local:

   • Introduza o Nome.
   • Na coluna Serviço de VPN, selecione o serviço de VPN IPSec que acabou de criar.
   • No campo Endereço IP, introduza o endereço IP reservado para o ponto final local, que também será o endereço IP no qual o túnel VPN IPSec/camada 2 termina.
   • No campo ID local, introduza o mesmo endereço IP reservado.
   • Deixe os outros campos em branco.

5. Aceda a Rede > VPN > Serviços VPN > Adicionar serviço > Servidor VPN L2.

6. Introduza os seguintes detalhes para criar um serviço VPN de camada 2:

   • Introduza o Nome.
   • Na coluna Tier0/Tier1 Gateway, selecione o gateway onde quer que o servidor da VPN de camada 2 seja executado (o mesmo gateway usado anteriormente no passo 2).
   • Deixe os outros campos em branco.

Crie uma sessão de VPN de camada 2

1. No NSX-T Manager, aceda a Networking > VPN > L2 VPN Sessions > Add L2 VPN Session > L2 VPN Server.

2. Introduza os seguintes detalhes para criar uma sessão de VPN de camada 2:

   • Introduza o Nome.
   • Selecione o Ponto final/IP local criado anteriormente no passo 4 de Crie um serviço de VPN de camada 2.
   • No campo IP remoto, introduza o endereço IP de carregamento do limite autónomo no seu ambiente no local.
   • Introduza a chave pré-partilhada.
   • No campo Interface de túnel, introduza um endereço IP da sub-rede da interface de túnel reservada.
   • No campo ID remoto, introduza o valor de IP remoto.
   • Deixe os outros campos em branco.

Crie um segmento de rede para estender à sua VLAN no local

1. No NSX-T Manager, aceda a Networking > Segments > Add Segment.

2. Forneça os seguintes detalhes para criar um segmento a expandir para a sua VLAN no local:

   • Introduza o nome do segmento.
   • No campo Gateway associado, selecione Nenhum.
   • Para Zona de transporte, selecione TZ-Overlay.
   • No campo VPN de camada 2, selecione a sessão de VPN de camada 2 criada anteriormente em Crie uma sessão de VPN de camada 2.
   • No campo ID do túnel VPN, introduza um ID do túnel exclusivo (por exemplo, 100). Este ID do túnel tem de corresponder ao ID do túnel usado quando estende a VLAN a partir das instalações.
   • Deixe os outros campos em branco.

   

3. Aceda a Rede > VPN > Sessões de VPN L2.

4. Expanda a Sessão e clique em Transferir configuração para transferir a configuração da VPN de camada 2.

5. Abra o ficheiro transferido com qualquer editor de texto e copie a string peer_code sem as aspas. Vai usar esta string mais tarde quando configurar o limite autónomo no local para a VPN de camada 2 nas secções subsequentes.

Anuncie o IP do ponto final local do IPSec à rede externa

Este passo varia consoante use um gateway de nível 1 ou de nível 0 para serviços de VPN de camada 2.

Anuncie a partir de um gateway de nível 0

Se usar um gateway de nível 0, faça o seguinte para anunciar o IP do ponto final local do IPSec a partir do gateway de nível 0 para a rede externa:

1. Aceda a Rede > Gateways de nível 0.
2. Edite o gateway de nível 0 usado para a VPN de camada 2 (idealmente, o LR do fornecedor).
3. Expanda Redistribuição de rotas.
4. Na secção Sub-redes de nível 0, selecione a caixa de verificação IP local do IPSec.
5. Clique em Guardar.

6. Agregue a sub-rede do ponto final local do IPSec no gateway de nível 0. É necessária a agregação de routers no gateway de nível 0 para que o ponto final local do IPSec seja acessível ao IP de carregamento do limite autónomo no local e não seja filtrado na estrutura de rede.

   1. Aceda a Rede > Gateways de nível 0.
   2. Edite o gateway de nível 0 selecionado usado para a VPN de camada 2 (idealmente, o LR do fornecedor).
   3. Aceda a BGP > Agregação de rotas > Adicionar prefixo.
   4. Na coluna Prefixo, introduza a rede do ponto final local.
   5. Na coluna Apenas resumo, selecione Sim.
   6. Clique em Aplicar e Guardar.

Anuncie a partir de um gateway de nível 1

Se usar um gateway de nível 1 para serviços de VPN de camada 2 (como na implementação de exemplo), siga os passos abaixo:

1. Agregue a sub-rede do ponto final local do IPSec no gateway de nível 0. É necessária a agregação de routers no gateway de nível 0 para que o ponto final local do IPSec seja acessível ao IP de carregamento do limite autónomo no local e não seja filtrado na estrutura de rede.

   1. Aceda a Rede > Gateways de nível 0.
   2. Edite o gateway de nível 0 selecionado usado para a VPN de camada 2 (idealmente, o LR do fornecedor).
   3. Aceda a BGP > Agregação de rotas > Adicionar prefixo.
   4. Na coluna Prefixo, introduza a rede do ponto final local.
   5. Na coluna Apenas resumo, selecione Sim.
   6. Clique em Aplicar e Guardar.

2. Aceda a Rede > Gateways de nível 1.

3. Edite o gateway de nível 1 usado para a VPN de camada 2 (idealmente, o LR do fornecedor).

4. Na secção Anúncio de trajeto, ative o botão ativar/desativar Ponto final local do IPSec.

5. Clique em Guardar.

Configure o cliente VPN de camada 2 no limite autónomo (no local)

Os passos seguintes mostram como configurar um cliente VPN de camada 2 no limite autónomo implementado no local em Implemente o limite autónomo do NSX-T:

1. Inicie sessão no NSX-T Autonomous Edge através do endereço IP do dispositivo de gestão.

2. Adicione uma sessão de VPN de camada 2:

   1. Aceda a VPN L2 e clique em Adicionar sessão.

   2. Introduza os seguintes detalhes:

      • No campo Nome da sessão, introduza o nome da sessão configurado em Crie uma sessão de VPN de camada 2.
      • Defina o Estado de administrador como Ativado.
      • No campo IP local, introduza o endereço IP de carregamento do limite autónomo.
      • No campo IP remoto, introduza o endereço IP configurado como um ponto final local em Configure o servidor VPN de camada 2 no NSX-T Manager na sua nuvem privada.
      • No campo Código de pares, introduza a string peer_code copiada em Configure o servidor VPN de camada 2 no NSX-T Manager na sua nuvem privada.

   3. Clique em Guardar.

3. Estenda a VLAN no local:

   1. Aceda a Porta e clique em Adicionar porta.

   2. Introduza os seguintes detalhes:

      • No campo Nome da portabilidade, introduza o nome da portabilidade.
      • Deixe o campo Subnet em branco.
      • No campo VLAN, introduza o ID da VLAN no local a ser expandida.
      • Para Interface de saída, selecione a interface de uplink (como eth2).

   3. Clique em Guardar.

4. Anexe a porta à sessão de VPN L2.

   1. Aceda a L2 VPN e clique em Anexar porta.

   2. Introduza os seguintes detalhes:

      • Selecione a sessão de VPN L2 criada anteriormente no passo 2.
      • Selecione a Porta criada anteriormente no passo 3.
      • No campo ID do túnel, introduza o mesmo ID do túnel usado para expandir o segmento na sua nuvem privada (em Configure o servidor VPN de camada 2 no NSX-T Manager na sua nuvem privada).

   3. A sessão de VPN de camada 2 é apresentada na tabela com um Estado de "ATIVO". A VLAN no local é agora alargada à nuvem privada do VMware Engine (segmento alargado). As cargas de trabalho associadas à VLAN alargada no local tornam-se acessíveis às cargas de trabalho associadas ao segmento alargado na sua nuvem privada do VMware Engine.

Implemente o NSX-T Autonomous Edge secundário (cliente VPN de camada 2) no modo de HA

Opcionalmente, use os seguintes passos para implementar um Autonomous Edge do NSX-T secundário (cliente VPN de camada 2) no modo de HA no seu ambiente no local:

1. Siga os passos em Implemente o NSX-T Autonomous Edge no seu ambiente no local até aceder ao passo Personalizar modelo.

2. No passo Personalizar modelo, faça o seguinte:

   1. Na secção Aplicação, introduza os seguintes detalhes:

      • Defina a palavra-passe do utilizador raiz do sistema.
      • Defina a palavra-passe do utilizador "admin" da CLI.
      • Selecione a caixa de verificação É um dispositivo autónomo.
      • Deixe todos os outros campos vazios.

   2. Na secção Propriedades da rede, introduza os seguintes detalhes:

      • Defina o Nome do anfitrião.
      • Defina o Gateway IPv4 predefinido. Este é o gateway predefinido da rede de gestão.
      • Defina o endereço IPv4 da rede de gestão. Este é o IP de gestão para o limite autónomo secundário.
      • Defina a máscara de sub-rede da rede de gestão. Este é o comprimento do prefixo da rede de gestão.

   3. Na secção DNS, introduza os seguintes detalhes:

      • Introduza a lista de servidores DNS.
      • Introduza os endereços IP do servidor DNS, separados por espaços.
      • Introduza a lista de pesquisa de domínios.
      • Introduza o Nome do domínio.

   4. Na secção Configuração dos serviços, introduza os seguintes detalhes:

      • Introduza a lista de servidores NTP.
      • Introduza os servidores NTP, separados por espaços.
      • Selecione a caixa de verificação Ativar SSH.
      • Selecione a caixa de verificação Permitir inícios de sessão SSH de raiz.
      • Introduza o servidor de registo (se existir).

   5. Deixe a secção Externo vazia.

   6. Na secção HA, introduza os seguintes detalhes:

      • Introduza os detalhes da porta de HA no seguinte formato: VLAN ID,exitPnic,IP,Prefix Length. Por exemplo: 2880,eth4,172.16.8.11,28. Substitua os seguintes valores:

        • VLAN ID: ID da VLAN de gestão
        • exitPnic: ID da interface reservado para tráfego de HA
        • IP: endereço IP reservado para a interface de HA para o limite autónomo secundário
        • Prefix Length: comprimento do prefixo para a rede de HA

      • No campo Gateway predefinido da porta de HA, introduza o gateway predefinido da rede de gestão.

      • Selecione a caixa de verificação Nó da API secundária.

      • No campo IP de gestão do nó principal, introduza o endereço IP de gestão do limite autónomo principal.

      • No campo Nome de utilizador do nó principal, introduza o nome de utilizador do limite autónomo principal (por exemplo, "admin").

      • No campo Palavra-passe do nó principal, introduza a palavra-passe do limite autónomo principal.

      • No campo Primary Node Management Thumbprint, introduza a impressão digital da API do limite autónomo principal. Pode obter esta informação estabelecendo ligação através de SSH à extremidade autónoma principal com credenciais de administrador e executando o comando get certificate api thumbprint.

3. Conclua os restantes passos de implementação do modelo OVF para implementar o limite autónomo secundário (cliente VPN de camada 2 no local).

O limite autónomo resultante tem um Estado de elevada disponibilidade de Ativo.

Exemplo de implementação de VPN de camada 2

As tabelas seguintes fornecem especificações para uma implementação de VPN de camada 2 de exemplo.

Rede nas instalações a expandir

Propriedade de rede	Valor
VLAN	2875
CIDR	172.16.8.16/28

Rede no local onde a extremidade autónoma está implementada

Propriedade de rede	Valor
VLAN de gestão	2880
CIDR de gestão	172.16.8.0/28
VLAN de ligação ascendente	2871
CIDR de uplink	172.16.8.32/28
VLAN de HA (igual à gestão)	2880
CIDR de HA (igual ao de gestão)	172.16.8.0/28
Endereço IP de gestão autónoma de limite principal	172.16.8.14
Endereço IP de carregamento autónomo de extremidade principal	172.16.8.46
Endereço IP de HA autónomo principal na periferia	172.16.8.12
Endereço IP de gestão autónoma secundário na periferia	172.16.8.13
Endereço IP de HA autónomo secundário	172.16.8.11

Esquema de IP da nuvem privada para o router de nível 1 do NSX (servidor VPN de camada 2)

Propriedade de rede	Valor
Endereço IP do ponto final local	192.168.198.198
Rede de pontos finais locais	192.168.198.198/31
Interface de túnel	192.168.199.1/30
Segmento (esticado)	L2 VPN-Seg-test
Interface de loopback (endereço IP NAT)	104.40.21.81

Rede de nuvem privada a mapear para a rede expandida

Propriedade de rede	Valor
Segmento (esticado)	L2 VPN-Seg-test
CIDR	172.16.8.16/28

O que se segue?

• Para mais informações sobre a extensão de redes no local através da VPN de camada 2 do NSX, consulte a documentação da VMware Compreender a VPN de camada 2.