使用 NSX 將內部部署第 2 層網路延伸至私有雲
本文說明如何使用 NSX 型第 2 層 VPN,將第 2 層網路從內部部署環境延伸至 Google Cloud VMware Engine 私有雲。如要改用 HCX 網路擴充功能延伸第 2 層網路,請參閱 VMware HCX 說明文件。
第 2 層 VPN 網路延伸功能可搭配或不搭配內部部署 VMware 環境中的 NSX 網路。如果沒有適用於地端工作負載的 NSX 疊加網路,請使用 NSX-T Autonomous Edge,其中包含啟用資料平面開發套件 (DPDK) 的介面,可提供高效能。
相較於使用 HCX 網路擴充功能,使用 NSX 延伸第 2 層網路具有下列優點:
- NSX 中的第 2 層 VPN 延伸功能支援使用幹道介面。
- NSX 的網路輸送量高於使用 HCX 網路擴充功能時的輸送量。
- 與 HCX 相比,NSX 的升級次數較少,停機時間也較短。
- HCX 網路擴充功能需要內部部署的 vSphere Enterprise Plus 授權,但第 2 層 VPN 延伸功能可在內部部署的 vSphere Standard 授權上運作。
部署情境
如要使用第 2 層 VPN 擴展內部部署網路,所述的部署情境會設定第 2 層 VPN 伺服器和第 2 層 VPN 用戶端。這個程序包含下列主要步驟:
- 在內部部署環境中,部署 NSX-T Autonomous Edge (第 2 層 VPN 用戶端)。
- 在私有雲中,於 NSX-T Manager 上設定第 2 層 VPN 伺服器。
- 在內部部署環境中,於自主邊緣設定第 2 層 VPN 用戶端。
- (選用) 在地端環境中,以高可用性模式部署次要自主邊緣 (第 2 層 VPN 用戶端)。
您的私有雲已透過 Cloud VPN 或 Cloud Interconnect 連線至內部部署環境。這項設定可確保私有雲中的第 0 層或第 1 層閘道,與地端網路中的自主邊緣用戶端之間存在路由路徑。
如需第 2 層 VPN 部署作業的規格範例,請參閱「第 2 層 VPN 部署作業範例」一節。
事前準備
開始之前,請先執行下列操作:
- 將地端環境連線至虛擬私有雲網路。
- 找出要延伸至私有雲的工作負載第 2 層網路。
- 在內部部署環境中找出兩個 VLAN,用於部署自主邊緣裝置 (第 2 層 VPN 用戶端)。
- 建立私有雲。
- 在內部部署 DNS 伺服器上設定 DNS 轉送,讓網域指向 Private Cloud DNS 伺服器。
- 允許自主邊緣的上行鏈路 IP 位址與本機端點 IP 位址之間,在通訊埠 500 和 4500 上傳輸 UDP 流量,以便在私有雲的第 0 層或第 1 層閘道上使用。
此外,請確認已滿足下列必要條件:
- 內部部署 vSphere 版本必須為 6.7U1 以上或 6.5P03 以上。對應的授權必須為 Enterprise Plus 級別 (適用於 vSphere Distributed Switch)。
- 自主式邊緣裝置的版本與私有雲中使用的 NSX-T Manager 版本相容。
- 往返時間 (RTT) 延遲時間小於或等於 150 毫秒,這是 vMotion 在兩個網站之間運作的必要條件 (以防嘗試遷移工作負載)。
限制和注意事項
下表列出支援的 vSphere 版本和網路介面卡類型:
| vSphere 版本 | 來源 vSwitch 類型 | 虛擬 NIC 驅動程式 | 目標 vSwitch 類型 | 是否支援? |
|---|---|---|---|---|
| 全部 | DVS | 全部 | DVS | 是 |
| vSphere 6.7UI 以上版本、6.5P03 以上版本 | DVS | VMXNET3 | N-VDS | 是 |
| vSphere 6.7UI 以上版本、6.5P03 以上版本 | DVS | E1000 | N-VDS | VMware 不支援 |
| vSphere 6.7UI 或 6.5P03、NSX-V 或 NSX-T2.2 以下版本、6.5P03 以上版本 | 全部 | 全部 | N-VDS | VMware 不支援 |
部署 NSX-T 自主邊緣 (第 2 層 VPN 用戶端)
如要在地端環境中部署 NSX-T Autonomous Edge,請在地端建立幹道連接埠群組,然後使用該連接埠群組建立 Autonomous Edge。
建立及設定幹道連接埠群組
下列步驟說明如何建立及設定幹道連接埠群組:
建立分散式連接埠群組,並將 VLAN 類型設為 VLAN 中繼。 提供要延伸的 VLAN。
在「安全性」選項中,將「任意模式」和「偽造傳輸」都設為「接受」。
在組隊和容錯移轉選項中,將「負載平衡」設為「使用明確的容錯移轉順序」。
在組隊和容錯移轉選項中,將「Active uplinks」(作用中上行連結) 設為「uplink1」,並將「Standby uplinks」(待命上行連結) 設為「uplink2」。
完成剩餘的連接埠群組建立步驟。
在內部部署環境中部署自主式邊緣裝置
下列步驟說明如何在內部部署環境中部署 NSX-T Autonomous Edge (第 2 層 VPN 用戶端):
- 與 Cloud Customer Care 團隊聯絡,下載正確版本的 VMware ESXi 適用的 NSX Edge。
以 OVF 範本形式部署 NSX Edge OVA。
- 在「Configuration」(設定) 步驟中,選取「Large」(大型) 設定,以符合 VMware Engine 私有雲隨附的大型規格 NSX Edge。
- 在「選取儲存空間」步驟中,選取要使用的資料存放區。
在「選取網路」步驟中,提供要用於不同流量類型的通訊埠群組:
- 網路 0 (設備上的 eth1):選取預留給管理流量的連接埠群組。
- 網路 1 (設備上的 eth2):選取預留給上行流量的連接埠群組。
- 網路 2 (設備上的 eth3):選取中繼線路連接埠群組。
- 網路 3 (設備上的 eth4):選取為 HA 流量保留的通訊埠群組。在下圖中,預留給管理流量的連接埠群組也用於 HA 流量。
在「自訂範本」步驟中,輸入下列詳細資料:
在「應用程式」部分執行下列操作:
- 設定「系統根使用者密碼」。
- 設定 CLI「admin」使用者密碼。
- 勾選「Is Autonomous Edge」核取方塊。
- 將其餘欄位留空。
在「網路屬性」部分,執行下列操作:
- 設定「Hostname」(主機名稱)。
- 設定「Default IPv4 Gateway」(預設 IPv4 閘道)。這是管理網路的預設閘道。
- 設定「管理網路 IPv4 位址」。這是自主邊緣的 IP 管理位址。
- 設定「管理網路網路遮罩」。這是管理網路前置碼長度。
在「DNS」DNS部分執行下列操作:
- 在「DNS Server list」(DNS 伺服器清單) 欄位中,輸入以半形空格分隔的 DNS 伺服器 IP 位址。
- 在「網域搜尋清單」欄位中輸入網域名稱。
在「服務設定」部分,完成下列步驟:
- 輸入 NTP 伺服器清單。
- 輸入 NTP 伺服器,並以半形空格分隔。
- 勾選「Enable SSH」(啟用 SSH) 核取方塊。
- 勾選「Allow Root SSH logins」(允許根 SSH 登入) 核取方塊。
- 輸入記錄伺服器 (如有)。
在「外部」部分執行下列操作:
請按照下列格式輸入「外部連接埠」詳細資料:
VLAN ID,Exit Interface,IP,Prefix Length。 例如:2871,eth2,172.16.8.46,28。請替換下列值:VLAN ID:上行 VLAN 的 VLAN IDExit Interface:保留給上行流量的介面 IDIP:保留給上行介面的 IP 位址Prefix Length:上行網路的前置字串長度
在「External Gateway」(外部閘道) 欄位中,輸入上行網路的預設閘道。
在「HA」HA部分,執行下列操作:
請按照下列格式輸入 HA 連接埠詳細資料:
VLAN ID,exitPnic,IP,Prefix Length。 例如:2880,eth4,172.16.8.46,28。請替換下列值:VLAN ID:管理 VLAN 的 VLAN IDexitPnic:保留給 HA 流量的介面 IDIP:為高可用性介面保留的 IP 位址Prefix Length:HA 網路的前置長度
在「HA Port Default Gateway」(高可用性通訊埠預設閘道) 欄位中,輸入管理網路的預設閘道。如果使用其他網路進行 HA 通訊,請提供對應的預設閘道。
將其餘欄位留空。
完成其餘 OVF 範本部署步驟。
在私有雲的 NSX-T Manager 上設定第 2 層 VPN 伺服器
下列步驟說明如何在私有雲 NSX-T Manager 的第 0 層或第 1 層閘道上設定第 2 層 VPN 伺服器。
建立第 2 層 VPN 服務
- 在 NSX-T Manager 中,依序前往「Networking」>「VPN」>「VPN Services」>「Add Service」>「IPSec」。
輸入下列詳細資料,建立 IPSec 服務:
- 輸入「名稱」。
- 在「Tier0/Tier1 Gateway」欄中,選取要執行第 2 層 VPN 伺服器的閘道。
- 將其他欄位留空。
依序前往「Networking」>「VPN」>「Local Endpoints」。
輸入下列詳細資料來建立本機端點:
- 輸入「名稱」。
- 在「VPN Service」(VPN 服務) 欄中,選取您剛建立的 IPSec VPN 服務。
- 在「IP Address」(IP 位址) 欄位中,輸入為本機端點保留的 IP 位址,這也會是 IPSec/第 2 層 VPN 通道的終止 IP 位址。
- 在「Local ID」(本機 ID) 欄位中,輸入相同的保留 IP 位址。
- 將其他欄位留空。
依序前往「Networking」>「VPN」>「VPN Services」>「Add Service」>「L2 VPN Server」。
輸入下列詳細資料,建立第 2 層 VPN 服務:
- 輸入「名稱」。
- 在「Tier0/Tier1 Gateway」欄中,選取要執行第 2 層 VPN 伺服器的閘道 (與步驟 2 中使用的閘道相同)。
- 將其他欄位留空。
建立第 2 層 VPN 工作階段
- 在 NSX-T Manager 中,依序前往「Networking」(網路)>「VPN」>「L2 VPN Sessions」(第 2 層 VPN 工作階段)>「Add L2 VPN Session」(新增第 2 層 VPN 工作階段)>「L2 VPN Server」(第 2 層 VPN 伺服器)。
輸入下列詳細資料,建立第 2 層 VPN 工作階段:
建立網路區隔,以擴充至內部部署 VLAN
- 在 NSX-T Manager 中,依序前往「Networking」(網路)>「Segments」(區隔)>「Add Segment」(新增區隔)。
如要建立區隔,將範圍擴展至內部部署 VLAN,請提供下列詳細資料:
- 輸入「區隔名稱」。
- 在「Connected Gateway」(已連線的閘道) 欄位中,選取「None」(無)。
- 在「Transport Zone」(傳輸區域) 部分,選取「TZ-Overlay」(傳輸區域疊加)。
- 在「L2 VPN」欄位中,選取先前在「建立第 2 層 VPN 工作階段」中建立的第 2 層 VPN 工作階段。
- 在「VPN Tunnel ID」(VPN 通道 ID) 欄位中,輸入專屬通道 ID (例如 100)。這個通道 ID 必須與從內部部署環境擴充 VLAN 時使用的通道 ID 相符。
- 將其他欄位留空。
依序前往「Networking」>「VPN」>「L2 VPN Sessions」。
展開「工作階段」,然後按一下「下載設定」,下載第 2 層 VPN 設定。
使用任何文字編輯器開啟下載的檔案,然後複製 peer_code 字串 (不含引號)。您稍後會在後續章節中,為第 2 層 VPN 設定自主式邊緣內部部署時使用這個字串。
向外部網路通告 IPSec 本機端點 IP
這個步驟會因您為第 2 層 VPN 服務使用第 1 層或第 0 層閘道而有所不同。
從第 0 層閘道宣傳
如果您使用第 0 層閘道,請按照下列步驟,從第 0 層閘道向外部網路通告 IPSec 本機端點 IP:
- 依序前往「Networking」>「Tier-0 Gateways」。
- 編輯用於第 2 層 VPN 的 Tier-0 閘道 (理想情況下為 Provider-LR)。
- 展開「Route Re-Distribution」(路徑重新分配)。
- 在「Tier-0 Subnets」(第 0 層子網路) 區段中,選取「IPSec Local IP」(IPSec 本機 IP) 核取方塊。
- 按一下 [儲存]。
在第 0 層閘道上彙整 IPSec 本機端點子網路。第 0 層閘道需要路由器聚合,IPSec 本機端點才能同時連上內部部署自主邊緣的上行 IP,且不會在網路架構中遭到篩除。
- 依序前往「Networking」>「Tier-0 Gateways」。
- 編輯用於第 2 層 VPN 的所選 Tier-0 閘道 (最好是 Provider-LR)。
- 依序前往「BGP」「路由聚合」「新增前置碼」。
- 在「Prefix」(前置字串) 欄中,輸入本機端點網路。
- 在「僅限摘要」欄中,選取「是」。
- 依序按一下「套用」和「儲存」。
從第 1 層閘道 advertise
如果您使用第 1 層閘道提供第 2 層 VPN 服務 (如範例部署作業所示),請改為執行下列步驟:
在第 0 層閘道上彙整 IPSec 本機端點子網路。第 0 層閘道需要路由器聚合,IPSec 本機端點才能同時連上內部部署自主邊緣的上行 IP,且不會在網路架構中遭到篩除。
- 依序前往「Networking」>「Tier-0 Gateways」。
- 編輯用於第 2 層 VPN 的所選 Tier-0 閘道 (最好是 Provider-LR)。
- 依序前往「BGP」「路由聚合」「新增前置碼」。
- 在「Prefix」(前置字串) 欄中,輸入本機端點網路。
- 在「僅限摘要」欄中,選取「是」。
- 依序按一下「套用」和「儲存」。
依序前往「Networking」>「Tier-1 Gateways」。
編輯用於第 2 層 VPN 的 第 1 層閘道 (最好是 Provider-LR)。
在「Route Advertisement」(路徑通告) 專區中,啟用「IPSec Local Endpoint」(IPSec 本機端點) 切換按鈕。
按一下 [儲存]。
在自主邊緣 (內部部署) 設定第 2 層 VPN 用戶端
下列步驟說明如何在部署 NSX-T 自主式邊緣中部署的內部部署自主式邊緣上,設定第 2 層 VPN 用戶端:
- 使用管理設備 IP 位址登入 NSX-T Autonomous Edge。
新增第 2 層 VPN 工作階段:
- 前往「L2 VPN」,然後按一下「新增工作階段」。
輸入下列詳細資訊:
- 在「Session Name」(工作階段名稱) 欄位中,輸入「建立第 2 層 VPN 工作階段」中設定的工作階段名稱。
- 將「管理員狀態」設為「已啟用」。
- 在「Local IP」(本機 IP) 欄位中,輸入自主邊緣的上行 IP 位址。
- 在「Remote IP」欄位中,輸入在私有雲的 NSX-T Manager 中設定第 2 層 VPN 伺服器時,設定為本機端點的 IP 位址。
- 在「同層級程式碼」欄位中,輸入您在「在私有雲的 NSX-T Manager 上設定第 2 層 VPN 伺服器」中複製的 peer_code 字串。
按一下 [儲存]。
擴充內部部署 VLAN:
- 前往「通訊埠」,然後按一下「新增通訊埠」。
輸入下列詳細資訊:
- 在「Port Name」(通訊埠名稱) 欄位中輸入通訊埠名稱。
- 將「子網路」欄位留空。
- 在「VLAN」VLAN欄位中,輸入要擴充的地端 VLAN 的 VLAN ID。
- 在「Exit Interface」(退出介面) 中,選取上行鏈路介面 (例如 eth2)。
按一下 [儲存]。
將連接埠附加至 L2 VPN 工作階段。
- 前往「L2 VPN」,然後按一下「Attach Port」。
輸入下列詳細資訊:
- 選取您在步驟 2 中建立的 L2 VPN 工作階段。
- 選取您在步驟 3 中建立的連接埠。
- 在「通道 ID」欄位中,輸入用於擴充私有雲中區隔的通道 ID (請參閱「在私有雲的 NSX-T Manager 上設定第 2 層 VPN 伺服器」)。
表格中會顯示第 2 層 VPN 工作階段,且「狀態」為「UP」。 內部部署 VLAN 現在已擴充至 VMware Engine 私有雲 (擴充區隔)。附加至地端延伸 VLAN 的工作負載,現在可連上 VMware Engine 私有雲中附加至延伸區隔的工作負載。
以 HA 模式部署次要 NSX-T Autonomous Edge (第 2 層 VPN 用戶端)
您也可以選擇在內部部署環境中,按照下列步驟以高可用性模式部署次要 NSX-T Autonomous Edge (第 2 層 VPN 用戶端):
- 按照「在內部部署環境中部署 NSX-T Autonomous Edge」中的步驟操作,直到抵達「自訂範本」步驟。
在「自訂範本」步驟中,請改為執行下列操作:
在「應用程式」部分中,輸入下列詳細資料:
- 設定「系統根使用者密碼」。
- 設定 CLI「admin」使用者密碼。
- 勾選「Is Autonomous Edge」核取方塊。
- 將其他欄位留空。
在「Network Properties」(網路屬性) 區段中,輸入下列詳細資料:
- 設定「Hostname」(主機名稱)。
- 設定「Default IPv4 Gateway」(預設 IPv4 閘道)。這是管理網路的預設閘道。
- 設定「管理網路 IPv4 位址」。這是次要自主邊緣的 IP 管理位址。
- 設定「管理網路網路遮罩」。這是管理網路前置字元長度。
在「DNS」部分,輸入下列詳細資料:
- 輸入 DNS 伺服器清單。
- 輸入 DNS 伺服器 IP 位址,並以半形空格分隔。
- 輸入網域搜尋清單。
- 輸入「網域名稱」。
在「服務設定」部分,輸入下列詳細資料:
- 輸入 NTP 伺服器清單。
- 輸入 NTP 伺服器,並以半形空格分隔。
- 勾選「Enable SSH」(啟用 SSH) 核取方塊。
- 勾選「Allow Root SSH logins」(允許根 SSH 登入) 核取方塊。
- 輸入記錄伺服器 (如有)。
將「外部」區段留空。
在「HA」部分中,輸入下列詳細資料:
請按照下列格式輸入 HA 連接埠詳細資料:
VLAN ID,exitPnic,IP,Prefix Length。 例如:2880,eth4,172.16.8.11,28。替換下列值:VLAN ID:管理 VLAN 的 VLAN IDexitPnic:保留給 HA 流量的介面 IDIP:為次要自主邊緣的 HA 介面保留的 IP 位址Prefix Length:HA 網路的前置長度
在「HA Port Default Gateway」(高可用性通訊埠預設閘道) 欄位中,輸入管理網路的預設閘道。
勾選「Secondary API Node」核取方塊。
在「Primary Node Management IP」(主要節點管理 IP) 欄位中,輸入主要自主式邊緣的管理 IP 位址。
在「Primary Node Username」(主要節點使用者名稱) 欄位中,輸入主要自主式邊緣裝置的使用者名稱 (例如「admin」)。
在「Primary Node Password」(主要節點密碼) 欄位中,輸入主要自主式邊緣裝置的密碼。
在「Primary Node Management Thumbprint」(主要節點管理指紋) 欄位中,輸入主要自主式邊緣的 API 指紋。如要取得這項資訊,請使用管理員憑證透過 SSH 連線至主要自主式邊緣裝置,然後執行
get certificate api thumbprint指令。
完成剩餘的 OVF 範本部署步驟,部署次要自主邊緣 (內部部署第 2 層 VPN 用戶端)。
產生的自主邊緣裝置的「高可用性狀態」為「有效」。
第 2 層 VPN 部署範例
下表提供第 2 層 VPN 部署作業的規格範例。
要擴充的地端部署網路
| 聯播網資源 | 值 |
|---|---|
| VLAN | 2875 |
| CIDR | 172.16.8.16/28 |
部署自主邊緣裝置的地端網路
| 聯播網資源 | 值 |
|---|---|
| 管理 VLAN | 2880 |
| 管理 CIDR | 172.16.8.0/28 |
| 上行鏈路 VLAN | 2871 |
| 上行鏈路 CIDR | 172.16.8.32/28 |
| 高可用性 VLAN (與管理 VLAN 相同) | 2880 |
| 高可用性 CIDR (與管理 CIDR 相同) | 172.16.8.0/28 |
| 主要自主邊緣管理 IP 位址 | 172.16.8.14 |
| 主要自主邊緣上行鏈路 IP 位址 | 172.16.8.46 |
| 主要自主邊緣 HA IP 位址 | 172.16.8.12 |
| 次要自主邊緣管理 IP 位址 | 172.16.8.13 |
| 次要自主邊緣 HA IP 位址 | 172.16.8.11 |
NSX 第 1 層路由器 (第 2 層 VPN 伺服器) 的私有雲 IP 架構
| 聯播網資源 | 值 |
|---|---|
| 本機端點 IP 位址 | 192.168.198.198 |
| 本機端點網路 | 192.168.198.198/31 |
| 通道介面 | 192.168.199.1/30 |
| 區隔 (延展) | L2 VPN-Seg-test |
| 迴路介面 (NAT IP 位址) | 104.40.21.81 |
要對應至延展網路的私有雲網路
| 聯播網資源 | 值 |
|---|---|
| 區隔 (延展) | L2 VPN-Seg-test |
| CIDR | 172.16.8.16/28 |
後續步驟
- 如要進一步瞭解如何使用 NSX 第 2 層 VPN 擴充內部部署網路,請參閱 VMware 說明文件「瞭解第 2 層 VPN」。