Estendi le reti on-premise di livello 2 a un cloud privato utilizzando NSX-T

Questo documento descrive come estendere una rete di livello 2 dall'ambiente on-premise al cloud privato Google Cloud VMware Engine utilizzando una VPN di livello 2 basata su NSX-T. Per estendere una rete di livello 2 utilizzando un'estensione di rete HCX, consulta la documentazione di VMware HCX.

Lo stretching delle reti Layer 2 basato su VPN Layer 2 può funzionare con o senza reti basate su NSX-T nel tuo ambiente VMware on-premise. Se non hai reti overlay basate su NSX-T per i carichi di lavoro on-premise, utilizza un NSX-T Autonomous Edge, che dispone di interfacce DPDK (Data Plane Development Kit) per prestazioni elevate.

Lo stretching di una rete di livello 2 utilizzando NSX-T presenta i seguenti vantaggi rispetto all'utilizzo di un'estensione di rete HCX:

• L'estensione VPN di livello 2 in NSX-T supporta l'utilizzo di un'interfaccia trunk.
• Il throughput di rete in NSX-T è superiore rispetto all'utilizzo di un'estensione di rete HCX.
• NSX-T richiede meno upgrade e meno tempo di riposo rispetto a HCX.
• Un'estensione di rete HCX richiede una licenza vSphere Enterprise Plus on-premise, ma lo stretching VPN di livello 2 può funzionare con una licenza vSphere Standard on-premise.

Scenario di deployment

Per estendere la rete on-premise utilizzando la VPN di livello 2, lo scenario di implementazione descritto configura un server VPN di livello 2 e un client VPN di livello 2. La procedura consiste nei seguenti passaggi principali:

1. Nell'ambiente on-premise, esegui il deployment di NSX-T Autonomous Edge (client VPN di livello 2).
2. Nel tuo cloud privato, configura un server VPN di livello 2 su NSX-T Manager.
3. Nell'ambiente on-premise, configura il client VPN di livello 2 sull'edge autonomo.
4. (Facoltativo) Nell'ambiente on-premise, esegui il deployment dell'elemento edge autonomo secondario (client VPN di livello 2) in modalità HA.

Il tuo cloud privato è collegato al tuo ambiente on-premise tramite Cloud VPN o Cloud Interconnect. Questa configurazione garantisce che esista un percorso di routing tra il gateway di livello 0 o 1 nel tuo cloud privato e il client edge autonomo nella tua rete on-premise.

Per le specifiche di esempio di un deployment VPN di livello 2, consulta la sezione Deployment VPN di livello 2 di esempio.

Prima di iniziare

Prima di iniziare, segui questi passaggi:

• Collega il tuo ambiente on-premise alla rete VPC.
• Identifica la rete di livello 2 del carico di lavoro che vuoi estendere al tuo cloud privato.
• Identifica due VLAN nel tuo ambiente on-premise per il deployment dell'appliance edge autonoma (client VPN di livello 2).
• Crea un cloud privato.
• Configura l'inoltro DNS sui server DNS on-premise in modo che il dominio rimandi ai server DNS del cloud privato.
• Consenti il traffico UDP sulle porte 500 e 4500 tra l'indirizzo IP uplink dell'edge autonomo e l'indirizzo IP dell'endpoint locale da utilizzare sul gateway di livello 0 o 1 nel tuo cloud privato.

Inoltre, verifica che siano soddisfatti i seguenti prerequisiti:

• La versione di vSphere on-premise deve essere 6.7U1 o successiva o 6.5P03 o successiva. La corrispondente licenza deve essere a livello di Enterprise Plus (per vSphere Distributed Switch).
• La versione dell'appliance edge autonoma è compatibile con la versione di NSX-T Manager utilizzata nel tuo cloud privato.
• La latenza del tempo di round trip (RTT) è inferiore o uguale a 150 ms, valore necessario per il funzionamento di vMotion tra i due siti (nel caso in cui venga tentata la migrazione del workload).

Limitazioni e considerazioni

La tabella seguente elenca le versioni di vSphere e i tipi di adattatori di rete supportati:

Versione vSphere	Tipo di vSwitch di origine	Driver NIC virtuale	Tipo di vSwitch target	Supportato?
Tutti	DVS	Tutti	DVS	Sì
vSphere 6.7UI o versioni successive, 6.5P03 o versioni successive	DVS	VMXNET3	N-VDS	Sì
vSphere 6.7UI o versioni successive, 6.5P03 o versioni successive	DVS	E1000	N-VDS	Non supportato, secondo VMware
vSphere 6.7UI o 6.5P03, NSX-V o versioni precedenti a NSX-T2.2, 6.5P03 o versioni successive	Tutti	Tutti	N-VDS	Non supportato, secondo VMware

Esegui il deployment di NSX-T Autonomous Edge (client VPN di livello 2)

Per eseguire il deployment di NSX-T Autonomous Edge nel tuo ambiente on-premise, crea un gruppo di porte trunk on-premise e poi crea l'autonomous edge utilizzando questo gruppo di porte.

Creare e configurare un gruppo di porte trunk

I passaggi riportati di seguito mostrano come creare e configurare un gruppo di porte trunk:

1. Crea un gruppo di porte distribuite con Tipo VLAN impostato su Trunk VLAN. Fornisci le VLAN che vuoi estendere.

   

2. Nelle opzioni Sicurezza, imposta Modalità promiscua e Trasmissioni con dati contraffatti su Accetta.

3. Nelle opzioni di teaming e failover, imposta Equilibrio del carico su Utilizza ordine di failover esplicito.

4. Nelle opzioni di teaming e failover, imposta Uplink attivi su uplink1 e Uplink di riserva su uplink2.

5. Completa i restanti passaggi di creazione del gruppo di porte.

Esegui il deployment di Edge autonomo nel tuo ambiente on-premise

I passaggi riportati di seguito mostrano come eseguire il deployment di NSX-T Autonomous Edge (client VPN di livello 2) nel tuo ambiente on-premise:

1. Contatta l'assistenza clienti Google Cloud per scaricare la versione corretta di NSX Edge per VMware ESXi.

2. Esegui il deployment dell'OVA di NSX Edge come modello OVF.

   1. Nel passaggio Configurazione, seleziona la configurazione Grande in modo che corrisponda ai dispositivi NSX-T Edge di fattore di forma grande forniti con il tuo cloud privato VMware Engine.
   2. Nel passaggio Seleziona lo spazio di archiviazione, seleziona il data store che vuoi utilizzare.

   3. Nel passaggio Seleziona reti, specifica i gruppi di porte da utilizzare per diversi tipi di traffico:

      • Rete 0 (eth1 sull'appliance): seleziona il gruppo di porte riservato per il traffico di gestione.
      • Rete 1 (eth2 sull'appliance): seleziona il gruppo di porte riservato per il traffico in uplink.
      • Rete 2 (eth3 sull'appliance): seleziona il gruppo di porte trunk.
      • Rete 3 (eth4 sull'appliance): seleziona il gruppo di porte riservato per il traffico HA. Nell'immagine seguente, il gruppo di porte riservato al traffico di gestione viene utilizzato anche per il traffico HA.

      

   4. Nel passaggio Personalizza il modello, inserisci i seguenti dettagli:

      1. Nella sezione Application (Richiesta):

         1. Imposta la password dell'utente root di sistema.
         2. Imposta la password dell'utente "admin" della CLI.
         3. Seleziona la casella di controllo È un'istanza Edge autonoma.
         4. Lascia vuoti i campi rimanenti.

      2. Nella sezione Proprietà di rete:

         1. Imposta il nome host.
         2. Imposta il gateway IPv4 predefinito. Si tratta del gateway predefinito della rete di gestione.
         3. Imposta l'indirizzo IPv4 della rete di gestione. Si tratta dell'IP di gestione dell'edge autonomo.
         4. Imposta la Netmask della rete di gestione. Si tratta della lunghezza del prefisso della rete di gestione.

      3. Nella sezione DNS:

         1. Nel campo Elenco server DNS, inserisci gli indirizzi IP dei server DNS separati da spazi.
         2. Nel campo Elenco di ricerca dei domini, inserisci il nome del dominio.

      4. Nella sezione Configurazione servizi:

         1. Inserisci l'elenco dei server NTP.
         2. Inserisci i server NTP, separati da spazi.
         3. Seleziona la casella di controllo Attiva SSH.
         4. Seleziona la casella di controllo Consenti accessi SSH con utente root.
         5. Inserisci il server di logging (se presente).

      5. Nella sezione Esterno:

         1. Inserisci i dettagli della porta esterna nel seguente formato: VLAN ID,Exit Interface,IP,Prefix Length. Ad esempio: 2871,eth2,172.16.8.46,28. Sostituisci i seguenti valori:

            • VLAN ID: ID VLAN della VLAN uplink
            • Exit Interface: ID interfaccia riservato per il traffico in uplink
            • IP: indirizzo IP riservato all'interfaccia uplink
            • Prefix Length: lunghezza del prefisso per la rete uplink

         2. Nel campo Gateway esterno, inserisci il gateway predefinito della rete uplink.

      6. Nella sezione HA:

         1. Inserisci i dettagli della porta HA nel seguente formato: VLAN ID,exitPnic,IP,Prefix Length. Ad esempio: 2880,eth4,172.16.8.46,28. Sostituisci i seguenti valori:

            • VLAN ID: ID VLAN della VLAN di gestione
            • exitPnic: ID interfaccia riservato per il traffico HA
            • IP: indirizzo IP riservato all'interfaccia HA
            • Prefix Length: lunghezza del prefisso per la rete HA

         2. Nel campo HA Port Default Gateway (Gateway predefinito per la porta HA), inserisci il gateway predefinito della rete di gestione. Se utilizzi una rete diversa per la comunicazione HA, fornisci il gateway predefinito corrispondente.

         3. Lascia vuoti i campi rimanenti.

3. Completa i restanti passaggi di implementazione del modello OVF.

Configura il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato

I passaggi seguenti descrivono come configurare il server VPN di livello 2 su un gateway di livello 0 o di livello 1 in NSX-T Manager del tuo cloud privato.

Crea un servizio VPN di livello 2

1. In NSX-T Manager, vai a Networking > VPN > Servizi VPN > Aggiungi servizio > IPSec.

2. Inserisci i seguenti dettagli per creare un servizio IPSec:

   • Inserisci il nome.
   • Nella colonna Gateway di livello 0/1, seleziona il gateway in cui vuoi eseguire il server VPN di livello 2.
   • Lascia vuoti gli altri campi.

   

3. Vai a Rete > VPN > Endpoint locali.

4. Inserisci i seguenti dettagli per creare un endpoint locale:

   • Inserisci il nome.
   • Nella colonna Servizio VPN, seleziona il servizio VPN IPSec appena creato.
   • Nel campo Indirizzo IP, inserisci l'indirizzo IP riservato per l'endpoint locale, che sarà anche l'indirizzo IP su cui termina il tunnel VPN IPSec/livello 2.
   • Nel campo ID locale, inserisci lo stesso indirizzo IP riservato.
   • Lascia vuoti gli altri campi.

5. Vai a Reti > VPN > Servizi VPN > Aggiungi servizio > Server VPN L2.

6. Inserisci i seguenti dettagli per creare un servizio VPN di livello 2:

   • Inserisci il nome.
   • Nella colonna Gateway di livello 0/1, seleziona il gateway in cui vuoi eseguire il server VPN di livello 2 (lo stesso gateway utilizzato in precedenza nel passaggio 2).
   • Lascia vuoti gli altri campi.

Crea una sessione VPN di livello 2

1. In NSX-T Manager, vai a Networking > VPN > Sessioni VPN L2 > Aggiungi sessione VPN L2 > Server VPN L2.

2. Inserisci i seguenti dettagli per creare una sessione VPN di livello 2:

   • Inserisci il nome.
   • Seleziona l'endpoint/l'IP locale creato in precedenza nel passaggio 4 di Creare un servizio VPN Layer 2.
   • Nel campo IP remoto, inserisci l'indirizzo IP dell'uplink dell'edge autonomo nel tuo ambiente on-premise.
   • Inserisci la chiave precondivisa.
   • Nel campo Interfaccia tunnel, inserisci un indirizzo IP della subnet dell'interfaccia tunnel riservata.
   • Nel campo ID remoto, inserisci il valore di IP remoto.
   • Lascia vuoti gli altri campi.

Crea un segmento di rete da estendere alla VLAN on-premise

1. In NSX-T Manager, vai a Networking > Segmenti > Aggiungi segmento.

2. Fornisci i seguenti dettagli per creare un segmento da estendere alla VLAN on-premise:

   • Inserisci il nome del segmento.
   • Nel campo Gateway connesso, seleziona Nessun.
   • In Zona di trasporto, seleziona TZ-Overlay.
   • Nel campo VPN L2, seleziona la sessione VPN L2 creata in precedenza in Creare una sessione VPN L2.
   • Nel campo VPN Tunnel ID (ID tunnel VPN), inserisci un ID tunnel univoco (ad esempio 100). Questo ID tunnel deve corrispondere all'ID tunnel utilizzato per estendere la VLAN dall'on-premise.
   • Lascia vuoti gli altri campi.

   

3. Vai a Reti > VPN > Sessioni VPN L2.

4. Espandi Sessione e fai clic su Scarica configurazione per scaricare la configurazione VPN di livello 2.

5. Apri il file scaricato utilizzando un qualsiasi editor di testo e copia la stringa peer_code senza le virgolette. Utilizzerai questa stringa in seguito per configurare il perimetro autonomo on-premise per la VPN di livello 2 nelle sezioni successive.

Pubblicizza l'IP dell'endpoint locale IPSec alla rete esterna

Questo passaggio varia a seconda che tu utilizzi un gateway di livello 1 o 0 per i servizi VPN di livello 2.

Pubblicizzare da un gateway di livello 0

Se utilizzi un gateway di primo livello, svolgi i seguenti passaggi per annunciare l'indirizzo IP dell'endpoint locale IPSec dal gateway di primo livello alla rete esterna:

1. Vai a Networking > Gateway di primo livello.
2. Modifica il gateway di livello 0 utilizzato per la VPN di livello 2 (idealmente Provider-LR).
3. Espandi Ridistribuzione dei percorsi.
4. Nella sezione Subnet di livello 0, seleziona la casella di controllo IP locale IPSec.
5. Fai clic su Salva.

6. Aggrega la subnet dell'endpoint locale IPSec sul gateway di livello 0. L'aggregazione del router sul gateway di primo livello è necessaria affinché l'endpoint locale IPSec sia raggiungibile dall'IP uplink dell'edge autonomo on-premise e non venga filtrato nel fabric di rete.

   1. Vai a Networking > Gateway di primo livello.
   2. Modifica il gateway di livello 0 selezionato utilizzato per la VPN di livello 2 (idealmente Provider-LR).
   3. Vai a BGP > Aggregazione route > Aggiungi prefisso.
   4. Nella colonna Prefisso, inserisci la rete dell'endpoint locale.
   5. Nella colonna Solo riepilogo, seleziona Sì.
   6. Fai clic su Applica e Salva.

Pubblicizzare da un gateway di primo livello

Se utilizzi un gateway di primo livello per i servizi VPN di livello 2 (come nell'implementazione di esempio), segui invece i passaggi riportati di seguito:

1. Aggrega la subnet dell'endpoint locale IPSec sul gateway di livello 0. L'aggregazione del router sul gateway di primo livello è necessaria affinché l'endpoint locale IPSec sia raggiungibile dall'IP uplink dell'edge autonomo on-premise e non venga filtrato nel fabric di rete.

   1. Vai a Networking > Gateway di primo livello.
   2. Modifica il gateway di livello 0 selezionato utilizzato per la VPN di livello 2 (idealmente Provider-LR).
   3. Vai a BGP > Aggregazione route > Aggiungi prefisso.
   4. Nella colonna Prefisso, inserisci la rete dell'endpoint locale.
   5. Nella colonna Solo riepilogo, seleziona Sì.
   6. Fai clic su Applica e Salva.

2. Vai a Networking > Gateway di primo livello.

3. Modifica il gateway di primo livello utilizzato per la VPN di livello 2 (idealmente Provider-LR).

4. Nella sezione Annunci di route, attiva l'opzione di attivazione/disattivazione Endpoint locale IPSec.

5. Fai clic su Salva.

Configurare il client VPN Layer 2 su un edge autonomo (on-premise)

I passaggi riportati di seguito mostrano come configurare un client VPN Layer 2 sull'edge autonomo di cui è stato eseguito il deployment on-premise in Eseguire il deployment dell'edge autonomo NSX-T:

1. Accedi a NSX-T Autonomous Edge all'indirizzo IP dell'appliance di gestione.

2. Aggiungi una sessione VPN di livello 2:

   1. Vai a VPN L2 e fai clic su Aggiungi sessione.

   2. Inserisci i seguenti dettagli:

      • Nel campo Nome sessione, inserisci il nome della sessione configurato in Creare una sessione VPN di livello 2.
      • Imposta Stato amministratore su Attivato.
      • Nel campo IP locale, inserisci l'indirizzo IP dell'uplink del temporaneo autonomo.
      • Nel campo IP remoto, inserisci l'indirizzo IP configurato come endpoint locale in Configurare il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato.
      • Nel campo Codice peer, inserisci la stringa peer_code copiata in Configurare il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato.

   3. Fai clic su Salva.

3. Estendi la VLAN on-premise:

   1. Vai a Porta e fai clic su Aggiungi porta.

   2. Inserisci i seguenti dettagli:

      • Nel campo Nome della porta, inserisci il nome della porta.
      • Lascia vuoto il campo Subnet (Subnet).
      • Nel campo VLAN, inserisci l'ID VLAN della VLAN on-premise da estendere.
      • Per Interfaccia di uscita, seleziona l'interfaccia uplink (ad esempio eth2).

   3. Fai clic su Salva.

4. Collega la porta alla sessione VPN L2.

   1. Vai a VPN L2 e fai clic su Allega porta.

   2. Inserisci i seguenti dettagli:

      • Seleziona la sessione VPN L2 creata in precedenza nel passaggio 2.
      • Seleziona la porta creata in precedenza nel passaggio 3.
      • Nel campo ID tunnel, inserisci lo stesso ID tunnel utilizzato per estendere il segmento nel tuo cloud privato (in Configurare il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato).

   3. La sessione VPN di livello 2 viene visualizzata nella tabella con lo stato "UP". La VLAN on-premise è ora estesa al cloud privato VMware Engine (segmento esteso). I carichi di lavoro collegati alla VLAN estesa on-premise diventano raggiungibili dai carichi di lavoro collegati al segmento esteso nel cloud privato VMware Engine.

Esegui il deployment dell'elemento NSX-T Autonomous Edge secondario (client VPN di livello 2) in modalità HA

Facoltativamente, segui i passaggi riportati di seguito per eseguire il deployment di un NSX-T Autonomous Edge secondario (client VPN di livello 2) in modalità HA nel tuo ambiente on-premise:

1. Segui i passaggi descritti in Eseguire il deployment di NSX-T Autonomous Edge nell'ambiente on-premise fino a raggiungere il passaggio Personalizza il modello.

2. Al passaggio Personalizza modello, procedi nel seguente modo:

   1. Nella sezione Richiesta, inserisci i seguenti dettagli:

      • Imposta la password dell'utente root di sistema.
      • Imposta la password dell'utente "admin" della CLI.
      • Seleziona la casella di controllo È un'istanza Edge autonoma.
      • Lascia vuoti tutti gli altri campi.

   2. Nella sezione Proprietà di rete, inserisci i seguenti dettagli:

      • Imposta il nome host.
      • Imposta il gateway IPv4 predefinito. Si tratta del gateway predefinito della rete di gestione.
      • Imposta l'indirizzo IPv4 della rete di gestione. Si tratta dell'IP di gestione per l'edge autonomo secondario.
      • Imposta la Netmask della rete di gestione. Si tratta della lunghezza del prefisso della rete di gestione.

   3. Nella sezione DNS, inserisci i seguenti dettagli:

      • Inserisci l'elenco dei server DNS.
      • Inserisci gli indirizzi IP del server DNS, separati da spazi.
      • Inserisci l'elenco di ricerca dei domini.
      • Inserisci il nome di dominio.

   4. Nella sezione Configurazione servizi, inserisci i seguenti dettagli:

      • Inserisci l'elenco dei server NTP.
      • Inserisci i server NTP, separati da spazi.
      • Seleziona la casella di controllo Attiva SSH.
      • Seleziona la casella di controllo Consenti accessi SSH con utente root.
      • Inserisci il server di logging (se presente).

   5. Lascia vuota la sezione Esterno.

   6. Nella sezione HA, inserisci i seguenti dettagli:

      • Inserisci i dettagli della porta HA nel seguente formato: VLAN ID,exitPnic,IP,Prefix Length. Ad esempio: 2880,eth4,172.16.8.11,28. Sostituisci i seguenti valori:

        • VLAN ID: ID VLAN della VLAN di gestione
        • exitPnic: ID interfaccia riservato al traffico HA
        • IP: indirizzo IP riservato all'interfaccia HA per l'edge autonomo secondario
        • Prefix Length: lunghezza del prefisso per la rete HA

      • Nel campo HA Port Default Gateway (Gateway predefinito per la porta HA), inserisci il gateway predefinito della rete di gestione.

      • Seleziona la casella di controllo Nodo API secondario.

      • Nel campo Indirizzo IP di gestione del nodo principale, inserisci l'indirizzo IP di gestione dell'edge autonomo principale.

      • Nel campo Nome utente del nodo principale, inserisci il nome utente dell'edge autonomo principale (ad esempio "admin").

      • Nel campo Password del nodo principale, inserisci la password del temporaneo autonomo principale.

      • Nel campo Impronta gestione nodo principale, inserisci l'impronta dell'API del confine autonomo principale. Per ottenerlo, connettiti tramite SSH all'edge autonomo principale utilizzando le credenziali di amministrazione ed esegui il comando get certificate api thumbprint.

3. Completa i restanti passaggi di deployment del modello OVF per eseguire il deployment dell'edge autonomo secondario (client VPN Layer 2 on-premise).

L'edge autonomo risultante ha uno stato di disponibilità elevata di Attivo.

Deployment di esempio di VPN di livello 2

Le tabelle seguenti forniscono le specifiche per un deployment di VPN Layer 2 di esempio.

Rete on-premise da estendere

Proprietà di rete	Valore
VLAN	2875
CIDR	172.16.8.16/28

Rete on-premise in cui è implementato il perimetro autonomo

Proprietà di rete	Valore
VLAN di gestione	2880
CIDR di gestione	172.16.8.0/28
VLAN uplink	2871
CIDR uplink	172.16.8.32/28
VLAN HA (come la VLAN di gestione)	2880
CIDR HA (come per la gestione)	172.16.8.0/28
Indirizzo IP di gestione dell'edge autonomo principale	172.16.8.14
Indirizzo IP dell'uplink edge autonomo principale	172.16.8.46
Indirizzo IP dell'HA edge autonomo principale	172.16.8.12
Indirizzo IP di gestione dell'edge autonomo secondario	172.16.8.13
Indirizzo IP dell'HA Edge autonomo secondario	172.16.8.11

Schema IP del private cloud per il router di livello 1 NSX-T (server VPN di livello 2)

Proprietà di rete	Valore
Indirizzo IP dell'endpoint locale	192.168.198.198
Rete di endpoint locale	192.168.198.198/31
Interfaccia del tunnel	192.168.199.1/30
Segmento (allungato)	L2 VPN-Seg-test
Interfaccia loopback (indirizzo IP NAT)	104.40.21.81

Rete cloud privato da mappare alla rete estesa

Proprietà di rete	Valore
Segmento (allungato)	L2 VPN-Seg-test
CIDR	172.16.8.16/28

Passaggi successivi

• Per ulteriori informazioni sull'estensione delle reti on-premise tramite VPN di livello 2 di NSX-T, consulta la documentazione VMware Informazioni sulle VPN di livello 2.