NSX-T を使用してオンプレミス レイヤ 2 ネットワークをプライベート クラウドに拡張する
このドキュメントでは、NSX-T ベースのレイヤ 2 VPN を使用して、レイヤ 2 ネットワークをオンプレミス環境から Google Cloud VMware Engine プライベート クラウドに拡張する方法について説明します。HCX ネットワーク拡張機能を使用してレイヤ 2 ネットワークを拡張する方法については、VMware HCX のドキュメントをご覧ください。
レイヤ 2 ネットワークのレイヤ 2 VPN ベースの拡張は、NSX-T ベースのネットワークの有無に関係なく、オンプレミスの VMware 環境で機能します。オンプレミス ワークロードに NSX-T ベースのオーバーレイ ネットワークがない場合は、NSX-T Autonomous Edge を使用します。これは、データプレーン開発キット(DPDK)対応の高性能なインターフェースを備えています。
HCX ネットワーク拡張を使用する場合に比べて、NSX-T を使用したレイヤ 2 ネットワークの拡張には次のようなメリットがあります。
- NSX-T のレイヤ 2 VPN 拡張は、トランク インターフェースの使用をサポートしています。
- NSX-T のネットワーク スループットは、HCX ネットワーク拡張を使用する場合よりも高くなります。
- NSX-T は HCX に比べてアップグレードが少なく、ダウンタイムが少なくなります。
- HCX ネットワーク拡張には、オンプレミスの vSphere Enterprise Plus ライセンスが必要ですが、レイヤ 2 VPN ストレッチはオンプレミスの vSphere Standard ライセンスで機能します。
デプロイ シナリオ
レイヤ 2 VPN を使用してオンプレミス ネットワークを拡張する場合、説明するデプロイ シナリオでは、レイヤ 2 VPN サーバーとレイヤ 2 VPN クライアントを構成します。このプロセスは以下の主要な手順で構成されます。
- オンプレミス環境で NSX-T Autonomous Edge(レイヤ 2 VPN クライアント)をデプロイします。
- プライベート クラウドの NSX-T Manager でレイヤ 2 VPN サーバーを構成します。
- オンプレミス環境の自律エッジで、レイヤ 2 VPN クライアントを構成します。
- (省略可)オンプレミス環境に、HA モードにセカンダリ自律エッジ(レイヤ 2 VPN クライアント)をデプロイします。
プライベート クラウドは、Cloud VPN または Cloud Interconnect 経由でオンプレミス環境に接続します。これにより、プライベート クラウドの Tier-0 または Tier-1 ゲートウェイとオンプレミス ネットワーク内の自律エッジ クライアントの間にルーティング パスが存在するようになります。
レイヤ 2 VPN デプロイのサンプル仕様については、レイヤ 2 VPN デプロイのサンプルをご覧ください。
準備
始める前に、次のことを行います。
- VPC ネットワークにオンプレミス環境を接続します。
- プライベート クラウドに拡張するワークロード レイヤ 2 ネットワークを特定します。
- 自律エッジ アプライアンス(レイヤ 2 VPN クライアント)をデプロイするために、オンプレミス環境で 2 つの VLAN を特定します。
- プライベート クラウドを作成します。
- オンプレミス DNS サーバーで DNS 転送を設定して、ドメインがプライベート クラウド DNS サーバーを参照するようにします。
- ポート 500 と 4500 で、自律エッジのアップリンク IP アドレスとローカル エンドポイント IP アドレス間の UDP トラフィックを許可し、プライベート クラウドの Tier-0 または Tier-1 ゲートウェイで使用できるようにします。
また、次の前提条件が満たされていることを確認します。
- オンプレミスの vSphere のバージョンは、6.7U1 以降または 6.5P03 以降である必要があります。対応するライセンスは、Enterprise Plus のレベルである必要があります(vSphere 分散スイッチの場合)。
- 自律エッジ アプライアンスのバージョンは、プライベート クラウドで使用されている NSX-T Manager バージョンと互換性がある。
- vMotion が 2 つのサイトで動作するために必要な(ワークロードの移行が試行された場合)ラウンドトリップ時間(RTT)レイテンシは 150 ミリ秒以下です。
制限事項と考慮事項
次の表で、サポートされている vSphere のバージョンとネットワーク アダプター タイプを一覧表示します。
vSphere のバージョン | ソース vSwitch タイプ | 仮想 NIC ドライバ | ターゲット vSwitch タイプ | サポート対象 |
---|---|---|---|---|
すべて | DVS | すべて | DVS | ○ |
vSphere 6.7UI 以降、6.5P03 以降 | DVS | VMXNET3 | N-VDS | ○ |
vSphere 6.7UI 以降、6.5P03 以降 | DVS | E1000 | N-VDS | VMware ではサポートされていません |
vSphere 6.7UI または 6.5P03、NSX-V または NSX-T2.2 以前、6.5P03 以降のバージョン | すべて | すべて | N-VDS | VMware ではサポートされていません |
NSX-T Autonomous Edge(レイヤ 2 VPN クライアント)をデプロイする
オンプレミス環境に NSX-T Autonomous Edge をデプロイするには、オンプレミスにトランク ポート グループを作成し、そのポートグループを使用して自律エッジを作成します。
トランク ポート グループを作成して構成する
トランク ポート グループを作成して構成する手順は次のとおりです。
[VLAN type] を [VLAN trunking] に設定して、分散ポートグループを作成します。拡張する VLAN を指定します。
[Security] オプションで、[Promiscuous mode] と [Forged transmits] の両方を [Accept] に設定します。
チーミングとフェイルオーバーのオプションで、[Load balancing] を [Use explicit failover order] に設定します。
チームとフェイルオーバー オプションで、[アクティブ アップリンク] を [uplink1] に、[スタンバイ アップリンク] を [uplink2] に設定します。
残りのポートグループの作成手順を完了します。
オンプレミス環境に自律エッジをデプロイする
次に、オンプレミス環境に NSX-T Autonomous Edge(レイヤ 2 VPN クライアント)をデプロイします。
- Cloud カスタマーケアに連絡して、適切なバージョンの NSX Edge for VMware ESXi をダウンロードします。
NSX Edge OVA を OVF テンプレートとしてデプロイします。
- [構成] ステップで、VMware Engine プライベート クラウドに付属の大規模フォーム ファクタ NSX-T Edge に一致するように [大規模] 構成を選択します。
- [ストレージの選択] ステップで、使用するデータストアを選択します。
[Select network] ステップで、トラフィック タイプに使用するポートグループを指定します。
- ネットワーク 0(アプライアンス上の eth1): 管理トラフィック用に予約されたポートグループを選択します。
- ネットワーク 1(アプライアンス上の eth2): アップリンク トラフィック用に予約されたポートグループを選択します。
- ネットワーク 2(アプライアンス上の eth3): トランクポート グループを選択します。
- Network 3 (eth4 on the appliance): HA トラフィック用に予約されたポートグループを選択します。次の図では、管理トラフィック用に予約されたポートグループが HA トラフィックにも使用されています。
[テンプレートのカスタマイズ] ステップで、次の詳細を入力します。
[Application] で、次の操作を行います。
- [システム root ユーザー パスワード] を設定します。
- [CLI の「admin」ユーザー パスワード] を設定します。
- [Is Autonomous Edge] チェックボックスをオンにします。
- 残りのフィールドは空欄のままにします。
[Network Properties] セクションで、次の操作を行います。
- ホスト名を設定します。
- デフォルトの IPv4 ゲートウェイを設定します。これは、管理ネットワークのデフォルト ゲートウェイです。
- 管理ネットワークの IPv4 アドレスを設定します。これは自律エッジの管理 IP です。
- 管理ネットワークのネットマスクを設定します。これは、管理ネットワークのプレフィックス長です。
[DNS] セクションで、次の操作を行います。
- [DNS サーバー リスト] フィールドに、DNS サーバーの IP アドレスをスペースで区切って入力します。
- [ドメイン検索リスト] フィールドにドメイン名を入力します。
[サービス設定] セクションで、次の操作を行います。
- [NTP サーバー リスト] を入力します。
- [NTP サーバー] をスペースで区切って入力します。
- [Enable SSH] チェックボックスをオンにします。
- [Allow Root SSH logins] チェックボックスをオンにします。
- ロギング サーバーを入力します(存在する場合)。
[External] セクションで、次の操作を行います。
[外部ポート] の詳細を
VLAN ID,Exit Interface,IP,Prefix Length
の形式で入力します。 例:2871,eth2,172.16.8.46,28
次の値を置き換えます。VLAN ID
: アップリンク VLAN の VLAN IDExit Interface
: アップリンク トラフィック用に予約されたインターフェース IDIP
: アップリンク インターフェース用に予約された IP アドレスPrefix Length
: アップリンク ネットワークのプレフィックス長
[外部ゲートウェイ] フィールドに、アップリンク ネットワークのデフォルト ゲートウェイを入力します。
[HA] セクションで、次の操作を行います。
[HA ポート] の詳細を
VLAN ID,exitPnic,IP,Prefix Length
の形式で入力します。例:2880,eth4,172.16.8.46,28
次の値を置き換えます。VLAN ID
: 管理 VLAN の VLAN IDexitPnic
: HA トラフィック用に予約されたインターフェース IDIP
: HA インターフェース用に予約されている IP アドレスPrefix Length
: HA ネットワークのプレフィックス長
[HA Port Default Gateway] フィールドに、管理ネットワークのデフォルト ゲートウェイを入力します。HA 通信に別のネットワークを使用する場合は、対応するデフォルト ゲートウェイを指定します。
残りのフィールドは空欄のままにします。
OVF テンプレート デプロイの残りの手順を完了します。
プライベート クラウドで NSX-T Manager にレイヤ 2 VPN サーバーを構成する
以下では、プライベート クラウドの NSX-T Manager の Tier-0 または Tier-1 ゲートウェイでレイヤ 2 VPN サーバーを構成する方法について説明します。
レイヤ 2 VPN サービスを作成する
- NSX-T Manager で、[ネットワーキング] > [VPN] > [VPN サービス] > [サービスを追加] > [IPSec] に移動します。
次の詳細情報を入力して IPSec サービスを作成します。
- [名前] を入力します。
- [Tier0/Tier1 Gateway] 列で、レイヤ 2 VPN サーバーを実行するゲートウェイを選択します。
- その他の入力欄は空白にしておきます。
[Networking] > [VPN] > [Local Endpoints] の順に移動します。
次の詳細を入力して、ローカル エンドポイントを作成します。
- [名前] を入力します。
- [VPN Service] 列で、作成した IPSec VPN サービスを選択します。
- [IP Address] フィールドに、ローカル エンドポイント用に予約されている IP アドレスを入力します。これは、IPSec/レイヤ 2 VPN トンネルが終端する IP アドレスです。
- [Local ID] フィールドに、同じ予約済みの IP アドレスを入力します。
- その他の入力欄は空白にしておきます。
[ネットワーキング] > [VPN] > [VPN サービス] > [サービスを追加] > [L2 VPN サーバー] に移動します。
次の詳細を入力して、レイヤ 2 VPN サービスを作成します。
- [名前] を入力します。
- [Tier0/Tier1 Gateway] 列で、レイヤ 2 VPN サーバーを実行するゲートウェイを選択します(手順 2 で使用したものと同じゲートウェイ)。
- その他の入力欄は空白にしておきます。
レイヤ 2 VPN セッションを作成する
- NSX-T Manager で、[ネットワーキング] > [VPN] > [L2 VPN セッション] > [L2 VPN セッションを追加] > [L2 VPN サーバー] に移動します。
次の詳細を入力して、レイヤ 2 VPN セッションを作成します。
- [名前] を入力します。
- 以前にレイヤ 2 VPN サービスを作成するのステップ 4 で作成した [ローカル エンドポイント/IP] を選択します。
- [Remote IP] フィールドに、オンプレミス環境の自律エッジのアップリンク IP アドレスを入力します。
- [事前共有キー] を入力します。
- [Tunnel Interface] フィールドに、予約済みのトンネル インターフェース サブネットの IP アドレスを 1 つ入力します。
- [Remote ID] フィールドに、[Remote IP] の値を入力します。
- その他の入力欄は空白にしておきます。
ネットワーク セグメントを作成してオンプレミス VLAN に拡張する
- NSX-T Manager で、[ネットワーキング] > [セグメント] > [セグメントを追加] に移動します。
次の詳細を入力して、オンプレミス VLAN に拡張するセグメントを作成します。
- セグメント名を入力します。
- [Connected Gateway] フィールドで [None] を選択します。
- [トランスポート ゾーン] で [TZ-Overlay] を選択します。
- [L2 VPN] フィールドで、レイヤ 2 VPN セッションを作成するで作成したレイヤ 2 VPN セッションを選択します。
- [VPN Tunnel ID] フィールドに、一意のトンネル ID を入力します(例: 100)。このトンネル ID は、オンプレミスから VLAN を拡張するときに使用されるトンネル ID と一致させる必要があります。
- その他の入力欄は空白にしておきます。
[ネットワーキング] > [VPN] > [L2 VPN セッション] に移動します。
[Session] を開いて [Download Config] をクリックして、レイヤ 2 VPN 構成をダウンロードします。
ダウンロードしたファイルをテキスト エディタで開き、peer_code 文字列をコピーします(引用符は除きます)。この文字列は、後のセクションでレイヤ 2 VPN 用の自律エッジ オンプレミスを構成するときに使用します。
IPSec ローカル エンドポイント IP を外部ネットワークにアドバタイズする
この手順は、レイヤ 2 VPN サービスに使用するゲートウェイが Tier-0 か Tier-1 かによって異なります。
tier 0 ゲートウェイからアドバタイズする
Tier-0 ゲートウェイを使用する場合は、次の手順で Tier-0 ゲートウェイから外部ネットワークに IPSec ローカル エンドポイント IP をアドバタイズします。
- [ネットワーキング] > [Tier-0 ゲートウェイ] に移動します。
- レイヤ 2 VPN に使用される Tier-0 ゲートウェイを編集します(理想的には Provider-LR)。
- [Route Re-Distribution] を開きます。
- [Tier-0 Subnets] セクションで、[IPSec Local IP] チェックボックスをオンにします。
- [保存] をクリックします。
Tier-0 ゲートウェイの IPSec ローカル エンドポイント サブネットを集約します。IPSec ローカル エンドポイントがオンプレミスの自律エッジのアップリンク IP に到達可能であり、ネットワーク ファブリックでフィルタリングされないようにするには、Tier-0 ゲートウェイでルーターの集約が必要です。
- [ネットワーキング] > [Tier-0 ゲートウェイ] に移動します。
- レイヤ 2 VPN(理想的には Provider-LR)に使用される、選択した Tier-0 ゲートウェイを編集します。
- [BGP] > [ルート アグリゲーション] > [プレフィックスを追加] に移動します。
- [Prefix] 列にローカル エンドポイント ネットワークを入力します。
- [Summary-Only] 列で [Yes] を選択します。
- [Apply]、[Save] の順にクリックします。
tier 1 ゲートウェイからアドバタイズする
サンプル デプロイのように、レイヤ 2 VPN サービスにレイヤ 1 ゲートウェイを使用する場合は、次の手順を行います。
Tier-0 ゲートウェイの IPSec ローカル エンドポイント サブネットを集約します。IPSec ローカル エンドポイントがオンプレミスの自律エッジのアップリンク IP に到達可能であり、ネットワーク ファブリックでフィルタリングされないようにするには、Tier-0 ゲートウェイでルーターの集約が必要です。
- [ネットワーキング] > [Tier-0 ゲートウェイ] に移動します。
- レイヤ 2 VPN(理想的には Provider-LR)に使用される、選択した Tier-0 ゲートウェイを編集します。
- [BGP] > [ルート アグリゲーション] > [プレフィックスを追加] に移動します。
- [Prefix] 列にローカル エンドポイント ネットワークを入力します。
- [Summary-Only] 列で [Yes] を選択します。
- [Apply]、[Save] の順にクリックします。
[ネットワーキング] > [Tier-1 ゲートウェイ] に移動します。
レイヤ 2 VPN に使用される Tier-1 ゲートウェイを編集します(理想的には Provider-LR)。
[Route Advertisement] セクションで、[IPSec Local Endpoint] の切り替えを有効にします。
[保存] をクリックします。
自律エッジ(オンプレミス)でレイヤ 2 VPN クライアントを構成する
次に、NSX-T Autonomous Edge をデプロイするでオンプレミスにデプロイした自律エッジでレイヤ 2 VPN クライアントを構成します。
- 管理アプライアンスの IP アドレスで NSX-T Autonomous Edge にログインします。
レイヤ 2 VPN セッションを追加します。
- [L2 VPN] に移動し、[セッションを追加] をクリックします。
次の詳細情報を入力します。
- [セッション名] フィールドに、レイヤ 2 VPN セッションの作成で構成したセッション名を入力します。
- [管理者ステータス] を [有効] に設定します。
- [ローカル IP] フィールドに、自律エッジのアップリンク IP アドレスを入力します。
- [Remote IP] フィールドに、プライベート クラウドで NSX-T Manager にレイヤ 2 VPN サーバーを構成するでローカル エンドポイントとして構成した IP アドレスを入力します。
- [ピアコード] フィールドに、プライベート クラウドで NSX-T Manager にレイヤ 2 VPN サーバーを構成するでコピーした peer_code 文字列を入力します。
[保存] をクリックします。
オンプレミス VLAN を拡張します。
- [Port] に移動し、[Add Port] をクリックします。
次の詳細情報を入力します。
- [Port Name] フィールドにポート名を入力します。
- [Subnet] フィールドは空欄のままにします。
- [VLAN] フィールドに、拡張するオンプレミス VLAN の VLAN ID を入力します。
- [Exit Interface] で、アップリンク インターフェース(eth2 など)を選択します。
[保存] をクリックします。
ポートを L2 VPN セッションに接続します。
- [L2 VPN] に移動し、[ポートを接続] をクリックします。
次の詳細情報を入力します。
- 手順 2 で作成した L2 VPN セッションを選択します。
- 手順 3 で作成したポートを選択します。
- [トンネル ID] フィールドに、(プライベート クラウドで NSX-T Manager にレイヤ 2 VPN サーバーを構成するで)プライベート クラウドのセグメントを拡張するために使用したものと同じトンネル ID を入力します。
レイヤ 2 VPN セッションがテーブルに表示され、[Status] が「UP」になります。これで、オンプレミス VLAN が VMware Engine プライベート クラウド(拡張セグメント)に拡張されました。オンプレミス拡張 VLAN に接続しているワークロードは、VMware Engine プライベート クラウドの拡張セグメントに接続しているワークロードに到達できます。
セカンダリ NSX-T Autonomous Edge(レイヤ 2 VPN クライアント)を HA モードでデプロイする
必要に応じて、次の手順を行い、オンプレミス環境にセカンダリ NSX-T Autonomous Edge(レイヤ 2 VPN クライアント)を HA モードでデプロイします。
- [テンプレートのカスタマイズ] のステップに到達するまで、オンプレミス環境に NSX-T Autonomous Edge をデプロイするの手順に従います。
[テンプレートのカスタマイズ] のステップで、代わりに次の操作を行います。
[アプリケーション] セクションに、次の詳細を入力します。
- [システム root ユーザー パスワード] を設定します。
- [CLI の「admin」ユーザー パスワード] を設定します。
- [Is Autonomous Edge] チェックボックスをオンにします。
- 他のフィールドは空欄のままにします。
[Network Properties] に次の情報を入力します。
- ホスト名を設定します。
- デフォルトの IPv4 ゲートウェイを設定します。これは、管理ネットワークのデフォルト ゲートウェイです。
- 管理ネットワークの IPv4 アドレスを設定します。これは、セカンダリ自律エッジの管理 IP です。
- 管理ネットワークのネットマスクを設定します。これは、管理ネットワークのプレフィックス長です。
[DNS] セクションに、次の詳細を入力します。
- [DNS サーバー リスト] を入力します。
- [DNS サーバー IP アドレス] をスペースで区切って入力します。
- [ドメイン検索リスト] を入力します。
- [ドメイン名] を入力します。
[サービス構成] セクションで、次の詳細を入力します。
- [NTP サーバー リスト] を入力します。
- [NTP サーバー] をスペースで区切って入力します。
- [Enable SSH] チェックボックスをオンにします。
- [Allow Root SSH logins] チェックボックスをオンにします。
- ロギング サーバーを入力します(存在する場合)。
[External] セクションは空白のままにします。
[HA] セクションに、次の詳細を入力します。
[HA ポート] の詳細を
VLAN ID,exitPnic,IP,Prefix Length
の形式で入力します。例:2880,eth4,172.16.8.11,28
次の値を置き換えます。VLAN ID
: 管理 VLAN の VLAN IDexitPnic
: HA トラフィック用に予約されたインターフェース IDIP
: セカンダリ自律エッジの HA インターフェース用に予約されている IP アドレスPrefix Length
: HA ネットワークのプレフィックス長
[HA ポート デフォルト ゲートウェイ] フィールドに、管理ネットワークのデフォルト ゲートウェイを入力します。
[Secondary API Node] チェックボックスをオンにします。
[プライマリ ノード管理 IP] フィールドに、プライマリ自律エッジの管理 IP アドレスを入力します。
[プライマリ ノード ユーザー名] フィールドに、プライマリ自律エッジのユーザー名(「admin」など)を入力します。
[プライマリ ノード パスワード] フィールドに、プライマリ自律エッジのパスワードを入力します。
[プライマリ ノード管理サムプリント] フィールドに、プライマリ自律エッジの API サムプリントを入力します。これを取得するには、管理者認証情報を使用してプライマリ自律エッジに SSH 接続し、
get certificate api thumbprint
コマンドを実行します。
残りの OVF テンプレートのデプロイ手順を完了して、セカンダリ自律エッジ(オンプレミスのレイヤ 2 VPN クライアント)をデプロイします。
作成された自律エッジの高可用性ステータスは「Active」になります。
レイヤ 2 VPN のデプロイの例
次の表に、レイヤ 2 VPN デプロイのサンプル仕様を示します。
拡張されるオンプレミス ネットワーク
ネットワーク プロパティ | 値 |
---|---|
VLAN | 2875 |
CIDR | 172.16.8.16/28 |
自律エッジがデプロイされるオンプレミス ネットワーク
ネットワーク プロパティ | 値 |
---|---|
管理 VLAN | 2880 |
管理 CIDR | 172.16.8.0/28 |
アップリンク VLAN | 2871 |
アップリンク CIDR | 172.16.8.32/28 |
HA VLAN(管理と同じ) | 2880 |
HA CIDR(管理と同じ) | 172.16.8.0/28 |
プライマリ自律エッジ管理 IP アドレス | 172.16.8.14 |
プライマリ自律エッジ アップリンクの IP アドレス | 172.16.8.46 |
プライマリ自律エッジ HA IP アドレス | 172.16.8.12 |
セカンダリ自律エッジ管理 IP アドレス | 172.16.8.13 |
セカンダリ自律エッジ HA IP アドレス | 172.16.8.11 |
NSX-T Tier-1 ルーター(レイヤ 2 VPN サーバー)のプライベート クラウド IP スキーマ
ネットワーク プロパティ | 値 |
---|---|
ローカル エンドポイントの IP アドレス | 192.168.198.198 |
ローカル エンドポイント ネットワーク | 192.168.198.198/31 |
トンネル インターフェース | 192.168.199.1/30 |
セグメント(拡張) | L2 VPN-Seg-test |
ループバック インターフェース(NAT IP アドレス) | 104.40.21.81 |
拡張ネットワークにマッピングするプライベート クラウド ネットワーク
ネットワーク プロパティ | 値 |
---|---|
セグメント(拡張) | L2 VPN-Seg-test |
CIDR | 172.16.8.16/28 |
次のステップ
- NSX-T レイヤ 2 VPN を使用してオンプレミス ネットワークを拡張する方法の詳細については、VMware ドキュメントのレイヤ 2 VPN についてをご覧ください。