您可以使用 L2 VPN 将第 2 层网络扩展到不受 NSX 管理的站点。自治 NSX Edge(也称为“适用于 VMware ESXi 的 NSX Edge”)可以作为 L2 VPN 客户端部署在站点上。自治 VMware NSX Edge 便于部署、可通过编程轻松实现,且可以提供高性能 VPN。可使用 OVF 文件在不受 NSX 管理的主机上部署自治 NSX Edge。您也可以通过部署主和辅助自治 Edge L2 VPN 客户端来启用高可用性 (HA) 以实现 VPN 冗余。
前提条件
- 创建端口组,并将其绑定到主机上的 vSwitch。确保此端口组接受混杂模式和来自端口组安全设置的伪传输。有关说明,请参见在 ESXi 中配置 NSX Edge 上行链路端口。
- 为内部 L2 扩展端口创建端口组。
- 获取本地 IP 和远程 IP 的 IP 地址以用于您正添加的 L2 VPN 客户端会话。
- 获取在 L2 VPN 服务器配置期间生成的对等代码。
过程
- 使用 vSphere Web Client 登录到用于管理非 NSX 环境的 VMware vCenter。
- 选择主机和集群,并展开集群以显示可用主机。
- 右键单击要安装自治 NSX Edge 的主机,然后选择部署 OVF 模板。
- 输入要下载的 URL (https://support.broadcom.com/group/ecx/downloads),选择版本,然后单击“立即下载”以从 Internet 安装适用于 VMware ESXi 的 NSX Edge OVA 文件,或者单击浏览找到计算机中自治适用于 VMware ESXi 的 NSX Edge 文件所在的文件夹,然后单击下一步。
- 在选择名称和文件夹页面上,输入自治 NSX Edge 的名称,并选择要在其中执行部署操作的文件夹或数据中心。然后,单击下一步。
- 在选择计算资源页面上,选择计算资源的目标。
- 在“OVF 模板详细信息”页面上,检查模板详细信息并单击下一步。
- 在配置页面上,选择一个部署配置选项。
- 在选择存储页面上,选择要存储配置文件和磁盘文件的位置。
- 在选择网络页面上,配置已部署模板必须使用的网络。选择为上行链路接口创建的端口组,即为 L2 扩展端口创建的端口组,然后输入 HA 接口。单击下一步。
- 在自定义模板页面上,输入以下值,然后单击下一步。
- 键入并再次键入 CLI admin 密码。
- 键入并再次键入 CLI 启用密码。
- 键入并再次键入 CLI 根密码。
- 输入管理网络的 IPv4 地址。
- 启用用于部署自治 Edge 的选项。
- 输入 VLAN ID、退出接口、IP 地址和 IP 前缀长度的外部端口详细信息,以便退出接口映射到含有上行链路接口端口组的网络。
如果退出接口已连接到中继端口组,请指定 VLAN ID。例如,20,eth2,192.168.5.1,24。您还可以使用 VLAN ID 配置端口组,并将 VLAN 0 用于外部端口。
- (可选) 要配置高可用性,请输入 HA 端口详细信息,以便退出接口映射到相应 HA 网络。
- (可选) 将自治 NSX Edge 部署为 HA 的辅助节点时,选择将此自治 Edge 部署为辅助节点。
使用与主节点相同的 OVF 文件,并输入主节点的 IP 地址、用户名、密码和指纹。
要检索主节点的指纹,请登录到主节点,然后运行以下命令:
get certificate api thumbprint
确保主节点和辅助节点的 VTEP IP 地址位于同一子网中,且连接到相同的端口组。完成部署并启动辅助 Edge 后,辅助 Edge 会连接到主节点以形成一个 Edge 集群。
- 在即将完成页面上,检查自治 Edge 设置,然后单击完成。
注: 如果部署过程中出现错误,CLI 上会显示当天的相关消息。您还可以使用 API 调用来检查错误:
GET https://<nsx-mgr>/api/v1/node/status
错误分为软错误和硬错误。可根据需要使用 API 调用来解决软错误。您可以使用 API 调用清除每日消息:
POST /api/v1/node/status?action=clear_bootup_error
- 使用 vSphere Web Client 打开自治 NSX Edge 设备的电源。使用启动远程控制台打开 NSX Edge 节点的控制台以跟踪引导过程。
- 在 NSX Edge 启动后,使用 Admin 凭据通过控制台或 SSH(前提是在安装时启用了 SSH)登录到 Edge 节点。
注: 在
NSX Edge 节点启动后,如果第一次未使用 admin 凭据登录,则不会在
NSX Edge 节点上自动启动数据平面服务。
- 选择 ,然后输入以下值:
- 输入一个会话名称。
- 输入本地 IP 地址和远程 IP 地址。
- 输入从 L2VPN 服务器获取的对等代码。有关获取对等代码的详细信息,请参见下载远程端 L2 VPN 配置文件。
- 单击保存 (Save)。
- 选择以创建 L2 扩展端口。
- 输入名称、VLAN,然后选择一个退出接口。
- 单击保存 (Save)。
- 选择 ,然后输入以下值:
- 选择您创建的 L2 VPN 会话。
- 选择您创建的 L2 扩展端口。
- 输入隧道 ID。
- 单击连接。
如果需要扩展多个 L2 网络,则可以创建更多 L2 扩展端口并将其连接到会话。
- 使用浏览器登录到自治 NSX Edge,或使用 API 调用查看 L2VPN 会话的状态。
注: 如果 L2VPN 服务器配置发生变化,请确保再次下载对等代码并使用新的对等代码更新会话。