È possibile utilizzare VPN L2 per estendere le reti di livello 2 a un sito non gestito da NSX-T Data Center. Un NSX Edge autonomo, definito anche NSX Edge per VMware ESXi, può essere distribuito nel sito come client VPN L2. NSX Edge autonomo per VMware è semplice da distribuire e programmare e offre una VPN ad alte prestazioni. L'NSX Edge autonomo viene distribuito utilizzando un file OVF in un host che non è gestito da NSX-T Data Center. È inoltre possibile abilitare l'elevata disponibilità per la ridondanza VPN distribuendo client VPN L2 autonomi primari e secondari.
Prerequisiti
- Creare un gruppo di porte e associarlo al vSwitch nell'host. Assicurarsi che questo gruppo di porte accetti la modalità promiscua e le trasmissioni forzate dalle impostazioni di sicurezza del gruppo di porte. Per istruzioni, vedere Configurazione di una porta di uplink di NSX Edge in ESXi.
- Creare un gruppo di porte per la porta di estensione L2 interna.
- Ottenere gli indirizzi IP per l'IP locale e l'IP remoto da utilizzare con la sessione del client VPN L2 che si sta aggiungendo.
- Ottenere il codice peer generato durante la configurazione del server VPN L2.
Procedura
- Utilizzando vSphere Web Client, accedere al vCenter Server che gestisce l'ambiente non NSX.
- Selezionare Host e cluster ed espandere i cluster per visualizzare gli host disponibili.
- Fare clic con il pulsante destro del mouse sull'host in cui si desidera installare l'NSX Edge autonomo e selezionare Distribuisci modello OVF.
- Immettere l'URL per il download, https://customerconnect.vmware.com/downloads/details?downloadGroup=NSX-4123-LE&productId=1324, selezionare la versione e fare clic su Scarica ora per installare il file OVA di ESXi di NSX Edge per VMware da Internet oppure fare clic su Sfoglia per individuare la cartella del computer contenente il file di ESXi di NSX Edge autonomo per VMware e fare clic su Avanti.
Questa appliance può essere utilizzata per gli Edge autonomi e gestiti.
- Nella pagina Seleziona nome e cartella, immettere un nome per l'NSX Edge autonomo e selezionare la cartella o il data center in cui si desidera distribuire. Fare quindi clic su Avanti.
- Nella pagina Seleziona risorsa di elaborazione, selezionare la destinazione della risorsa di elaborazione.
- Nella pagina Dettagli modello OVF, riesaminare i dettagli del modello e fare clic su Avanti.
- Nella pagina Configurazione, selezionare un'opzione di configurazione della distribuzione.
- Nella pagina Seleziona archivio, selezionare la posizione in cui archiviare i file per la configurazione e i file del disco.
- Nella pagina Seleziona reti, configurare le reti che il modello distribuito deve utilizzare. Selezionare il gruppo di porte creato per l'interfaccia di uplink, il gruppo di porte creato per la porta di estensione L2 e immettere un'interfaccia HA. Fare clic su Avanti.
- Nella pagina Personalizza modello, immettere i valori seguenti e fare clic su Avanti.
- Digitare e ripetere la password dell'admin CLI.
- Digitare e ripetere la password di abilitazione CLI.
- Digitare e ripetere la password di root della CLI.
- Immettere l'indirizzo IPv4 per la rete di gestione.
- Abilitare l'opzione per distribuire un Edge autonomo.
- Immettere i dettagli di Porta esterna per ID VLAN, interfaccia di uscita, indirizzo IP e lunghezza prefisso IP, in modo che l'interfaccia di uscita sia mappata alla rete con il gruppo di porte dell'interfaccia di uplink.
Se l'interfaccia di uscita è connessa a un gruppo di porte trunk, specificare un ID VLAN. Ad esempio 20,eth2,192.168.5.1,24. È inoltre possibile configurare il gruppo di porte con un ID VLAN e utilizzare VLAN 0 per la Porta esterna.
- (Facoltativo) Per configurare l'elevata disponibilità, immettere i dettagli della Porta HA in cui l'interfaccia di uscita viene mappata alla rete HA appropriata.
- (Facoltativo) Quando si distribuisce un NSX Edge autonomo come nodo secondario per l'elevata disponibilità, selezionare Distribuisci questo Edge autonomo come nodo secondario.
Utilizzare lo stesso file OVF del nodo primario e immettere l'indirizzo IP, il nome utente, la password e l'identificazione personale del nodo primario.
Per recuperare l'identificazione personale del nodo primario, accedere al nodo primario ed eseguire il comando seguente:
get certificate api thumbprint
Assicurarsi che gli indirizzi IP VTEP dei nodi primario e secondario si trovino nella stessa subnet e che si connettano allo stesso gruppo di porte. Quando si completa la distribuzione e si avvia l'Edge secondario, questo si connette al nodo primario per formare un cluster Edge.
- Nella pagina Pronto per il completamento, controllare le impostazioni dell'Edge autonomo e fare clic su Fine.
Nota: Se durante la distribuzione si verificano errori, nella CLI viene visualizzato un MOTD ("message of the day"). È inoltre possibile utilizzare una chiamata API per verificare la presenza di errori:
GET https://<nsx-mgr>/api/v1/node/status
Gli errori sono suddivisi nelle categorie di errori soft e hard. Utilizzare le chiamate API per risolvere gli errori soft in base alle necessità. È possibile cancellare il MOTD utilizzando una chiamata API:
POST /api/v1/node/status?action=clear_bootup_error
- Accendere l'appliance NSX Edge autonoma utilizzando vSphere Web Client. Aprire la console del nodo NSX Edge per tenere traccia del processo di avvio tramite Avvio della console remota.
- Dopo l'avvio di NSX Edge, accedere al nodo Edge utilizzando la console o SSH (l'SSH specificato è abilitato al momento dell'installazione) con credenziali di amministratore.
Nota: Dopo l'avvio del nodo
NSX Edge, se non si accede con credenziali di amministratore per la prima volta, il servizio del piano dati non viene avviato automaticamente nel nodo
NSX Edge.
- Selezionare e immettere i valori seguenti:
- Fare clic su Salva.
- Selezionare per creare una porta di estensione L2.
- Immettere un nome, una VLAN e selezionare un'interfaccia di uscita.
- Fare clic su Salva.
- Selezionare e immettere i valori seguenti:
- Selezionare la sessione VPN L2 creata.
- Selezionare la porta dell'estensione L2 creata.
- Immettere un ID tunnel.
- Fare clic su Collega.
È possibile creare porte di estensione L2 aggiuntive e collegarle alla sessione se è necessario estendere più reti L2.
- Utilizzare il browser per accedere all'NSX Edge autonomo o utilizzare le chiamate API per visualizzare lo stato della sessione VPN L2.
Nota: Se la configurazione del server VPN L2 viene modificata, assicurarsi di scaricare nuovamente il codice peer e di aggiornare la sessione con il nuovo codice peer.