L2 VPN を使用して、NSX で管理されていないサイトにレイヤー 2 ネットワークを拡張できます。自律 NSX Edge は、NSX Edge for VMware ESXi とも呼ばれ、L2 VPN クライアントとしてサイトに展開できます。VMware の自律 NSX Edge は展開が容易で、プログラミングも簡単です。これにより、高パフォーマンスの VPN を実現できます。自律 NSX Edge を展開するには、NSX で管理されていないホストで OVF ファイルを使用します。また、プライマリとセカンダリの自律 Edge L2 VPN クライアントを展開することで、VPN の冗長性による高可用性 (HA) が可能になります。

前提条件

  • ポート グループを作成して、ホストの vSwitch に割り当てます。このポート グループが、ポート グループのセキュリティ設定から無作為検出モードと偽装転送を受け入れることを確認します。手順については、「ESXi での NSX Edge アップリンク ポートの構成」を参照してください。
  • 内部 L2 拡張ポートのポート グループを作成します。
  • 追加する L2 VPN クライアント セッションで使用するローカル IP とリモート IP の IP アドレスを取得します。
  • L2 VPN サーバの構成中に生成されたピア コードを取得します。

手順

  1. vSphere Web Client を使用して、非 NSX 環境を管理する VMware vCenter にログインします。
  2. [ホストおよびクラスタ] を選択し、クラスタを展開して、利用可能なホストを表示します。
  3. 自律 NSX Edge をインストールするホストを右クリックして、[OVF テンプレートの展開] を選択します。
  4. ダウンロードのための URL https://support.broadcom.com/group/ecx/downloads を入力し、バージョンを選択して、[今すぐダウンロード] をクリックし、インターネットから NSX Edge for VMware ESXi OVA ファイルをインストールするか、[参照] をクリックし、自律 NSX Edge for VMware ESXi ファイルが格納されているコンピュータ上のフォルダに移動して、[次へ] をクリックします。

    このアプライアンスは、自律 Edge と管理対象 Edge の両方に使用できます。

  5. [名前およびフォルダの選択] ページで、自律 NSX Edge の名前を入力して、展開先のフォルダまたはデータセンターを選択します。その後、[次へ] をクリックします。
  6. [コンピューティング リソースの選択] 画面で、コンピューティング リソースの宛先を選択します。
  7. [OVF テンプレートの詳細] 画面でテンプレートの詳細を確認し、[次へ] をクリックします。
  8. [構成] 画面で、展開構成オプションを選択します。
  9. [ストレージの選択] 画面で、構成とディスク ファイルを格納する場所を選択します。
  10. [ネットワークの選択] 画面で、展開したテンプレートで使用するネットワークを構成します。アップリンク インターフェイス用に作成したポート グループ、L2 拡張ポート用に作成したポート グループを選択し、HA インターフェイスを入力します。[次へ] をクリックします。
  11. [テンプレートのカスタマイズ] 画面で次の値を入力し、[次へ] をクリックします。
    1. CLI の admin パスワードを 2 回入力します。
    2. CLI を有効にするためのパスワードを 2 回入力します。
    3. CLI の root パスワードを 2 回入力します。
    4. 管理ネットワークの IPv4 アドレスを入力します。
    5. 自律 Edge の展開オプションを有効にします。
    6. 終了インターフェイスが、アップリンク インターフェイスのポート グループのネットワークにマッピングされるように、[外部ポート] の詳細(VLAN ID、終了インターフェイス、IP アドレス、IP プレフィックス長)を入力します。

      終了インターフェイスがトランク ポート グループに接続している場合は、VLAN ID を指定します。たとえば、20,eth2,192.168.5.1,24 と入力します。VLAN ID を使用してポート グループを構成し、[外部ポート] に VLAN 0 を使用することもできます。

    7. (オプション) 高可用性を構成するには、終了インターフェイスが適切な HA ネットワークにマッピングされるように、[HA ポート] の詳細を入力します。
    8. (オプション) HA のセカンダリ ノードとして自律 NSX Edge を展開する場合は、[この自律 Edge をセカンダリ ノードとして展開する] を選択します。

      プライマリ ノードと同じ OVF ファイルを使用し、プライマリ ノードの IP アドレス、ユーザー名、パスワード、サムプリントを入力します。

      プライマリ ノードのサムプリントを取得するには、プライマリ ノードにログインし、次のコマンドを実行します。
       get certificate api thumbprint

      プライマリ ノードとセカンダリ ノードの VTEP IP アドレスが同じサブネットにあり、同じポート グループに接続していることを確認します。展開が完了して セカンダリ Edge を起動すると、プライマリ ノードに接続して Edge クラスタを形成します。

  12. [設定内容の確認] 画面で自律 Edge の設定を確認し、[終了] をクリックします。
    注: 展開中にエラーが発生した場合は、今日のメッセージが CLI に表示されます。また、API 呼び出しを使用してエラーを確認することもできます。
    GET https://<nsx-mgr>/api/v1/node/status
    これらのエラーは、ソフト エラーとハード エラーに分類されます。必要に応じて API 呼び出しを使用して、ソフト エラーを解決します。API 呼び出しを使用して、今日のメッセージをクリアできます。
    POST /api/v1/node/status?action=clear_bootup_error
  13. vSphere Web Client を使用して自律 NSX Edge アプライアンスをパワーオンします。NSX Edge ノードのコンソールを開いて、[リモート コンソールの起動] を使用してブート プロセスを追跡します。
  14. NSX Edge が起動したら、コンソールまたは SSH(インストール時に SSH が有効になっている場合)を使用して、管理者認証情報で Edge ノードにログインします。
    注: NSX Edge ノードの起動後、最初のログイン時に管理者認証情報を使用しなかった場合、データ プレーン サービスは NSX Edge ノードで自動的に開始されません。
  15. [L2VPN] > [セッションの追加] の順に選択し、次の値を入力します。
    1. セッション名を入力します。
    2. ローカル IP アドレスとリモート IP アドレスを入力します。
    3. L2 VPN サーバからピア コードを入力します。ピア コードの取得方法については、リモート側の L2 VPN 構成ファイルのダウンロードを参照してください。
  16. [保存] をクリックします。
  17. [ポート] > [ポートの追加] の順に選択して、L2 拡張ポートを作成します。
  18. 名前と VLAN を入力し、終了インターフェイスを選択します。
  19. [保存] をクリックします。
  20. [L2 VPN] > [ポートに接続] の順に選択し、次の値を入力します。
    1. 作成した L2 VPN セッションを選択します。
    2. 作成した L2 拡張ポートを選択します。
    3. トンネル ID を入力します。
  21. [接続] をクリックします。
    複数の L2 ネットワークを拡張する場合は、追加の L2 拡張ポートを作成してセッションに接続できます。
  22. ブラウザを使用して自律 NSX Edge にログインするか、API 呼び出しを使用して L2 VPN セッションの状態を表示します。
    注: L2 VPN サーバの構成が変更された場合は、ピア コードを再度ダウンロードして、新しいピア コードでセッションを更新してください。