Попробовать

Виртуальный L2 канал на базе SSL

L2 канал на базе SSL позволяет «растянуть» Ethernet-сегмент между сетью внутри облака и сетью на удаленной площадке. Сценарий позволяет мигрировать VM с сохранением настроек IP-адресации.

Чтобы создать такой канал, нужно установить VM с NSX Standalone Edge в виртуальной среде под управлением клиента.

Пример топологии сети с L2 каналом на базе SSL:

../../_images/s__l2-ssl.png

Создание сети с типом интерфейса Subinterface

Создайте новую сеть организации с типом интерфейса Subinterface, которую нужно будет «растянуть».

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Networks.

  2. На вкладке Network нажмите NEW.

    Откроется окно New Organization VDC Network.

  3. В разделе Scope выберите виртуальный ЦОД, в котором необходимо разместить сеть.

  4. В разделе Network type выберите Routed.

  5. В разделе General укажите:

    1. В поле Name название сети.

    2. В поле Gateway CIDR адрес шлюза по умолчанию в формате IP-адрес/длина префикса, например «a.a.a.254/24».

    3. (Опционально) В поле Description описание сети.

      Если необходимо сделать сеть доступной для других виртуальных ЦОД в организации, активируйте переключатель Shared.

  6. В разделе Edge Connection выберите подключение к Edge Gateway и в Interface Type укажите «Subinterface».

  7. В разделе Static IP Pools не рекомендуем добавлять статические IP-пулы. Вместо них используйте DHCP или резервируйте адреса вручную при создании VM.

  8. (Опционально) В разделе DNS укажите настройки DNS-сервера.

  9. В разделе Ready to Complete проверьте настройки и нажмите FINISH.

Настройка L2VPN

После создания сети с типом интерфейса Subinterface, сконфигуририруйте L2VPN.

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Выберите объект из списка, нажав на переключатель слева от названия.

    Примечание

    Чтобы узнать информацию о пограничном шлюзе, нажмите на его название. В разделе Configuration → Gateway Interfaces указаны:

    • в поле Primary IP — публичные IP-адреса Edge Gateway в формате «x.x.x.x»;

    • в поле Subnets — подсеть Edge Gateway в формате «x.x.x.0/24»;

    • в поле Gateway — шлюз по умолчанию в формате «x.x.x.254».

    ../../_images/s__gateway-interfaces2.png
  3. Нажмите Services.

  4. На вкладке VPN → L2VPN:

    • Enabled — активируйте, чтобы включить сервер.

    • L2VPN mode — выберите «Server».

  5. На вкладке Server Global заполните поля:

    • Listener IP — публичный IP-адрес Edge Gateway в формате «x.x.x.x». Сервер ожидает подключения клиентов через этот адрес.

    • Listener Port — порт TCP, на котором сервер ожидает подключения, например «44, 443».

    • Encryption Algorithm — алгоритм шифрования.

      Рекомендуем использовать «ECDHE-RSA-AES128-GCM-SHA256» или «ECDHE-RSA-AES256-GCM-SHA384». Они наиболее стойкие к дешифрованию.

  6. На вкладке Server Sites нажмите на +, чтобы добавить конфигурацию L2VPN-клиента.

  7. Заполните форму конфигурации Add Peer Site:

    • Enabled — активируйте переключатель, чтобы включить конфигурацию удаленного сайта;

    • Name — наименование;

    • User Id — имя пользователя для аутентификации удаленного сайта;

    • Password и Confirm Password — пароль.

    ../../_images/s__add-peer-site.png
  8. Нажмите SELECT SUB-INTERFACES, чтобы выбрать сеть, которую нужно «растянуть» между двумя площадками.

    Cеть организации с типом интерфейса Subinterface, которую вы создали ранее, в этой конфигурации называется vnic1-subinterface.

    Параметр vnicID определяется по порядку создания сети с типом Subinterface на Edge. Идентификатор ID каждой последующей сети Subinterface будет на единицу больше.

    Этот номер потребуется далее, при настройке клиента NSX Edge Standalone. Параметр Tunnel ID совпадает с данным ID и используется при маппинге tunnel <> VLAN на стороне клиентского Edge.

    ../../_images/s__l2-ssl-select-objects.png ../../_images/s__l2-ssl-network-details.png
  9. Нажмите Save changes.

После этого к сети можно подключать vApp и VM.

Настройка NSX Edge Standalone на удаленной площадке

Рекомендуем использовать систему виртуализации VMware с Virtual Distributed Switch, поскольку нет гарантии, что NSX Edge Standalone будет работать стабильно в других системах виртуализации с другими типами виртуальных коммутаторов.

VM с NSX Edge Standalone предоставляется в формате ovf. Перед разворачиванием убедитесь, что на виртуальном коммутаторе, к которому вы будете подключать NSX Edge Standalone, есть две обязательные порт-группы:

  • Uplink — напрямую или через NAT обеспечивает доступ до внешнего адреса NSX Edge в облаке;

  • Trunk — пропускает сети VLAN, которые нужно «растянуть» со стороны клиента. Гостевые машины подключаются к дополнительным порт-группам с VLAN в Access.

  1. Установите режимы Forged transmit и Promiscious mode для Trunk-порта. Сделать это можно в настройках Edit Settings → Security.

    ../../_images/s__l2-ssl-edit-settings-security.png
  2. Нажмите Deploy OVF templat, чтобы выбрать кластер для VM.

    ../../_images/s__l2-ssl-deploy-ovf-template.png
  3. Выберите Local file и укажите путь до шаблона VM с NSX Edge Standalone, которую вы загрузили.

    ../../_images/s__l2-ssl-deploy1.png
  4. В виртуальном домене клиента рекомендуем установить NSX L2VPN Client QuadLarge. Для этого выберите файлы, отмеченные ниже.

    Примечание

    Дистрибутивы NSX L2VPN Client мы можем предоставить по запросу. Чтобы сделать запрос, обратитесь в техническую поддержку.

    ../../_images/s__l2-ssl-deploy1-1.png
  5. Укажите название VM.

    ../../_images/s__l2-ssl-deploy2.png
  6. Выберите вычислительные ресурсы для размещения VM. Рекомендуемые характеристики: 4 vCPU, 1 ГБ RAM, 10 ГБ HDD.

    ../../_images/s__l2-ssl-deploy3.png
  7. Раздел Review detail оставьте без изменений.

    ../../_images/s__l2-ssl-deploy4.png
  8. Выберите хранилище.

    ../../_images/s__l2-ssl-deploy5.png
  9. Подключите интерфейсы к ранее подготовленным порт-группам:

    • «L2VPN_TRUNK» — пропускает сети VLAN, которые нужно «растянуть». В примере это «888 VLAN».

    • «mclu-01-v3010» — обеспечивает выход в интернет для связи между NSX Edge Standalone и NSX Edge в облаке.

    • «VLAN999» — тупиковая порт-группа, т. к. в конфигурации из примера используется 1 NSX Edge без отказоустойчивости.

    ../../_images/s__l2-ssl-deploy6.png
  10. Создайте пароли для NSX Edge Standalone.

    ../../_images/s__l2-ssl-deploy7.png
  11. Заполните блок Uplink Interface NSX Edge Standalone.

    ../../_images/s__l2-ssl-deploy7-1.png
  12. Заполните блок L2VPN. Данные для него совпадают с теми, что вы указывали при настройке в облаке.

    ../../_images/s__l2-ssl-deploy7-2.png
  13. Заполните блоки Sub Interface и High Availabity.

    • В Sub interfaces VLAN (Tunnel ID) укажите «888(1)», поскольку VLAN 888 в NSX Edge Standalone соответствует туннелю «1».

      Этот номер определяется по vnicID сети Subinterface, которая «растягивается» на сервере L2VPN из облака;

    • В HA index выберите «0».

    ../../_images/s__l2-ssl-deploy7-3.png
  14. Включите VM.

    ../../_images/s__l2-ssl-power-on-vm.png