1. khayama

    No comment

    khayama
Changes in body
Source | HTML | Preview

内容

NSXと、VMwareから無料で提供されているNSX Standalone Edgeを使ったL2VPNの構築手順になります。

参考記事

NSX L2VPN with Standalone Edge – SneakU

NSX Standalone Edgeとは

NSXをすでに導入済みのサイトがある場合、他のサイトにNSXを導入しなくても、L2延伸が可能です。
具体的には、他のサイトにNSX Standalone Edge(仮想アプライアンス)を配布し、NSX導入済みサイトにあるEdge Service Gateway(NSXが必要なネイティブなEdge)とL2VPNを張ることで可能になります。
なんとNSX Standalone Edgeは無料です。

  • Edge Service Gateway --> L2VPNサーバー
  • Standalone Edge --> L2PVNクライアント

図でいうとこんな感じです。
From 【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版 のP78
qiita_standalone_edge_02.png

オンプレミス(左)とクラウド(右)を同じL2セグメントで接続したい場合を考えると、オンプレミスの環境になるべく手を加えたくないということがあるかと思います。
この方式の場合、オンプレミスにはStandalone Edgeの仮想アプライアンスをデプロイするだけでよいので、非常に簡単に接続が可能です。
例えば、オンプレミス側のVLANで使っている192.168.x.xのアドレスを、クラウド側のVXLANで192.168.x.xを引き続き利用が可能です
VXLANでは自由にL2空間を定義できてしまうので、物理DCやvCenterの垣根を越えた、まさにSDDCを実現しています。
こういったことが手軽にできてしまうのもSoftLayerとVMwareを組み合わせたときの魅力ですね。

NSX Standalone Edgeのダウンロードはこちらから可能です。
Download VMware NSX
qiita_standalone_edge_01.png

SoftLayerから提供されるライセンス

なんとStandalone Edgeは無料なのでライセンスは不要です。
NSXを導入済みのお客様向けに提供されているものなので
NSXについてはもちろんSoftLayerのポータル経由で購入することが可能です。

「Devices」-->「Manage」-->「Order VMware Licenses」から確認できます。
alt

月額CPUソケット単位の課金となる、Enterprise Editionのライセンスが提供されています。
試しに使ってみたい方も1か月単位で気軽に試せますね!!!
qiita_standalone_edge_03.png

Standalone Edge 導入後イメージ

このようなイメージを持っていただければ、このあとも進めやすいかと思います。
オンプレミス側の192.168.x.xをクラウド上でもそのまま疎通する形で利用できるようになります。
まさにL2延伸ですね!

qiita_standalone_edge_35.pngqiita_standalone_edge_36.png
※あくまで例で、必ずしも今回の構成に沿ったものではありません。※あくまでIPアドレスなどは例です。

手順一覧

  • 各種ポートグループの準備
    • 1. Uplink PGの準備(つながれば何でも可)
    • 2. Trunk PGの準備
      • VLANタイプで「トランク」を選択
      • トランクレンジは「延伸するVLAN ID」
      • 偽装転送は「承諾」
      • 標準スイッチの場合、無差別モードも「承諾」
  • 3. L2VPNサーバーの準備
    • Uplink vNIC の設定
    • L2延伸先となる論理スイッチの作成
    • サブインターフェースの作成
      • Tunnel IDを設定
      • 接続先のVXLANを指定
    • L2VPNの構成
  • 4. Standalone Edgeのデプロイ
    • VLAN IDとTunnel IDを指定
    • 暗号化方式を合わせる
  • シンクポートの設定

Uplink PGの準備(両サイトに作ってください

Uplink PGについては、デフォルトで通常のポートグループを両サイトで作っておきます。
qiita_standalone_edge_04.png

Trunk PGの準備(両サイトに作ってください

分散スイッチの場合

以下のような設定で、トランクポートグループを作っておきます。

  • VLANタイプで「トランク」を選択
  • トランクレンジは「延伸するVLAN ID」を指定可能(デフォルトのままで特に問題ありません)

qiita_standalone_edge_05.png

  • 偽装転送は「承諾」

qiita_standalone_edge_06.png

標準スイッチの場合

以下のような設定で、トランクポートグループを作っておきます。

  • VLAN IDで「すべて(4095)」を選択

qiita_standalone_edge_07.png

一旦、ポートグループを作成後、編集します。

  • 偽装転送は「承諾」
  • 標準スイッチの場合、無差別モードも「承諾」

qiita_standalone_edge_08.png

Edge Service Gateway(L2VPNサーバー)の準備

Uplink vNIC が設定されていることを確認

先ほど作ったUplink PGに接続されていることも確認しておきましょう。
qiita_standalone_edge_09.png

L2延伸先となるGlobal Logical Switchの作成

クラスタ内で有効なグローバルトランスポートゾーンを作成します。
(すでに作成されていれば、この作業は不要です。)
qiita_standalone_edge_10.png

そこにL2延伸先となる論理スイッチを作成しておきます。
(すでに作成されていれば、この作業は不要です。)
qiita_standalone_edge_11.png

サブインターフェースの作成

Edge Service Gatewayのインターフェースを追加します。

  • タイプはトランクを選択
  • 接続先は、先ほど作ったTrunk PGに接続

qiita_standalone_edge_12.png

引き続き、サブインターフェースを作成します。

  • トンネル IDを設定
  • 先ほど作成した論理スイッチをL2延伸先として指定(接続先のVXLANを指定)

qiita_standalone_edge_13.png

このような設定になります。
qiita_standalone_edge_14.png

L2VPNの構成

次に、Edge Service GatewayのL2VPNの構成を進めます。
qiita_standalone_edge_15.png

リスナーIPの設定では、暗号化方式を選択します。
後ほどStandalone Edgeの設定では、暗号化方式を揃える必要があります。
qiita_standalone_edge_16.png

ピアサイトの構成では、ID/パスワードを設定し、有効化します。
ここで先ほど作成したサブインターフェースを選択します。
qiita_standalone_edge_17.png

最後にL2VPNサービスを有効化して、サービスを開始します。
qiita_standalone_edge_18.png

Standalone Edgeのデプロイ

ダウンロード

NSX-V 6.2.2のStandalone Edgeについては、SoftLayer内部からダウンロード可能です。
ダウンロード後、解凍すると、ovfファイルが出てくるので、それを使います。
SoftLayer - Customer Downloads
qiita_standalone_edge_20.png

OVFデプロイ

ダウンロードしたOVFファイルを選択します。
qiita_standalone_edge_21.png

追加の構成オプションの承諾にチェックを入れて進みます。
qiita_standalone_edge_22.png

デプロイ先の計算リソースとストレージの場所を選んだ後、
Uplink PGとTrunk PGを選択する必要があるので、オンプレミス側で事前に作っておいたポートグループを選択します。
qiita_standalone_edge_26.png

Standalone Edgeをデプロイした後で、設定変更でCLIに入るためのパスワードを設定します。
qiita_standalone_edge_27.png

ネットワーク情報を設定します。(この画面では、香港DCのポータブルIPを東京DCに延伸することを試しています。意外とそういうこともできちゃいます)
qiita_standalone_edge_28.png

Edge Service Gateway(L2VPNサーバー)で設定してあるL2VPNの暗号化方式と同一方式を選択します。
また、先ほど設定した、対向となるEdge Service Gatewayの情報を入力します。
qiita_standalone_edge_29.png

延伸したいVLAN番号と、先ほどサブインターフェースで設定したトンネルIDを入力します。
ここでは、ネイティブVLAN(VLAN番号 0)を延伸したいので、「0(1000)」と書きます。
(例にあるようにここで複数設定することも可能です。)
qiita_standalone_edge_30.png

デプロイ後にパワーオンにチェックを入れて、終了します。
qiita_standalone_edge_31.png

デプロイを待って、L2VPNが接続されていることを確認します。
qiita_standalone_edge_32.png

ここでつながらない(downのまま)場合は、以下の原因が考えられます。

  • Uplink同士で疎通が取れていない
  • 暗号化方式が揃っていない

それでもつながらない場合は、Standalone Edgeを再デプロイしてみます。

シンクポートの設定

これでdoneかと思いきや、L2VPNのクライアント・サーバーの接続は完了したものの、まだpingで疎通はできません。
Standalone Edge側のeth1をvNICポートのシンクポートを有効化する必要があります。

下記の情報から、「IBM-DSwitch」の41番ポートのシンクポートを有効にする必要があります。

$ esxcfg-vswitch -l
Switch Name      Num Ports   Used Ports  Configured Ports  MTU     Uplinks
vSwitch0         1536        3           128               1500    vmnic1

DVS Name         Num Ports   Used Ports  Configured Ports  MTU     Uplinks
IBM-DSwitch      1536        10          512               1500    vmnic0

  DVPort ID           In Use      Client
  32                  1           vmnic0
  0                   1           vmk0
  33                  1           NSX l2vpn Edge.eth0
  17                  1           NSX l2vpn Edge.eth1

ホストにSSHで入って、以下のコマンドを実行します。

$ net-dvs --enableSink 1 -p 41 IBM-DSwitch
$ 

以下のコマンドでシンクポートが有効化されているか、確認可能です。

$ net-dvs -l | grep "port\ [0-9]\|SINK\|com.vmware.common.alias"
                com.vmware.common.alias = IBM-DSwitch ,         propType = CONFIG
        port 32:
        port 0:
        port 33:
        port 17:
                com.vmware.etherswitch.port.extraEthFRP =   SINK

ここまでやるとpingで疎通が通るはずです。
L2VPNの設定は以上です。

さいごに

オンプレミス側の設定はほぼ不要で、仮想アプライアンスをデプロイするのみで、L2延伸できましたね。
SoftLayerでは簡単にNSXのライセンスも含めて、月額提供しているので、リソースやキャパシティの拡張をしたい場合に、使えそうです。
すでにオンプレミスでNSXを導入済みの方もこの他にも色々な接続パターンが考えられるので、ぜひ一度お試しください。

その他の気づきをまとめておきます。

  • オンプレミスVLAN上に1つでもL2VPN接続されたStandalone Edgeがあれば、同VLAN上のトラフィックはすべて延伸される(他ホストでも同VLAN上にあるものすべて、文字通りVLAN全体が延伸された形になる)
  • 1つのL2VPN接続に対して、複数のトンネルIDを指定できる
  • Standalone Edgeはデプロイ後もCLIで少しの設定変更は可能
  • Standalone Edge側のSub-Interface先としてはVLANのみサポートされる
  • Standalone Edge側の設定で、複数のVLAN IDとTunnel IDを指定することが可能
  • Standalone Edge側のTrunk-PGは標準スイッチでも可