Hands-on Labs de VMware - HOL-1925-01-NET


Descripción del laboratorio: HOL-1925-01-NET - VMware NSX-V: Uso avanzado

Información sobre el laboratorio


Nota: Puede que le lleve más de 90 minutos completar este laboratorio. Probablemente solo podrá acabar entre 2 y 3 módulos durante ese tiempo.  Los módulos son independientes, por lo que puede empezar cualquiera de ellos y continuar a partir de ahí. Puede acceder a cualquier módulo que desee a través del Índice.

El Índice está disponible en la esquina superior derecha del manual de laboratorio.

En este laboratorio, los alumnos podrán interactuar con la API basada en REST de NSX para realizar funciones disponibles en la interfaz gráfica de usuario y funciones disponibles únicamente a través de la API.  Los alumnos revisarán y configurarán NSX para varios sitios.  También llevarán a cabo la migración de una pila de aplicaciones de un sitio a otro.

Lista de módulos del laboratorio:

 Directores del laboratorio: 

  • Módulos 1-5: Brian Wilson, ingeniero de sistemas, EE. UU.

 

Este manual de laboratorio se puede descargar desde el sitio de documentos de laboratorios prácticos que se encuentra en la siguiente página:

http://docs.hol.vmware.com

Es posible que este laboratorio esté disponible en otros idiomas.  Para configurar la preferencia de idioma y acceder a un manual localizado junto con el laboratorio, el siguiente documento le guiará por el proceso:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Ubicación de la consola principal

 

  1. El recuadro ROJO destaca el área de la consola principal.  El manual del laboratorio está disponible en la pestaña ubicada a la derecha de la consola principal.
  2. En algunos laboratorios, puede encontrar consolas adicionales en diferentes pestañas, en la esquina superior izquierda. Se le indicará que abra otra consola si fuera necesario.
  3. El laboratorio comienza con 90 minutos en el temporizador y  no se puede guardar.  Todo el trabajo debe llevarse a cabo durante la sesión del laboratorio.  Sin embargo, puede hacer clic en AMPLIAR para prolongar el tiempo restante.  Si se encuentra en un evento de VMware, puede prolongar el tiempo del laboratorio dos veces, hasta 30 minutos.  Con cada clic, recibirá 15 minutos adicionales.  Fuera de los eventos de VMware, podrá ampliar el tiempo del laboratorio hasta 9 horas y 30 minutos. Con cada clic, recibirá una hora adicional.

 

 

Métodos alternativos para introducir datos con el teclado

Durante el módulo, introducirá texto en la consola principal. Además de escribir el texto directamente, existen dos métodos muy útiles para introducir datos que facilitan en gran medida la entrada de datos complejos.

 

 

Hacer clic y arrastrar el contenido del manual del laboratorio hasta la ventana de la consola activa

 
 

También puede hacer clic y arrastrar texto y comandos de la interfaz de la línea de comandos (CLI) directamente desde el manual del laboratorio hasta la ventana activa de la consola principal.  

 

 

Acceder al teclado internacional en línea

 

También puede utilizar el teclado internacional en línea que está disponible en la consola principal.

  1. Haga clic en el icono de teclado que se encuentra en la barra de tareas de Inicio rápido de Windows.

 

 

Hacer un solo clic en la ventana de la consola activa

 

En este ejemplo, usará el teclado en línea para introducir el símbolo «@», que se utiliza en las direcciones de correo electrónico. Para introducir el símbolo @ en un teclado español, pulse Alt Gr y 2.

  1. Haga un solo clic en la ventana de la consola activa.
  2. Haga clic en la tecla Mayús.

 

 

Hacer clic en la tecla @

 

  1. Haga clic en la tecla @.

Observe que ahora el símbolo @ aparece en la ventana activa de la consola.

 

 

Solicitud o marca de agua de activación

 

La primera vez que arranque el laboratorio, es posible que advierta una marca de agua en el escritorio que indica que Windows no se ha activado.  

Una de las principales ventajas de la virtualización es que las máquinas virtuales se pueden migrar y ejecutar en cualquier plataforma.  Los laboratorios prácticos utilizan esta ventaja, por lo que podemos ejecutarlos en múltiples centros de datos.  Sin embargo, estos centros de datos pueden no tener procesadores idénticos, lo que genera una verificación de activación de Microsoft a través de Internet.

Tenga la seguridad de que VMware y los laboratorios prácticos cumplen todos los requisitos de licencias de Microsoft.  El laboratorio que está utilizando es un módulo independiente y no dispone de acceso total a Internet, que es un requisito para que Windows verifique la activación.  Sin acceso total a Internet, este proceso automatizado falla y se muestra esta marca de agua.

Este problema superficial no afecta al laboratorio.  

 

 

Comprobar el sector inferior derecho de la pantalla

 

Compruebe que el laboratorio haya finalizado todas las rutinas de arranque y que esté listo para empezar. Si ve otro mensaje que no sea «Ready», aguarde unos minutos.  Si después de cinco minutos el laboratorio no ha cambiado a «Ready», solicite ayuda.

 

Topología del laboratorio


Este laboratorio lo conforman dos sitios distintos (llamados RegionA0 y RegionB0); cada uno cuenta con su propia instancia de vCenter, hosts dedicados de vSphere 6.5, almacenamiento y subredes de red. Las dos instancias de vCenter comparten un Platform Services Controller (PSC) que posibilita la gestión común de identidades y licencias y la interacción entre aplicaciones en múltiples sitios.

La región A consta de dos clústeres:

Los dos clústeres comparten una subred de gestión común (192.168.110.0/24), así como vMotion (10.10.30.0/24) y una red de almacenamiento de IP (10.10.20.0/24).

Las redes dedicadas a los puntos de acceso de túnel de la VXLAN (VTEP) de NSX están separadas por sitio, RegionA01 utiliza 192.168.130.0/24. Las subredes con VTEP se enrutan juntas con un enrutador externo (vpodrouter).

La región B consta de un solo clúster:

La región B dispone de su propia subred de gestión (192.168.210.0/24), así como vMotion separado (10.20.30.0/24), almacenamiento de IP (10.20.20.0/24) y redes con VTEP (192.168.230.0/24).

Las redes de gestión, vMotion y con VTEP se enrutan a través de los distintos sitios para que sean comunes la gestión, Cross vCenter vMotion y la extensibilidad de red (VXLAN).

Todas las redes con VTEP tienen una unidad de transmisión máxima de 1600 bytes configurada para posibilitar la encapsulación de VXLAN.


 

Topología del entorno virtual

 

La imagen muestra los hosts de vSphere y la manera en la que las máquinas virtuales están ubicadas en los distintos clústeres, así como los conmutadores virtuales distribuidos. También se muestran las direcciones IP VTEP asociadas a los hosts.

vCenter Server A (vcsa-01a.corp.local) gestiona los clústeres RegionA01-MGMT01 y RegionA01-COMP01; vCenter Server B (vcsa-01b.corp.local) gestiona RegionB01-COMP01. Las dos instancias de vCenter están conectadas a un PSC (psc-01a.corp.local) común, ubicado en la red de gestión de la región A.

A continuación encontrará la configuración de la zona de transporte (TZ) de NSX en el laboratorio:

 

 

Topología de la red lógica preconfigurada

 

La primera vez que acceda al laboratorio, la topología que se muestra en la imagen ya estará implementada. Ya se han configurado cinco conmutadores lógicos universales de NSX (Web_Tier_ULS, App_Tier_ULS, DB_Tier_ULS, RegionA01_Transit, RegionB01_Transit) y una aplicación web de tres niveles. Los conmutadores lógicos están conectados a un enrutador lógico distribuido universal (UDLR) que, a su vez, está conectado a una instancia de NSX Edge Services Gateway (ESG) en cada región. El enrutamiento dinámico con protocolo de puerta de enlace fronteriza (BGP) garantiza el intercambio de rutas entre las instancias de ESG y el enrutador externo.

 

 

Topología final de la red lógica

 

Al completar los módulos 1, 2, 3 y 4, habrá configurado en el laboratorio la topología que se muestra en la imagen, según se describe a continuación:

 

Módulo 1: API de REST de VMware NSX Data Center (15 minutos)

API basada en REST de NSX


NSX se ha diseñado desde el principio con una API basada en REST. La API de REST de NSX puede usarse tanto para configurar NSX como para aprovisionar los servicios de red lógica de NSX. Puede llamar a la API de REST de NSX de forma directa o indirecta a través de varios lenguajes de programación. Muchas herramientas de coordinación y automatización, como vRealize Automation a través de vRealize Orchestrator, pueden llamar a la API de REST de NSX para llevar a cabo coordinación y automatización de redes desde la capa 2 hasta la capa 7.

Para estudiar las llamadas a la API basada en REST de NSX, utilizará la extensión RESTClient en el navegador Mozilla Firefox. RESTClient es un depurador para servicios web basados en REST y una herramienta útil al trabajar con varias API de REST.

Durante este módulo, completaremos las siguientes tareas:


 

Introducción a las API de REST

 

Una API de transferencia de estado representacional (REST) define un conjunto de principios sencillos que la mayoría de implementaciones de API sigue de forma general.

REST aprovecha la potencia de HTTP para enviar datos (encabezados y cuerpos) entre clientes y servidores.

Los términos «localizador de recursos uniforme» (URL) e «identificador de recursos uniforme» (URI) pueden usarse indistintamente al trabajar con REST.

Los recursos (los componentes fundamentales) están vinculados mediante hipervínculos integrados en documentos HTML o referencias URI. También pueden mostrar el estado mediante representaciones que contienen tanto metadatos (como tamaño, tipo de medio o conjunto de caracteres) como contenido (imágenes binarias o documentos de texto).

 

 

Métodos de solicitud de REST

 

Los clientes de REST especifican la interacción deseada (mensaje de solicitud HTTP, según su definición en la RFC 2616). Cada método HTTP cuenta con una semántica específica y bien definida dentro del contexto del modelo de recursos de API de REST:

 

 

Códigos de estado de respuesta de REST

 

Las API de REST utilizan un mensaje de respuesta HTTP para informar a los clientes del resultado de sus peticiones (según su definición en la RFC 2616). Hay cinco categorías definidas:

Mensajes de respuesta de HTTP para informar a los clientes del resultado de sus peticiones (según su definición en la RFC 2616):

 

 

Encabezados de solicitud HTTP para la API basada en REST de NSX

 

A continuación encontrará una lista de los encabezados de solicitud más importantes para configurar las API basadas en REST a fin de que aprovisionen NSX services:

  1. Authorization: Las credenciales de usuario y contraseña en formato codificado en Base64.
  2. Content-Type: «application/xml». Indica que el cuerpo de la solicitud o la carga útil se encuentran en formato .xml.

 

 

Solicitudes HTTP para la API basada en REST de NSX

 

  1. Method/Verb: GET/PUT/POST/DELETE: Acción que se aplicará al recurso.
  2. URL: Recurso.
  3. Headers: Autorización y tipo de contenido.
  4. Body: Carga útil de XML.
  5. Status Code: Códigos de estado: «2xx» indica «correcto», «4xx» y «5xx» indican fallos.

 

Introducción a los cmdlets de REST de PowerShell


PowerShell incluye un cliente de REST.  A continuación encontrará una introducción al cmdlet Invoke-RestMethod.


 

Invoke-RestMethod

El cmdlet de PowerShell Invoke-RestMethod permite que el usuario tenga acceso a las API basadas en REST.  Este cmdlet contiene todos los métodos y opciones necesarios para interactuar con la API de NSX.  A continuación encontrará la sintaxis para este método.

Invoke-RestMethod [-Uri] <Uri> [-Body <Object> ] [-Certificate <X509Certificate> ] [-CertificateThumbprint <String> ] [-ContentType <String> ] [-Credential <PSCredential> ] [-DisableKeepAlive] [-Headers <IDictionary> ] [-InFile <String> ] [-MaximumRedirection <Int32> ] [-Method <WebRequestMethod> {Default | Get | Head | Post | Put | Delete | Trace | Options | Merge | Patch} ] [-OutFile <String> ] [-PassThru] [-Proxy <Uri> ] [-ProxyCredential <PSCredential> ] [-ProxyUseDefaultCredentials] [-SessionVariable <String> ] [-TimeoutSec <Int32> ] [-TransferEncoding <String> {chunked | compress | deflate | gzip | identity} ] [-UseBasicParsing] [-UseDefaultCredentials] [-UserAgent <String> ] [-WebSession <WebRequestSession> ] [ <CommonParameters>]

 

 

Acceder a vSphere Web Client

 

  1. Acceda a vSphere Web Client mediante el icono de Google Chrome del escritorio.

 

 

Minimizar vSphere Web Client

 

  1. Minimice vSphere Web Client.

 

 

Abrir el script de PowerShell de ejemplo

 

Utilice Notepad++ para abrir el archivo «REST Example.ps1», que se encuentra en la carpeta llama «API Module», en el escritorio.

  1. Haga doble clic en la carpeta API Module.
  2. Haga clic con el botón derecho en REST Example.ps1.
  3. Seleccione Edit with Notepad++.

 

 

Revisar el script

 

El script de PowerShell creará un conmutador lógico.

  1. Esta parte es la inicialización del script.
  2. Esta parte define los detalles del conmutador lógico.
  3. Esta parte llama a NSX Manager para que cree el conmutador lógico.  

Observe que se usa «Invoke-WebRequest» en lugar de «Invoke-RestMethod».  Se hizo así a fin de validar los encabezados HTTP al retornar la llamada.

 

 

Ejecutar el script de ejemplo

 

  1. Haga clic con el botón derecho en REST Example.ps1.
  2. Seleccione Run With PowerShell.
  3. Compruebe el resultado.

 

 

Volver a vSphere Web Client

 

 

  1. Seleccione la ventana de vSphere Web Client en Chrome.

 

 

Ir a la pestaña «Networking & Security»

 

  1. Haga clic en el botón Home.
  2. Seleccione Networking & Security.

 

 

Verificar la creación del conmutador lógico

 

  1. Haga clic en Logical Switches.
  2. Compruebe que se haya creado RestSwitch1.

Nota: Es posible que el ID del segmento y el número de VirtualWire sean distintos.

 

 

Eliminar RestSwitch1

 

  1. Haga clic con el botón derecho en RestSwitch1.
  2. Haga clic en Remove.
  3. Haga clic en Yes.

 

Creación de múltiples conmutadores lógicos


En esta lección, un script de PowerShell creará múltiples conmutadores lógicos mediante la API de NSX.


 

Abrir el script de ejemplo

 

  1. Haga doble clic en la carpeta API Module en el escritorio.
  2. Haga clic con el botón derecho en el archivo Create Switches.ps1 en el escritorio.
  3. Seleccione Edit with Notepad++.

 

 

Revisar el script

 

Este script se basa en el anterior y utiliza una matriz de nombres de conmutadores para crear múltiples conmutadores.

  1. Esta parte define la matriz «$switches» para que contenga tres nombres de conmutador: Web, App y DB.
  2. Esta parte crea un bucle que conecta cada valor de la matriz «$switches».  
  3. El nombre del conmutador se añade al cuerpo de la solicitud durante cada bucle.

 

 

Ejecutar el script para crear conmutadores

 

  1. Haga clic con el botón derecho en el archivo Create Switches.ps1.
  2. Haga clic en Run with PowerShell.

 

 

Comprobar el resultado

 

Se han creado los conmutadores lógicos Web, App y DB y se les han asignado ID disponibles de VirtualWire.  Es posible que los ID mostrados en el laboratorio sean distintos.

Pulse cualquier tecla para continuar.

 

 

Volver a vSphere Web Client

 

  1. Haga clic en el icono de actualizar.
  2. Compruebe que se haya creado el conmutador App.
  3. Compruebe que se haya creado el conmutador DB.
  4. Compruebe que se haya creado el conmutador Web.

 

Creación de un enrutador distribuido


En esta lección, un script de PowerShell utilizará la API de NSX para crear un enrutador distribuido.


 

Abrir el script «Create DLR»

 

  1. Vuelva a la carpeta API Module.
  2. Haga clic con el botón derecho en el archivo Create DLR.ps1.
  3. Haga clic en Edit with Notepad++.

 

 

Revisar el script

 

  1. Revise los campos necesarios para el enrutador distribuido.
  2. Tome nota de la ubicación URI.

 

 

Ejecutar el script «Create DLR.ps1»

 

  1. Haga clic con el botón derecho en el archivo Create DLR.ps1.
  2. Haga clic en Run with PowerShell.

Nota: El script puede tardar entre 1 y 3 minutos en ejecutarse.

Compruebe el resultado.

Pulse cualquier tecla para cerrar la ventana.

 

 

Revisar el DLR en vSphere Web Client

 

Volver a vSphere Web Client

  1. Haga clic en la pestaña de NSX Edges.
  2. Compruebe que se haya creado Distributed-Router.

Nota: Es posible que los números de Edge sean diferentes en cada laboratorio.

 

Configuración del umbral de la alarma de conexiones por segundo del DFW


En esta lección, un script de PowerShell configurará las alarmas de conexiones por segundo del cortafuegos distribuido (DFW).  Solo es posible ajustar esta configuración mediante la API.


 

Abrir el script «DFW CPS.ps1»

 

  1. Vuelva a la carpeta API Module.
  2. Haga clic con el botón derecho en el archivo DFW CPS.ps1.
  3. Haga clic en Edit with Notepad++.

 

 

Revisar el script

 

  1. Revise los umbrales de la alarma.
  2. Tome nota de la URI.

 

 

Ejecutar el script «DFW CPS»

 

  1. Haga clic con el botón derecho en el archivo DFW CPS.ps1 en el escritorio.
  2. Haga clic en Run with PowerShell.

Revise el resultado del script.  El cortafuegos distribuido activará una alarma cuando se superen las 10 conexiones por segundo.

 

Limpieza del módulo


Tras completar este laboratorio deberá eliminar los objetos creados con la API.


 

Eliminar los conmutadores lógicos

 

Asegúrese de eliminar solamente los conmutadores lógicos que se crearon con la API.

Vuelva a vSphere Web Client:

  1. Vaya a la pestaña de Logical Switches.
  2. Haga clic en el conmutador lógico App.
  3. Haga clic en Remove.
  4. Haga clic en Yes.

Repita los mismos pasos para el conmutador lógico DB y el Web.

 

 

Eliminar el enrutador distribuido

 

  1. Vaya a la pestaña de NSX Edges.
  2. Haga clic en Distributed-Router.
  3. Haga clic en Delete.
  4. Haga clic en Yes.

 

Conclusión del módulo 1


En este módulo, hemos utilizado la API de NSX para configurar múltiples objetos de NSX.  La API de NSX le ofrece una potente herramienta para la configuración, la solución de problemas y la supervisión.  


 

Final del módulo 1

Enhorabuena, ha completado el módulo 1.

Para obtener más información sobre la API de NSX, visite la siguiente URL y seleccione la guía de API de NSX:

La guía de API también está disponible en el escritorio de la consola principal.  Si desea estudiar la API más a fondo, la guía de API y la de Postman, el cliente de REST, también están disponibles en el escritorio de la consola principal.  Si dese ver más ejemplos de configuración de componentes, como el enrutamiento y los cortafuegos, el archivo Fast-Forward.ps1 que se encuentra en el escritorio se usará más adelante para saltarse el módulo 3.  

Continúe con cualquiera de los módulos siguientes o finalice el laboratorio.

 Director del laboratorio:

  • Módulos 1-5: Brian Wilson, ingeniero de sistemas, EE. UU.

 

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón FINALIZAR.  

 

Módulo 2: Revisión de elementos multisitio preconfigurados (30 minutos)

Información sobre el módulo


En este módulo, revisaremos la configuración de vSphere y NSX.  Este laboratorio incluye muchas configuraciones y objetos universales que son necesarios para una configuración activa-activa en varios sitios.

Repasaremos configuraciones como:

  • vCenter Enhanced Linked Mode
  • NSX Managers
  • Clúster de control universal
  • Preparación de la red lógica
  • Revisión de la preparación de la red lógica universal
  • Conmutadores lógicos universales
  • NSX Edges

 

Topología preconfigurada

 

Este diagrama de la topología muestra los objetos preconfigurados del laboratorio.

 

Revisión de las configuraciones de vCenter


En este laboratorio, las dos instancias de vCenter Server se han configurado con Enhanced Linked Mode,  lo cual permite gestionarlas a ambas mediante la misma sesión de vSphere Web Client.  Si se encuentran en modo Enhanced Linked Mode, los dos entornos de NSX también pueden configurarse con la misma sesión de vSphere Web Client.  


 

Seleccionar «Hosts and Clusters»

 

  1. Haga clic en el botón Home.
  2. Haga clic en Hosts and Clusters.

 

 

Verificar la disponibilidad de ambas instancias de vCenter Server

 

Asegúrese de que ambas instancias de vCenter Server sean visibles.

 

Revisión de las configuraciones de NSX Manager


En esta lección, revisaremos las funciones asignadas a NSX Manager.  La instancia de NSX Manager registrada en la región A cumplirá la función principal.  La instancia de NSX Manager registrada en la región B cumplirá la función secundaria.


 

Ir a la pestaña «Networking & Security»

 

  1. Haga clic en el botón Home.
  2. Seleccione Networking & Security.

 

 

Ir a la pestaña de instalación

 

Haga clic en la pestaña Installation and Upgrade.

 

 

Verificar las funciones de NSX Manager

 

En este laboratorio, las dos instancias de NSX Manager ya están configuradas.  Una como Primary y la otra como Secondary.  Asegúrese de que se ha asignado una función a ambas instancias de NSX Manager.

 

Revisión del clúster de control universal


En esta lección, revisaremos el clúster de control universal de NSX.  El clúster de control universal de NSX gestiona las redes lógicas en ambas instancias de vCenter Server.  Esto le permite configurar los conmutadores lógicos universales, los enrutadores lógicos universales y las reglas del cortafuegos distribuido universal.


 

Verificar las controladoras de la instancia principal de NSX Manager

 

  1. Haga clic en NSX Controller Nodes.

Compruebe que controller-1 está conectado a la instancia principal de NSX Manager.

Nota: La práctica recomendada para VMware NSX es mantener siempre tres controladoras por clúster de control. Sin embargo, dados los recursos limitados del entorno del módulo, solo hemos implementado una controladora. Este aspecto no afectará negativamente a la funcionalidad del laboratorio.

 

 

Verificar las controladoras de la instancia secundaria de NSX Manager

 

Compruebe que controller-1 esté conectado a la instancia secundaria de NSX Manager.

Nota: La práctica recomendada para VMware NSX es mantener siempre tres controladoras por clúster de control. Sin embargo, dados los recursos limitados del entorno del módulo, solo hemos implementado una controladora. Este aspecto no afectará negativamente a la funcionalidad del laboratorio.

 

Revisión de la preparación de la red lógica universal


En esta lección, revisaremos la preparación de la red lógica preconfigurada.


 

Revisar el depósito universal de ID de segmentos en la instancia principal de NSX Manager

 

Antes de configurar los conmutadores lógicos universales es necesario crear un depósito universal de ID de segmentos.  El depósito universal de ID de segmentos debe contar con un rango distinto al de los depósitos de ID de segmentos que utilizan las instancias de NSX Manager configuradas en entornos de Cross-vCenter.

  1. Seleccione Logical Network Settings.
  2. Seleccione la instancia Primary de NSX Manager.
  3. Seleccione VXLAN Settings.
  4. Verifique el depósito de ID de segmentos.
  5. Fíjese en que el depósito universal de ID de segmentos utiliza un rango distinto.

 

 

Pasar a la instancia secundaria de NSX Manager

 

Para pasar a la instancia secundaria de NSX Manager:

  1. Haga clic en el menú desplegable de NSX Manager.
  2. Seleccione la instancia Secondary de NSX Manager.

 

 

Revisar el depósito universal de ID de segmentos en la instancia secundaria de NSX Manager

 

La instancia secundaria de NSX Manager también debe configurarse con un depósito de ID de segmentos.  Los depósitos de ID de segmentos configurados en todas las instancias de NSX Manager no deben superponerse. El depósito universal de ID de segmentos se sincroniza con la instancia principal de NSX Manager:

  1. Compruebe que el depósito de ID de segmentos de la instancia secundaria de NSX Manager no se superponga con el depósito de ID de segmentos de la instancia principal.
  2. Compruebe que se ha sincronizado el depósito universal de ID de segmentos.

 

 

Revisar las zonas de transporte universales

 

Las zonas de transporte definen qué clústeres pueden participar en una red lógica.  Las zonas de transporte globales están limitadas a una única instancia de vCenter Server.  Las zonas de transporte universales pueden abarcar más de una instancia de vCenter Server.  Compruebe qué clústeres están conectados a la zona de transporte universal:

  1. Seleccione Transport Zones.
  2. Active el botón de opción Universal_TZ.
  3. Haga clic en Connect Clusters.

 

 

Revisar los clústeres conectados a zonas de transporte universales

 

Las zonas de transporte definen qué clústeres pueden participar en una red lógica.  Las zonas de transporte globales están limitadas a una única instancia de vCenter Server.  Las zonas de transporte universales pueden abarcar más de una instancia de vCenter Server.  Compruebe qué clústeres están conectados a la zona de transporte universal:

  1. Compruebe que el clúster RegionB01-COMP01 está conectado y muestra que se encuentra en estado normal.
  2. Haga clic en Cancel.

Cambie a la instancia Primary de NSX Manager y revise la configuración de Universal_TZ.  Compruebe que los clústeres RegionA01-COMP01 y RegionA01-MGMT01 están conectados y muestran que se encuentran en estado normal.

 

Revisión de los conmutadores lógicos universales


En esta lección, revisaremos los conmutadores lógicos universales preconfigurados.


 

Verificar los conmutadores lógicos universales en la instancia principal de NSX Manager

 

Los conmutadores lógicos universales se configuran en la misma pestaña que los conmutadores lógicos globales.  Compruebe los cinco conmutadores lógicos universales preconfigurados:

  1. Seleccione la pestaña Logical Switches.
  2. Seleccione la instancia Primary de NSX Manager.
  3. Verifique que la configuración de los cinco conmutadores lógicos sea de alcance universal.

Los ID de segmentos de los conmutadores lógicos universales quedan dentro del rango del depósito universal de ID de segmentos.

 

 

Verificar los conmutadores lógicos universales en la instancia secundaria de NSX Manager

 

Una vez configurados, los conmutadores lógicos universales se sincronizan con todas las instancias secundarias de NSX Manager.  Compruebe que todos los conmutadores están disponibles en la instancia secundaria de NSX Manager y que los ID de segmentos correspondan con la instancia principal de NSX Manager:

  1. Seleccione la instancia Secondary de NSX Manager.
  2. Compruebe que la configuración de los conmutadores lógicos universales corresponda con la de la instancia principal de NSX Manager.

Los campos Names, Transport Zone y Segment IDs están sincronizados en todas las instancias de NSX Manager.

 

 

Crear un conmutador lógico universal

 

Los conmutadores lógicos universales solo pueden configurarse en la instancia principal de NSX Manager.  Cree un conmutador lógico universal en la instancia principal de NSX Manager:

  • Seleccione la instancia Primary de NSX Manager.
  • Haga clic en el icono Add Logical Switch.

 

 

Verificar el conmutador lógico universal recién creado

 

Compruebe que se ha creado el conmutador lógico universal NSX_ULS, que se encuentra en la zona de transporte Universal_TZ y que está configurado con un ID de segmento que provenga del depósito universal de ID de segmentos.  Cambie a la instancia secundaria de NSX Manager y compruebe que el conmutador lógico universal se ha sincronizado:

  1. Seleccione la instancia Primary de NSX Manager.
  2. Compruebe NSX_ULS.

 

 

Verificar el conmutador lógico universal recién creado en la instancia secundaria de NSX Manager

 

Compruebe que el conmutador lógico universal NSX_ULS se ha sincronizado con la instancia secundaria de NSX Manager.  

  1. Seleccione la instancia Secondary de NSX Manager.
  2. Compruebe NSX_ULS.

 

Revisión de las configuraciones de NSX Edge


En este laboratorio, los dispositivos NSX Edge (las instancias de ESG) proporcionan la conectividad para la comunicación norte-sur y este-oeste.  Hay dos dispositivos NSX Edge preconfigurados para la comunicación norte-sur.  La configuración de estas puertas de enlace perimetrales incluye el enrutamiento dinámico con BGP.  Las puertas de enlace perimetrales utilizan ECMP para permitir el tráfico de entrada y salida de ambos sitios.  Se ha preconfigurado una tercera instancia de ESG como enrutador lógico distribuido universal (ULDR).  Este ULDR se ha configurado para que cuente con ECMP y salida local.


 

Salida local

 

La salida local posibilita la optimización de salida en cada sitio.  El tráfico se enruta a través de ESG en el mismo sitio en el que se origina.  El tráfico este-oeste utiliza el ULDR para la optimización entre máquinas virtuales.  Esta configuración requiere un enrutamiento dinámico entre la red física y las instancias de ESG, y entre las instancias de ESG y el ULDR.  El ULDR anuncia la red configurada a las dos instancias de ESG.  Las instancias de ESG anuncian las redes del ULDR a la red física de ambos sitios.  Esta configuración permite que la red física transmita y reciba tráfico en ambas direcciones desde la misma red en los dos sitios.

  1. El tráfico que se origina en las máquinas virtuales de RegionA0 sale de la red lógica a través del ESG de RegionA0.
  2. El tráfico que se origina en las máquinas virtuales de RegionB0 sale de la red lógica a través del ESG de RegionB0.
  3. El tráfico entre las máquinas virtuales utiliza el ULDR para la optimización este-oeste.

 

 

Revisar las configuraciones de la puerta de enlace perimetral

 

Para ver la configuración del ESG «RegionA0_Perimeter_GW»:

  1. Vaya a la pestaña de NSX Edges.
  2. Compruebe que se ha seleccionado la instancia Primary de NSX Manager.
  3. Haga doble clic en el ESG RegionA0_Perimeter_GW.

 

 

Revisar la configuración del enrutador lógico distribuido universal

 

  1. Compruebe que se ha seleccionado la instancia Primary de NSX Manager.
  2. Haga doble clic en Universal_DLR_01.

 

Conclusión del módulo 2


En este módulo, hemos revisado los objetos universales preconfigurados.  Estos elementos se preconfiguraron para permitirle concentrarse en la configuración de estructuras de enrutamiento universal en el módulo 3.


 

Ha finalizado el módulo 2.

Enhorabuena, ha completado el módulo 2.

Para obtener más información acerca de las configuraciones universales de NSX, visite la siguiente URL y seleccione la guía de instalación de Cross-vCenter:

Continúe con uno de los módulos que se muestran a continuación:

 Director del laboratorio:

  • Módulos 1-5: Brian Wilson, ingeniero de sistemas, EE. UU.

 

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón FINALIZAR.  

 

Módulo 3: Creación de elementos universales (30 minutos)

Información sobre el módulo


En este módulo, configuraremos el BGP en el ULDR y las reglas del cortafuegos distribuido universal.

Los pasos incluidos en este módulo son los siguientes:

  • Habilitar el BGP en el ULDR de RegionA.
  • Habilitar el BGP en el ULDR de RegionB.
  • Verificar la conectividad de las aplicaciones.
  • Crear las reglas para el cortafuegos distribuido universal.

 

Topología preconfigurada

 

Este laboratorio está preconfigurado con la topología de red virtual que se muestra en la imagen.  Las máquinas virtuales de puerta de enlace perimetral ya están configuradas para intercambiar información de enrutamiento con el enrutador vPod.

 

 

Configuración final

 

Al final de este módulo, el BGP se configurará para que intercambie información de enrutamiento dinámico entre las puertas de enlace perimetrales y el enrutador lógico distribuido universal.  La configuración de la optimización de salida garantizará que el tráfico que salga del entorno de la red lógica utilice la puerta de enlace perimetral más cercana a la máquina virtual.  Se configurarán reglas de cortafuegos distribuido universal para permitir la microsegmentación de la aplicación de tres niveles suministrada en el laboratorio.

 

Activación del BGP en el enrutador lógico universal en RegionA0


En este módulo, configuraremos el enrutador lógico distribuido universal para el enrutamiento dinámico y las reglas del cortafuegos distribuido universal para aplicar microsegmentación a una aplicación de tres niveles.


 

Ver el ID de configuración regional de RegionA0

 

El ID de configuración regional se configura por clúster.  El ID de configuración regional hace posible que el ULDR tome decisiones basadas en el sitio.

 

 

Configurar el ULDR para el enrutamiento dinámico

 

Para configurar Universal_DLR:

  1. Vaya a la pestaña de NSX Edges.
  2. Compruebe que se ha seleccionado la instancia Primary de NSX Manager.
  3. Haga doble clic en Universal_DLR_01.

 

 

Configurar el ULDR para el BGP

 

Es necesario habilitar el BGP y añadir «RegionA0_Perimeter_GW» a la vecindad:

  1. Seleccione la sección BGP.
  2. Haga clic en Edit, junto a BGP Configuration.

 

Activación del BGP en el enrutador lógico universal en RegionB0


En esta lección, configuraremos el enrutador lógico distribuido universal en RegionB0.


 

Ver el ID de configuración regional

 

El ID de configuración regional se configura por clúster.  El ID de configuración regional hace posible que el ULDR tome decisiones basadas en el sitio.

 

 

Configurar el ULDR para el enrutamiento dinámico

 

Para ver la configuración del ULDR de RegionB0:

  1. Vaya a la pestaña de NSX Edges.
  2. Compruebe que se ha seleccionado la instancia Secondary de NSX Manager.
  3. Haga doble clic en Universal_DLR_01.

 

 

Configurar el ULDR para el BGP

 

Es necesario activar el BGP y añadir «RegionB0_Perimeter_GW» a la vecindad:

  1. Seleccione la sección BGP.
  2. Haga clic en Edit, junto a «BGP Configuration».

 

Verificación de la conectividad de las aplicaciones


En esta lección, comprobaremos que la aplicación de tres niveles funcione en RegionA0.


 

Abrir una pestaña nueva

 

Haga clic en el botón de pestaña nueva.

 

 

Abrir la aplicación de tres niveles

 

Haga clic en el marcador webapp.corp.local.

 

 

Verificar la aplicación de tres niveles

 

Compruebe que la página de la aplicación de múltiples niveles del laboratorio práctico se ha cargado y ha recuperado los datos.  

 

 

Hacer ping en las máquinas virtuales

 

Abra el símbolo del sistema en la consola principal.

 

Creación de reglas para el cortafuegos distribuido universal


En esta lección, crearemos las reglas del cortafuegos distribuido universal para la aplicación de tres niveles del laboratorio práctico.  Las reglas del cortafuegos distribuido universal solo pueden contener direcciones IP, grupos de IP, direcciones MAC o grupos de MAC.


 

Ir a vSphere Web Client

 

Vaya a la pestaña de vSphere Web Client.

 

 

Ir a la pestaña «Networking & Security»

 

  1. Haga clic en el botón Home.
  2. Seleccione Networking & Security.

 

 

Ir a la pestaña «Firewall»

 

Haga clic en la pestaña Firewall.

 

 

Comprobar que se ha seleccionado la instancia principal de NSX Manager

 

Para crear las reglas del cortafuegos universal es necesario seleccionar la instancia Primary de NSX Manager.  Todas las reglas que se hayan marcado con sincronización universal se distribuirán a la instancia secundaria de NSX Manager de forma automática.

 

 

Añadir una sección a las reglas de cortafuegos

 

Haga clic en el botón Add Section.

 

 

Crear sección

 

  1. Asigne el nombre Three Tier App a la sección.
  2. Cambie Universal Synchronization a «on» para esta sección nueva.
  3. Seleccione Add.

 

 

Añadir una regla universal

 

  1. Marque la casilla Three Tier App.
  2. Haga clic en el icono Add Rule.

 

 

Configurar una regla universal predeterminada

 

En este paso, configuraremos una regla universal predeterminada.  Una vez hayamos definido todas las reglas de la aplicación, cambiaremos esta al rechazo predeterminado.  

  1. Compruebe que la sección Three Tier App se ha expandido.
  2. Haga clic en Enter rule name.

 

 

Configurar una regla para el acceso al servidor web

 

Haga clic en el botón Add Rule.

 

 

Configurar una regla para el acceso desde el servidor web al de aplicaciones

 

En este paso, configuraremos la regla que permite el acceso al nivel de aplicación desde el nivel web en Tomcat:

  1. Compruebe que la sección Three Tier App se ha expandido.
  2. Haga clic en el icono Add Rule.
  3. Haga clic en el campo Enter rule name para asignar un nombre a la regla.

 

 

Configurar una regla para el acceso desde el servidor de aplicaciones al de bases de datos

 

En este paso, configuraremos la regla que permite el acceso al nivel de base de datos desde el nivel de aplicaciones en MySQL.

  1. Compruebe que la sección Three Tier App se ha expandido.
  2. Haga clic en el icono Add Rule.
  3. Haga clic en el campo Enter rule name para asignar un nombre a la regla.

 

 

Configurar la regla de rechazo

 

Haga clic en el icono Edit en la columna Action.

 

 

Publicar los cambios

 

Haga clic en Publish Changes para publicar las reglas del cortafuegos universal.  No se aplicará ninguna regla hasta que se publiquen los cambios.

 

 

Verificar la conectividad de las aplicaciones

 

Haga clic en el botón de pestaña nueva.

 

 

Hacer ping en a las máquinas virtuales

 

Para verificar la regla de rechazo, abra el símbolo del sistema en la consola principal.

 

Conclusión del módulo 3


En este módulo, hemos configurado el enrutamiento dinámico y la salida local del enrutador lógico distribuido universal en dos sitios.  Esto permitirá implementar configuraciones de tipo activo-activo en los centros de datos virtuales.


 

Ha finalizado el módulo 3

Enhorabuena, ha completado el módulo 3.

Para obtener más información acerca de las configuraciones universales de NSX, visite la siguiente URL y seleccione la guía de instalación de Cross-vCenter:

Continúe con uno de los módulos que se muestran a continuación:

 Director del laboratorio:

  • Módulos 1-5: Brian Wilson, ingeniero de sistemas, EE. UU.

 

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón FINALIZAR.  

 

Módulo 4: Configuración multisitio de tipo activo-activo (15 minutos)

Información sobre el módulo


En este módulo, utilizará vMotion para llevar a cabo la migración de una pila de aplicaciones a un sitio secundario.  

Este módulo incluye:

  • Cross vCenter vMotion
  • Verificación de la salida local

Si todavía no ha completado el módulo 3, siga estos pasos para configurar el entorno.  Si ya ha completado el módulo 3, continúe con la siguiente lección:


 

Topología del laboratorio

 

En este módulo, utilizará la topología de red lógica que se muestra en la imagen.  Utilizará vMotion para migrar a un sitio secundario todas las máquinas virtuales asociadas a la aplicación de tres niveles.  Verificará la salida local del tráfico y la disponibilidad de la aplicación.

 

 

Minimizar vSphere Web Client

 

  1. Minimice vSphere Web Client.

 

 

Ejecución del script de avance rápido

 

  1. Haga clic con el botón derecho en el archivo Fast-Forward.ps1 en el escritorio.
  2. Seleccione Run with PowerShell.

Este script configurará el entorno con los requisitos para el módulo 4.  Permita que el script se complete.  La ventana se cerrará cuando se haya completado.

 

 

Volver a vSphere Web Client

 

  1.  Seleccione la ventana de vSphere Web Client en Chrome.

 

Verificación de la salida local


Esta lección verificará que la salida local funcione.


 

Inicio de sesión en el enrutador vPod

 

Inicie PuTTY.

 

 

Apertura de una conexión al enrutador vPod

 

  1. Seleccione la sesión guardada de vPod Router BGP.
  2. Haga clic en Open.

 

 

Inicio de sesión

 

  1. Introduzca la contraseña «VMware1!».

 

 

Verificación de la tabla de enrutamiento

 

Se muestra la tabla de enrutamiento.  Compruebe que haya dos rutas activas por cada red de máquina virtual:

  1. Escriba:
show ip bgp
  1. Verifique las rutas.
  2. Cuando haya terminado, cierre la sesión de Secure Shell.

 

 

Cambio a vSphere Web Client y selección de «Hosts and Clusters»

 

  1. Haga clic en el botón Home.
  2. Haga clic en Hosts and Clusters.

 

 

Verificar la ubicación de la aplicación

 

Verifique que las máquinas virtuales web-01a.corp.local, web-02a.corp.local, app-01a.corp.local y db-01a.corp.local se encuentran en el centro de datos de RegionA01.

 

 

Ir a la pestaña «Networking & Security»

 

  1. Haga clic en el botón Home.
  2. Seleccione Networking & Security.

 

 

Desactivar la regla de rechazo universal

 

  1. Haga clic en la pestaña Firewall.
  2. Compruebe que se ha seleccionado la instancia Primary de NSX Manager.
  3. Compruebe que la sección Three Tier App esté expandida.
  4. Haga clic en el botón verde para desactivar la regla número cuatro.
  5. Haga clic en Publish.

 

 

Aguardar a que la publicación de reglas de cortafuegos se realice con éxito

 

Espere a que la publicación se complete con éxito.

 

 

Inicio de sesión en web-01a.corp.local

 

Inicie PuTTY.

 

 

Apertura de una conexión con web-01a.corp.local

 

  1. Seleccione la sesión guardada web-01a.corp.local.
  2. Pulse Open.

 

 

Utilización del comando «tracepath» para la verificación de la salida local

 

  1. Utilice el siguiente comando para mostrar la ruta de red hasta el enrutador vPod:
tracepath 192.168.100.1 -m2 -n
  1. Observe la salida a través de 192.168.5.1.  Es la interfaz de RegionA01-Perimeter_GW.

 

 

Migración mediante vMotion de la máquina virtual web a RegionB0

 

  1. Haga clic en el botón Home.
  2. Haga clic en Hosts and Clusters.

 

 

Expansión de todos los elementos contraídos

 

Haga clic en el triángulo invertido para expandir todos los elementos contraídos.

 

 

Migración mediante vMotion de la máquina virtual web

 

  1. Haga clic con el botón derecho en web-01a.corp.local.
  2. Haga clic en Migrate.

 

 

Seleccionar el tipo de migración

 

  1. Seleccione la opción Change both compute resource and storage.
  2. Haga clic en Select compute resource first.
  3. Haga clic en Next.

 

 

Seleccionar un recurso informático

 

  1. Seleccione el clúster RegionB01-COMP01. Seleccione el host esx-02b.corp.local.
  2. Haga clic en Next.

 

 

Seleccionar el almacenamiento

 

  1. Seleccione RegionB01-ISCSI01-COMP01.
  2. Haga clic en Next.

 

 

Seleccionar una carpeta

 

  1. Seleccione Discovered virtual machine.
  2. Haga clic en Next.

 

 

 

Seleccionar la red

 

  1. Seleccione Web_Tier_ULS junto a la red «universalwire».
  2. Haga clic en Next.

Tras seleccionar el menú de redes desplegable que hay a la derecha, es posible que tenga que desplazarse hacia abajo para ver los nombres del conmutador lógico universal.

 

 

Seleccionar la prioridad de vMotion

 

Haga clic en Next.

 

 

Revisar la configuración

 

Revise lo que ha seleccionado y haga clic en Finish.

 

 

Cambio a la vista de tareas

 

  1. Haga clic en el botón Home.
  2. Seleccione la pestaña Tasks.

 

 

Esperar a que las tareas de vMotion se completen

 

Espere a que se completen las tareas de vMotion.

 

 

Cambio a vSphere Web Client y selección de «Hosts and Clusters»

 

  1. Haga clic en el botón Home.
  2. Haga clic en Hosts and Clusters.

 

 

Inicio de la consola Web-01a

 

Inicie la conexión de la consola a Web-01a:

  1. Seleccione web-01a.corp.local.
  2. Seleccione la pestaña Summary.
  3. Seleccione el área de la pantalla para iniciar la consola.

 

 

Utilizar el comando «tracepath» para la verificación de la nueva salida

 

Utilice la consola para verificar la salida local:

  1. Escriba root en el campo «Login».
  2. Escriba VMware1! en el campo «Password».
tracepath 192.168.100.1 -n -m 2

Verifique la salida a través de 192.168.5.9, la interfaz de RegionB01-Perimeter_GW.

 

Migración de la pila de aplicaciones al sitio secundario


En esta lección, migrará una pila de aplicaciones a un sitio secundario.


 

Revisión de la topología de la aplicación

 

El diagrama muestra las ubicaciones de las máquinas virtuales y el flujo de tráfico.

 

 

Apertura de una pestaña nueva

 

Haga clic en el botón Nueva pestaña.

 

 

Abrir la aplicación de tres niveles

 

Haga clic en el marcador webapp.corp.local.

 

 

Verificar la aplicación de tres niveles

 

Compruebe que la página de la aplicación de múltiples niveles del laboratorio práctico se ha cargado y ha recuperado los datos.

 

 

Migración mediante vMotion del resto de las máquinas virtuales de la aplicación a RegionB0

 

  1. Haga clic en el botón Home.
  2. Haga clic en Hosts and Clusters.

 

 

Expansión de todos los elementos contraídos

 

Haga clic en el triángulo invertido para expandir todos los elementos contraídos.

 

 

Migrar la máquina virtual de la aplicación mediante vMotion

 

  1. Haga clic con el botón derecho en app-01a.corp.local.
  2. Haga clic en Migrate.

 

 

Seleccionar el tipo de migración

 

  1. Seleccione Change both compute resource and storage.
  2. Haga clic en Select compute resource first.
  3. Haga clic en Next.

 

 

Seleccionar un recurso informático

 

  1. Seleccione el clúster RegionB01-COMP01.
  2. Haga clic en Next.

 

 

Seleccionar el almacenamiento

 

  1. Seleccione RegionB01-ISCSI01-COMP01.
  2. Haga clic en Next.

 

 

Seleccionar una carpeta

 

  1. Seleccione Discovered virtual machine.
  2. Haga clic en Next.

Tras seleccionar el menú de redes desplegable que hay a la derecha, es posible que tenga que desplazarse hacia abajo para ver los nombres del conmutador lógico universal.

 

 

Seleccionar la red

 

  1. Seleccione App_Tier_ULS junto a la red «universalwire».
  2. Haga clic en Next.

Tras seleccionar el menú de redes desplegable que hay a la derecha, es posible que tenga que desplazarse hacia abajo para ver los nombres del conmutador lógico universal.

 

 

Seleccionar la prioridad de vMotion

 

Haga clic en Next.

 

 

Revisar la configuración

 

Revise lo que ha seleccionado y haga clic en Finish.

 

 

Migración mediante vMotion de la máquina virtual Web-01a

 

  1. Haga clic con el botón derecho en web-01a.corp.local.
  2. Haga clic en Migrate.

NOTA: NO MIGRE web-02a.corp.local.  Debido a la estructura del laboratorio, y a fin de evitar la reconfiguración del equilibrador de carga, no realice la migración de web-02a.corp.local.

 

 

Seleccionar el tipo de migración

 

  1. Seleccione Change both compute resource and storage.
  2. Haga clic en Select compute resource first.
  3. Haga clic en Next.

 

 

Seleccionar un recurso informático

 

  1. Seleccione el clúster RegionB01-COMP01.
  2. Haga clic en Next.

 

 

Seleccionar el almacenamiento

 

  1. Seleccione RegionB01-ISCSI01-COMP01.
  2. Haga clic en Next.

 

 

Seleccionar una carpeta

 

  1. Seleccione Discovered virtual machine.
  2. Haga clic en Next.

Tras seleccionar el menú de redes desplegable que hay a la derecha, es posible que tenga que desplazarse hacia abajo para ver los nombres del conmutador lógico universal.

 

 

Seleccionar la red

 

  1. Seleccione Web_Tier_ULS junto a la red «universalwire».
  2. Haga clic en Next.

Tras seleccionar el menú de redes desplegable que hay a la derecha, es posible que tenga que desplazarse hacia abajo para ver los nombres del conmutador lógico universal.

 

 

Seleccionar la prioridad de vMotion

 

Haga clic en Next.

 

 

Revisar la configuración

 

Revise lo que ha seleccionado y haga clic en Finish.

 

 

Migración del resto de las máquinas virtuales de la aplicación

 

Repita los pasos para migrar db-01a.corp.local.  Cambie Network Selection a «DB_Tier_ULS».

Una vez se haya completado la migración de la máquina virtual de la base de datos, verifique que la página web de la aplicación de tres niveles se carga correctamente.  El diagrama de la topología muestra la ubicación de las máquinas virtuales después de la migración.

NOTA: NO MIGRE web-02a.corp.local.  Debido a la estructura del laboratorio, y a fin de evitar la reconfiguración del equilibrador de carga, no realice la migración de web-02a.corp.local.

 

 

Prueba de la aplicación de tres niveles

 

Haga clic en el botón Nueva pestaña.

 

 

Apertura de la aplicación de tres niveles

 

Puesto que hemos migrado web-01a.corp.local al sitio B, debemos usar una URL distinta para acceder a este servidor específico.  

Corte la siguiente URL y péguela en el navegador:

 

https://web-01a/cgi-bin/app.py

NOTA: Es posible que reciba una advertencia sobre el certificado al cargar la página. Ignórela y vaya al sitio.  

NOTA: También puede probar web-02a.corp.local directamente si utiliza la siguiente URL: https://web-02a/cgi-bin/app.py.

 

Conclusión del módulo 4


En este módulo, ha migrado una pila de aplicaciones de un sitio a otro.  Ha verificado la salida local del tráfico para garantizar un patrón óptimo de salida de tráfico.  Esto le permitirá obtener una configuración activa-activa para el centro de datos,  lo que le permitirá migrar máquinas dentro de un entorno si resulta necesario.


 

Ha finalizado el módulo 4.

Enhorabuena, ha completado el módulo 4.

Para obtener más información sobre las configuraciones universales de NSX, visite la siguiente URL y seleccione la guía de instalación de Cross-vCenter:

Continúe con uno de los módulos que se muestran a continuación:

 Director del laboratorio:

  • Módulos 1-5: Brian Wilson, ingeniero de sistemas, EE. UU.

 

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón FINALIZAR.  

 

Módulo 5: Configuración de VPN (15 minutos)

Información sobre el módulo


En este módulo, configurará NSX Edge Gateway para los servicios VPN C2 (de capa 2). NSX Edge es compatible con varios tipos de VPN. SSL VPN-Plus permite a los usuarios remotos acceder a las aplicaciones corporativas privadas. IPsec VPN ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y los sitios remotos. La VPN C2 permite ampliar el centro de datos al eliminar los límites geográficos en la conectividad de red de las máquinas virtuales. 

Este módulo incluye:

  • Servicios de VPN C2

Configuración de VPN C2


 

Topología del laboratorio

 

En este módulo, utilizará la topología de red lógica que se muestra en la imagen.  Configurará la conexión VPN C2 entre dos segmentos de conmutación lógica. Cada segmento contiene una máquina virtual en el mismo espacio de direcciones de la subred. Construirá un túnel entre los dos conmutadores lógicos remotos utilizando una VPN C2, convirtiéndolos en un segmento continuo de capa 2 de forma eficaz. Verificará la conectividad entre las dos máquinas virtuales a través del enlace VPN.

 

 

Repaso de tipos de VPN: Descripción de VPN SSL

 

Antes de configurar la VPN C2, repasemos brevemente los diversos servicios de VPN que ofrece NSX. SSL VPN-Plus permite a los usuarios remotos conectarse de forma segura a redes privadas detrás de una puerta de enlace de NSX Edge, así como acceder a servidores y aplicaciones en las redes privadas.

 

 

Repasar los tipos de VPN: Descripción de VPN IPsec

 

NSX Edge admite VPN IPsec de sitio a sitio entre una instancia de NSX Edge y los sitios remotos. IPsec permite la interoperabilidad de VPN entre dispositivos de NSX Edge y dispositivos VPN de terceros. Entre la instancia de NSX Edge y los enrutadores VPN remotos se admite autenticación de certificados, modo de clave compartida, tráfico de unidifusión IP y ausencia del protocolo de enrutamiento dinámico.

Detrás de cada enrutador VPN remoto puede configurar múltiples subredes para que se conecten a la red interna detrás de NSX Edge a través de túneles IPsec.

 

 

Descripción de la VPN C2

 

 La VPN C2 le permite configurar un túnel entre los dos sitios. Las máquinas virtuales permanecen en la misma subred, a pesar del traslado entre los sitios, lo cual le permite extender su centro de datos. Una instancia de NSX Edge en un sitio puede ofrecer todos sus servicios a las máquinas virtuales ubicadas en el otro sitio.

La VPN C2 puede utilizarse para conectar de VLAN a VLAN, de VXLAN a VLAN o de VXLAN a VXLAN.

En este laboratorio, configurará una VPN C2 entre dos segmentos de VXLAN (dos conmutadores lógicos de NSX). 

 

Activación del servidor VPN


En esta lección, creará el servidor VPN.


 

Añadir el servidor VPN C2

El servidor VPN C2 es la instancia de NSX Edge de origen a la que se conectará el VPN C2.

Requisitos: las direcciones IP internas asignadas al servidor VPN C2 y al cliente deben ser distintas. Pueden estar en la misma subred.

 

 

Acceso a vSphere Web Client

 

  1. Acceda a vSphere Web Client mediante el icono de Google Chrome del escritorio.

 

 

Seleccionar «Networking & Security»

 

  1.  Haga clic en el icono Home.
  2. Desplácese hacia abajo y seleccione Networking & Security.

 

 

Seleccionar NSX Edges

 

  1. Seleccione NSX Edges.

 

 

Verificación del rol principal de NSX Manager

 

  1. Verifique que junto a NSX Manager se muestra 192.168.110.42 (Role: Primary).

 

 

Seleccionar el enrutador del perímetro

 

  1. Haga doble clic en el enrutador RegionA0_Perimeter_GW.

 

 

Configuración de la interfaz de enlace troncal de la VPN C2

 

  1. Seleccione Manage.
  2. Seleccione Interface.
  3. Seleccione NIC interface No. 2.
  4. Haga clic en el icono Edit.

 

 

Continuar la configuración del enlace troncal

 

  1. Asigne el nombre L2VPN Trunk a la interfaz nueva.
  2. Seleccione Trunk en el campo «Type».
  3. Haga clic en Select en el campo «Connected To».
  4. En la ventana nueva, seleccione Distributed Virtual Port Group.
  5. Seleccione VM-RegionA01-VDS-MGMT.
  6. Haga clic en OK.

 

 

 

Configurar la subinterfaz

 

Haga clic en ADD para añadir una subinterfaz.

 

 

Configuración de la subinterfaz

 

  1. Asigne el nombre Sub-VPN-Logical-SW-A a la subinterfaz.
  2. Escriba 101 en el campo «Tunnel ID».
  3. Seleccione Network en el campo «Backing Type».
  4. Haga clic en Select junto a «Network».
  5. Seleccione el conmutador lógico VPN_Logical_SW_A.
  6. Haga clic en OK.

 

 

Añadir una subred a la interfaz

 

  1. Haga clic en el icono ADD.
  2. Escriba 172.16.101.1 en la columna «Primary IP Address».
  3. Escriba 24 en la columna «Subnet Prefix Length».
  4. Haga clic en OK.

 

 

Finalizar la configuración del enlace troncal

 

Haga clic en OK.

 

 

Configurar el servidor VPN C2

 

  1. Seleccione la pestaña VPN.
  2. Seleccione L2 VPN.
  3. Haga clic en Change.

 

 

Configuración del agente de escucha

 

  1. Seleccione 192.168.100.3 Primary en el campo «Listener IP».
  2. Escriba 443 en el campo «Listener Port».
  3. Seleccione AES128-GCM-SHA256 en el campo «Encryption Algorithm».
  4. Haga clic en OK.

 

 

Habilitar el servicio VPN C2

 

  1. Haga clic en Start.
  2. Haga clic en Publish Changes.

 

 

Añadir una configuración de sitio nueva

 

  1. Haga clic en el símbolo de suma de color verde para agregar una nueva configuración del sitio.

 

 

Edición de los detalles de la configuración del sitio

 

  1. Marque la casilla «Enable Peer Site».
  2. Escriba RegionB-L2VPN en el campo «Name».
  3. Escriba vpn-user en el campo «User ID».
  4. Escriba VMware1!VMware1! en el campo «Password» (la contraseña debe contener al menos diez caracteres).
  5. Vuelva a escribir VMware1!VMware1! en el campo «Confirm password».
  6. Haga clic en Select Sub Interfaces.

 

 

Seleccionar subinterfaces

 

  1. Seleccione «Sub-VPN-Logical-SW-A».
  2. Haga clic en la flecha derecha.
  3. Haga clic en OK.
  4. Haga clic en OK.

 

 

Publicar los cambios

 

Haga clic en Publish Changes.

 

Activación del cliente VPN


En esta lección, creará el cliente VPN.


 

Añadir cliente VPN C2

El cliente VPN C2 es la instancia de NSX Edge de origen que inicia la comunicación con la instancia de Edge de destino (el servidor VPN C2).

 

 

Seleccionar «Networking & Security»

 

  1.  Haga clic en el icono Home.
  2. Desplácese hacia abajo y seleccione Networking & Security.

 

 

Seleccionar NSX Edges

 

  1. Seleccione NSX Edges.

 

 

Verificar el rol secundario de NSX Manager

 

  1. Seleccione 192.168.210.42 (Role: Secondary) junto a «NSX Manager».

 

 

Seleccionar el enrutador del perímetro

 

  1. Haga doble clic en el enrutador RegionB0_Perimeter_GW.

 

 

Configuración de la interfaz de enlace troncal de la VPN C2

 

  1. Seleccione NIC interface No. 2.
  2. Haga clic en el icono Edit.

 

 

Continuar la configuración del enlace troncal

 

  1. Asigne el nombre L2VPN Trunk a la interfaz nueva.
  2. Seleccione Trunk en el campo «Type».
  3. Haga clic en Select en el campo «Connected To».
  4. En la ventana nueva, seleccione Distributed Virtual Port Group.
  5. Seleccione VM-RegionB01-VDS-COMP.
  6. Haga clic en OK.

 

 

 

Configuración de la subinterfaz

 

Haga clic en ADD para añadir una subinterfaz.

 

 

Configuración de la subinterfaz

 

  1. Asigne el nombre Sub-VPN-Logical-SW-B a la subinterfaz.
  2. Escriba 101 en el campo «Tunnel ID».
  3. Seleccione Network en el campo «Backing Type».
  4. Haga clic en Select junto a «Network».
  5. Seleccione el conmutador lógico VPN_Logical_SW_B.
  6. Haga clic en OK.

 

 

Añadir una subred a la interfaz

 

  1. Haga clic en el icono ADD.
  2. Escriba 172.16.101.2 en la columna «Primary IP Address».
  3. Escriba 24 en la columna «Subnet Prefix Length».
  4. Haga clic en OK.

 

 

Finalizar la configuración del enlace troncal

 

Haga clic en OK.

 

 

Configurar el cliente VPN C2

 

  1. Seleccione la pestaña VPN.
  2. Seleccione L2 VPN.
  3. Seleccione Client.
  4. Haga clic en Change.

 

 

Configuración de los ajustes del cliente

 

  1. Escriba 192.168.100.3 en el campo «Server Address».
  2. Escriba 443 en el campo «Server Port».
  3. Seleccione AES128-GCM-SHA256 en el campo «Encryption Algorithm».
  4. Haga clic en Select Sub Interfaces.

 

 

Seleccionar subinterfaces

 

  1. Seleccione «Sub-VPN-Logical-SW-B.
  2. Haga clic en la flecha derecha.
  3. Haga clic en OK.

 

 

Terminar los ajustes del cliente

 

  1. Escriba vpn-user en el campo «User ID».
  2. Escriba VMware1!VMware1! en el campo «Password» (la contraseña debe contener al menos diez caracteres).
  3. Vuelva a escribir VMware1!VMware1! en el campo «Confirm password».
  4. Haga clic en OK.

 

 

Habilitar el servicio VPN C2

 

  1. Haga clic en Start.
  2. Haga clic en Publish Changes.

 

Verificación de la conexión VPN


En esta lección, verificará la conexión VPN.


 

Ver las estadísticas de la VPN C2

Podrá ver las estadísticas de la VPN C2 (el estado del túnel, los bytes enviados y recibidos, etc.) de NSX Edge.

 

 

 

Verificación del estado del túnel

 

  1. Haga clic en el triángulo invertido para expandir y ver el estado del túnel.
  2. Verifique que el campo «Status» muestra el mensaje UP.

 

 

Seleccionar «Hosts and Clusters»

 

  1. Haga clic en el icono Home.
  2. Seleccione Hosts and Clusters.

 

 

Inicio de sesión en la máquina virtual del conmutador VPN C2

 

  1. Seleccione vpn-sv-01a.corp.local.
  2. Seleccione la pestaña Summary.
  3. Haga clic para iniciar la consola.

 

 

Verificación de la adyacencia de capa 2 con vpn-sv-02a

 

En la nueva pestaña web:

Haga clic para escribir.

Escriba root en el campo Login.

Escriba VMware1! en el campo Password.

Para probar la conectividad en el túnel VPN ya establecido, envíe un ping a vpn-sv-02a.

ping vpn-sv-02a 

 

El ping se realiza con éxito. Ha extendido la subred 172.16.101.0/24 entre varios sitios con la red C3.

 

Conclusión del módulo 5


En este módulo, ha configurado una VPN C2 entre conmutadores lógicos locales (segmentos de VXLAN). Los segmentos se encontraban en centros de datos distintos y no estaban conectados mediante estructuras universales. La VPN C2 permite a las dos máquinas virtuales comunicarse mediante la encapsulación de capa 2 sobre capa 3, sin que sea necesario que VXLAN se extienda a ambos sitios.   


 

Ha finalizado el módulo 5.

Enhorabuena, ha completado el módulo 5.

Para obtener más información sobre configuraciones de VPN C2 de NSX, visite la siguiente URL:

Continúe con uno de los módulos que se muestran a continuación:

 Director del laboratorio:

  • Módulos 1-5: Brian Wilson, ingeniero de sistemas, EE. UU.

 

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón FINALIZAR.  

 

Finalización

Gracias por participar en los Hands-on Labs de VMware. No deje de visitar http://hol.vmware.com/ para continuar con su experiencia de laboratorio en línea.

Código SKU del laboratorio: HOL-1925-01-NET

Versión: 20190207-141048