Hands-On Lab di VMware - HOL-1925-01-NET


Presentazione del laboratorio HOL-1925-01-NET - VMware NSX-v Advanced Consumption

Istruzioni per il laboratorio


Nota: per seguire l'intero laboratorio possono servire più di 90 minuti. Nel tempo a tua disposizione potrai presumibilmente completare solo 2-3 moduli. I moduli non sono interdipendenti, pertanto puoi cominciare da quello che preferisci e procedere nell'ordine che ritieni opportuno. Per accedere ai vari moduli puoi usare il sommario.

Il sommario è disponibile nell'angolo in alto a destra del manuale del laboratorio.

Questo laboratorio offre la possibilità di interagire con l'API RESTful di NSX per eseguire le funzioni disponibili nella GUI ed esclusivamente tramite l'API. Esamineremo e configureremo un ambiente NSX multisito. Inoltre, eseguiremo la migrazione di uno stack di applicazioni tra più siti.

Elenco dei moduli del laboratorio:

 Responsabili del laboratorio: 

  • Modulo 1-5 - Brian Wilson, Staff Systems Engineer, USA

 

Puoi scaricare questo manuale dal sito dedicato ai documenti per gli Hands-on Lab al seguente indirizzo:

http://docs.hol.vmware.com

Questo laboratorio può essere disponibile in altre lingue. Per impostare la tua preferenza relativa alla lingua e visualizzare il manuale localizzato per il laboratorio, puoi seguire le istruzioni fornite nel seguente documento:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Posizione della console principale

 

  1. L'area nel riquadro ROSSO contiene la console principale. Il manuale del laboratorio è disponibile nella scheda a destra della console principale.
  2. Alcuni laboratori potrebbero offrire console aggiuntive in schede separate nella parte in alto a sinistra. Se necessario, verrai invitato ad aprire un'altra console specifica.
  3. All'inizio del laboratorio, il timer segnerà 90 minuti.  Non si potrà eseguire il salvataggio del laboratorio.  Tutto il lavoro dovrà essere portato a termine durante la sessione. Puoi comunque fare clic su EXTEND (Estendi) per aumentare il tempo a disposizione. Se stai partecipando a un evento VMware, puoi estendere la durata del laboratorio per due volte, fino a un totale di 30 minuti. Ogni clic garantisce ulteriori 15 minuti. Se non stai partecipando a un evento VMware, puoi estendere la durata del laboratorio fino a 9 ore e 30 minuti totali. Ogni clic garantisce un'ulteriore ora.

 

 

Metodi alternativi per l'immissione dei dati da tastiera

Nel corso di questo modulo, ti verrà richiesto di inserire dei contenuti di testo nella console principale. Oltre alla digitazione diretta, esistono altri due metodi particolarmente utili per inserire dati complessi.

 

 

Selezione e trascinamento dei contenuti del manuale del laboratorio nella finestra della console attiva

 
 

Puoi anche selezionare e trascinare il testo e i comandi dell'interfaccia della riga di comando (CLI) direttamente dal manuale del laboratorio nella finestra attiva della console principale.  

 

 

Accesso alla tastiera internazionale online

 

Puoi anche utilizzare la tastiera internazionale online disponibile nella console principale.

  1. Fai clic sull'icona della tastiera presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Singolo clic nella finestra della console attiva

 

In questo esempio, utilizzerai la tastiera online per inserire il simbolo @ usato negli indirizzi e-mail. Nelle tastiere USA, il simbolo @ si ottiene premendo i tasti Shift+2 (MAIUSC+2).

  1. Fai clic una volta nella finestra della console attiva.
  2. Fai clic sul tasto Shift.

 

 

Clic sul tasto @

 

  1. Fai clic sul tasto @.

Osserva il simbolo @ inserito nella finestra della console attiva.

 

 

Prompt di attivazione o filigrana

 

Quando avvii per la prima volta il laboratorio, sul desktop viene visualizzata una filigrana a indicare che Windows non è attivato.  

Uno dei vantaggi principali della virtualizzazione è che le macchine virtuali possono essere spostate ed eseguite su qualsiasi piattaforma. Gli Hands-on Lab sfruttano questa caratteristica e pertanto possono essere eseguiti su più data center. Tuttavia, questi data center potrebbero non essere dotati degli stessi processori, causando così l'avvio di un controllo di attivazione Microsoft tramite Internet.

È comunque garantita la piena compliance di VMware e degli Hands-on Lab ai requisiti di licenza Microsoft. Il laboratorio in uso è un pod completamente indipendente e non prevede l'accesso completo a Internet, necessario affinché Windows possa verificare l'attivazione. Senza l'accesso completo a Internet, questo processo automatizzato non va a buon fine e viene quindi visualizzata questa filigrana.

Questo problema estetico non ha alcun effetto sul laboratorio.  

 

 

Informazioni nella parte inferiore dello schermo

 

Verifica che siano state completate tutte le routine di avvio e che il laboratorio sia pronto per l'esecuzione. Se compaiono indicazioni diverse da Ready (Pronto), attendi alcuni minuti. Se dopo cinque minuti lo stato del laboratorio non è ancora passato a Ready, richiedi assistenza.

 

Topologia del laboratorio


Questo laboratorio è costituito da due siti separati (ovvero RegionA0 e RegionB0), ognuno con propri host vSphere 6.5 dedicati, vCenter, storage e sottoreti. I vCenter condividono un Platform Services Controller (PSC) comune che consente la gestione comune delle identità e delle licenze, nonché l'interazione delle applicazioni tra i siti.

La Regione A è formata da due cluster:

I due cluster condividono una sottorete di gestione comune (192.168.110.0/24), nonché un vMotion (10.10.30.0/24) e una rete di storage IP (10.10.20.0/24).

Le reti dedicate dei VTEP NSX (endpoint di tunnel VXLAN) sono separate per sito, la regione RegionA01 utilizza la rete 192.168.130.0/24. Le sottoreti VTEP vengono instradate insieme da un router esterno (vpodrouter).

La Regione B è formata da un unico cluster:

La Regione B ha una propria sottorete di gestione (192.168.210.0/24), nonché un vMotion separato (10.20.30.0/24), un proprio storage IP (10.20.20.0/24) e reti VTEP specifiche (192.168.230.0/24).

Le reti di gestione, vMotion e VTEP vengono instradate su siti diversi per consentire una gestione comune, Cross vCenter vMotion e l'estensibilità della rete (VXLAN).

Per tutte le reti VTEP è stato configurato un valore MTU di 1.600 byte per consentire l'incapsulamento VXLAN.


 

Topologia dell'ambiente virtuale

 

La figura illustra gli host vSphere e la distribuzione delle VM nei vari cluster, nonché i switch virtuali distribuiti (DVS). Vengono indicati anche gli indirizzi IP VTEP associati agli host.

I cluster RegionA01-MGMT01 e RegionA01-COMP01 sono entrambi gestiti da vCenter Server A (vcsa-01a.corp.local); il cluster RegionB01-COMP01 è gestito da vCenter Server B (vcsa-01b.corp.local). Entrambi i vCenter sono collegati a un Platform Services Controller comune (psc-01a.corp.local) che risiede sulla rete di gestione della Regione A.

La configurazione dell'area di trasferimento (TZ) di NSX nel laboratorio è la seguente:

 

 

Topologia preconfigurata della rete logica

 

Quando si accede per la prima volta al laboratorio, la topologia illustrata nella seguente figura risulta già implementata. Sono configurati cinque switch logici universali NSX (Web_Tier_ULS, App_Tier_ULS, DB_Tier_ULS, RegionA01_Transit, RegionB01_Transit) e un'applicazione web a tre livelli. I switch logici sono collegati a un router UDLR che, a sua volta, è collegato a un NSX Edge Services Gateway (ESG) in ogni regione. Il routing dinamico BGP garantisce lo scambio di percorsi tra i gateway ESG e il router esterno.

 

 

Topologia finale della rete logica

 

Dopo aver completato i moduli 1, 2, 3 e 4, la topologia illustrata nella figura sarà configurata nel laboratorio nel modo seguente:

 

Module 1 - API REST di VMware NSX Data Center (15 minuti)

AP RESTfulI di NSX


NSX è basato su un'API RESTful. L'API REST di NSX può essere utilizzata sia per configurare NSX sia per eseguire il provisioning dei servizi di rete logici di NSX. L'API REST di NSX può essere richiamata direttamente o indirettamente da vari linguaggi di programmazione. Molti strumenti di orchestrazione e automazione, come vRealize Automation tramite vRealize Orchestrator, possono richiamare l'API REST di NSX per orchestrare a automatizzare le reti dal layer 2 al layer 7.

Per una dimostrazione delle chiamate API RESTful di NSX, utilizzeremo l'estensione RESTClient per il browser Mozilla Firefox. RESTClient è uno strumento di debug per i servizi web RESTful particolarmente utile quando si utilizzano diverse API REST.

Nel corso di questo modulo completeremo le seguenti attività:


 

Introduzione alle API REST

 

Un'API REST (REpresentational State Transfer) definisce una serie di semplici principi che vengono seguiti in modo non prescrittivo dalla maggior parte delle implementazioni API.

Le API REST utilizzano l'avanzato protocollo HTTP per l'invio dei dati, ovvero Header (intestazione) e Body (corpo), tra client e server.

Quando parliamo di API REST, possiamo utilizzare indifferentemente gli acronimi URL (Uniform Resource Locator) e URI (Uniform Resource Identifier).

Le risorse (componenti di base) sono collegate tra loro tramite hyperlink incorporati nei documenti HTML o nei riferimenti URI e possono indicare lo stato tramite rappresentazioni contenenti metadati (come dimensione, tipo file multimediale o set di caratteri) e contenuti (immagine binaria o documento di testo).

 

 

Metodi di richiesta REST

 

I client REST specificano l'interazione richiesta (messaggio di richiesta HTTP come definito dallo standard RFC 2616). Ogni metodo HTTP segue regole semantiche specifiche ben definite nell'ambito del modello della risorsa dell'API REST:

 

 

Codici di stato delle risposte REST

 

Le API REST utilizzano un messaggio di risposta HTTP per comunicare ai client il risultato della richiesta (come definito dallo standard RFC 2616). Le categorie definite sono cinque:

Messaggio di risposta HTTP per comunicare ai client il risultato della richiesta (come definito dallo standard RFC 2616):

 

 

Intestazioni richieste HTTP per l'API RESTful di NSX

 

Di seguito viene riportato un elenco delle principali intestazioni di richieste utilizzate per la configurazione dell'API RESTful per il provisioning dei servizi NSX:

  1. Authorization (Autorizzazione): le credenziali (nome utente e password) con codifica Base64.
  2. Content-Type (Tipo di contenuto): "application/xml". Indica che il corpo/payload della richiesta è in formato xml.

 

 

Richieste HTTP per l'API RESTful di NSX

 

  1. Method/Verb (Metodo/Verbo) (GET/PUT/POST/DELETE): l'azione eseguita sulla risorsa.
  2. URL: risorsa.
  3. Headers: autorizzazione e tipo di contenuto.
  4. Body: payload XML.
  5. Status Code (Codice stato): 2xx per le richieste accettate e 4xx e 5xx per quelle non accettate.

 

Introduzione ai cmdlet REST di PowerShell


PowerShell include un client REST. Di seguito esamineremo il cmdlet Invoke-RestMethod


 

Invoke-RestMethod

Il cmdlet Invoke-RestMethod di PowerShell consente all'utente di accedere alle API RESTful. Questo cmdlet contiene tutte le opzioni e tutti i metodi necessari per interagire con NSX API. Di seguito viene illustrata la sintassi del metodo.

Invoke-RestMethod [-Uri] <Uri> [-Body <Object> ] [-Certificate <X509Certificate> ] [-CertificateThumbprint <String> ] [-ContentType <String> ] [-Credential <PSCredential> ] [-DisableKeepAlive] [-Headers <IDictionary> ] [-InFile <String> ] [-MaximumRedirection <Int32> ] [-Method <WebRequestMethod> {Default | Get | Head | Post | Put | Delete | Trace | Options | Merge | Patch} ] [-OutFile <String> ] [-PassThru] [-Proxy <Uri> ] [-ProxyCredential <PSCredential> ] [-ProxyUseDefaultCredentials] [-SessionVariable <String> ] [-TimeoutSec <Int32> ] [-TransferEncoding <String> {chunked | compress | deflate | gzip | identity} ] [-UseBasicParsing] [-UseDefaultCredentials] [-UserAgent <String> ] [-WebSession <WebRequestSession> ] [ <CommonParameters>]

 

 

Accesso a vSphere Web Client

 

  1. Puoi richiamare vSphere Web Client utilizzando l'icona Google Chrome sul desktop.

 

 

Riduzione a icona di vSphere Web Client

 

  1. Riduci a icona vSphere Web Client.

 

 

Apertura dello script PowerShell di esempio

 

Apri il file "REST Example.ps1" nella cartella API Module sul desktop con Notepad++ (Blocco note).

  1. Fai doppio clic sulla cartella API Module.
  2. Fai clic con il pulsante destro del mouse su REST Example.ps1.
  3. Seleziona Edit with Notepad++ (Modifica con Blocco note).

 

 

Esame dello script

 

Lo script PowerShell creerà uno switch logico

  1. Lo script viene inizializzato.
  2. Vengono definiti i dettagli dello switch logico.
  3. Viene richiamato NSX Manager per la creazione dello switch logico.  

Osserva: è stato utilizzato il cmdlet Invoke-WebRequest anziché Invoke-RestMethod al fine di convalidare le intestazioni HTTP al momento della ricezione della chiamata.

 

 

Esecuzione dello script di esempio

 

  1. Fai clic con il pulsante destro del mouse su REST Example.ps1.
  2. Seleziona Run With PowerShell (Esegui con PowerShell).
  3. Esamina l'output.

 

 

Ritorno a vSphere Web Client

 

 

  1. Seleziona la finestra vSphere Web Client in Chrome.

 

 

Selezione della scheda Networking & Security (Rete e sicurezza)

 

  1. Fai clic sul pulsante Home.
  2. Seleziona Networking & Security.

 

 

Verifica della creazione dello switch logico

 

  1. Fai clic su Logical Switches (Switch logici).
  2. Verifica che RestSwitch1 sia stato creato.

Nota: l'ID del segmento e il numero della rete virtuale potrebbero differire rispetto a quelli riportati.

 

 

Eliminazione di RestSwitch1

 

  1. Fai clic con il pulsante destro del mouse su RestSwitch1.
  2. Fai clic su Remove (Rimuovi).
  3. Fai clic su Yes (Sì).

 

Creazione di più switch logici


In questa lezione verranno creati con uno script PowerShell più switch logici tramite NSX API.


 

Apertura dello script di esempio

 

  1. Fai doppio clic sulla cartella API Module sul desktop.
  2. Fai clic con il pulsante destro del mouse sul file Create Switches.ps1 sul desktop.
  3. Seleziona Open with Notepad++ (Apri con Blocco note).

 

 

Esame dello script

 

Questo script si basa sullo script precedente utilizzando un array di nomi switch per creare più switch.

  1. Viene definito l'array $switches che contiene tre nomi switch: Web, App e DB.
  2. L'operazione viene ripetuta in loop per ogni valore dell'array $switches.  
  3. Il nome switch viene aggiunto al corpo della richiesta durante ogni loop.

 

 

Esecuzione dello script di creazione degli switch

 

  1. Fai clic con il pulsante destro del mouse sul file Create Switches.ps1.
  2. Fai clic su Run with PowerShell.

 

 

Esame dell'output

 

Sono stati creati gli switch logici Web, App e DB a cui poi sono stati assegnati gli ID di rete virtuale disponibili. Gli ID del laboratorio potrebbero differire.

Premi un tasto qualsiasi per continuare.

 

 

Ritorno a vSphere Web Client

 

  1. Fai clic sull'icona Refresh (Aggiorna).
  2. Verifica che lo switch App sia stato creato.
  3. Verifica che lo switch DB sia stato creato.
  4. Verifica che lo switch Web sia stato creato.

 

Creazione di un router distribuito


In questa lezione verrà creato con uno script PowerShell un router distribuito tramite NSX API.


 

Apertura dello script di creazione DLR

 

  1. Torna alla cartella API Module.
  2. Fai clic con il pulsante destro del mouse sul file Create DLR.ps1.
  3. Fai clic su Edit with Notepad++.

 

 

Esame dello script

 

  1. Esamina i campi obbligatori per un router distribuito.
  2. Osserva il percorso URI.

 

 

Esecuzione dello script Create DLR.ps1

 

  1. Fai clic con il pulsante destro del mouse sul file Create DLR.ps1.
  2. Fai clic su Run with PowerShell.

Nota: il completamento dello script richiederà 1-3 minuti circa.

Esamina l'output.

Premi qualsiasi tasto per chiudere la finestra.

 

 

Esame del DLR in vSphere Web Client

 

Ritorno a vSphere Web Client

  1. Fai clic sulla scheda NSX Edge.
  2. Verifica che l'oggetto Distributed-Router sia stato creato.

Nota: i numeri degli edge potrebbero differire nel laboratorio.

 

Configurazione della soglia di allarme delle connessioni DFW al secondo


In questa lezione utilizzando uno script PowerShell verranno configurati gli allarmi per le connessioni al secondo del firewall distribuito. Questa configurazione è disponibile esclusivamente tramite l'API.


 

Apertura dello script DFW CPS.ps1

 

  1. Torna alla cartella API Module.
  2. Fai clic con il pulsante destro del mouse sul file DFW CPS.ps1.
  3. Fai clic su Edit with Notepad++.

 

 

Esame dello script

 

  1. Esamina le soglie di allarmi.
  2. Osserva l'URI.

 

 

Esecuzione dello script DFW CPS

 

  1. Fai clic con il pulsante destro del mouse sul file DFW CPS.ps1 sul desktop.
  2. Fai clic su Run with PowerShell.

Esamina l'output dello script. Ora viene visualizzato un allarme quando vengono rilevate più di 10 connessioni al secondo per il firewall distribuito.

 

Ripristino delle condizioni precedenti dopo il completamento del modulo


Al termine di questo laboratorio, è necessario eliminare gli oggetti creati tramite l'API.


 

Eliminazione degli switch logici

 

Accertati di rimuovere solo i switch logici creati con l'API.

Ritorna a vSphere Web Client:

  1. Seleziona la scheda Logical Switches.
  2. Fai clic sullo switch logico App.
  3. Fai clic su Remove.
  4. Fai clic su Yes.

Ripeti questa procedura per gli switch logici DB e Web.

 

 

Eliminazione del router distribuito

 

  1. Seleziona la scheda NSX Edge.
  2. Fai clic su Distributed-Router.
  3. Fai clic su Delete.
  4. Fai clic su Yes.

 

Modulo 1 - Conclusione


In questo modulo abbiamo utilizzato NSX API per configurare diversi oggetti NSX. NSX API offre uno strumento avanzato per la configurazione, la risoluzione dei problemi e il monitoraggio.


 

Hai completato il modulo 1

Congratulazioni per aver completato il modulo 1.

Per ulteriori informazioni su NSX API, visita l'URL seguente e seleziona la guida di NSX API:

La guida dell'API è disponibile anche sul desktop della console principale. Per scoprire ulteriori dettagli sull'API, sul desktop della console principale sono disponibili la guida dell'API e il client REST di Postman. Per altri esempi di configurazione dei componenti come routing e firewall, successivamente nel corso di questo laboratorio viene utilizzato il file Fast-Forward.ps1 disponibile sul desktop per tralasciare il modulo 3.  

Passa a uno dei moduli seguenti oppure termina il laboratorio.

 Responsabile del laboratorio:

  • Modulo 1-5 - Brian Wilson, Staff Systems Engineer, USA

 

 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END (Fine).

 

Modulo 2 - Esame dell'ambiente multisito preconfigurato (30 minuti)

Istruzioni per il modulo


In questo modulo esamineremo la configurazione di vSphere e NSX. Il laboratorio include diverse configurazioni e oggetti universali fondamentali (prerequisiti) per la configurazione di ambienti multisito attivi-attivi.

Analizzeremo le seguenti configurazioni:

  • vCenter Enhanced Linked Mode
  • NSX Manager
  • Universal Control Cluster
  • Preparazione della rete logica
  • Preparazione della rete logica universale
  • Switch logici universali
  • NSX Edge

 

Topologia preconfigurata

 

Lo schema della topologia sopra riportato illustra gli oggetti preconfigurati di questo laboratorio.

 

Esame delle configurazioni di vCenter


In questo laboratorio per i due vCenter Server è stata abilitata la configurazione Enhanced Linked Mode. Pertanto, entrambi i vCenter Server possono essere gestiti dalla stessa sessione di vSphere Web Client. Inoltre, con Enhanced Linked Mode entrambi gli ambienti NSX possono essere configurati nella stessa sessione di vSphere Web Client.


 

Selezione di host e cluster

 

  1. Fai clic sul pulsante Home.
  2. Fai clic su Hosts and Clusters (Host e cluster).

 

 

Verifica della disponibilità dei due vCenter Server

 

Verifica che entrambi i vCenter Server vengano visualizzati.

 

Esame delle configurazioni di NSX Manager


In questa lezione esamineremo i ruoli assegnati a NSX Manager. L'appliance NSX Manager registrata nella Regione A avrà il ruolo principale. L'appliance NSX Manager registrata nella Regione B avrà il ruolo secondario.


 

Selezione della scheda Networking & Security

 

  1. Fai clic sul pulsante Home.
  2. Seleziona Networking & Security.

 

 

Selezione della scheda Installation (Installazione)

 

Fai clic sulla scheda Installation and Upgrade (Installazione e upgrade).

 

 

Verifica dei ruoli di NSX Manager

 

In questo laboratorio sono state configurate due appliance NSX Manager, una come Primary (Principale) e una come Secondary (Secondaria). Verifica che sia stato assegnato un ruolo a entrambe le appliance NSX Manager.

 

Esame di Universal Controller Cluster


In questa lezione esamineremo NSX Universal Controller Cluster. NSX Universal Controller Cluster gestisce le reti logiche su entrambi i vCenter Server, consentendo la configurazione degli switch logici universali, dei router logici universali e delle regole del firewall distribuito universale.


 

Verifica dei controller sull'appliance NSX Manager principale

 

  1. Fai clic su NSX Controller Nodes (Nodi NSX Controller).

Verifica che il controller-1 sia connesso all'appliance NSX Manager principale.

Nota: secondo le best practice per VMware NSX, ogni Controller Cluster deve essere costituito da 3 controller. Tuttavia, a causa della disponibilità limitata di risorse dell'ambiente pod, abbiamo distribuito un solo controller. Ciò non compromette il funzionamento del laboratorio.

 

 

Verifica dei controller sull'appliance NSX Manager secondaria

 

Verifica che il controller-1 sia connesso all'appliance NSX Manager secondaria.

Nota: secondo le best practice per VMware NSX, ogni Controller Cluster deve essere costituito da 3 controller. Tuttavia, a causa della disponibilità limitata di risorse dell'ambiente pod, abbiamo distribuito un solo controller. Ciò non compromette il funzionamento del laboratorio.

 

Esame della preparazione della rete logica universale


In questa lezione esamineremo la preparazione della rete logica preconfigurata.


 

Esame del pool universale di ID dei segmenti sull'appliance NSX Manager principale

 

Prima di poter configurare gli switch logici universali, è necessario creare un pool universale di ID dei segmenti. Il pool universale di ID dei segmenti deve rappresentare un intervallo univoco di tutti gli altri pool di ID dei segmenti utilizzati sulle appliance NSX Manager configurate in un ambiente Cross-vCenter.

  1. Seleziona Logical Network Settings (Impostazioni rete logica).
  2. Seleziona l'appliance NSX Manager principale.
  3. Seleziona VXLAN Settings (Impostazioni VXLAN).
  4. Verifica l'impostazione Segment ID pool (Pool ID segmenti).
  5. Osserva l'intervallo differente utilizzato per Universal Segment ID pool (Pool universale ID segmenti).

 

 

Passaggio all'appliance NSX Manager secondaria

 

Passa all'appliance NSX Manager secondaria effettuando la procedura seguente:

  1. Fai clic sul menu a discesa NSX Manager.
  2. Seleziona l'appliance NSX Manager secondaria.

 

 

Esame del pool universale di ID dei segmenti sull'appliance NSX Manager secondaria

 

È necessario configurare un pool di ID dei segmenti anche per l'appliance NSX Manager secondaria. I pool di ID dei segmenti configurati su tutte le appliance NSX Manager non devono sovrapporsi. Il pool universale di ID dei segmenti viene sincronizzato dall'appliance NSX Manager principale:

  1. Verifica che i valori di Segment ID pool sull'appliance NSX Manager secondaria e di Segment ID pool sull'appliance NSX Manager principale non si sovrappongano.
  2. Verifica che Universal Segment ID pool sia sincronizzato.

 

 

Esame delle aree di trasferimento universali

 

Le aree di trasferimento definiscono i cluster di una rete logica. Le aree di trasferimento globali sono limitate a un singolo vCenter Server. Le aree di trasferimento universali, invece, si estendono a più vCenter Server. Verifica i cluster connessi all'area di trasferimento universale:

  1. Seleziona Transport Zones (Aree di trasferimento).
  2. Seleziona la casella Universal_TZ.
  3. Fai clic su Connect Clusters (Connetti cluster).

 

 

Esame dei cluster connessi alle aree di trasferimento universali

 

Le aree di trasferimento definiscono i cluster di una rete logica. Le aree di trasferimento globali sono limitate a un singolo vCenter Server.  Le aree di trasferimento universali, invece, si estendono a più vCenter Server. Verifica dei cluster connessi all'area di trasferimento universale

  1. Verifica che il cluster RegionB01-COMP01 sia connesso e in stato normale.
  2. Fai clic su Cancel (Annulla).

Passa all'appliance NSX Manager principale ed esamina la configurazione dell'area Universal_TZ. Verifica che i cluster RegionA01-COMP01 e RegionA01-MGMT01 siano connessi e in stato normale.

 

Esame degli switch logici universali


In questa lezione esamineremo gli switch logici universali preconfigurati.


 

Verifica degli switch logici universali sull'appliance NSX Manager principale

 

Gli switch logici universali vengono configurati nella stessa scheda degli switch logici globali. Verifica i cinque switch logici universali preconfigurati:

  1. Seleziona la scheda Logical Switches.
  2. Seleziona l'appliance NSX Manager principale.
  3. Verifica che per i cinque switch logici sia stato configurato un ambito universale.

Gli ID dei segmenti degli switch logici universali rientrano nell'intervallo del pool universale di ID dei segmenti.

 

 

Verifica degli switch logici universali sull'appliance NSX Manager secondaria

 

Una volta configurati, gli switch logici universali vengono sincronizzati su tutte le appliance NSX Manager secondarie. Verifica che tutti gli switch disponibili sull'appliance NSX Manager secondaria e i rispettivi ID dei segmenti corrispondano alle impostazioni configurate sull'appliance NSX Manager principale:

  1. Seleziona l'appliance NSX Manager secondaria.
  2. Verifica che gli switch logici universali presentino le stesse impostazioni configurate sull'appliance NSX Manager principale.

I nomi, l'area di trasferimento e gli ID dei segmenti vengono sincronizzati su tutte le appliance NSX Manager.

 

 

Creazione di uno switch logico universale

 

Gli switch logici universali possono essere configurati solo sull'appliance NSX Manager principale. Crea uno switch logico universale sull'appliance NSX Manager principale:

  • Seleziona l'appliance NSX Manager principale.
  • Fai clic sull'icona Add Logical Switch (Aggiungi switch logico).

 

 

Verifica dello switch logico universale appena creato

 

Verifica che lo switch logico universale NSX_ULS sia stato creato, sia incluso nell'area di trasferimento Universal_TZ e sia configurato con un ID di segmento appartenente al pool universale di ID dei segmenti. Passa all'appliance NSX Manager secondaria e verifica che lo switch logico universale sia stato sincronizzato.

  1. Seleziona l'appliance NSX Manager principale.
  2. Verifica lo switch logico NSX_ULS.

 

 

Verifica dello switch logico universale appena creato sull'appliance NSX Manager secondaria

 

Verifica che lo switch logico universale NSX_ULS sia stato sincronizzato con l'appliance NSX Manager secondaria.  

  1. Seleziona l'appliance NSX Manager secondaria.
  2. Verifica lo switch logico NSX_ULS.

 

Esame delle configurazioni di NSX Edge


In questo laboratorio i dispositivi NSX Edge (ESG) assicurano la connettività per le comunicazioni nord-sud ed est-ovest. Per la comunicazione nord-sud sono stati preconfigurati due dispositivi NSX Edge. Questi gateway perimetrali sono configurati con routing dinamico utilizzando il protocollo BGP. Essi utilizzano il routing ECMP (Equal Cost MultiPathing) per consentire il traffico in entrata e in uscita su entrambi i siti. Un terzo ESG è stato preconfigurato come router logico distribuito universale (ULDR). Questo ULDR è stato configurato per il routing ECMP e l'uscita locale.


 

Uscita locale

 

L'uscita locale abilita l'ottimizzazione del traffico in uscita per ogni sito. Il traffico viene instradato tramite il gateway ESG nel sito di origine. Il traffico est-ovest utilizza il router ULDR per l'ottimizzazione tra le VM. Questa configurazione richiede il routing dinamico tra la rete fisica e i gateway ESG e tra i gateway ESG e il router ULDR.  Il router ULDR pubblicizza la rete configurata su entrambi i gateway ESG. I gateway ESG pubblicizzano le reti ULDR sulla rete fisica di entrambi i siti. Questa configurazione consente alla rete fisica di trasmettere e ricevere traffico alla/dalla stessa rete in entrambi i siti.

  1. Il traffico che ha origine dalle VM della RegionA0 viene trasmesso in uscita alla rete logica tramite il gateway ESG della RegionA0.
  2. Il traffico che ha origine dalle VM in RegionB0 viene trasmesso in uscita alla rete logica tramite il gateway ESG in RegionB0.
  3. Il traffico tra le VM utilizza il router ULDR per l'ottimizzazione est-ovest.

 

 

Esame delle configurazioni dei gateway perimetrali

 

Per visualizzare la configurazione del gateway ESG di RegionA0_Perimeter_GW:

  1. Seleziona la scheda NSX Edge.
  2. Verifica che sia stata selezionata l'appliance NSX Manager principale.
  3. Fai doppio clic sul gateway ESG RegionA0_Perimeter_GW.

 

 

Esame della configurazione del router logico distribuito universale

 

  1. Verifica che sia stata selezionata l'appliance NSX Manager principale.
  2. Fai doppio clic su Universal_DLR_01.

 

Modulo 2 - Conclusione


In questo modulo abbiamo esaminato gli oggetti universali preconfigurati. Questi elementi sono stati preconfigurati affinché tu possa concentrarti sulla configurazione dei costrutti di routing universali nel modulo 3.


 

Hai completato il modulo 2

Congratulazioni per aver completato il modulo 2.

Per ulteriori informazioni sulle configurazioni universali di NSX, visita l'URL seguente e seleziona la guida di installazione di Cross-vCenter:

Passa a uno dei moduli seguenti.

 Responsabile del laboratorio:

  • Modulo 1-5 - Brian Wilson, Staff Systems Engineer, USA

 

 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END.

 

Modulo 3 - Creazione di costrutti universali (30 minuti)

Istruzioni per il modulo


In questo modulo configureremo il protocollo BGP sul router logico distribuito universale (ULDR) e le regole del firewall distribuito universale.

Il modulo si articola nei passaggi seguenti:

  • Abilitazione del protocollo BGP sul router ULDR in RegionA
  • Abilitazione del protocollo BGP sul router ULDR in RegionB
  • Verifica della connettività delle applicazioni
  • Creazione delle regole del firewall distribuito universale

 

Topologia preconfigurata

 

Il laboratorio è preconfigurato con la topologia di rete virtuale sopra illustrata. Le VM dei gateway perimetrali sono già state configurate per lo scambio delle informazioni di routing con il router vPod.

 

 

Configurazione finale

 

Al termine di questo modulo, il protocollo BGP sarà configurato in modo da consentire lo scambio di informazioni di routing dinamico tra i gateway perimetrali e il router locale distribuito universale. L'ottimizzazione dell'uscita sarà configurata per garantire che il traffico in uscita dall'ambiente di rete logico utilizzi il gateway perimetrale più vicino alla VM. Le regole del firewall distribuito universale saranno configurate per abilitare la microsegmentazione dell'applicazione a tre livelli distribuita nel laboratorio.

 

Abilitazione del protocollo BGP sul router logico universale di RegionA0


In questo modulo configureremo il router logico distribuito universale per il routing dinamico e il firewall distribuito universale per la microsegmentazione di un'applicazione a tre livelli.


 

Visualizzazione dell'ID locale per RegionA0

 

L'ID locale viene configurato per singolo cluster. Consente al router ULDR di prendere decisioni di routing basate sul sito.

 

 

Configurazione del router ULDR per il routing dinamico

 

Per configurare Universal_DLR:

  1. Seleziona la scheda NSX Edge.
  2. Verifica che sia stata selezionata l'appliance NSX Manager principale.
  3. Fai doppio clic su Universal_DLR_01.

 

 

Configurazione del router ULDR per il protocollo BGP

 

Il protocollo BGP deve essere abilitato e RegionA0_Perimeter_GW deve essere aggiunto come dispositivo limitrofo:

  1. Seleziona la sezione BGP.
  2. In BGP Configuration (Configurazione BGP), fai clic su Edit.

 

Abilitazione del protocollo BGP sul router logico universale di RegionB0


In questa lezione configureremo il router logico distribuito universale in RegionB0.


 

Visualizzazione dell'ID locale

 

L'ID locale viene configurato per singolo cluster. Consente al router ULDR di prendere decisioni di routing basate sul sito.

 

 

Configurazione del router ULDR per il routing dinamico

 

Per visualizzare la configurazione del router ULDR di RegionB0:

  1. Seleziona la scheda NSX Edge.
  2. Verifica che sia stata selezionata l'appliance NSX Manager secondaria.
  3. Fai doppio clic su Universal_DLR_01.

 

 

Configurazione del router ULDR per il protocollo BGP

 

Il protocollo BGP deve essere abilitato e RegionB0_Perimeter_GW deve essere aggiunto come dispositivo limitrofo:

  1. Seleziona la sezione BGP.
  2. In BGP Configuration, fai clic su Edit.

 

Verifica della connettività delle applicazioni


In questa lezione verificheremo il funzionamento dell'applicazione a tre livelli in RegionA0.


 

Apertura di una nuova scheda

 

Fai clic sul pulsante Nuova scheda.

 

 

Apertura dell'app a tre livelli

 

Fai clic sul segnalibro webapp.corp.local.

 

 

Verifica dell'app a tre livelli

 

Verifica che la pagina dell'applicazione multi-tier dell'Hands-on Lab venga caricata e che i dati siano recuperati correttamente.  

 

 

Ping delle macchine virtuali dell'applicazione

 

Apri il prompt dei comandi sulla console principale.

 

Creazione delle regole del firewall distribuito universale


In questa lezione creeremo le regole del firewall distribuito universale per l'applicazione a tre livelli dell'Hands-on Lab. Le regole del firewall distribuito universale devono contenere solo IP, set di IP, MAC o set di MAC.


 

Selezione di vSphere Web Client

 

Seleziona la scheda vSphere Web Client.

 

 

Selezione della scheda Networking & Security

 

  1. Fai clic sul pulsante Home.
  2. Seleziona Networking & Security.

 

 

Selezione della scheda Firewall

 

Fai clic sulla scheda Firewall.

 

 

Verifica della selezione dell'appliance NSX Manager principale

 

Per creare le regole del firewall distribuito universale, è necessario selezionare l'appliance NSX Manager principale. Tutte le regole contrassegnate per la sincronizzazione universale verranno distribuite automaticamente sulle appliance NSX Manager secondarie.

 

 

Aggiunta di una sezione al set di regole firewall

 

Fai clic sul pulsante Add Section (Aggiungi sezione).

 

 

Creazione di una sezione

 

  1. Assegna il nome Three Tier App alla sezione.
  2. Seleziona Turn on Universal Synchronization (Attiva sincronizzazione universale) per questa nuova sezione.
  3. Seleziona Add (Aggiungi).

 

 

Aggiunta di una regola universale

 

  1. Seleziona la casella di controllo della sezione Three Tier App.
  2. Fai clic sull'icona Add Rule (Aggiungi regola).

 

 

Configurazione di una regola predefinita universale

 

In questo passaggio, configureremo una regola predefinita universale. Una volta definite tutte le regole dell'applicazione, questa regola verrà modificata in un criterio default-deny.  

  1. Espandi la sezione Three Tier App.
  2. Fai clic su Enter rule name (Immetti nome regola).

 

 

Configurazione di una regola per l'accesso al server web

 

Fai clic sul pulsante Add Rule (.Aggiungi regola).

 

 

Configurazione di una regola per l'accesso web al server dell'applicazione

 

In questo passaggio configureremo una regola che consente l'accesso al livello applicativo dal livello web su Tomcat:

  1. Espandi la sezione Three Tier App.
  2. Fai clic sull'icona Add Rule.
  3. Fai clic sul campo Enter rule name per assegnare un nome alla regola.

 

 

Configurazione di una regola per l'accesso dell'applicazione al server di database

 

In questo passaggio configureremo una regola che consente l'accesso al livello database dal livello applicativo su MySQL:

  1. Espandi la sezione Three Tier App.
  2. Fai clic sull'icona Add Rule.
  3. Fai clic sul campo Enter rule name (Inserisci nome regola) per assegnare un nome alla regola.

 

 

Configurazione della regola di negazione dell'autorizzazione

 

Fai clic sull'icona Edit nella colonna Action (Azione).

 

 

Pubblicazione delle modifiche

 

Fai clic su Publish Changes per pubblicare le regole del firewall universale. Non verrà applicata alcuna regola finché le modifiche non verranno pubblicate.

 

 

Verifica della connettività dell'applicazione

 

Fai clic sul pulsante Nuova scheda.

 

 

Ping delle macchine virtuali dell'applicazione

 

Per verificare la regola di negazione dell'autorizzazione, apri il prompt dei comandi sulla console principale.

 

Modulo 3 - Conclusione


In questo modulo abbiamo configurato il routing dinamico e l'uscita locale per il router logico distribuito universale nei due siti. Ciò consente le configurazioni di data center virtuali attivi-attivi.


 

Hai completato il modulo 3.

Congratulazioni per aver completato il modulo 3.

Per ulteriori informazioni sulle configurazioni universali di NSX, visita l'URL seguente e seleziona la guida di installazione di Cross-vCenter:

Passa a uno dei moduli seguenti

 Responsabile del laboratorio:

  • Modulo 1-5 - Brian Wilson, Staff Systems Engineer, USA

 

 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END.

 

Modulo 4 - Ambiente multisito attivo-attivo (15 minuti)

Istruzioni per il modulo


In questo modulo eseguiremo la migrazione di uno stack di applicazioni su un sito secondario tramite vMotion.  

Questo modulo include due lezioni:

  • Cross vCenter vMotion
  • Verifica dell'uscita locale

Se non hai ancora completato il modulo 3, esegui la procedura descritta di seguito per configurare l'ambiente. Se hai già completato il modulo 3, passa direttamente alla lezione successiva:


 

Topologia del laboratorio

 

In questo modulo utilizzeremo la topologia di rete logica sopra illustrata. Eseguiremo la migrazione di tutte le VM associate all'applicazione a tre livelli sul sito secondario tramite vMotion. Verificheremo l'uscita locale del traffico e la disponibilità dell'applicazione.

 

 

Riduzione a icona di vSphere Web Client

 

  1. Riduci a icona vSphere Web Client.

 

 

Esecuzione dello script Fast-Forward

 

  1. Fai clic con il pulsante destro del mouse sul file Fast-Forward.ps1 sul desktop.
  2. Seleziona Run With PowerShell (Esegui on PowerShell).

Lo script configurerà l'ambiente con i prerequisiti del modulo 4. Attendi il completamento dello script. Al termine dell'operazione, la finestra verrà chiusa.

 

 

Ritorno a vSphere Web Client

 

  1. Seleziona la finestra vSphere Web Client in Chrome.

 

Verifica dell'uscita locale


In questa lezione verificheremo il funzionamento dell'uscita locale


 

Login al router vPod

 

Avvia PuTTY.

 

 

Apertura di una connessione al router vPod

 

  1. Seleziona la sessione salvata vPod Router BGP.
  2. Fai clic su Open (Apri).

 

 

Login

 

  1. Inserisci la password VMware1!.

 

 

Verifica della tabella di routing

 

Visualizza la tabella di routing. Verifica i due percorsi attivi per ogni rete VM:

  1. Inserisci:
show ip bgp
  1. Controlla i percorsi.
  2. Una volta completata la verifica, chiudi la sessione ssh.

 

 

Passaggio a vSphere Web Client e selezione di host e cluster

 

  1. Fai clic sul pulsante Home.
  2. Fai clic su Hosts and Clusters (Host e cluster).

 

 

Verifica dell'ubicazione dell'applicazione

 

Verifica che le VM web-01a.corp.local, web-02a.corp.local, app-01a.corp.local e db-01a.corp.local siano ubicate nel data center RegionA01.

 

 

Selezione della scheda Networking & Security (Rete e sicurezza)

 

  1. Fai clic sul pulsante Home.
  2. Seleziona Networking & Security.

 

 

Disattivazione della regola di negazione universale

 

  1. Fai clic sulla scheda Firewall.
  2. Verifica che sia stata selezionata l'appliance NSX Manager principale.
  3. Espandi la sezione Three Tier App.
  4. Fai clic sull'interruttore Attiva/Disattiva verde per disattivare la regola 4.
  5. Fai clic su Publish (Pubblica).

 

 

Attesa della pubblicazione della regola firewall

 

Attendi che la regola firewall venga pubblicata.

 

 

Login a web-01a.corp.local

 

Avvia PuTTY.

 

 

Apertura di una connessione a web-01a.corp.local

 

  1. Seleziona la sessione salvata web-01a.corp.local.
  2. Premi il pulsante Open (Apri).

 

 

Esecuzione del comando tracepath per la verifica dell'uscita locale

 

  1. Esegui il comando tracepath per il router vPod:
tracepath 192.168.100.1 -m2 -n
  1. Osserva l'uscita da 192.168.5.1. Si tratta dell'interfaccia di RegionA01-Perimeter_GW.

 

 

Migrazione della VM web in RegionB0 tramite vMotion

 

  1. Fai clic sul pulsante Home.
  2. Fai clic su Hosts and Clusters.

 

 

Espansione di tutti gli elementi compressi

 

Espandi tutti gli elementi compressi facendo clic sulla freccia.

 

 

Migrazione della VM web tramite vMotion

 

  1. Fai clic con il pulsante destro del mouse su web-01a.corp.local.
  2. Fai clic su Migrate (Migra).

 

 

Selezione del tipo di migrazione

 

  1. Seleziona Change both compute resource and storage (Cambia risorse di elaborazione e storage).
  2. Fai clic su Select compute resource first (Seleziona prima le risorse di elaborazione).
  3. Fai clic su Next (Avanti).

 

 

Selezione di una risorsa di elaborazione

 

  1. Seleziona il cluster RegionB01-COMP01. Seleziona l'host esx-02b.corp.local.
  2. Fai clic su Next.

 

 

Selezione dello storage

 

  1. Seleziona RegionB01-ISCSI01-COMP01.
  2. Fai clic su Next.

 

 

Selezione di una cartella

 

  1. Seleziona Discovered virtual machine (Macchina virtuale rilevata).
  2. Fai clic su Next.

 

 

 

Selezione della rete

 

  1. Seleziona la rete universale Web_Tier_ULS.
  2. Fai clic su Next.

Per visualizzare i nomi degli switch logici universali potrebbe essere necessario scorrere il menu a discesa di seleziona della rete utilizzando la barra di scorrimento a destra.

 

 

Selezione della priorità di vMotion

 

Fai clic su Next.

 

 

Verifica delle impostazioni

 

Controlla le selezioni e fai clic su Finish (Fine).

 

 

Passaggio alla scheda Tasks (Attività)

 

  1. Fai clic sul pulsante Home.
  2. Seleziona la scheda Tasks.

 

 

Attesa del completamente della migrazione vMotion

 

Attendi il completamento delle attività di vMotion.

 

 

Passaggio a vSphere Web Client e selezione di host e cluster

 

  1. Fai clic sul pulsante Home.
  2. Fai clic su Hosts and Clusters.

 

 

Avvio della console Web-01a

 

Avvia la connessione della console a Web-01a:

  1. Seleziona web-01a.corp.local.
  2. Seleziona la scheda Summary (Riepilogo).
  3. Seleziona l'area dello schermo per l'avvio della console.

 

 

Esecuzione del comando tracepath per la verifica della nuova uscita

 

Usa la console per verificare l'uscita locale:

  1. Login: root
  2. Password: VMware1!
tracepath 192.168.100.1 -n -m 2

Verifica l'uscita da 192.168.5.9. Si tratta dell'interfaccia di RegionB01-Perimeter_GW.

 

Migrazione dello stack dell'applicazione sul sito secondario


In questa lezione eseguiremo la migrazione di uno stack di applicazioni su un sito secondario.


 

Analisi della topologia dell'applicazione

 

Questo schema illustra l'ubicazione delle macchine virtuali e il flusso del traffico.

 

 

Apertura di una nuova scheda

 

Fai clic sul pulsante New Tab (Nuova scheda).

 

 

Apertura dell'app a tre livelli

 

Fai clic sul segnalibro webapp.corp.local.

 

 

Verifica dell'app a tre livelli

 

Verifica che la pagina dell'applicazione multi-tier dell'Hands-on Lab venga caricata e che i dati siano recuperati correttamente.

 

 

Migrazione delle restanti VM dell'applicazione in RegionB0 tramite vMotion

 

  1. Fai clic sul pulsante Home.
  2. Fai clic su Hosts and Clusters.

 

 

Espansione di tutti gli elementi compressi

 

Espandi tutti gli elementi compressi facendo clic sulla freccia.

 

 

Migrazione della VM dell'app tramite vMotion

 

  1. Fai clic con il pulsante destro del mouse su app-01a.corp.local.
  2. Fai clic su Migrate.

 

 

Selezione del tipo di migrazione

 

  1. Seleziona Change both compute resource and storage.
  2. Fai clic su Select compute resource first.
  3. Fai clic su Next.

 

 

Selezione di una risorsa di elaborazione

 

  1. Seleziona il cluster RegionB01-COMP01.
  2. Fai clic su Next.

 

 

Selezione dello storage

 

  1. Seleziona RegionB01-ISCSI01-COMP01.
  2. Fai clic su Next.

 

 

Selezione di una cartella

 

  1. Seleziona ULSDiscovered virtual machine.
  2. Fai clic su Next.

Per visualizzare i nomi degli switch logici universali potrebbe essere necessario scorrere il menu a discesa di seleziona della rete utilizzando la barra di scorrimento a destra.

 

 

Selezione della rete

 

  1. Seleziona la rete universale App_Tier_ULS.
  2. Fai clic su Next.

Per visualizzare i nomi degli switch logici universali potrebbe essere necessario scorrere il menu a discesa di seleziona della rete utilizzando la barra di scorrimento a destra.

 

 

Selezione della priorità di vMotion

 

Fai clic su Next.

 

 

Verifica delle impostazioni

 

Controlla le selezioni e fai clic su Finish.

 

 

Migrazione della VM Web-01a

 

  1. Fai clic con il pulsante destro del mouse su web-01a.corp.local.
  2. Fai clic su Migrate.

NOTA: NON eseguire la migrazione di web-02a.corp.local. Per non compromettere la struttura del laboratorio ed evitare la riconfigurazione del bilanciamento del carico, non eseguire la migrazione di web-02a.corp.local.

 

 

Selezione del tipo di migrazione

 

  1. Seleziona Change both compute resource and storage.
  2. Fai clic su Select compute resource first.
  3. Fai clic su Next.

 

 

Selezione di una risorsa di elaborazione

 

  1. Seleziona il cluster RegionB01-COMP01.
  2. Fai clic su Next.

 

 

Selezione dello storage

 

  1. Seleziona RegionB01-ISCSI01-COMP01.
  2. Fai clic su Next.

 

 

Selezione di una cartella

 

  1. Seleziona ULSDiscovered virtual machine.
  2. Fai clic su Next.

Per visualizzare i nomi degli switch logici universali potrebbe essere necessario scorrere il menu a discesa di seleziona della rete utilizzando la barra di scorrimento a destra.

 

 

Selezione della rete

 

  1. Seleziona la rete universale Web_Tier_ULS.
  2. Fai clic su Next.

Per visualizzare i nomi degli switch logici universali potrebbe essere necessario scorrere il menu a discesa di seleziona della rete utilizzando la barra di scorrimento a destra.

 

 

Selezione della priorità di vMotion

 

Fai clic su Next.

 

 

Verifica delle impostazioni

 

Controlla le selezioni e fai clic su Finish.

 

 

Migrazione delle restanti VM dell'applicazione

 

Ripeti la procedura di migrazione per db-01a.corp.local. Seleziona la rete DB_Tier_ULS.

Al termine della migrazione della VM DB, verifica che la pagina web dell'app a tre livelli venga caricata. Lo schema della topologia illustra l'ubicazione delle VM dopo la migrazione.

NOTA: NON eseguire la migrazione di web-02a.corp.local. Per non compromettere la struttura del laboratorio ed evitare la riconfigurazione del bilanciamento del carico, non eseguire la migrazione di web-02a.corp.local.

 

 

Test dell'applicazione a tre livelli

 

Fai clic sul pulsante New Tab.

 

 

Apertura dell'app a tre livelli

 

Poiché la VM web-01a.corp.local è stata migrata nel Sito B, dobbiamo utilizzare un altro URL per accedere a tale server specifico.  

Copia e incolla il seguente URL nel browser:

 

https://web-01a/cgi-bin/app.py

NOTA: durante il caricamento del sito, è possibile che venga visualizzato un avviso relativo al certificato. Ignora il messaggio e prosegui.  

NOTA: puoi anche testare la VM web-02a.corp.local utilizzando direttamente il seguente URL: https://web-02a/cgi-bin/app.py

 

Modulo 4 - Conclusione


In questo modulo abbiamo eseguito la migrazione di uno stack di applicazioni da un sito all'altro. Abbiamo verificato l'uscita locale per assicurare un modello di traffico in uscita ottimale. Con questa configurazione è possibile abilitare un data center attivo-attivo. Ciò consente di migrare le macchine in un ambiente secondo necessità.


 

Hai completato il modulo 4.

Congratulazioni per aver completato il modulo 4.

Per ulteriori informazioni sulle configurazioni universali di NSX, visita l'URL seguente e seleziona la guida di installazione di Cross-vCenter:

Passa a uno dei moduli seguenti

 Responsabile del laboratorio:

  • Modulo 1-5 - Brian Wilson, Staff Systems Engineer, USA

 

 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END (Fine).

 

Modulo 5 - Configurazione VPN (15 minuti)

Istruzioni per il modulo


In questo modulo configureremo NSX Edge Gateway per i servizi VPN L2. NSX Edge supporta diversi tipi di VPN. SSL VPN-Plus consente agli utenti remoti di accedere alle applicazioni aziendali private. VPN IPSec offre la connettività da sito a sito tra un'istanza di NSX Edge e i siti remoti. VPN L2 consente di estendere il data center permettendo alle macchine virtuali di mantenere la connettività di rete indipendentemente dai confini geografici. 

Questo modulo include la seguente lezione:

  • Servizi VPN L2

Configurazione VPN L2


 

Topologia del laboratorio

 

In questo modulo utilizzeremo la topologia di rete logica sopra illustrata. Configureremo la connessione VPN L2 tra due segmenti di switch logici. Ogni segmento contiene una macchina virtuale nello stesso spazio degli indirizzi della sottorete. Utilizzando una VPN L2 creeremo un tunnel tra i due switch logici remoti trasformandoli in un unico segmento L2 continuo. Verificheremo la connettività tra le due VM sul collegamento VPN.

 

 

Esame dei tipi di VPN: introduzione alla rete VPN SSL

 

Prima di configurare la rete VPN L2, esaminiamo rapidamente i vari servizi VPN offerti da NSX. Con SSL VPN-Plus, gli utenti remoti possono connettersi in modo sicuro alle reti private dietro un NSX Edge Gateway. Gli utenti remoti possono accedere ai server e alle applicazioni nelle reti private.

 

 

Esame dei tipi di VPN: introduzione alla rete VPN IPSEC

 

NSX Edge supporta la connettività VPN IPSec da sito a sito tra un'istanza di NSX Edge e i siti remoti. IPSEC consente l'interoperabilità VPN tra dispositivi NSX Edge e dispositivi VPN di terze parti. L'autenticazione basata su certificato, la modalità con chiavi precondivise, il traffico Unicast IP e l'assenza del protocollo di routing dinamico sono supportati tra l'istanza di NSX Edge e i router VPN remoti.

Dietro ogni router VPN remoto, puoi configurare più sottoreti per la connessione alla rete interna dietro un'istanza di NSX Edge tramite tunnel IPSec.

 

 

Introduzione alla connettività VPN L2

 

La connettività VPN L2 consente di configurare un tunnel tra due siti. Le macchine virtuali restano nella stessa sottorete invece di essere spostate tra i due siti, consentendo di estendere il data center. Un'istanza di NSX Edge su un sito fornisce tutti i servizi alle macchine virtuali sull'altro sito.

La connettività VPN L2 può essere utilizzata per collegare VLAN a VLAN, VXLAN a VLAN e VXLAN a VXLAN.

In questo laboratorio configureremo la connessione VPN L2 tra due segmenti VXLAN (due switch logici NSX). 

 

Attivazione del server VPN


In questa lezione creeremo il server VPN.


 

Aggiunta del server VPN L2

Il server VPN L2 è l'NSX Edge di origine a cui deve essere connessa la rete VPN L2.

Prerequisiti: l'indirizzo IP interno assegnato al server VPN L2 deve essere diverso da quello del client. Possono trovarsi nella stessa sottorete.

 

 

Accesso a vSphere Web Client

 

  1. Puoi richiamare vSphere Web Client utilizzando l'icona Google Chrome sul desktop.

 

 

Seleziona Network and Security.

 

  1. Fai clic sull'icona Home.
  2. Scorri l'elenco verso il basso e seleziona Networking and Security.

 

 

Selezione di NSX Edge

 

  1. Seleziona NSX Edges (NSX Edge).

 

 

Verifica del ruolo principale di NSX Manager

 

  1. Verifica che il campo NSX Manager sia impostato su 192.168.110.42 (Role Primary).

 

 

Selezione del router perimetrale

 

  1. Fai doppio clic sul router RegionA0_Perimeter_GW.

 

 

Configura l'interfaccia trunk di VPN L2.

 

  1. Seleziona Manage (Gestione).
  2. Seleziona Interfaces (Interfacce)
  3. Seleziona l'interfaccia NIC n. 2.
  4. Fai clic sull'icona Edit (Modifica).

 

 

Continuazione della configurazione dell'interfaccia trunk

 

  1. Assegna alla nuova interfaccia il nome L2VPN Trunk.
  2. Seleziona Trunk nel campo Type.
  3. Fai clic su Select (Seleziona) accanto all'opzione Connected To (Connesso a).
  4. Seleziona Distributed Virtual Port Group (Port group virtuale distribuito) nella nuova finestra.
  5. Seleziona VM-RegionA01-VDS-MGMT.
  6. Fai clic su OK.

 

 

 

Configurazione dell'interfaccia secondaria

 

Fai clic su ADD (Aggiungi) per aggiungere un'interfaccia secondaria.

 

 

Impostazioni dell'interfaccia secondaria

 

  1. Assegna all'interfaccia secondaria il nome Sub-VPN-Logical-SW-A.
  2. Nel campo Tunnel ID (ID tunnel), immetti 101.
  3. Seleziona Network (Rete) nel campo Backing Type (Tipo di supporto).
  4. Fai clic su Select accanto all'opzione Network.
  5. Seleziona lo switch logico VPN_Logical_SW_A.
  6. Fai clic su OK.

 

 

Aggiunta di una sottorete all'interfaccia

 

  1. Fai clic sull'icona ADD.
  2. Inserisci 172.16.101.1 nel campo Primary IP Address (Indirizzo IP principale).
  3. Inserisci 24 nel campo Subnet Prefix Length (Lunghezza prefisso sottorete).
  4. Fai clic su OK.

 

 

Fine della configurazione dell'interfaccia trunk

 

Fai clic su OK.

 

 

Configurazione del server VPN L2

 

  1. Seleziona la scheda VPN.
  2. Seleziona L2 VPN.
  3. Fai clic su Change (Cambia).

 

 

Configurazione del listener

 

  1. Seleziona 192.168.100.3 Primary nel campo Listener IP (IP listener).
  2. Inserisci 443 nel campo Listener Port (Porta listener).
  3. Seleziona AES128-GCM-SHA256 nel campo Encryption Algorithm (Algoritmo di crittografia).
  4. Fai clic su OK.

 

 

Attivazione del servizio VPN L2

 

  1. Fai clic su Start (Avvia).
  2. Fai clic su Publish Changes (Pubblica modifiche).

 

 

Aggiunta della configurazione di un nuovo sito

 

  1. Fai clic sul simbolo più di colore verde per aggiungere la configurazione di un nuovo sito.

 

 

Modifica dei dettagli della configurazione del sito

 

  1. Seleziona Enable Peer Site (Attiva sito peer).
  2. Inserisci RegionB-L2VPN nel campo Name.
  3. Inserisci vpn-user nel campo User ID (ID utente).
  4. Inserisci VMware1!VMware1! nel campo Password (la password deve essere formata da almeno 10 caratteri).
  5. Immetti di nuovo VMware1!VMware1! nel campo Confirm Password (Conferma password).
  6. Fai clic su Select Sub Interfaces (Seleziona interfacce secondarie).

 

 

Selezione dell'interfaccia secondaria

 

  1. Seleziona Sub-VPN-Logical-SW-A.
  2. Fai clic sulla freccia verso destra.
  3. Fai clic su OK.
  4. Fai clic su OK.

 

 

Pubblicazione delle modifiche

 

Fai clic su Publish Changes.

 

Attivazione del client VPN


In questa lezione creeremo il client VPN.


 

Aggiunta di un client VPN L2

Il client VPN L2 è l'NSX Edge di origine che avvia la comunicazione con l'edge di destinazione (server VPN L2).

 

 

Seleziona Network and Security.

 

  1. Fai clic sull'icona Home.
  2. Scorri l'elenco verso il basso e seleziona Networking and Security.

 

 

Selezione di NSX Edge

 

  1. Seleziona NSX Edges.

 

 

Verifica del ruolo secondario di NSX Manager

 

  1. Seleziona 192.168.210.42 (Role Secondary) nel campo NSX Manager.

 

 

Selezione del router perimetrale

 

  1. Fai doppio clic sul router RegionB0_Perimeter_GW.

 

 

Configura l'interfaccia trunk di VPN L2.

 

  1. Seleziona l'interfaccia NIC n. 2.
  2. Fai clic sull'icona Edit.

 

 

Continuazione della configurazione dell'interfaccia trunk

 

  1. Assegna alla nuova interfaccia il nome L2VPN Trunk.
  2. Seleziona Trunk nel campo Type (Tipo).
  3. Fai clic su Select accanto all'opzione Connected To.
  4. Seleziona Distributed Virtual Port Group nella nuova finestra.
  5. Seleziona VM-RegionB01-VDS-COMP.
  6. Fai clic su OK.

 

 

 

Configurazione dell'interfaccia secondaria

 

Fai clic su ADD per aggiungere un'interfaccia secondaria.

 

 

Impostazioni dell'interfaccia secondaria

 

  1. Assegna all'interfaccia secondaria il nome Sub-VPN-Logical-SW-B.
  2. Nel campo Tunnel ID, immetti 101.
  3. Seleziona Network nel campo Backing Type.
  4. Fai clic su Select accanto all'opzione Network.
  5. Seleziona lo switch logico VPN_Logical_SW_B.
  6. Fai clic su OK.

 

 

Aggiunta di una sottorete all'interfaccia

 

  1. Fai clic sull'icona ADD.
  2. Inserisci 172.16.101.2 nel campo Primary IP Address.
  3. Inserisci 24 nel campo Subnet Prefix Length.
  4. Fai clic su OK.

 

 

Fine della configurazione dell'interfaccia trunk

 

Fai clic su OK.

 

 

Configurazione del client VPN L2

 

  1. Seleziona la scheda VPN.
  2. Seleziona L2 VPN.
  3. Seleziona Client.
  4. Fai clic su Change.

 

 

Configurazione delle impostazioni del client

 

  1. Inserisci 192.168.100.3 nel campo Server Address (Indirizzo server).
  2. Inserisci 443 nel campo Server Port (Porta server).
  3. Seleziona AES128-GCM-SHA256 nel campo Encryption Algorithm.
  4. Fai clic su Select Sub Interfaces.

 

 

Selezione dell'interfaccia secondaria

 

  1. Seleziona Sub-VPN-Logical-SW-B.
  2. Fai clic sulla freccia verso destra.
  3. Fai clic su OK.

 

 

Fine della configurazione delle impostazioni del client

 

  1. Inserisci vpn-user nel campo User ID.
  2. Inserisci VMware1!VMware1! nel campo Password (la password deve essere formata da almeno 10 caratteri).
  3. Immetti di nuovo VMware1!VMware1! nel campo Confirm Password.
  4. Fai clic su OK.

 

 

Attivazione del servizio VPN L2

 

  1. Fai clic su Start.
  2. Fai clic su Publish Changes.

 

Verifica della connessione VPN


In questa lezione verificheremo la connessione VPN.


 

Visualizzazione delle statistiche della connessione VPN L2

Puoi visualizzare le statistiche della connessione VPN L2 (come stato del tunnel, byte inviati e ricevuti e così via) per NSX Edge.

 

 

 

Verifica dello stato del tunnel

 

  1. Fai clic sulla freccia circolare per espandere il menu e visualizzare lo stato del tunnel.
  2. Verifica che lo stato del tunnel sia UP (Attivo).

 

 

Selezione della scheda Hosts and Clusters

 

  1. Fai clic sull'icona Home.
  2. Seleziona Hosts and Clusters.

 

 

Accesso alla VM sullo switch VPN L2

 

  1. Seleziona vpn-sv-01a.corp.local.
  2. Seleziona la scheda Summary.
  3. Fai clic per avviare la console.

 

 

Verifica dell'adiacenza L2 con vpn-sv-02a

 

In una nuova scheda del browser

Fai clic per inserire

Login: root

Password: VMware1!

Per testare la connettività sul tunnel VPN che abbiamo creato, esegui il ping per vpn-sv-02a.

ping vpn-sv-02a 

 

Il ping ha esito positivo. Stiamo estendendo la sottorete 172.16.101.0/24 tra i siti sulla rete L3.

 

Modulo 5 - Conclusione


In questo modulo abbiamo configurato una connessione VPN L2 tra switch logici locali (segmenti VXLAN). I segmenti sono stati inseriti in data center differente e non sono collegati da costrutti universali. La connessione VPN L2 consente alle due VM di comunicare tramite l'incapsulamento layer 2 su layer 3, senza richiedere l'estensione della VXLAN sui due siti.   


 

Modulo 5 completato

Congratulazioni per aver completato il modulo 5.

Per ulteriori informazioni sulle configurazioni VPN L2 di NSX visita l'URL seguente:

Passa a uno dei moduli seguenti

 Responsabile del laboratorio:

  • Modulo 1-5 - Brian Wilson, Staff Systems Engineer, USA

 

 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END.

 

Conclusioni

Grazie per aver partecipato agli Hands-on Lab di VMware. Per continuare la tua esperienza online, consulta gli altri laboratori disponibili sul sito web http://hol.vmware.com/

SKU del laboratorio: HOL-1925-01-NET

Versione: 20190207-142940