Grâce à VMware vSphere vMotion, vous pouvez migrer des machines virtuelles d'un hôte à un autre, d'un centre de données (DC) à un autre, voire d'un vCenter à un autre.

Néanmoins, lorsque vous souhaitez migrer une machine virtuelle d'un site physique à un autre, il est important que le sous-réseau utilisé des 2 côtés soit le même.
Ce qui requiert une connectivité L2 entre les 2 réseaux (le réseau source et le réseau de destination des VMs).
Pour cela, VMware propose le produit VMware NSX-T. Mais dans ce tutoriel, nous utiliserons pfSense (qui est plus simple à appréhender et qui permet de créer un tunnel VPN en mode L2 grâce à OpenVPN).

1. Configuration utilisée
2. Tunnel VPN L2 pour le réseau des machines virtuelles
   1. Ajouter les cartes réseau à vos machines pfSense pour le tunnel VPN L2
   2. Assigner et configurer les interfaces pour le tunnel VPN L2
   3. Configurer le tunnel VPN L2 via OpenVPN sous pfSense
   4. Autoriser le trafic réseau sur le réseau utilisé par vos VMs
3. Ajouter une carte réseau aux hôtes VMware ESXi pour le réseau des VMs
4. Ajouter un nouveau commutateur pour le réseau L2 des VMs
5. Activer vMotion
6. Migrer une machine virtuelle connectée à un réseau avec une connectivité L2

1. Configuration utilisée

Pour ce tutoriel, nous avons réinstallé la même infrastructure que dans notre tutoriel : VMware vSphere 6.7 - Enhanced Linked Mode (ELM).
Notez que la liaison entre le réseau de Bruxelles (en 10.0.1.x) et le réseau de Paris (en 10.0.2.x) est gérée grâce à un tunnel VPN IPsec entre nos 2 machines pfSense (1 à Bruxelles et l'autre à Paris).

A Bruxelles, la machine "brux-vcsa" est hébergée par notre hôte "brux-esxi1" et possède l'adresse IP "10.0.1.15".

A Paris, la machine "paris-vcsa" est hébergée par notre hôte "paris-esxi1" et possède l'adresse IP "10.0.2.15".

Important : les 2 vCenter sont liés grâce au mode ELM (cité précédemment) et le même domaine SSO est donc utilisé.

Comme indiqué précédemment, notre site de Bruxelles et celui de Paris sont reliés grâce à un tunnel VPN IPsec (donc L3) créé sous pfSense.
Pour créer ce tunnel VPN IPsec entre vos 2 machines pfSense, référez-vous à notre tutoriel : pfSense 2.6 - Créer un tunnel VPN site à site (S2S) via IPsec.

Note : tout est virtualisé pour la réalisation de ce tutoriel, il est donc normal que des adresses IP privées (locales) apparaissent pour les interfaces WAN et les adresses IP utilisées pour le tunnel VPN.

2. Tunnel VPN L2 pour le réseau des machines virtuelles

2.1. Ajouter les cartes réseau à vos machines pfSense pour le tunnel VPN L2

Pour relier les réseaux qui seront utilisés par nos machines virtuelles, nous utiliserons la même machine pfSense qui permet de créer un tunnel VPN en L2 grâce au mode "tap" d'OpenVPN.

Pour cela, ajoutez une carte réseau à chaque machine pfSense et connectez celle-ci au réseau qui ne devra faire qu'un une fois le tunnel VPN L2 établi.

Dans notre cas, nous connectons notre machine pfSense de Bruxelles à notre réseau "pfSense L2 Brux Network".
Note : comme expliqué précédemment, dans notre cas, tout est virtualisé sur un même PC.

Nous connectons notre machine pfSense de Paris à notre réseau "pfSense L2 Paris Network".

Pour que la nouvelle carte réseau soit prise en compte par vos machines pfSense, vos devez redémarrer vos machines.
Pour cela, allez dans "Diagnostics -> Reboot" et cliquez sur : Submit.

Attention : la liaison entre vos 2 sites physiques sera coupée pendant le redémarrage de ces machines étant donné que c'est grâce à celle-ci que le tunnel IPsec fonctionne.

2.2. Assigner et configurer les interfaces pour le tunnel VPN L2

Pour commencer, sur le site de Bruxelles, allez dans : Interfaces -> Assignments.

Assigner la nouvelle carte réseau ajoutée qui apparaitra par défaut sous le nom "OPT1".
Cliquez sur son nom (OPT1) ou allez dans : Interfaces -> Assignments.

Activez cette interface OPT1 en cochant la case "Enable interface", puis renommez cette interface en "VMs_LAN" en changeant sa description.
Ensuite, sélectionnez "Static IPv4" pour le paramètre "IPv4 Configuration Type".

Dans la section "Static IPv4 Configuration", indiquez une adresse IP qui sera utilisée comme passerelle par toutes vos machines virtuelles.
Puis, sélectionnez "/24" pour le sous-réseau.
Ce qui signifie que dans notre cas, le sous-réseau partagé par toutes vos machines virtuelles (grâce à la connectivité L2) sera "10.0.0.x".

Notez que cette passerelle sera utilisée par toutes vos machines virtuelles. Peu importe le site physique où celles-ci se trouvent.
Dans notre cas, cette passerelle sera "10.0.0.1".

En bas de page, cliquez sur Save.

En haut de page, cliquez sur : Apply Changes.

Les modifications ont été sauvegardées.

Allez dans : Services -> DHCP Server.

Dans l'onglet "VMS_LAN", cochez la case "Enable DHCP server on VMS_LAN interface".

Dans notre cas, notre serveur DHCP de Bruxelles distribuera les adresses IP "10.0.0.20" à "10.0.0.50".

En bas de page, cliquez sur Save.

La configuration DHCP a été sauvegardée.

Faites les mêmes manipulations sur la machine pfSense du site distant (Paris dans notre cas).

Assigner la nouvelle carte réseau ajoutée en tant qu'interface "OPT1". Puis activez celle-ci et renommez-la en "VMs_LAN".

Sur le site de Paris, l'adresse IP pour la passerelle sera "10.0.0.2". Mais le masque de sous-réseau sera le même (/24).
Ce qui signifie que le sous-réseau "10.0.0.x" sera le même sur le site source et celui de destination.

Important : l'adresse IP spécifiée ici doit être différente de celle spécifiée sur l'autre site physique, mais se trouver dans le même sous-réseau.
Ainsi, il n'y aura pas de conflit d'adresse IP lorsque le tunnel L2 sera établi entre vos 2 sites physiques et une machine virtuelle pourra être migrée d'un site à l'autre sans perdre l'accès au réseau.

Pour la plage du serveur DHCP du site distant, laissez-le temporairement activé, mais avec une plage différente pour éviter les conflits d'adresses IP.