IBM Cloud Docs
Betrieb VMware Cloud Director

Betrieb VMware Cloud Director

VMware Übersicht über das Cloud Director-Mieterportal

Das VMware Cloud Director™-Tenant-Portal wird für die Verwaltung Ihrer Organisation und zum Erstellen und Konfigurieren von virtuellen Maschinen (VMs), vApps, und Netzwerken innerhalb von vApps verwendet.

Sie können auch erweiterte Netzwerkfunktionen konfigurieren, die von VMware NSX® für vSphere® innerhalb einer VMware Cloud Director-Umgebung bereitgestellt werden. Mit dem Mandantenportal können Sie auch Kataloge, vApps, und Vorlagen für virtuelle Rechenzentren (VDC) erstellen und verwalten.

Rollen, Berechtigungen und Benutzer

Für den Zugriff auf VMware Cloud Director verwenden Sie Single Sign-on mit Ihren IBM Cloud-Berechtigungsnachweisen als Standardauthentifizierungs-und Berechtigungsmechanismus. Eine Liste der IBM Cloud Identity and Access Management (IAM) Director-Tenantportalrollen und -Berechtigungen, die den einzelnen Rollen zugeordnet sind, finden Sie unter Managing IAM access for VCF as a Service. Organisationsadministratoren können lokale Benutzer erstellen, die über das Tenantportal authentifiziert werden, im Gegensatz zu IBM Cloud IBM Cloud und weitere angepasste Rollen erstellen, die lokalen Benutzern zugewiesen werden können.

Weitere Informationen zu Rollen und Berechtigungen finden Sie unter VMware Cloud Director-Tenant-Portal-Rollen und -Rechte.

E-Mail-Einstellungen ändern

Der Organisationsadministrator muss die E-Mail-Benachrichtigungseinstellungen für den SMTP-Server des Unternehmens ändern.

Weitere Informationen zum Ändern der SMTP-Servereinstellungen finden Sie unter "E-Mail-Einstellungen in VMware ändern ".

Kataloge

Ein Katalog ist ein Container für vApp-Vorlagen und Mediendateien in einer Organisation. Organisationsadministratoren und Katalogautoren können Kataloge in einer Organisation erstellen. Kataloginhalte können mit anderen Benutzern oder Organisationen in der Installation VMware Cloud Foundation (VCF) as a Service gemeinsam genutzt werden. Oder sie können extern veröffentlicht werden, so dass Organisationen außerhalb der Installation VCF as a Service darauf zugreifen können.

VCF as a Service enthält private Kataloge, gemeinsam genutzte Kataloge und von außen zugängliche Kataloge. Private Kataloge enthalten vApp-Vorlagen und Mediendateien, die Sie mit anderen Benutzern in der Organisation gemeinsam nutzen können. Wenn ein Systemadministrator die gemeinsame Nutzung von Katalogen für Ihre Organisation aktiviert, können Sie einen Organisationskatalog gemeinsam nutzen, um einen Katalog zu erstellen, auf den andere Organisationen in der Installation VCF as a Service zugreifen können.

Wenn ein Systemadministrator die externe Katalogveröffentlichung für Ihre Organisation aktiviert, können Sie einen Organisationskatalog für den Zugriff von Organisationen außerhalb der Installation VCF as a Service veröffentlichen. Eine Organisation außerhalb der Installation VCF as a Service muss einen extern veröffentlichten Katalog abonnieren, um auf dessen Inhalt zugreifen zu können.

Jede Organisation hat Zugriff auf den öffentlichen Katalog VCF as a Service. Der Katalog enthält IBM konforme Images, die konfiguriert, gesichert und einsatzbereit sind.

VCF as a Service öffentlicher Katalog

Jede Organisation hat Zugriff auf den öffentlichen Katalog VCF as a Service. Der Katalog enthält IBM konforme Images, die konfiguriert, gesichert und einsatzbereit sind.

Lesen Sie die folgenden Hinweise zu VCF as a Service:

Der öffentliche Katalog enthält vApp-Vorlagen für folgende Komponenten:

vApp-Vorlagen
Image Version
CentOS 7.x
Microsoft® Windows® Standard 2022
Microsoft Windows 2019 Standard
Microsoft Windows 2016 Standard
Red Hat Enterprise Linux® 9.3
Red Hat Enterprise Linux 8.1
Red Hat Enterprise Linux 7.7
Rocky Linux 9.4
Rocky Linux 8.1

CentOS und Rocky-Vorlagen

Die Vorlagen, die im öffentlichen Katalog zur Verfügung gestellt werden, haben die folgenden Eigenschaften:

  • Neueste Aktualisierungen installiert
  • VMware® durch installierte Broadcom-Tools
  • YUM-Repository aktiviert und mit dem YUM-Repository des privaten IBM Netzes als Ziel konfiguriert
  • NTP-Server, der mit dem NTP-Server des privaten IBM Netzes als Ziel konfiguriert ist

Microsoft Windows-Vorlagen

Die im öffentlichen Katalog bereitgestellten Microsoft Windows-Vorlagen weisen die folgenden Merkmale auf:

  • Neueste Aktualisierungen installiert
  • Windows-Updates aktiviert und mit dem Server für Windows-Aktualisierungen des privaten IBM Netzes als Ziel konfiguriert
  • VMware durch installierte Broadcom-Tools
  • Windows Remote Desktop inaktiviert
  • Firewall aktiviert
  • Windows Defender aktiviert
  • NTP-Server, der mit dem NTP-Server des privaten IBM Netzes als Ziel konfiguriert ist
  • Konfigurierte Windows-Lizenz zum Aktivieren und Empfangen von Updates mithilfe von IBM Service Network Microsoft Key Management Server (KMS) und nicht mithilfe des im Internet verfügbaren KMS von Microsoft

Red Hat Enterprise Linux-Vorlagen

Die Red Hat Enterprise Linux (RHEL)-Vorlagen, die im öffentlichen Katalog zur Verfügung gestellt werden, haben die folgenden Eigenschaften:

  • Neueste Aktualisierungen installiert
  • VMware durch installierte Broadcom-Tools
  • Firewall aktiviert
  • NTP-Server, der mit den Servern des privaten IBM Netzes als Ziel konfiguriert ist

Nach dem Bereitstellen der virtuellen Maschine im Tenant-Portal müssen Sie die Red Hat-VM mit Ihrem RHEL-Aktivierungsschlüssel in IBM RHEL Capsule Server registrieren. Damit Sie die Red Hat-VM mit Ihrem RHEL-Aktivierungsschlüssel registrieren können, müssen Sie den VM-Zugriff aktivieren, um eine Verbindung zum IBM Servicenetz herzustellen. Weitere Informationen finden Sie unter VM-Zugriff auf IBM Cloud Services über das private Netz aktivieren.

Führen Sie die folgenden Schritte aus, um die Red Hat-VM mit Ihrem RHEL-Aktivierungsschlüssel zu registrieren.

  1. Klicken Sie in der Konsole VMware Solutions in der linken Navigationsleiste auf Ressourcen > VCF as a Service.
  2. Suchen Sie auf der Registerkarte Virtuelle Rechenzentren den Namen der Cloud Director-Instanz und klicken Sie darauf.
  3. Suchen Sie auf der Registerkarte Zusammenfassung den Red Hat-Aktivierungsschlüssel in der Anzeige Sitedetails und klicken Sie dann auf das Symbol In Zwischenablage kopieren.
  4. Führen Sie die folgenden Befehle von der Red Hat-VM aus.
    1. uuid=$(uuidgen)
    2. echo {\"dmi.system.uuid\": \"$uuid\"} > /etc/rhsm/facts/uuid_override.facts
    3. cat /etc/rhsm/facts/uuid_override.facts Stellen Sie sicher, dass der Inhalt von 'uuid_override.facts' eine generierte UUID aufweist.
    4. subscription-manager register --org="customer" --activationkey="ACTIVATION_KEY" --force Dabei ist ACTIVATION_KEY der Red Hat-Aktivierungsschlüssel, den Sie in die Zwischenablage kopiert haben.

Sie können auch eine andere Instanz von RHEL Capsule Server oder einen Satellitenserver verwenden, wenn Sie bereits über ein RHEL-Abonnement außerhalb von IBM verfügen. Die Kosten für die RHEL-Lizenz fallen für RHEL-VMs an, die in einem VDC ausgeführt werden.

Kataloge und Richtlinien definieren

Für die Erstellung eines Katalogs müssen Sie über die Tenant-Portalrolle eines Organisationsadministrators oder Katalogautors verfügen.

Weitere Informationen zum Definieren von Katalogen und Richtlinien finden Sie unter "Arbeiten mit Katalogen" im VMware.

Medien oder Vorlagen hochladen

OVF-Pakete können in einen Katalog als vApp-Vorlage hochgeladen werden, um die Vorlage Benutzern zur Verfügung zu stellen. Weitere Informationen finden Sie unter "Create vApp from an OVF package" im VMware.

Mediendateien, wie z. B. ISO-Platten-Images und FLP-Diskettenlaufwerk-Images, können als Mediendatei in einen Katalog hochgeladen werden. Weitere Informationen finden Sie unter "Arbeiten mit Mediendateien" im Mandantenportal VMware.

Die maximale Importgröße beträgt 750 GB. Bei großen Bilddateien oder Vorlagen kann das Hochladen lange dauern. Wenn Sie Unterstützung bei Dateien mit mehr als 750 GB benötigen, öffnen Sie ein IBM Support-Ticket, indem Sie die Schritte unter Hilfe und Unterstützung anfordern ausführen.

Virtuelle Maschinen

Wenn Sie das Tenant-Portal verwenden, können Sie eine VM erstellen oder eine VM mithilfe einer Vorlage bereitstellen.

Weitere Informationen finden Sie unter "Erstellen einer eigenständigen virtuellen Maschine" im Mandantenportal VMware.

Eigenschaften virtueller Maschinen anpassen

Sie können die Eigenschaften einer VM bearbeiten, einschließlich des VM-Namens und der Beschreibung, der Hardware- und Netzwerkeinstellungen sowie der Betriebssystemeinstellungen für einen Gast.

Weitere Informationen zur Arbeit mit VMs finden Sie unter "Arbeiten mit virtuellen Maschinen" im VMware.

Wenn Sie das Mandantenportal (Guest OS Customization) verwenden, um Ihr Windows-Administratorkennwort zu ändern, stellen Sie sicher, dass Sie die Komplexitätsanforderungen von Windows einhalten. Wenn Sie diese nicht beachten und das Kennwort im Tenant-Portal ändern, funktioniert das Kennwort in der Vorlage für die Windows-VM nicht.

Allgemeine Eigenschaften einer virtuellen Maschine ändern

Sie können den Namen, die Beschreibung, die Speicherrichtlinie und weitere allgemeine Eigenschaften einer virtuellen Maschine (VM) ändern.

Zwischen Speichereigenschaften wechseln

Einige Festplatteneinstellungen können nicht geändert werden, während die VM eingeschaltet ist. Sie können zum Beispiel die Festplattengröße erhöhen, während die VM eingeschaltet ist, aber Sie können die Festplattengröße nicht verringern, solange die VM nicht ausgeschaltet ist. Es wird eine Meldung angezeigt, wenn Sie die VM ausschalten müssen, bevor Sie eine Festplatteneinstellung ändern. Weitere Informationen finden Sie unter "Power off a virtual machine" im VMware.

Weitere Informationen zum Ändern einer Speicherrichtlinie finden Sie in Allgemeine Merkmale einer virtuellen Maschine ändern.

Wenn Sie die VM ausschalten müssen, bevor Sie eine Speicherrichtlinie ändern, schalten Sie die VM wieder ein, nachdem die VM in die neue Speicherrichtlinie verschoben wurde. Weitere Informationen finden Sie unter "Power on a virtual machine" im VMware.

Die Größe der Festplatten darf 15.8 TB nicht überschreiten, wenn Sie die Speicherrichtlinien von NFS verwenden. Wenn Sie versuchen, Datenträger, die größer als 15.8 TB sind, in die Speicherrichtlinien von NFS zu verschieben, schlägt die Konvertierung fehl.

Hardwareeigenschaften einer virtuellen Maschine ändern

Sie können die Hardwareeigenschaften einer VM, die Anzahl der CPUs, den Arbeitsspeicher, die Festplattenzuordnung und die Netzkonfiguration ändern.

Anpassungseigenschaften einer virtuellen Maschine für Gastbetriebssysteme ändern

Die Anpassung des Gastbetriebssystems (Guest OS) ist für alle Plattformen optional. Sie ist für VMs erforderlich, die in eine Windows-Domäne eingegliedert werden müssen, wenn sie eingeschaltet werden.

Wenn Sie eine IBM-Vorlage zur Erstellung der VM verwenden, verwenden Sie das Panel Gastbetriebssystem-Anpassung, um das eindeutige Passwort für die Betriebssysteminstanz zu erhalten oder festzulegen. Stellen Sie sicher, dass die Option Gastanpassung aktivieren ausgewählt ist und verwenden Sie dann eine der Optionen für das Zurücksetzen des Kennworts, um die Anfangsberechtigungsnachweise für den Administrator einzurichten.

Weitere Informationen finden Sie unter "Anpassung des Gastbetriebssystems einer virtuellen Maschine ändern ".

Erweiterte Eigenschaften einer virtuellen Maschine ändern

In den erweiterten Einstellungen können Sie die Einstellung für die Ressourcenzuordnung (gemeinsam genutzte Ressourcen, Reservierung und Begrenzung) konfigurieren, um die für eine VM bereitgestellten Kapazitäten für vCPU, Arbeitsspeicher und Speicherressourcen festzulegen.

Weitere Informationen finden Sie unter "Gästeigenschaften einer virtuellen Maschine bearbeiten ".

IBM Vorlagen verwenden

Kennwortanforderungen gelten, wenn die VM aus den IBM Vorlagen implementiert wird, die im öffentlichen Katalog bereitgestellt werden. Sie müssen das Anfangskennwort verwenden, das während des Starts generiert wurde, als Sie sich zum ersten Mal bei der VM anmelden. Sie finden dieses Kennwort auf der VM-Detailseite.

Wenn Sie im Tenant-Portal das Feld Zurücksetzen des Kennworts zum Ändern des Kennworts des Windows-Administrators verwenden, müssen Sie sicherstellen, dass Sie die Windows-Komplexitätsanforderungen beachten. Wenn Sie diese nicht beachten und das Kennwort im Tenant-Portal ändern, funktioniert das Kennwort in der Vorlage für die Windows-VM nicht.

  1. Klicken Sie im Bereich Gastbetriebssystem-Anpassung auf BEARBEITEN.
  2. Suchen Sie im Fenster " Gasteigenschaften bearbeiten" das Kennwort im Feld " Kennwort angeben".
  3. Nach erfolgreicher Anmeldung mit dem ursprünglichen Kennwort kehren Sie zum Fenster " Gästeeigenschaften bearbeiten" zurück, um das Kennwort zurückzusetzen und sich erneut mit dem neuen Kennwort anzumelden.

vApps

Eine vApp besteht aus einer oder mehreren VMs, die über ein Netzwerk kommunizieren und Ressourcen und Dienste in einem VDC nutzen. Erstellen Sie die vApp und fügen Sie anschließend VMs und Netze hinzu.

Sie können der vApp VMs und Netzwerke hinzufügen.

Weitere Informationen zu vApps, finden Sie unter Arbeiten mit vApps im VMware Cloud Director-Mandantenportal.

Netzbetrieb

Ein vollständiges Lernprogramm zur Erstellung von VDC-Netzen in Ihrem VDC, zur Erstellung von VMs für die Zuordnung zu Ihrem VDC-Netz und zur Konfiguration von NAT-und Firewallregeln auf Ihrem Edge-Gateway finden Sie unter Virtuelles Rechenzentrum in VMware Cloud Foundation als Service mit der VMware Cloud Director-Konsole konfigurieren.

VM-Zugriff auf IBM Cloud Services über das private Netz aktivieren

Sie können vApps und VMs, die innerhalb des VDC laufen, so konfigurieren, dass sie das private Netzwerk IBM Cloud für den Zugriff auf die Dienste von IBM Cloud verwenden. Ein Zugriff auf IBM Cloud-Services über ein privates Netz ermöglicht Einsparungen bei den Kosten für den ausgehenden öffentlichen Netzbetrieb und kann einen höheren Grad an Zuverlässigkeit und Sicherheit bereitstellen. VDCs leiten den Weg zum privaten Netzwerk IBM Cloud über ein VDC-Dienstnetzwerk, das als verfügbares externes Netzwerk am VDC-Rand konfiguriert ist.

Die folgenden Dienste sind verfügbar.

Verfügbare Services
Service IP-Adresse (Endpunkt)
Microsoft Windows-Update-Server 161.26.4.21
Microsoft Key Management Server 161.26.96.8, 161.26.96.9
Red Hat Capsule Server 161.26.96.25
DNS 161.26.0.10 (rs1.adn.networklayer.com) und 161.26.0.11 (rs2.adn.networklayer.com)
Ubuntu und Debian APT Mirrors 161.26.0.6 (mirrors.adn.networklayer.com)
RHEL und CentOS YUM-Repository 161.26.0.6 (mirrors.adn.networklayer.com)
NTP 161.26.0.6 (time.adn.networklayer.com)
IBM Cloud Object Storage s3.direct.xxx.cloud-object-storage.appdomain.cloud

Das VDC muss über einen Rand (öffentlich-privat oder nur privat) verfügen, um den Zugang zum Dienstnetz zu ermöglichen. Einige NAT- und Firewall-Regeln für die Konnektivität privater Netzwerke werden bei der VDC-Erstellung standardmäßig eingerichtet. Stellen Sie sicher, dass die Firewall-Regeln den Datenverkehr vom VMware Cloud Director-Netzwerk, auf dem die VMs ausgeführt werden, zum Dienstziel zulassen. Überprüfen Sie Ihre Firewall-Regeln und fügen Sie bei Bedarf zusätzliche Regeln für die Windows-Aktivierung und andere Vorgänge hinzu, die eine private Netzwerkverbindung erfordern. Weitere Informationen finden Sie unter "Add an NSX Edge Gateway Firewall Rule" im VMware Cloud Director Mandantenportal.

Beachten Sie die folgenden Beispiele für Firewall-Regeln, um den Netzwerkzugriff auf VMware Cloud Director zuzulassen.

  • Verwenden Sie die Adresse 161.26.0.0/16 für die Aktivierung und Aktualisierung von Windows-Betriebssystemen, Redhat/CentOS/Ubuntu/Debian für die Aktivierung und Aktualisierung von Betriebssystemen, IBM für das klassische DNS und IBM für das klassische NTP.
  • Verwenden Sie den IP-Bereich für IBM Cloud Object Storage, um eine Firewall-Regel zu erstellen, die den Zugriff auf direkte Endpunkte von Cloud Object Storage zulässt.

Erstellen eines vApp für VCF as a Service

Falls noch nicht geschehen, erstellen Sie eine vApp mit mindestens zwei VMs, bevor Sie das folgende Verfahren durchführen. Weitere Informationen finden Sie unter Arbeiten mit vApps im VMware Cloud Director-Mandantenportal.

  1. Klicken Sie im Mieterportal in der linken Navigationsleiste auf Rechenzentren.
  2. Klicken Sie auf der Detailseite des virtuellen Rechenzentrums auf das VDC, in dem Sie das Netzwerk vApp erstellen möchten.
  3. Klicken Sie im Abschnitt Berechnen des linken Navigationsfensters auf vApps.
  4. Klicken Sie auf die vApp, zu der Sie ein vApp hinzufügen wollen.
  5. Klicken Sie auf die Registerkarte Netzwerke und dann auf NEU im Abschnitt vApp Fencing.
  6. Wählen Sie im Feld Netzwerk hinzufügen zu die Option OrgVDC und wählen Sie den Netzwerknamen.
  7. Klicken Sie auf Hinzufügen.

Weitere Informationen finden Sie unter Arbeiten mit Netzwerken in einer vApp im VMware Cloud Director-Mandantenportal.

Beantragung zusätzlicher öffentlicher IP-Adressen

Sie können ein IBM Support-Ticket eröffnen, um zusätzliche öffentliche IP-Adressen für VDCs mit öffentlich-privaten Netzwerken anzufordern. Jedes Ticket kann eine Anfrage für entweder vier NAT/Floating IPs oder ein öffentliches IP-Präfix enthalten. IP-Präfix-Anfragen können eine einzelne /30 (zwei zusammenhängende Adressen) oder /29 (sechs zusammenhängende Adressen) enthalten.

  • Verwenden Sie NAT/Floating-Adressen, die den ursprünglichen acht öffentlichen Adressen entsprechen. Sie müssen die Adressen für NAT aus dem öffentlichen Netzwerk in die privaten Netzwerke von Cloud Director konfigurieren.
  • Verwenden Sie IP-Präfix-Adressen, um Cloud Director-VMs ohne NAT direkt mit dem öffentlichen Netzwerk zu verbinden. Die Edge-Firewall wird zur Kontrolle der öffentlichen Ein- und Ausgänge verwendet.

Geben Sie im Support-Ticket IBM die folgenden Details an:

  • Der IP-Adresstyp: NAT/Floating IPs oder IP-Präfix
  • Die VDC-ID, die den Rand enthält, gegen den die IP-Adressen hinzugefügt werden sollen
  • Der Name des Edge-Gateways oder des Provider-Gateways im VDC zum Hinzufügen zusätzlicher IP-Adressen

Zuweisung öffentlicher IP-Adressen für NAT-Regeln und für VPNs

Jedes VCF as a Service VDC mit einem öffentlichen Rand wird mit acht öffentlichen IP-Adressen ausgestattet. Um die acht Adressen für die Verwendung in den Edge-NAT-Regeln oder den VPN-Regeln (Virtual Private Network) zu aktivieren, müssen Sie zunächst die öffentlichen Adressen zuweisen.

Sie müssen diese Schritte als Benutzer ausführen, der über die Berechtigung "Manuelle IP-Reservierung verwalten" verfügt. Die IBM Manager, Administrator, Director Network Admin und Director Security Admin haben alle diese Berechtigung.

  1. Klicken Sie im Mieterportal im linken Navigationsbereich auf Networking.

  2. Wählen Sie oben auf der rechten Seite IP-Spaces.

  3. Klicken Sie auf den Namen des IP-Raums, der mit dem Rand des VDCs verbunden ist. Wenn Sie mehrere VDCs mit einem öffentlichen Rand haben, können Sie feststellen, welcher IP-Space-Name mit dem Rand verbunden ist, wenn die ersten drei Zeichen des IP-Space-Namens mit dem Rechenzentrum übereinstimmen, in dem das VDC erstellt wurde. Zum Beispiel passt t04 zu tokyo04.

    Sie können auch den Wert V00 im Namen verwenden, falls erforderlich. Klicken Sie auf der Edge Gateway-Detailseite unter Konfiguration auf Allgemein. Der Name des Provider-Gateways hat den Wert VRF000. Verwenden Sie die Nummer in diesem Wert, zum Beispiel vfr015. In diesem Beispiel verwenden Sie das Muster t04-xxx-V15-xxx, um den richtigen IP-Space-Eintrag zu finden.

  4. Wählen Sie im Abschnitt Zuweisung auf der Detailseite IP-Spaces die Option Floating IPs.

  5. Klicken Sie oben in der Tabelle auf ANFRAGE.

  6. Jedem VDC werden acht öffentliche IP-Adressen zugewiesen. Der Abfragedialog unterstützt maximal fünf IPs pro Abfragevorgang. Um sicherzustellen, dass alle acht IP-Adressen zugewiesen werden, fordern Sie zunächst fünf IPs an und wiederholen dann die Anforderung für die restlichen drei IPs.

Erstellen eines Cloud Director-Netzwerks für IP-Präfixadressen

Bei IP-Präfix-Adressen wird den VMs direkt eine öffentliche IP-Präfix-Adresse zugewiesen, ohne dass ein NAT für den öffentlichen Zugang verwendet wird.

  1. Weisen Sie öffentliche IP-Adressen zu.

    1. Klicken Sie im Mieterportal im linken Navigationsbereich auf Networking.

    2. Wählen Sie oben auf der rechten Seite IP-Spaces.

    3. Klicken Sie auf den Namen des IP-Raums, der mit dem Rand des VDCs verbunden ist. Wenn Sie mehrere VDCs mit einem öffentlichen Rand haben, können Sie feststellen, welcher IP-Space-Name mit dem Rand verbunden ist, wenn die ersten drei Zeichen des IP-Space-Namens mit dem Rechenzentrum übereinstimmen, in dem das VDC erstellt wurde. Zum Beispiel passt t04 zu tokyo04.

      Sie können auch den Wert V00 im Namen verwenden, falls erforderlich. Klicken Sie auf der Edge Gateway-Detailseite unter Konfiguration auf Allgemein. Der Name des Provider-Gateways hat den Wert VRF000. Verwenden Sie die Nummer in diesem Wert, zum Beispiel vfr015. In diesem Beispiel verwenden Sie das Muster t04-xxx-V15-xxx, um den richtigen IP-Space-Eintrag zu finden.

    4. Wählen Sie im Abschnitt Zuweisung auf der Detailseite IP-Spaces die Option IP-Präfixe.

    5. Klicken Sie oben in der Tabelle auf ANFRAGE.

  2. Erstellen Sie das Netzwerk.

    1. Klicken Sie im Ziel-VDC auf die Registerkarte Netzwerke. Klicken Sie dann auf NEU.
    2. Vervollständigen Sie die Netzwerkeinstellungen für das neue VDC-Netzwerk der Organisation.
      • Wählen Sie für Umfang die Option Virtuelles Datenzentrum der aktuellen Organisation und klicken Sie auf WEITER.
      • Wählen Sie für Netzwerktyp die Option Geroutet und klicken Sie auf WEITER.
      • Wählen Sie für Edge Connection die einzelne Kante aus und schalten Sie Distributed Routing ein. Klicken Sie auf WEITER.
      • Wählen Sie unter Allgemein das IP-Präfix für Gateway CIDR und klicken Sie auf WEITER.
      • Vervollständigen Sie die restlichen Netzwerkeinstellungen und klicken Sie auf FINISH.

  3. Erstellen Sie die VMs zur Verwendung der IP-Präfix-Adresse. Weitere Informationen finden Sie unter "Erstellen einer eigenständigen virtuellen Maschine" im Mandantenportal VMware.

    • Wenn Sie VMs zur Verwendung von IP-Präfix-Adressen erstellen, müssen Sie das IP-Präfix-Netzwerk verwenden.
    • Stellen Sie für die Konfiguration der primären Netzwerkkarte den IP-Modus auf Statisch - Manuell und weisen Sie eine der IP-Präfix-Adressen für die IP-Adresse zu.
    • Stellen Sie sicher, dass die Firewall-Konfiguration auf eingehenden und ausgehenden Datenverkehr eingestellt ist.

Verwendung von VPNs zur Verbindung von VMware by Broadcom-Workloads mit IBM Cloud

Sie können VPNs verwenden, um Ihre VMware by Broadcom-Workloads über das öffentliche Netzwerk mit VCF as a Service single-tenant und multitenant Instanzen zu verbinden.

Erstellung eines routenbasierten IPsec-VPN gegen das VDC-Edge-Gateway über das öffentliche Internet für VCF as a Service

Die folgenden Schritte skizzieren einen validierten Prozess. Es gibt viele verschiedene Konfigurationen, und je nach der Gegenseite des IPsec-Tunnels können unterschiedliche Konfigurationen erforderlich sein.

Bevor Sie beginnen, vergewissern Sie sich, dass alle öffentlichen Edge-Egress-Regeln nicht den Wert " Any " für die interne IP verwenden. Die Regeln müssen eine CIDR des internen VDC-Netzwerks angeben, das SNAT-Egress unterstützt.

  1. Klicken Sie im Mieterportal in der linken Navigationsleiste auf Rechenzentren.
  2. Klicken Sie auf der Detailseite des virtuellen Rechenzentrums auf das VDC, in dem Sie ein routenbasiertes IPsec-VPN erstellen möchten.
  3. Erweitern Sie im linken Navigationsbereich des VDC den Bereich Netzwerke und klicken Sie auf Kanten.
  4. Klicken Sie im Abschnitt Dienste auf IPSec VPN.
  5. Klicken Sie auf NEU und füllen Sie die folgenden Felder für den IPsec-VPN-Tunnel aus.

    1. Wählen Sie unter Allgemeine Einstellungen die folgenden Optionen aus und klicken Sie auf WEITER.

      • Geben Sie bei Name und Beschreibung Details an, die das VPN beschreiben.
      • Wählen Sie unter Typ die Option Routenbasiert.
      • Verwenden Sie für das Sicherheitsprofil die Standardeinstellung.
      • Für Status schalten Sie auf Aktivieren um.
      • Für die Protokollierung, deaktivieren Sie diese Option.

    2. Wählen Sie unter Peer-Authentifizierungsmodus die folgenden Optionen aus und klicken Sie auf WEITER.

      • Wählen Sie für den Authentifizierungsmodus Pre-Shared Key. Sie müssen diesen Wert auch auf der anderen Seite des VPN-Tunnels verwenden.
      • Geben Sie für Pre-Shared Key einen sicheren Wert ein, der auch auf der anderen Seite des VPN-Tunnels verwendet wird.

    3. Treffen Sie unter Endpunktkonfiguration die folgenden Auswahlen und klicken Sie auf WEITER.

      • Geben Sie für Lokaler Endpunkt eine verfügbare und nicht verwendete öffentliche IP-Adresse ein. Die öffentliche IP-Adresse muss auch in IP-Spaces Floating IPs zugewiesen werden.
      • Geben Sie für Remote Endpoint eine öffentliche IP-Adresse von der entfernten Seite des VPN ein. Die Adresse auf der entfernten Seite des VPNs wird als lokale IP-Adresse bezeichnet. Lassen Sie das Feld Remote-ID leer.
      • Für virtuelle Tunnelschnittstellen (VTI) setzen Sie den Wert auf ein " /30 oder " /31-Netzwerk in den link-lokalen Bereichen169.254.0.0/16). Verwenden Sie nicht dieselben Tunnelschnittstellen wieder. Betrachten Sie die folgenden Beispiele.
      Beispiele für Tunnelschnittstellen
      Lokale Schnittstelle Remote-Schnittstelle
      169.254.101.1/30 169.254.101.2/30
      169.254.110.5/30 169.254.110.6/30
      169.254.120.9/30 169.254.120.10/30
      169.254.139.13/30 169.254.130.14/30

    4. Überprüfen Sie die Einstellungen auf ihre Richtigkeit und klicken Sie auf FINISH.

  6. Klicken Sie im Abschnitt Routing im linken Navigationsbereich auf Statische Routen.
  7. Klicken Sie auf NEU und füllen Sie die folgenden Felder für die neue statische Route aus.
    1. Treffen Sie auf der Registerkarte Allgemein die folgenden Auswahlen.
      • Geben Sie für Name und Beschreibung Details an, die die statische Route beschreiben.
      • Geben Sie unter Netzwerk das entfernte Netzwerk ein, mit dem sich das VPN verbindet. Beispiel: 192.168.47.0/24.
      • Vergewissern Sie sich, dass das Feld " Route Advertised" ausgeschaltet ist.
    2. Treffen Sie auf der Registerkarte Next Hops die folgenden Auswahlen.
      • Geben Sie bei IP-Adresse die Tunnel-IP-Adresse des entfernten Tunnels ein. Beispiel: 169.254.101.1.
      • Für Admin Distance geben Sie 1 ein.
      • Für Scope lassen Sie das Feld leer.
    3. Klicken Sie auf SPEICHERN.

Erstellung eines routenbasierten IPsec-VPN gegen das VDC-Provider-Gateway über das öffentliche Internet für VCF as a Service

Sie können das VMware Cloud Director-Mieterportal verwenden, um einen routenbasierten IPsec-VPN-Tunnel auf einem Provider-Gateway automatisch zu konfigurieren. Die Konfiguration erstellt automatisch einen IPsec-VPN-Tunnel, einen IP-Space-Uplink und die zugehörigen BGP-Präfixe, Maps und Nachbarn in VMware Cloud Director. VMware Cloud Director verwendet IP-Bereiche zur Definition der Netzwerke, die über den IPsec-VPN-Tunnel beworben werden.

Alle Egress-NAT-Regeln des Edge-Gateways haben Vorrang. Wenn das Edge Gateway beispielsweise eine SNAT-Egress-Regel hat, um den Zielverkehr an einen anderen Ort als den IPsec-Tunnel zu senden, hat diese Regel Vorrang und der Verkehr benutzt nicht den IPsec-Tunnel.

Die folgenden Schritte skizzieren einen validierten Prozess. Es gibt viele verschiedene Konfigurationen, und je nach der Gegenseite des IPsec-VPN-Tunnels können unterschiedliche Konfigurationen erforderlich sein.

Schritt 1: Erstellen eines IP-Bereichs
  1. Klicken Sie im Mieterportal im linken Navigationsbereich auf Networking.
  2. Wählen Sie oben auf der rechten Seite IP-Spaces.
  3. Klicken Sie oben in der Tabelle IP-Spaces auf Neu.
    1. Wählen Sie unter Allgemein die folgenden Optionen aus und klicken Sie auf WEITER.
      • Geben Sie bei Name und Beschreibung Details an, die das VPN beschreiben.
    2. Treffen Sie unter Netzwerktopologie die folgenden Auswahlen und klicken Sie auf WEITER.
      • Wählen Sie Route Advertisement Allowed, um es zu aktivieren.
      • Lassen Sie die Standard-Autokonfigurationsregeln deaktiviert.
    3. Für Scope füllen Sie die folgenden Abschnitte aus und klicken Sie auf NEXT.
      • Geben Sie bei Interner Bereich die CIDR des lokalen VDC-Netzwerks ein, das über das VPN gemeinsam genutzt werden soll. Beispiel: 192.168.19.0/24.
      • Geben Sie bei Externer Bereich die CIDR des entfernten Netzwerks ein, das über das VPN freigegeben werden soll. Beispiel: 192.168.47.0/24.
    4. Für IP-Bereiche füllen Sie die folgenden Abschnitte aus und klicken Sie auf WEITER. Sie können dieses Feld leer lassen, um das gesamte Netzwerk, das für den internen Bereich identifiziert wurde, freizugeben, oder Sie können angeben, dass nur ein Bereich im internen Bereich freigegeben werden soll.
    5. Für IP-Präfixe füllen Sie die folgenden Abschnitte aus und klicken Sie auf WEITER. Sie können dieses Feld leer lassen, um das gesamte Netzwerk, das für den internen Bereich identifiziert wurde, freizugeben, oder Sie können angeben, dass der IP-Bereich im identifizierten Präfix freigegeben wird.
    6. Überprüfen Sie die Einstellungen auf ihre Richtigkeit und klicken Sie auf FINISH.
Schritt 2: Erstellen des Provider Gateway IPsec VPN
  1. Klicken Sie im Mieterportal im linken Navigationsbereich auf Networking.
  2. Wählen Sie oben im rechten Bereich die Option Provider-Gateways.
  3. Klicken Sie auf das Anbieter-Gateway, das mit dem VDC verbunden ist. Wenn Sie mehrere VDCs haben, führen Sie die folgenden Schritte aus, um das richtige Anbieter-Gateway zu ermitteln.
    1. Klicken Sie im Mieterportal in der linken Navigationsleiste auf Rechenzentren.
    2. Klicken Sie auf der Detailseite des virtuellen Rechenzentrums auf das VDC, in dem Sie ein Provider-Gateway-IPsec-VPN erstellen möchten.
    3. Erweitern Sie im linken Navigationsbereich des VDC den Bereich Netzwerke und klicken Sie auf Kanten.
    4. Klicken Sie auf der Edge Gateway-Detailseite unter Konfiguration auf Allgemein. Suchen Sie den Namen des Provider-Gateways.
  4. Wählen Sie im Abschnitt Dienste IPSec VPN.
  5. Klicken Sie oberhalb der IPSec VPN auf AUTOCONFIGURE.
    • Geben Sie bei Name eine Beschreibung für das VPN ein.
    • Wählen Sie für IP Space den zuvor erstellten IP Space-Eintrag aus dem Dropdown-Menü aus.
    • Geben Sie für Remote Endpoint eine öffentliche IP-Adresse des entfernten Endes des VPN ein.
    • Geben Sie für Local Endpoint eine verfügbare und nicht verwendete öffentliche IP-Adresse des VDC ein. Die öffentliche IP-Adresse muss in IP-Spaces Floating IPs zugewiesen werden.
    • Geben Sie für Pre-Shared Key einen sicheren Wert ein.
    • Für Lokale Tunnelschnittstelle wird empfohlen, den Standardwert zu verwenden. Beide Seiten des VPN-Tunnels müssen unterschiedliche Werte verwenden. Zum Beispiel verwendet die lokale Seite " 192.168.200.1/30 und die entfernte Seite " 192.168.200.2/30.
    • Geben Sie bei Remote VTI Address die IP-Adresse ein, die auf der anderen Seite des VPN-Tunnels verwendet wird. In den meisten Fällen ist der Standardwert am besten geeignet. Beispiel: 192.168.200.2.
    • Geben Sie für BGP Neighbor Remote AS Number eine typische BGP-Nummer ein, z. B. " 65001. Sie müssen unterschiedliche lokale und entfernte BGP-Nummern angeben.
    • Geben Sie für BGP Neighbor Local AS Number eine typische BGP-Nummer ein, z. B. " 65002. Sie müssen unterschiedliche lokale und entfernte BGP-Nummern angeben.
  6. Überprüfen Sie die Einstellungen auf ihre Richtigkeit und klicken Sie auf FINISH.

Erstellen eines richtlinienbasierten IPsec-VPN gegen das VDC-Edge-Gateway über das öffentliche Internet für VCF as a Service

Die folgenden Schritte skizzieren einen validierten Prozess. Es gibt viele verschiedene Konfigurationen, und je nach der Gegenseite des IPsec-Tunnels können unterschiedliche Konfigurationen erforderlich sein.

Bevor Sie beginnen, vergewissern Sie sich, dass alle öffentlichen Edge-Egress-Regeln nicht den Wert " Any " für die interne IP verwenden. Die Regeln müssen eine CIDR des internen VDC-Netzwerks angeben, das SNAT-Egress unterstützt.

  1. Klicken Sie im Mieterportal in der linken Navigationsleiste auf Rechenzentren.
  2. Klicken Sie auf der Detailseite des virtuellen Rechenzentrums auf das VDC, in dem Sie ein richtlinienbasiertes IPsec-VPN erstellen möchten.
  3. Erweitern Sie im linken Navigationsbereich des VDC den Bereich Netzwerke und klicken Sie auf Kanten.
  4. Klicken Sie im Abschnitt Dienste auf IPSec VPN.
  5. Klicken Sie auf NEU und füllen Sie die folgenden Felder für den IPsec-VPN-Tunnel aus.
    1. Wählen Sie unter Allgemeine Einstellungen die folgenden Optionen aus und klicken Sie auf WEITER.
      • Geben Sie bei Name und Beschreibung Details an, die das VPN beschreiben.
      • Wählen Sie für Typ die Option Richtlinienbasiert.
      • Verwenden Sie für das Sicherheitsprofil die Standardeinstellung.
      • Für Status schalten Sie auf Aktivieren um.
      • Für die Protokollierung, deaktivieren Sie diese Option.
    2. Wählen Sie unter Peer-Authentifizierungsmodus die folgenden Optionen aus und klicken Sie auf WEITER.
      • Wählen Sie für den Authentifizierungsmodus Pre-Shared Key. Sie müssen diesen Wert auch auf der anderen Seite des VPN-Tunnels verwenden.
      • Geben Sie für Pre-Shared Key einen sicheren Wert ein, der auch auf der anderen Seite des VPN-Tunnels verwendet wird.
    3. Treffen Sie unter Endpunktkonfiguration die folgenden Auswahlen und klicken Sie auf WEITER.
      • Geben Sie für Lokale Endpunkt-IP-Adresse eine verfügbare und nicht verwendete öffentliche IP-Adresse ein. Die öffentliche IP-Adresse muss auch in IP-Spaces Floating IPs zugewiesen werden.
      • Geben Sie bei Lokale Endpunktnetzwerke die CIDR des lokalen VDC-Netzwerks ein, das über das VPN gemeinsam genutzt werden soll. Beispiel: 192.168.19.0/24.
      • Geben Sie bei IP-Adresse des entfernten Endpunkts eine öffentliche IP-Adresse von der entfernten Seite des VPN ein. Die Adresse auf der entfernten Seite des VPNs wird als lokale IP-Adresse bezeichnet.
      • Geben Sie bei Remote Endpoint Networks die CIDR des VDC-Netzwerks ein, das über das VPN gemeinsam genutzt werden soll. Beispiel: 192.168.47.0/24.
      • Lassen Sie das Feld für Remote ID leer.
    4. Überprüfen Sie die Einstellungen auf ihre Richtigkeit und klicken Sie auf FINISH.

Erstellung eines L2 gegen das VDC-Edge-Gateway über das öffentliche Internet für VCF as a Service

Die folgenden Schritte skizzieren einen validierten Prozess. Es gibt viele verschiedene Konfigurationen, und je nach der Gegenseite des L2 sind unterschiedliche Konfigurationen erforderlich.

Bevor Sie beginnen, vergewissern Sie sich, dass alle öffentlichen Edge-Egress-Regeln nicht den Wert " Any " für die interne IP verwenden. Die Regeln müssen eine CIDR des internen VDC-Netzwerks angeben, das SNAT-Egress unterstützt.

Vorgehensweise zur Konfiguration des L2
  1. Klicken Sie im Mieterportal in der linken Navigationsleiste auf Rechenzentren.
  2. Klicken Sie auf der Detailseite des virtuellen Rechenzentrums auf das VDC, in dem Sie ein L2 VPN erstellen möchten.
  3. Erweitern Sie im linken Navigationsbereich des VDC den Bereich Netzwerke und klicken Sie auf Kanten.
  4. Klicken Sie im Abschnitt Dienste auf L2 VPN.
  5. Klicken Sie auf NEU und füllen Sie die folgenden Felder für den L2 aus.

    1. Stellen Sie bei Sitzungsmodus wählen den Sitzungsmodus für das L2 auf Server ein. Bei der Konfiguration des L2 setzen Sie die andere Seite auf Client.

    2. Wählen Sie unter Allgemeine Einstellungen die folgenden Optionen aus und klicken Sie auf WEITER.

      • Geben Sie bei Name und Beschreibung Details an, die das VPN beschreiben.
      • Geben Sie für Pre-Shared Key einen sicheren Wert ein.
      • Für Status, aktivieren Sie die Option.

    3. Wählen Sie für die Endpunkteinrichtung die folgenden Optionen aus.

      • Geben Sie für Lokaler Endpunkt eine verfügbare und nicht verwendete öffentliche IP-Adresse ein. Die öffentliche IP-Adresse muss in IP-Spaces Floating IPs zugewiesen werden.
      • Für Tunnel Interface CIDR setzen Sie den Wert auf ein ' /30 oder ' /31 Netzwerk in den link-local Bereichen169.254.0.0/16). Verwenden Sie nicht dieselben Tunnelschnittstellen wieder. Betrachten Sie die folgenden Beispiele:
        • 169.254.101.1/30
        • 169.254.110.5/30
        • 169.254.120.9/30
        • 169.254.139.13/30
      • Geben Sie bei Remote IP eine öffentliche IP-Adresse von der entfernten Seite des VPN ein. Die Adresse auf der entfernten Seite des VPNs wird als lokale IP-Adresse bezeichnet.
      • Wählen Sie für den Initiierungsmodus eine der drei Optionen (Initiator, Nur Antwort oder Auf Anfrage) und klicken Sie auf WEITER.

    4. Wählen Sie für Org VDC-Netzwerke das VDC-Netzwerk aus, das am L2 teilnehmen soll, und klicken Sie auf WEITER.

      Beide Enden des L2 müssen dieselben Netzwerk-IP-Bereiche mit eindeutigen IP-Zuweisungen für Server und VMs an beiden Enden des VPNs verwenden. Beispielsweise verbindet das L2 ein Ende des Tunnels mit einem Netz, das " 192.168.50.10-192.168.50.100 verwendet, mit dem anderen Ende mit einem Netz, das " 192.168.50.101-192.168.50.190 verwendet.

    5. Überprüfen Sie die Einstellungen auf ihre Richtigkeit und klicken Sie auf FINISH.

Vorgehensweise zur Konfiguration des L2
  1. Klicken Sie im Mieterportal in der linken Navigationsleiste auf Rechenzentren.
  2. Klicken Sie auf der Detailseite des virtuellen Rechenzentrums auf das VDC, in dem Sie das L2 VPN erstellen möchten.
  3. Erweitern Sie im linken Navigationsbereich des VDC den Bereich Netzwerke und klicken Sie auf Kanten.
  4. Klicken Sie im Abschnitt Dienste auf L2 VPN.
  5. Klicken Sie auf NEU und füllen Sie die folgenden Felder für den L2 aus.

    1. Stellen Sie bei Sitzungsmodus wählen den Sitzungsmodus für das L2 auf Client ein. Die andere Seite ist der Server.

    2. Wählen Sie unter Allgemeine Einstellungen die folgenden Optionen aus und klicken Sie auf WEITER.

      • Geben Sie bei Name und Beschreibung Details an, die das VPN beschreiben.
      • Verwenden Sie für den Peer Code den Wert von der Serverseite des L2. Wenn die Serverseite ein Director-VDC ist, führen Sie die folgenden Schritte von dem VDC aus, das die Serverseite des L2 ist.
        1. Erweitern Sie im linken Navigationsbereich des VDC den Bereich Netzwerke und klicken Sie auf Kanten.
        2. Wählen Sie im Abschnitt Dienste die Option L2 VPN und wählen Sie den L2 VPN-Server aus der Liste aus.
        3. Klicken Sie oberhalb der Tabelle auf Peer-Code kopieren.
        4. Fügen Sie den Peer-Code-Wert in das Feld Client ' L2 VPN ' Peer-Code eingabe* ein.
        5. Für Status, aktivieren Sie die Option.

    3. Treffen Sie für die Endpunkteinrichtung die folgenden Auswahlen und klicken Sie auf WEITER.

      • Geben Sie für Lokaler Endpunkt eine verfügbare und nicht verwendete öffentliche IP-Adresse ein. Die IP-Adresse ist die gleiche Adresse, die in der L2 als Remote-IP verwendet wird. Die IP-Adresse muss auch in IP-Spaces Floating IPs zugewiesen werden.
      • Geben Sie für Remote IP eine öffentliche IP-Adresse von der entfernten Seite des L2 ein. Die Adresse auf der Serverseite des VPNs wird als lokale IP-Adresse bezeichnet.

    4. Für Org VDC-Netzwerke treffen Sie die folgenden Auswahlen und klicken Sie auf WEITER.

      • Wählen Sie das VDC-Netzwerk aus, das über das L2 erweitert werden soll.

      Beide Enden des L2 müssen dieselben Netzwerk-IP-Bereiche mit eindeutigen IP-Zuweisungen für Server und VMs an beiden Enden des VPNs verwenden. Beispielsweise verbindet das L2 ein Ende des Tunnels mit einem Netz, das " 192.168.50.10-192.168.50.100 verwendet, mit dem anderen Ende mit einem Netz, das " 192.168.50.101-192.168.50.190 verwendet.

      • Verwenden Sie für die Tunnel-ID aufsteigende Zahlen für jeden L2. Für den ersten Tunnel verwenden Sie " 1. Für den zweiten Tunnel verwenden Sie ' 2 und so weiter.

    5. Überprüfen Sie die Einstellungen auf ihre Richtigkeit und klicken Sie auf FINISH.

Firewall-Protokolle für Ihr Edge-Gateway anzeigen

Sie können das Mandantenportal verwenden, um Firewall-Protokolle zur Fehlerbehebung in Ihrer Edge-Gateway-Umgebung einzusehen.

  1. Klicken Sie im Mieterportal in der linken Navigationsleiste auf Rechenzentren.
  2. Klicken Sie auf der Detailseite des virtuellen Rechenzentrums auf das VDC, in dem Sie die Firewall-Protokolle anzeigen möchten.
  3. Erweitern Sie im linken Navigationsbereich des VDC den Bereich Netzwerke und klicken Sie auf Kanten.
  4. Klicken Sie im Abschnitt Dienste auf Firewall.
  5. Klicken Sie auf die Registerkarte "Protokolle ", um die Details der Firewall-Protokolle anzuzeigen.

Nutzung von Diensten im VMware Cloud Director-Mandantenportal

Auf Operations Manager zugreifen

Verwenden Sie Operations Manager, um Metriken auf VDC-, vApp, und VM-Ebene anzuzeigen und um Metrikdaten zu exportieren. Sie können diese Daten verwenden, um die Ressourcennutzung zu isolieren und die Abrechnungsgebühren besser zu verstehen.

Der Operations Manager-Dienst ist standardmäßig aktiviert. Klicken Sie im VMware Cloud Director-Mieterportal auf Mehr > Operations Manager, um die Operations Manager-Web-UI aufzurufen.

Weitere Informationen zur Verwendung von Operations Manager finden Sie unter Durchführen von auf VMware Cloud Director(VCD)basierenden Multitenancy-Vorgängen in VMware Aria Operations.