Objetivos

En este tutorial, aprenderá:

• Cómo crear redes VDC dentro de su VDC.
• Cómo crear máquinas virtuales (VM) y conectarlas a su red VDC.
• Cómo configurar reglas de traducción de direcciones de red (NAT) y cortafuegos (FW) en su pasarela de borde VDC.

El siguiente diagrama presenta una visión general de la solución que se va a implantar.

Este tutorial se divide en los siguientes pasos:

1. Inicie sesión en la consola VMware Cloud Director de la instancia y despliegue redes VDC
2. Crear máquinas virtuales
3. Crear conjuntos de IP y grupos estáticos
4. Crear reglas NAT
5. Crear reglas de cortafuegos
6. Conéctese a la VM mediante la consola web integrada
7. Conéctate a la VM a través de Internet y valida la conectividad

También está disponible un tutorial alternativo con Terraform.

Antes de empezar

Esta guía de aprendizaje requiere:

• Una IBM Cloud cuenta facturable.
• Compruebe los permisos de usuario. Asegúrese de que su cuenta de usuario tiene permisos suficientes para crear y gestionar VMware Cloud Foundation as a Service recursos.
• Una instancia preaprovisionada VMware Cloud Foundation as a Service single-tenant.
• Un VDC preaprovisionado en la instancia VMware Cloud Foundation as a Service single-tenant.

Inicie sesión en la instancia y despliegue la red inicial

El primer paso es iniciar sesión en la VMware Cloud Foundation as a Service consola de VMware Cloud Director de su instancia single-tenant y desplegar las redes iniciales que se utilizarán para las pruebas.

Inicie sesión en la VMware Cloud Foundation as a Service consola de VMware Cloud Director de la instancia de inquilino único:

1. En la tabla VMware Cloud Foundation as a Service, haga clic en un VMware Cloud Foundation as a Service nombre de instancia.
2. En la pestaña Resumen, revise la información.
3. Si es la primera vez que accede a la consola de Cloud Director de VMware para la región VDC, debe establecer las credenciales de administrador para generar una contraseña inicial, compleja y aleatoria.
4. En la página de detalles del VDC, haga clic en VMware Cloud Director Console para acceder a la consola.
5. Utilice el nombre de usuario y la contraseña de administrador para iniciar sesión en la VMware por primera vez.
6. Después de que el administrador haya iniciado sesión en la consola de Cloud Director de VMware, puede crear usuarios adicionales que tengan roles que les permitan acceder a la consola de Cloud Director de VMware.

A continuación, creará las siguientes redes VDC:

Las redes VDC enrutadas están conectadas a la pasarela de borde, mientras que una red VDC aislada es una red autónoma sin ninguna capacidad de enrutamiento proporcionada por la plataforma. Puedes crear más redes en función de tus necesidades siguiendo la misma lógica y los mismos pasos.

La recomendación es utilizar direcciones RFC 1918, por ejemplo subredes IP de los rangos 10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16.

Para crear una red VDC:

1. En el menú de navegación superior, haga clic en Redes. A continuación, haga clic en Nuevo para crear una nueva red VDC. Aparecerá el asistente de Red VDC de Nueva Organización.
2. Seleccione el Centro Virtual de Datos de la Organización (Predeterminado) y, a continuación, seleccione el VDC en el que desea desplegar la nueva red. En la mayoría de los casos habrá un único VDC. Pulse Siguiente para continuar.
3. Seleccione el tipo de red como Ruteada (por defecto) para las redes enrutadas net-application y net-db y seleccione Aislada para la red aislada net-isolated-db. Pulse Siguiente para continuar.
4. Para Conexión de borde, seleccione el borde que se le aprovisionó y deje el resto de ajustes como predeterminados. Las redes aisladas no tienen conexión de pasarela. Pulse Siguiente para continuar.
5. Indique un nombre y el CIDR de la pasarela para la nueva red. CIDR incluye la dirección IP de la pasarela y la longitud de la máscara de red, por ejemplo 192.168.100.1/24. Esta dirección IP puede estar relacionada con su red interna o creada específicamente para IBM Cloud. En este ejemplo, se utiliza net-application como nombre y 192.168.100.1/24 para el CIDR de la pasarela. Pulse Siguiente para continuar.
6. Crea un grupo de IP estáticas para tu nueva red. Aunque es opcional, un grupo de IP estáticas permite asignar automáticamente una dirección IP a las máquinas virtuales en el momento del aprovisionamiento. Este pool debe formar parte de la subred creada durante el paso anterior, y para este ejemplo 192.168.100.10 – 192.168.100.19 se utiliza para la red enrutada net-application. Siga la misma lógica para las demás redes. Para añadir un grupo de IP estáticas, escriba el rango en el cuadro correspondiente y haga clic en Añadir. Haga clic en Siguiente para continuar cuando haya terminado.
7. Para DNS utiliza los servidores DNS públicos IBM Cloud, que son 161.26.0.10 y 161.26.0.11 respectivamente. El sufijo DNS puede dejarse en blanco. Pulse Siguiente para continuar.
8. En Perfil de segmento, déjelo como predeterminado y haga clic en Siguiente para continuar.
9. Revise lo que ha introducido y haga clic en Finalizar para completar el asistente Red VDC de nueva organización y terminar de crear su primera red VDC.

Una vez completadas estas tareas, su nueva red se desplegará y aparecerá en la pestaña de redes. Esto puede tardar unos segundos en completarse. Repita el proceso para las otras dos redes, o más si es necesario en su solución.

Crear VMs y conectarse a la VM usando la consola

En este paso, creará algunas VMs dentro de su VDC y las adjuntará a las redes VDC que se crearon en el paso anterior.

Creará las siguientes máquinas virtuales:

El primer servidor se utilizará como servidor de salto, al que podrá acceder opcionalmente a través de la Internet pública. Los otros dos servidores son ejemplos de servidores de aplicaciones y de bases de datos.

Para crear una máquina virtual:

1. En el menú de navegación superior, haga clic en Aplicaciones.
2. Haga clic en Máquinas virtuales en las subpestañas de navegación.
3. Haga clic en Nueva VM para iniciar la ventana de la nueva VM.
4. Seleccione el VDC de destino y haga clic en Siguiente para continuar.
5. Aparecerá el asistente para nuevas máquinas virtuales. Hay cinco campos que deben rellenarse. Tenga en cuenta que, dependiendo del tamaño de su pantalla, es posible que tenga que desplazarse hacia abajo para ver todos los campos.
   1. Nombre- jump-server-1
   2. Nombre del ordenador- Este campo se rellena automáticamente a partir del nombre.
   3. Plantillas- Para este ejemplo se utiliza la plantilla Windows 2022.
   4. Política de almacenamiento- Los valores aquí dependen de lo que se aprovisionó en la instancia. En este ejemplo, se utiliza 4 IOPS/GB (VDC por defecto).
   5. NICs- Marque la casilla de conectado y luego en el campo desplegable debajo de red seleccione la red creada en el primer paso. En este ejemplo, se utiliza net-application. En el desplegable situado debajo del modo IP, seleccione Static-IP Pool.
6. Deje todos los demás valores en sus valores predeterminados y haga clic en Aceptar cuando haya terminado.

Se creará la nueva máquina virtual. El aprovisionamiento de la máquina virtual puede tardar varios minutos en completarse. Al finalizar, la máquina virtual se encenderá automáticamente. Repita el proceso para las otras máquinas virtuales, application-server-1 y db-server-1.

db-server-1, el VM, requiere dos NIC. Sin embargo, como es la plantilla predeterminada, solo tiene una NIC. Por lo tanto, debe añadir esa publicación al aprovisionamiento inicial. Una vez creada la VM, haga clic en Detalles. A continuación, seleccione NIC en Hardware y podrá añadir la NIC ( 2nd ) a la VM y conectarla al segmento de red correcto. Para obtener más información, consulte Cambiar las propiedades de hardware de una máquina virtual.

Revise las demás opciones de hardware y vea qué puede cambiar y cómo. Consulte la sección Editar Propiedades de Máquina Virtual en VMware Cloud Director Tenant Guide para más detalles.

Crear conjuntos de IP y grupos estáticos

Conjuntos de IP y grupos estáticos se utilizan como parte de la configuración de las reglas de firewall son necesarios. A diferencia de otros cortafuegos, debe utilizar Grupos estáticos y Conjuntos de IP para configurar los cortafuegos para identificar orígenes y destinos, las direcciones IP no se pueden utilizar directamente en las reglas.

Antes de configurar los Conjuntos IP, averigüe las direcciones IP públicas asignadas a su VDC. Utilice el portal IBM Cloud para obtener las direcciones IP públicas asignadas.

En estos ejemplos, public-ip-0 se refiere a la primera dirección IP proporcionada en la lista de direcciones IP disponibles, y debe anotarse como una notación normal de dirección IP aaa.bbb.ccc.ddd. Del mismo modo, public-ip-1 se refiere a la segunda dirección IP y así sucesivamente.

Creará los siguientes conjuntos de IP y grupos estáticos:

Para crear un conjunto de IP:

1. En el menú de navegación superior, haga clic en Redes.
2. Haga clic en Edge Gateways y seleccione el Edge Gateway de su VDC.
3. En Seguridad, haga clic en Conjuntos de IP.
4. Haga clic en Nuevo para crear un nuevo conjunto de IP.
5. En la ventana del nuevo Conjunto IP, introduzca un nombre y el rango IP para este Conjunto IP. En este ejemplo, se utiliza ipset-dnat-to-jump como nombre y public-ip-0 (la primera IP pública real obtenida en la tarea anterior).
6. Haga clic en Añadir para añadir el conjunto de IP y, a continuación, haga clic en Guardar para completar la ventana.

Repita el proceso para los otros IP Sets necesarios, o más si son necesarios en su solución.

Para crear un grupo estático:

1. En el menú de navegación superior, haga clic en Redes.
2. Haga clic en Edge Gateways y seleccione el edge gateway de su VDC.
3. En Seguridad, haz clic en Grupos estáticos.
4. Haga clic en Nuevo para crear un nuevo grupo estático. Introduzca el nombre y haga clic en Guardar.
5. Seleccione el grupo estático creado y haga clic en Administrar miembros. Seleccione los grafos net-application y net-db creados en el paso anterior. Pulse Guardar.

Una vez completadas estas tareas, se añadirán los nuevos Conjuntos IP y Grupos estáticos.

Crear reglas NAT para permitir que las máquinas virtuales accedan a Internet

El siguiente paso es crear reglas NAT para permitir que tus máquinas virtuales accedan a la Internet pública y que tú accedas a las máquinas virtuales a través de la Internet pública.

En este tutorial crearás las siguientes reglas NAT.

Vuelva a comprobar las direcciones IP de las máquinas virtuales que creó mediante la consola VMware Cloud Director Console. Puede utilizar el botón de información durante la creación de la regla para comprobar las direcciones IP externas disponibles.

Cuando cree sus propias reglas NAT, comprenda los flujos de tráfico que necesita y diseñe sus reglas NAT para que se ajusten a ellos. Compruebe que sus reglas no se solapan y causan efectos no deseados.

Algunos valores, como Priority, Firewall Match se configuran en Configuración avanzada. Si una dirección tiene varias reglas NAT, se aplica la regla con la prioridad más alta. Un valor más bajo significa una mayor precedencia para esta regla. Firewall Match determina cómo el cortafuegos hace coincidir la dirección durante el NATing. Puede utilizar Match Internal Address, Match External Address o Bypass.

En algunos casos, puede ser necesario impedir la traducción de direcciones de red para cierto tráfico cuando una regla DNAT o SNAT está en su lugar para que coincida con una regla any. Una regla NO SNAT impide la traducción de la dirección IP interna de los paquetes enviados desde un VDC de la organización a una red externa o a la red de otro VDC de la organización. Una regla NO DNAT impide la traducción de la dirección IP externa de los paquetes recibidos por un VDC de organización desde una red externa o desde la red de otro VDC de organización.

Para crear una regla NAT de destino (DNAT):

1. En el menú de navegación superior, haga clic en Redes.
2. Haga clic en Edge Gateways y seleccione el Edge Gateway de su VDC.
3. En el menú de navegación de la izquierda, en Servicios, haga clic en NAT.
4. Haga clic en Nuevo para crear una nueva regla NAT.
5. Aparecerá el asistente Añadir regla NAT. Hay cuatro campos que deben rellenarse.
   1. Nombre- En este ejemplo, se utiliza dnat-to-jump.
   2. Tipo de interfaz- Seleccione DNAT (NAT de destino) como tipo de interfaz.
   3. IP externa- Introduzca una de las direcciones IP públicas proporcionadas por IBM Cloud a su instancia. Puede pulsar el botón de información situado a la derecha del campo para ver estas direcciones IP. En este ejemplo, se utiliza public-ip-0 (la primera IP pública real obtenida en el paso anterior).
   4. IP interna- Esta es la dirección IP de las máquinas virtuales que creó en el paso anterior. En este ejemplo, se utiliza 192.168.100.10/32.
   5. Aplicación- Dejar vacío.
   6. Despliega Configuración avanzada y configura los valores de Priority y Firewall Match.
6. Haga clic en Guardar cuando haya terminado.

Se creará la nueva regla NAT. Esto puede tardar unos segundos en completarse. Repita el proceso para otras reglas NAT de destino, si es necesario en su solución.

Para crear una regla NAT de origen (SNAT):

1. En el menú de navegación superior, haga clic en Redes.
2. Haga clic en Edge Gateways y seleccione el Edge Gateway de su VDC.
3. En el menú de navegación de la izquierda, en Servicios, haga clic en NAT.
4. Haga clic en Nuevo para crear una nueva regla NAT.
5. Aparecerá el asistente Añadir regla NAT. Hay cuatro campos que deben rellenarse.
   1. Nombre- En este ejemplo, se utiliza snat-to-inet.
   2. Tipo de interfaz- Seleccione SNAT (NAT de origen) como tipo de interfaz.
   3. IP externa- Introduzca una de las direcciones IP públicas proporcionadas por IBM Cloud a su instancia. Puede pulsar el botón de información situado a la derecha del campo para ver estas direcciones IP. En este ejemplo, se utiliza public-ip-1 (la segunda IP pública real obtenida en el paso anterior).
   4. IP Interna- Este es el rango CIDR de la red que creaste en el paso anterior. En este ejemplo, se utiliza 192.168.100.0/24.
   5. Aplicación- Dejar vacío.
   6. Despliega Configuración avanzada y configura los valores de Priority y Firewall Match.
6. Haga clic en Guardar cuando haya terminado.

Se creará la nueva regla NAT. Esto puede tardar unos segundos en completarse. Repita el proceso para otras reglas NAT de origen, si es necesario en su solución.

Crear reglas de cortafuegos

El siguiente paso es crear reglas de cortafuegos. De forma predeterminada, la instancia de inquilino único VMware Cloud Foundation as a Service se ha aprovisionado con una regla de cortafuegos predeterminada que eliminará todo el tráfico para garantizar la seguridad básica de la red. Deben establecerse reglas adicionales para permitir que el tráfico de la red creada anteriormente acceda a la Internet pública y para que usted acceda a las máquinas virtuales desde la Internet pública.

El default_rule ha sido preaprovisionado por IBM Cloud. La lista anterior es meramente ilustrativa.

Las direcciones IP utilizadas en las reglas del cortafuegos deben coincidir con la configuración de sus reglas NAT. En este ejemplo, se han utilizado dos formas diferentes con fines ilustrativos.

Por lo general, no se aconseja utilizar RDP a través de Internet pública. La regla anterior sólo se utiliza a título ilustrativo.

Para crear una regla de cortafuegos:

1. En el menú de navegación superior, haga clic en Redes.
2. Haga clic en Edge Gateways y seleccione el Edge Gateway de su VDC.
3. En la navegación de la izquierda, en Servicios, haga clic en Firewall.
4. Haga clic en Editar reglas.
5. Haga clic en Nuevo en Arriba para crear una nueva regla de cortafuegos encima de default_rule (drop any).
6. Se creará una nueva entrada en la lista de reglas del cortafuegos. Para completar la entrada:
   1. Nombre- En este ejemplo, se utiliza dnat-to-jump.
   2. Aplicación- Haga clic en el icono del lápiz situado junto a Aplicaciones y seleccione RDP y ICMP ALL de la lista de aplicaciones. Puede filtrar con un nombre. Haga clic en Guardar cuando haya terminado.
   3. Fuente- Haga clic en el icono del lápiz situado junto a la fuente y cambie el control deslizante situado junto a Cualquier fuente a verde (activado). Haga clic en Mantener cuando haya terminado.
   4. Destino- Haga clic en el icono del lápiz situado junto al destino y seleccione IP Set ipset-dnat-to-jump (o Static Group si se hubiera utilizado). Haga clic en Mantener cuando haya terminado.
7. Revise las entradas y haga clic en Guardar cuando haya terminado.

Se creará la nueva regla del cortafuegos. Esto puede tardar unos segundos en completarse. Repita el proceso para las demás reglas del cortafuegos, o más si es necesario en su solución.

Conéctese a la máquina virtual mediante la consola web

Antes de iniciar sesión en la máquina virtual por primera vez, deberá obtener la contraseña proporcionada.

Para obtener la contraseña:

1. Haga clic en Detalles en la máquina virtual.
2. Haga clic en Personalizaciones del SO huésped.
3. Pulse Editar.
4. La contraseña generada automáticamente durante el aprovisionamiento de la máquina virtual aparecerá en Especificar contraseña. Copie esta contraseña en un espacio seguro para utilizarla en el inicio de sesión. Haz clic en Descartar cuando se haya guardado esta contraseña.

Para conectarse a la máquina virtual mediante la consola web:

1. Haga clic en Lanzar consola web para abrir una consola local en la VM.
2. Utilizando la consola web, inicie sesión en la máquina virtual utilizando root como ID de usuario y la contraseña que capturó en el paso anterior.
3. A continuación, debe ser capaz de hacer ping a recursos de Internet como www.ibm.com, mostrando que la red está completa y funcionando.

Conectarse a las máquinas virtuales a través de Internet y validar la conectividad

El último paso consiste en conectarse a la máquina virtual a través de Internet para validar la implantación y su conectividad de red.

Para conectarse a la máquina virtual a través de Internet:

1. Usted debe ser capaz de hacer ping a la dirección IP pública public-ip-0 desde su ordenador portátil o estación de trabajo, lo que demuestra que la red está completa y funcionando.
2. Debería poder utilizar RDP para conectarse a su servidor Jump Server utilizando la dirección IP pública public-ip-0 y el nombre de usuario y la contraseña recopilados en el paso anterior.
3. A continuación, puede desactivar la regla FW dnat-to-jump creada en el paso anterior editando la regla y su Estado deslizando el Estado a Desactivado (gris).

Material de referencia

Consulte las siguientes VMware Cloud Director™ Tenant Portal para obtener información más detallada:

• Gestión de redes de centros de datos virtuales de la organización en el portal del inquilino VMware Cloud Director
• Gestión de NSX Edge Gateways en VMware Cloud Director Tenant Portal
• Trabajo con máquinas virtuales