Operativo VMware Direttore Cloud
VMware Panoramica del portale tenant Cloud Director
Il portale dei tenant di VMware Cloud Director™ è utilizzato per l'amministrazione dell'organizzazione e per creare e configurare macchine virtuali (VM), vApps, e reti all'interno di vApps.
È inoltre possibile configurare le funzionalità di rete avanzate fornite da VMware NSX® per vSphere® all'interno di un ambiente VMware Cloud Director. Con il portale dei tenant è possibile anche creare e gestire cataloghi, vApps, e modelli di virtual data center (VDC).
Ruoli, autorizzazioni e utenti
Per accedere a VMware Cloud Director, utilizza SSO (Single Sign - On) con le tue credenziali IBM Cloud come meccanismo di autorizzazione e autenticazione predefinito. Per un elenco dei ruoli e delle autorizzazioni del portale del tenant IBM Cloud Identity and Access Management (IAM) Director associati a ciascun ruolo, vedi Gestione dell'accesso IAM per VCF as a Service. Gli amministratori dell'organizzazione possono creare utenti locali autenticati dal portale tenant invece di IBM Cloud IBM Cloud e possono anche creare ulteriori ruoli personalizzati che possono essere assegnati agli utenti locali.
Per ulteriori informazioni su ruoli e autorizzazioni, vedere Ruoli e diritti del portale dei tenant di VMware Cloud Director.
Modifica delle impostazioni email
L'amministratore dell'organizzazione deve modificare le impostazioni di notifica email sul server SMTP dell'organizzazione.
Per ulteriori informazioni sulla modifica delle impostazioni del server SMTP, vedere Modifica delle impostazioni e-mail in VMware Cloud Director.
Cataloghi
Un catalogo è un contenitore per i template vApp e i file multimediali in un'organizzazione. Gli amministratori dell'organizzazione e gli autori del catalogo possono creare i cataloghi in un'organizzazione. I contenuti del catalogo possono essere condivisi con altri utenti o organizzazioni dell'installazione VMware Cloud Foundation (VCF) as a Service. Oppure possono essere pubblicati esternamente per l'accesso di organizzazioni esterne all'installazione VCF as a Service.
VCF as a Service contiene cataloghi privati, cataloghi condivisi e cataloghi accessibili dall'esterno. I cataloghi privati includono template vApp e file multimediali che puoi condividere con altri utenti nell'organizzazione. Se un amministratore di sistema abilita la condivisione dei cataloghi per l'organizzazione, è possibile condividere un catalogo dell'organizzazione per creare un catalogo accessibile ad altre organizzazioni nell'installazione VCF as a Service.
Se un amministratore di sistema abilita la pubblicazione di cataloghi esterni per l'organizzazione, è possibile pubblicare un catalogo dell'organizzazione per l'accesso da parte di organizzazioni esterne all'installazione VCF as a Service. Un'organizzazione esterna all'installazione di VCF as a Service deve abbonarsi a un catalogo pubblicato esternamente per accedere ai suoi contenuti.
Ogni organizzazione ha accesso al catalogo pubblico VCF as a Service. Il catalogo contiene le immagini conformi IBM configurate, sicure e pronte per l'uso.
Catalogo pubblico VCF as a Service
Ogni organizzazione ha accesso al catalogo pubblico VCF as a Service. Il catalogo contiene le immagini conformi IBM configurate, sicure e pronte per l'uso.
Esamina le seguenti considerazioni per VCF as a Service:
- I modelli pubblici configurati per i servizi sulla rete privata IBM richiedono un'ulteriore fase di configurazione per abilitare l'accesso delle macchine virtuali alla rete IBM Services. Per ulteriori informazioni, vedi Abilitazione dell'accesso VM ai servizi IBM Cloud utilizzando la rete privata.
- I template pubblici richiedono un livello minimo di personalizzazione per stabilire la password amministratore iniziale. Per ulteriori informazioni, vedi Modifica delle proprietà di personalizzazione del sistema operativo guest di una VM.
Il catalogo pubblico contiene i modelli vApp per i componenti seguenti:
Immagine | Versione |
---|---|
CentOS | 7.x |
Microsoft® Windows® | Standard 2022 |
Microsoft Windows | 2019 Standard |
Microsoft Windows | 2016 Standard |
Red Hat Enterprise Linux® | 9.3 |
Red Hat Enterprise Linux | 8.1 |
Red Hat Enterprise Linux | 7.7 |
Rocky Linux | 9.4 |
Rocky Linux | 8.1 |
Modelli CentOS e Rocky
I modelli forniti nel catalogo pubblico hanno le seguenti caratteristiche:
- Ultimi aggiornamenti installati
- VMware® dagli strumenti Broadcom installati
- Repository YUM abilitato e configurato al repository YUM della rete privata IBM
- Server NTP configurato sulla rete privata IBM Server NTP
Modelli Microsoft Windows
I modelli di Microsoft Windows forniti nel catalogo pubblico hanno le seguenti caratteristiche:
- Ultimi aggiornamenti installati
- Aggiornamento di Windows abilitato e configurato sul server di aggiornamento Windows della rete privata IBM
- VMware dagli strumenti Broadcom installati
- Desktop remoto di Windows disabilitato
- Firewall attivato
- Windows Defender attivato
- Server NTP configurato sulla rete privata IBM Server NTP
- Licenza di Windows configurata per l'attivazione e la ricezione degli aggiornamenti utilizzando il servizio IBM Service Network Microsoft Key Management Server (KMS) e non il Microsoft KMS di Internet
Red Hat Enterprise Linux modelli
I modelli Red Hat Enterprise Linux (RHEL) forniti nel catalogo pubblico hanno le seguenti caratteristiche:
- Ultimi aggiornamenti installati
- VMware dagli strumenti Broadcom installati
- Firewall attivato
- Il server NTP configurato per i server di rete privati IBM
Dopo aver distribuito la VM sul portale tenant, registra la VM Red Hat con la chiave di attivazione RHEL in IBM RHEL Capsule Server. Per registrare la VM Red Hat con la chiave di attivazione RHEL, devi abilitare l'accesso VM per connetterti alla rete del servizio IBM. Per ulteriori informazioni, vedi Abilitazione dell'accesso VM ai servizi IBM Cloud utilizzando la rete privata.
Completa la seguente procedura per registrare la VM Red Hat con la chiave di attivazione RHEL.
- Nella console VMware Solutions, fare clic su Risorse > VCF as a Service dal pannello di navigazione sinistro.
- Nella scheda Centri dati virtuali, individuare e fare clic sul nome dell'istanza di Cloud Director.
- Nella scheda Riepilogo, individuare Chiave di attivazione Red Hat nel pannello Dettagli del sito e fare clic sull'icona Copia negli appunti.
- Esegui i seguenti comandi dalla VM Red Hat.
uuid=$(uuidgen)
echo {\"dmi.system.uuid\": \"$uuid\"} > /etc/rhsm/facts/uuid_override.facts
cat /etc/rhsm/facts/uuid_override.facts
Verificare che il contenuto di uuid_override.facts contenga un UUID generato.subscription-manager register --org="customer" --activationkey="ACTIVATION_KEY" --force
DoveACTIVATION_KEY
è la chiave di attivazione Red Hat che hai copiato negli appunti.
È ancora possibile utilizzare un altro server RHEL Capsule Server o un server satellite se si dispone già di una sottoscrizione RHEL all'esterno di IBM. Gli addebiti per la licenza RHEL sono sostenuti per le VM RHEL in esecuzione in un VDC.
Definizione di cataloghi e politiche
Per creare un catalogo, è necessario disporre del ruolo del portale tenant Amministratore organizzativo o Autore catalogo.
Per ulteriori informazioni sulla definizione di cataloghi e criteri, vedere Utilizzo dei cataloghi nel portale dei tenant di VMware Cloud Director.
Caricare i media o i modelli
I package OVF possono essere caricati in un catalogo come modello vApp per rendere il template disponibile agli utenti. Per ulteriori informazioni, vedere Creazione di una vApp da un pacchetto OVF nel portale dei tenant di VMware Cloud Director.
I file multimediali, come le immagini disco ISO e le immagini unità minidisco FLP, possono essere caricati in un catalogo come file multimediale. Per ulteriori informazioni, vedere Utilizzo di file multimediali nel portale dei tenant di VMware Cloud Director.
La dimensione massima di importazione è 750 GB. Il caricamento di file di immagini o modelli di grandi dimensioni potrebbe richiedere molto tempo. Per assistenza con file di dimensioni superiori a 750 GB, apri un ticket di supporto IBM seguendo la procedura in Richiesta di assistenza e supporto.
Macchine virtuali
Quando si utilizza il portale dei tenant, è possibile creare una macchina virtuale o eseguire il provisioning di una macchina virtuale da un modello.
Per ulteriori informazioni, vedere Creazione di una macchina virtuale autonoma nel portale dei tenant di VMware Cloud Director.
Personalizzazione delle proprietà della macchina virtuale
È possibile modificare le proprietà di una macchina virtuale, compresi il nome e la descrizione della macchina, le impostazioni hardware e di rete e le impostazioni del sistema operativo per un guest.
Per ulteriori informazioni sull'utilizzo delle macchine virtuali, vedere Utilizzo delle macchine virtuali nel portale dei tenant di VMware Cloud Director.
Se si utilizza il portale tenant (Guest OS Customization) per modificare la password dell'amministratore di Windows, assicurarsi di rispettare i requisiti di complessità di Windows. Se si modifica la password nel portale tenant senza farlo, la password non funziona nel modello VM Windows.
Modifica delle proprietà generali di una macchina virtuale
È possibile modificare il nome, la descrizione, il criterio di archiviazione e altre proprietà generali di una macchina virtuale.
Passaggio tra le proprietà di archiviazione
Alcune impostazioni disco non possono essere modificate mentre la VM è accesa. Ad esempio, è possibile aumentare la dimensione del disco mentre la VM è accesa, ma non è possibile ridurre la dimensione del disco a meno che la VM non sia spenta. Viene visualizzato un messaggio se è necessario spegnere la VM prima di modificare un'impostazione del disco. Per ulteriori informazioni, vedere Spegnimento di una macchina virtuale nel portale dei tenant di VMware Cloud Director.
Per ulteriori informazioni relative alla modifica di una politica di memoria, consultare Modifica delle proprietà generali di una macchina virtuale.
Se è necessario spegnere la VM prima di modificare una politica di archiviazione, riaccenderlo dopo che la VM è stata spostata nella nuova politica di archiviazione. Per ulteriori informazioni, vedere Accensione di una macchina virtuale nel portale dei tenant di VMware Cloud Director.
Le dimensioni dei dischi non possono superare 15.8 TB quando si utilizzano i criteri di archiviazione NFS. Se si tenta di spostare i dischi di dimensioni superiori a 15.8 TB nei criteri di archiviazione NFS, la conversione non riesce.
Modifica delle proprietà hardware di una macchina virtuale
È possibile modificare le proprietà hardware di una macchina virtuale, il numero di memoria vCPUs,, l'allocazione del disco rigido e la configurazione di rete.
Modifica delle proprietà di personalizzazione del sistema operativo guest di una macchina virtuale
La personalizzazione del sistema operativo guest è facoltativa per tutte le piattaforme. È obbligatoria per le VM che devono unirsi a un dominio Windows all'accensione.
Quando si utilizza un modello IBM per creare la macchina virtuale, utilizzare il pannello Personalizzazione del sistema operativo guest per acquisire o impostare la password unica per l'istanza del sistema operativo. Assicurarsi che sia selezionata l'opzione Abilita personalizzazione guest e quindi utilizzare una delle opzioni di reimpostazione della password per stabilire la credenziale iniziale dell'amministratore.
Per ulteriori informazioni, vedere Modifica della personalizzazione del sistema operativo guest di una macchina virtuale.
Modifica delle proprietà avanzate di una macchina virtuale
Nelle impostazioni avanzate è possibile configurare le impostazioni di allocazione delle risorse (condivisioni, prenotazione e limite) per determinare la quantità di CPU virtuale ( vCPU ), memoria e risorse di archiviazione fornite per una macchina virtuale.
Per ulteriori informazioni, vedere Modifica delle proprietà del guest di una macchina virtuale.
Utilizzo dei template IBM
I requisiti della password si applicano se la VM è stata distribuita dai template IBM forniti nel catalogo pubblico. È necessario utilizzare la password iniziale generata durante l'accensione quando si accede per la prima volta alla VM. La password si trova nella pagina dei dettagli della macchina virtuale.
Se si utilizza il campo Reimpostazione password del portale tenant per modificare la propria password dell'amministratore di Windows, assicurarsi di rispettare i requisiti di complessità di Windows. Se si modifica la password nel portale tenant senza farlo, la password non funziona nel modello VM Windows.
- Nel pannello Personalizzazione del sistema operativo guest, fare clic su MODIFICA.
- Nel pannello Modifica proprietà ospite, individuare la password nel campo Specifica password.
- Dopo aver effettuato con successo il login con la password iniziale, tornare al pannello Modifica proprietà ospite per reimpostare la password e accedere nuovamente con la nuova password.
vApps
Un vApp è costituito da una o più macchine virtuali che comunicano su una rete e utilizzano risorse e servizi in un VDC. Crea la vApp e aggiungi le VM e le reti.
È possibile aggiungere macchine virtuali e reti al sito vApp.
Per ulteriori informazioni sulle vApps, vedere Utilizzo delle vApps nel portale dei tenant di VMware Cloud Director.
Rete
Per un'esercitazione completa su come creare le reti VDC all'interno del tuo VDC, creare le VM da collegare alla tua rete VDC e configurare le regole NAT e firewall sul tuo gateway edge, vedi Configurazione di un data center virtuale in VMware Cloud Foundation as a Service utilizzando VMware Cloud Director Console.
Abilitazione dell'accesso delle macchine virtuali ai servizi di IBM Cloud utilizzando la rete privata
È possibile configurare le vApps e le macchine virtuali in esecuzione all'interno del VDC per utilizzare la rete privata IBM Cloud per accedere ai servizi IBM Cloud. L'accesso ai servizi IBM Cloud attraverso una rete privata può far risparmiare sui costi di rete pubblica in uscita e può fornire un livello più elevato di affidabilità e sicurezza. I VDC si collegano alla rete privata dell' IBM Cloud, attraverso una rete di servizi VDC configurata come rete esterna disponibile sul perimetro del VDC.
Sono disponibili i seguenti servizi.
service | Indirizzo IP (endpoint) |
---|---|
Microsoft Windows Update Server | 161.26.4.21 |
Microsoft Key Management Server | 161.26.96.8, 161.26.96.9 |
Red Hat Server a capsula | 161.26.96.25 |
DNS | 161.26.0.10 (rs1.adn.networklayer.com ) e 161.26.0.11 (rs2.adn.networklayer.com ) |
Mirror Ubuntu e Debian APT | 161.26.0.6 (mirrors.adn.networklayer.com) |
RHEL e CentOS YUM repo | 161.26.0.6 (mirrors.adn.networklayer.com) |
NTP | 161.26.0.6 (time.adn.networklayer.com) |
IBM Cloud Object Storage | s3.direct.xxx.cloud-object-storage.appdomain.cloud |
Il VDC deve avere un edge (pubblico-privato o solo privato) per consentire l'accesso alla rete di servizio. Alcune regole NAT e firewall per la connettività di rete privata vengono stabilite come predefinite durante la creazione del VDC. Assicurati che le regole del firewall Consentano il traffico dalla rete Cloud Director di VMware su cui girano le VM verso la destinazione del servizio. Rivedi le regole del firewall e aggiungine altre, se necessario, per l'attivazione di Windows e altre operazioni che richiedono la connettività di rete privata. Per ulteriori informazioni, vedere Aggiungere una regola firewall NSX Edge Gateway nel portale tenant di Cloud Director dell' VMware.
Considera i seguenti esempi di regole firewall per consentire l'accesso alla rete di Cloud Director di VMware.
- Utilizza la destinazione
161.26.0.0/16
per l'attivazione e gli aggiornamenti del sistema operativo Windows, Redhat/CentOS/Ubuntu/Debian per l'attivazione e gli aggiornamenti del sistema operativo Linux, IBM per il DNS classico e IBM per il NTP classico. - Utilizzare l'intervallo IP per IBM Cloud Object Storage per creare una regola firewall che consenta l'accesso agli endpoint diretti Cloud Object Storage.
Creazione di una rete di vApp per VCF as a Service
Se non è ancora stato completato, creare una vApp contenente almeno due macchine virtuali prima di completare la procedura seguente. Per ulteriori informazioni, vedere Utilizzo delle vApps nel portale dei tenant di VMware Cloud Director.
- Nel portale degli inquilini, fare clic su Centri dati nel pannello di navigazione sinistro.
- Nella pagina dei dettagli del Virtual Data Center, fare clic sul VDC in cui si desidera creare la rete vApp.
- Nella sezione Calcolo del pannello di navigazione sinistro, fare clic su vApps.
- Fai clic su vApp a cui vuoi aggiungere una rete vApp.
- Fai clic sulla scheda Networks e fai clic su NEW nella sezione vApp Fencing.
- Nel pannello Aggiungi rete a, selezionare ReteOrgVDC e selezionare il nome della rete.
- Fai clic su Aggiungi.
Per ulteriori informazioni, vedere Utilizzo delle reti in una vApp nel portale dei tenant di VMware Cloud Director.
Richiesta di indirizzi IP pubblici aggiuntivi
È possibile aprire un ticket di assistenza IBM per richiedere indirizzi IP pubblici aggiuntivi sulle VDC con rete pubblico-privata. Ogni ticket può includere una richiesta di quattro IP NAT/Floating o di un prefisso IP pubblico. Le richieste
di prefisso IP possono includere un singolo /30
(due indirizzi contigui) o /29
(sei indirizzi contigui).
- Utilizzare indirizzi NAT/Floating simili agli otto indirizzi pubblici iniziali. È necessario configurare gli indirizzi per il NAT dalla rete pubblica alle reti private di Cloud Director.
- Utilizzare gli indirizzi di prefisso IP per collegare le macchine virtuali di Cloud Director direttamente alla rete pubblica senza NAT. Il firewall edge viene utilizzato per controllare l'ingresso e l'uscita del pubblico.
Fornite i seguenti dettagli nel ticket di assistenza IBM:
- Il tipo di indirizzo IP: NAT/IP fluttuanti o Prefisso IP
- L'ID VDC che include il bordo per aggiungere gli indirizzi IP contro
- Il nome dell'edge gateway o del provider gateway nel VDC per aggiungere ulteriori indirizzi IP
Assegnazione di indirizzi IP pubblici per regole NAT e per VPN
Ogni VCF as a Service VDC con un bordo pubblico è dotato di otto indirizzi IP pubblici. Per abilitare gli otto indirizzi da utilizzare nelle regole NAT edge o nelle regole VPN (Virtual Private Network), è necessario prima assegnare gli indirizzi pubblici.
È necessario completare questi passaggi come utente che dispone dell'autorizzazione Manage Manual IP Reservation. I ruoli predefiniti di IBM Manager, Administrator, Director Network Admin e Director Security Admin dispongono tutti di questa autorizzazione.
-
Nel portale dei locatari, fare clic su Networking nel pannello di navigazione sinistro.
-
Nella parte superiore del pannello destro, selezionare Spazi IP.
-
Fare clic sul nome dello spazio IP associato al bordo del VDC. Se si dispone di più VDC con un edge pubblico, è possibile identificare il nome dello spazio IP associato all'edge quando i primi tre caratteri del nome dello spazio IP corrispondono al data center in cui è stato creato il VDC. Ad esempio, t04 corrisponde a tokyo04.
Se necessario, è possibile utilizzare il valore V00 nel nome. In Configurazione, nella pagina dei dettagli del gateway edge, fare clic su Generale. Il nome del gateway provider ha un valore VRF000. Utilizzare il numero di tale valore, ad esempio vfr015. In questo esempio, utilizzare lo schema t04-xxx-V15-xxx per individuare la voce corretta dello spazio IP.
-
Nella sezione Allocazione della pagina dei dettagli degli spazi IP, selezionare IP flottanti.
-
Nella parte superiore della tabella, fare clic su RICHIESTA.
-
A ogni VDC vengono assegnati otto indirizzi IP pubblici. La finestra di dialogo della richiesta supporta un massimo di cinque IP per operazione di richiesta. Per assicurarsi che vengano assegnati tutti gli otto indirizzi IP, è necessario richiedere prima cinque IP, quindi ripetere la richiesta per i tre IP rimanenti.
Creare una rete Cloud Director per gli indirizzi dei prefissi IP
Con gli indirizzi di prefisso IP, alle macchine virtuali viene assegnato direttamente un indirizzo di prefisso IP pubblico e non utilizzano un NAT per l'accesso pubblico.
-
Assegnare gli indirizzi IP pubblici.
-
Nel portale dei locatari, fare clic su Networking nel pannello di navigazione sinistro.
-
Nella parte superiore del pannello destro, selezionare Spazi IP.
-
Fare clic sul nome dello spazio IP associato al bordo del VDC. Se si dispone di più VDC con un edge pubblico, è possibile identificare il nome dello spazio IP associato all'edge quando i primi tre caratteri del nome dello spazio IP corrispondono al data center in cui è stato creato il VDC. Ad esempio, t04 corrisponde a tokyo04.
Se necessario, è possibile utilizzare il valore V00 nel nome. In Configurazione, nella pagina dei dettagli del gateway edge, fare clic su Generale. Il nome del gateway provider ha un valore VRF000. Utilizzare il numero di tale valore, ad esempio vfr015. In questo esempio, utilizzare lo schema t04-xxx-V15-xxx per individuare la voce corretta dello spazio IP.
-
Nella sezione Allocazione della pagina dei dettagli degli spazi IP, selezionare Prefissi IP.
-
Nella parte superiore della tabella, fare clic su RICHIESTA.
-
-
Creare la rete.
- Nella VDC di destinazione fare clic sulla scheda Reti. Quindi, fare clic su NUOVO.
- Completare le impostazioni di rete per la nuova rete VDC dell'organizzazione.
- Per Ambito, selezionare Centro dati virtuale dell'organizzazione corrente e fare clic su AVANTI.
- Per il Tipo di rete, selezionare Routed e fare clic su NEXT.
- Per la connessione dei bordi, selezionare il singolo bordo e attivare l'instradamento distribuito. Fare clic su Avanti.
- Per Generale, selezionare il prefisso IP per Gateway CIDR e fare clic su AVANTI.
- Completare le restanti impostazioni di rete e fare clic su FINISH.
-
Creare le macchine virtuali per utilizzare l'indirizzo del prefisso IP. Per ulteriori informazioni, vedere Creazione di una macchina virtuale autonoma nel portale dei tenant di VMware Cloud Director.
- Quando si creano le macchine virtuali per utilizzare gli indirizzi con prefisso IP, è necessario utilizzare la rete con prefisso IP.
- Per la configurazione della scheda NIC primaria, impostare la modalità IP su Statica - Manuale e assegnare uno dei prefissi IP per l'indirizzo IP.
- Assicurarsi che la configurazione del firewall sia impostata per il traffico in entrata e in uscita.
Utilizzo di VPN per connettere i carichi di lavoro di VMware by Broadcom a IBM Cloud
È possibile utilizzare le VPN per collegare i carichi di lavoro di VMware by Broadcom attraverso la rete pubblica alle istanze single-tenant e multitenant di VCF as a Service.
Creazione di una VPN IPsec basata su route contro il gateway edge del VDC su Internet pubblico per VCF as a Service
Le fasi seguenti delineano un processo convalidato. Funzionano molte configurazioni diverse e, a seconda del lato remoto del tunnel IPsec, potrebbero essere necessarie configurazioni diverse.
Prima di iniziare, assicurarsi che tutte le regole di edge public egress non utilizzino 'Any
per il valore Internal IP. Le regole devono specificare un CIDR della rete VDC interna che supporta l'uscita SNAT.
- Nel portale degli inquilini, fare clic su Centri dati nel pannello di navigazione sinistro.
- Nella pagina dei dettagli del Virtual Data Center, fare clic sul VDC in cui si desidera creare una VPN IPsec basata su route.
- Dal pannello di navigazione sinistro della VDC, espandere Rete e fare clic su Bordi.
- Nella sezione Servizi, fare clic su IPSec VPN.
- Fare clic su NUOVO e completare i seguenti campi per il tunnel VPN IPsec.
-
Per le Impostazioni generali, completare le seguenti selezioni e fare clic su AVANTI.
- Per Nome e Descrizione, fornire dettagli che aiutino a descrivere la VPN.
- Per il Tipo, selezionare Basato su percorso.
- Per il Profilo di sicurezza, utilizzare il valore predefinito.
- Per lo Stato, attivare l'opzione.
- Per la registrazione, selezionare per disabilitare.
-
Per la Modalità di autenticazione peer, completare le seguenti selezioni e fare clic su AVANTI.
- Per la modalità di autenticazione, selezionare Pre-Shared Key. Questo valore deve essere utilizzato anche dall'altro lato del tunnel VPN.
- Per Pre-Shared Key, inserire un valore sicuro che venga utilizzato anche dall'altra parte del tunnel VPN.
-
Per la Configurazione dell'endpoint, completare le seguenti selezioni e fare clic su AVANTI.
- Per Endpoint locale, inserire un indirizzo IP pubblico disponibile e non utilizzato. L'indirizzo IP pubblico deve essere assegnato anche in IP Spaces Floating IPs.
- Per Endpoint remoto, inserire un indirizzo IP pubblico dal lato remoto della VPN. L'indirizzo sul lato remoto della VPN è chiamato indirizzo IP locale. Lasciare vuoto il campo ID remoto.
- Per le interfacce tunnel virtuali (VTI), impostare il valore su una rete '
/30
o '/31
negli intervalli link-local169.254.0.0/16). Non riutilizzare le stesse interfacce di tunnel. Si considerino i seguenti esempi.
Esempi di interfaccia tunnel Interfaccia locale Interfaccia remota 169.254.101.1/30 169.254.101.2/30 169.254.110.5/30 169.254.110.6/30 169.254.120.9/30 169.254.120.10/30 169.254.139.13/30 169.254.130.14/30 -
Verificare l'accuratezza delle impostazioni e fare clic su FINISH.
-
- Nella sezione Routing del pannello di navigazione sinistro, fare clic su Rotte statiche.
- Fare clic su NUOVO e completare i seguenti campi per la nuova rotta statica.
- Nella scheda Generale, completare le seguenti selezioni.
- Per Nome e Descrizione, fornire dettagli che aiutino a descrivere la rotta statica.
- Per Rete, inserire la rete remota con cui la VPN si connette. Ad esempio, "
192.168.47.0/24
. - Assicurarsi che il campo Rotta pubblicizzata sia disattivato.
- Nella scheda Prossimi nodi, completare le seguenti selezioni.
- Per Indirizzo IP, inserire l'indirizzo IP del tunnel remoto. Ad esempio, "
169.254.101.1
. - Per Admin Distance, inserire 1.
- Per Scope, lasciare il campo vuoto.
- Per Indirizzo IP, inserire l'indirizzo IP del tunnel remoto. Ad esempio, "
- Fare clic su Salva.
- Nella scheda Generale, completare le seguenti selezioni.
Creazione di una VPN IPsec basata su route contro il gateway del provider VDC su Internet pubblico per VCF as a Service
È possibile utilizzare il portale dei tenant di VMware Cloud Director per autoconfigurare un tunnel VPN IPsec basato su route su un gateway del provider. La configurazione crea automaticamente un tunnel VPN IPsec, un uplink dello spazio IP e i prefissi BGP, le mappe e i neighbor associati in VMware Cloud Director. VMware Cloud Director utilizza spazi IP per definire le reti pubblicizzate attraverso il tunnel VPN IPsec.
Le regole NAT di ingresso del gateway edge hanno la precedenza. Ad esempio, se il gateway edge ha una regola di uscita SNAT per inviare il traffico di destinazione a una posizione diversa dal tunnel IPsec, tale regola ha la precedenza e il traffico non utilizza il tunnel IPsec.
Le fasi seguenti delineano un processo convalidato. Funzionano molte configurazioni diverse e, a seconda del lato remoto del tunnel VPN IPsec, potrebbero essere necessarie configurazioni diverse.
Passo 1: creazione di uno spazio IP
- Nel portale dei locatari, fare clic su Networking nel pannello di navigazione sinistro.
- Nella parte superiore del pannello destro, selezionare Spazi IP.
- Fare clic su Nuovo nella parte superiore della tabella Spazi IP.
- Per Generale, completare le seguenti selezioni e fare clic su AVANTI.
- Per Nome e Descrizione, fornire dettagli che aiutino a descrivere la VPN.
- Per Topologia di rete, completare le seguenti selezioni e fare clic su AVANTI.
- Selezionare Route Advertisement Allowed per abilitare.
- Mantenere disattivate le Regole di autoconfigurazione predefinite.
- Per Scope, completare le sezioni seguenti e fare clic su NEXT.
- Per Ambito interno, inserire il CIDR della rete VDC locale da condividere sulla VPN. Ad esempio, "
192.168.19.0/24
. - Per External Scope, inserire il CIDR della rete remota da condividere attraverso la VPN. Ad esempio, "
192.168.47.0/24
.
- Per Ambito interno, inserire il CIDR della rete VDC locale da condividere sulla VPN. Ad esempio, "
- Per gli intervalli IP, completare le sezioni seguenti e fare clic su AVANTI. Si può lasciare questo campo vuoto per condividere l'intera rete identificata per l'ambito interno oppure si può specificare di condividere solo un intervallo nell'ambito interno.
- Per i prefissi IP, completare le sezioni seguenti e fare clic su AVANTI. Si può lasciare questo campo vuoto per condividere l'intera rete identificata per l'ambito interno oppure si può specificare di condividere l'intervallo IP nel prefisso identificato.
- Verificare l'accuratezza delle impostazioni e fare clic su FINISH.
- Per Generale, completare le seguenti selezioni e fare clic su AVANTI.
Passo 2: creazione del gateway provider IPsec VPN
- Nel portale dei locatari, fare clic su Networking nel pannello di navigazione sinistro.
- Nella parte superiore del pannello di destra, selezionare Gateway del provider.
- Fare clic sul gateway del provider associato a te VDC. Se si dispone di più VDC, completare i passaggi seguenti per identificare il gateway del provider corretto.
- Nel portale degli inquilini, fare clic su Centri dati nel pannello di navigazione sinistro.
- Nella pagina dei dettagli del Virtual Data Center, fare clic sul VDC in cui si desidera creare un gateway IPsec VPN del provider.
- Dal pannello di navigazione sinistro della VDC, espandere Rete e fare clic su Bordi.
- In Configurazione, nella pagina dei dettagli del gateway edge, fare clic su Generale. Individuare il nome del Gateway Provider.
- Nella sezione Servizi, selezionare IPSec VPN.
- Sopra la tabella IPSec VPN, fare clic su AUTOCONFIGURA.
- Per Nome, inserire una descrizione della VPN.
- Per lo Spazio IP, selezionare la voce Spazio IP creata in precedenza dal menu a discesa.
- Per Endpoint remoto, inserire un indirizzo IP pubblico dell'estremità remota della VPN.
- Per Endpoint locale, inserire un indirizzo IP pubblico disponibile e non utilizzato del VDC. L'indirizzo IP pubblico deve essere assegnato negli spazi IP Floating IP.
- Per Pre-Shared Key, inserire un valore sicuro.
- Per l'Interfaccia tunnel locale, si consiglia di utilizzare il valore predefinito. Entrambi i lati del tunnel VPN devono utilizzare valori diversi. Ad esempio, il lato locale utilizza il "
192.168.200.1/30
e il lato remoto il "192.168.200.2/30
. - Per Indirizzo VTI remoto, inserire l'indirizzo IP utilizzato dall'altra parte del tunnel VPN. Nella maggior parte dei casi, il valore predefinito è il migliore. Ad esempio, "
192.168.200.2
. - Per BGP Neighbor Remote AS Number, inserire un numero tipico di BGP come '
65001
. È necessario fornire numeri BGP locali e remoti diversi. - Per BGP Neighbor Local AS Number, inserire un numero tipico di BGP come '
65002
. È necessario fornire numeri BGP locali e remoti diversi.
- Verificare l'accuratezza delle impostazioni e fare clic su FINISH.
Creazione di una VPN IPsec basata su criteri contro il gateway edge del VDC su Internet pubblico per VCF as a Service
Le fasi seguenti delineano un processo convalidato. Funzionano molte configurazioni diverse e, a seconda del lato remoto del tunnel IPsec, potrebbero essere necessarie configurazioni diverse.
Prima di iniziare, assicurarsi che tutte le regole di edge public egress non utilizzino 'Any
per il valore Internal IP. Le regole devono specificare un CIDR della rete VDC interna che supporta l'uscita SNAT.
- Nel portale degli inquilini, fare clic su Centri dati nel pannello di navigazione sinistro.
- Nella pagina dei dettagli del Virtual Data Center, fare clic sul VDC in cui si desidera creare una VPN IPsec basata su criteri.
- Dal pannello di navigazione sinistro della VDC, espandere Rete e fare clic su Bordi.
- Nella sezione Servizi, fare clic su IPSec VPN.
- Fare clic su NUOVO e completare i seguenti campi per il tunnel VPN IPsec.
- Per le Impostazioni generali, completare le seguenti selezioni e fare clic su AVANTI.
- Per Nome e Descrizione, fornire dettagli che aiutino a descrivere la VPN.
- Per Tipo, selezionare Basato su criteri.
- Per il Profilo di sicurezza, utilizzare il valore predefinito.
- Per lo Stato, attivare l'opzione.
- Per la registrazione, selezionare per disabilitare.
- Per la Modalità di autenticazione peer, completare le seguenti selezioni e fare clic su AVANTI.
- Per la modalità di autenticazione, selezionare Pre-Shared Key. Questo valore deve essere utilizzato anche dall'altro lato del tunnel VPN.
- Per Pre-Shared Key, inserire un valore sicuro che venga utilizzato anche dall'altra parte del tunnel VPN.
- Per la Configurazione dell'endpoint, completare le seguenti selezioni e fare clic su AVANTI.
- Per Indirizzo IP endpoint locale, inserire un indirizzo IP pubblico disponibile e non utilizzato. L'indirizzo IP pubblico deve essere assegnato anche in IP Spaces Floating IPs.
- Per Reti endpoint locali, inserire il CIDR della rete VDC locale da condividere sulla VPN. Ad esempio, "
192.168.19.0/24
. - Per Indirizzo IP endpoint remoto, inserire un indirizzo IP pubblico dal lato remoto della VPN. L'indirizzo sul lato remoto della VPN è chiamato indirizzo IP locale.
- Per Reti endpoint remote, inserire il CIDR della rete VDC remota da condividere sulla VPN. Ad esempio, "
192.168.47.0/24
. - Per l'ID remoto, lasciare il campo vuoto.
- Verificare l'accuratezza delle impostazioni e fare clic su FINISH.
- Per le Impostazioni generali, completare le seguenti selezioni e fare clic su AVANTI.
Creazione di una VPN L2 contro l'edge gateway VDC su Internet pubblico per VCF as a Service
Le fasi seguenti delineano un processo convalidato. Funzionano molte configurazioni diverse e, a seconda del lato remoto della VPN L2, potrebbero essere necessarie configurazioni diverse.
Prima di iniziare, assicurarsi che tutte le regole di edge public egress non utilizzino 'Any
per il valore Internal IP. Le regole devono specificare un CIDR della rete VDC interna che supporta l'uscita SNAT.
Procedura per la configurazione del server VPN L2
- Nel portale degli inquilini, fare clic su Centri dati nel pannello di navigazione sinistro.
- Nella pagina dei dettagli del Virtual Data Center, fare clic sul VDC in cui si desidera creare una VPN L2.
- Dal pannello di navigazione sinistro della VDC, espandere Rete e fare clic su Bordi.
- Nella sezione Servizi, fare clic su L2 VPN.
- Fare clic su NUOVO e completare i seguenti campi per il tunnel VPN L2.
-
Per Scegliere la modalità di sessione, impostare la modalità di sessione su Server per la VPN L2. Nella procedura di configurazione del client VPN L2 si imposta l'altro lato su Client.
-
Per le Impostazioni generali, completare le seguenti selezioni e fare clic su AVANTI.
- Per Nome e Descrizione, fornire dettagli che aiutino a descrivere la VPN.
- Per Pre-Shared Key, inserire un valore sicuro.
- Per lo Stato, attivare l'opzione.
-
Per l'impostazione dell'endpoint, completare le seguenti selezioni.
- Per Endpoint locale, inserire un indirizzo IP pubblico disponibile e non utilizzato. L'indirizzo IP pubblico deve essere assegnato negli spazi IP Floating IP.
- Per il CIDR dell'interfaccia tunnel, impostare il valore su una rete '
/30
o '/31
negli intervalli link-local169.254.0.0/16). Non riutilizzare le stesse interfacce di tunnel. Si considerino i seguenti esempi:- 169.254.101.1/30
- 169.254.110.5/30
- 169.254.120.9/30
- 169.254.139.13/30
- Per IP remoto, inserire un indirizzo IP pubblico dal lato remoto della VPN. L'indirizzo sul lato remoto della VPN è chiamato indirizzo IP locale.
- Per la modalità di avvio, selezionare una delle tre opzioni (Initiator, Respond Only o On Demand) e fare clic su NEXT.
-
Per Org VDC Networks, selezionare la rete VDC che deve partecipare alla VPN L2 e fare clic su NEXT.
Entrambe le estremità della VPN L2 devono utilizzare gli stessi intervalli IP di rete con assegnazioni IP univoche a server e macchine virtuali su entrambe le estremità della VPN. Ad esempio, la VPN L2 collega un'estremità del tunnel con una rete che utilizza il "
192.168.50.10-192.168.50.100
all'altra estremità con una rete che utilizza il "192.168.50.101-192.168.50.190
. -
Verificare l'accuratezza delle impostazioni e fare clic su FINISH.
-
Procedura per la configurazione del client VPN L2
- Nel portale degli inquilini, fare clic su Centri dati nel pannello di navigazione sinistro.
- Nella pagina dei dettagli del Virtual Data Center, fare clic sul VDC in cui si vuole creare la VPN L2.
- Dal pannello di navigazione sinistro della VDC, espandere Rete e fare clic su Bordi.
- Nella sezione Servizi, fare clic su L2 VPN.
- Fare clic su NUOVO e completare i seguenti campi per il tunnel VPN L2.
-
Per Scegliere la modalità di sessione, impostare la modalità di sessione su Client per la VPN L2. L'altro lato è il Server.
-
Per le Impostazioni generali, completare le seguenti selezioni e fare clic su AVANTI.
- Per Nome e Descrizione, fornire dettagli che aiutino a descrivere la VPN.
- Per Peer Code, utilizzare il valore del lato server della VPN L2. Se il lato server è un VDC Director, completare i seguenti passaggi dal VDC che è il lato server della VPN L2.
- Dal pannello di navigazione sinistro della VDC, espandere Rete e fare clic su Bordi.
- Nella sezione Servizi, selezionare L2 VPN e selezionare il server L2 VPN dall'elenco.
- Sopra la tabella, fare clic su Copia codice peer.
- Incollare il valore del codice peer nel campo client 'L2 VPN 'Codice peer ingresso*.
- Per lo Stato, attivare l'opzione.
-
Per Endpoint Setup, completare le seguenti selezioni e fare clic su NEXT.
- Per Endpoint locale, inserire un indirizzo IP pubblico disponibile e non utilizzato. L'indirizzo IP è lo stesso utilizzato nella configurazione del server VPN L2 come IP remoto. L'indirizzo IP deve essere assegnato anche in IP Spaces Floating IPs.
- Per IP remoto, inserire un indirizzo IP pubblico dal lato remoto della VPN L2. L'indirizzo sul lato server della VPN è chiamato indirizzo IP locale.
-
Per le reti Org VDC, completare le seguenti selezioni e fare clic su NEXT.
- Selezionare la rete VDC da estendere sulla VPN L2.
Entrambe le estremità della VPN L2 devono utilizzare gli stessi intervalli IP di rete con assegnazioni IP univoche a server e macchine virtuali su entrambe le estremità della VPN. Ad esempio, la VPN L2 collega un'estremità del tunnel con una rete che utilizza il "
192.168.50.10-192.168.50.100
all'altra estremità con una rete che utilizza il "192.168.50.101-192.168.50.190
.- Per l'ID tunnel, utilizzare numeri crescenti per ogni tunnel VPN L2. Per il primo tunnel, utilizzare '
1
. Per il secondo tunnel, utilizzare "2
e così via.
-
Verificare l'accuratezza delle impostazioni e fare clic su FINISH.
-
Visualizzazione dei registri del firewall per il gateway perimetrale
È possibile utilizzare il portale per gli inquilini per visualizzare i registri del firewall per risolvere i problemi dell'ambiente del gateway perimetrale.
- Nel portale degli inquilini, fare clic su Centri dati nel pannello di navigazione sinistro.
- Nella pagina dei dettagli del Virtual Data Center, fare clic sul VDC in cui si desidera visualizzare i registri del firewall.
- Dal pannello di navigazione sinistro della VDC, espandere Rete e fare clic su Bordi.
- Nella sezione Servizi, fare clic su Firewall.
- Fare clic sulla scheda Log per visualizzare i dettagli del registro del firewall.
Utilizzo dei servizi nel portale dei tenant di VMware Cloud Director
Accesso a Operations Manager
Utilizzate Operations Manager per visualizzare le metriche a livello di VDC, vApp, e VM e per esportare i dati delle metriche. È possibile utilizzare questi dati per isolare l'utilizzo delle risorse e facilitare la comprensione degli addebiti di fatturazione.
Il servizio Operations Manager è abilitato per impostazione predefinita. Dal portale dei tenant di VMware Cloud Director, fare clic su Altro > Operations Manager per accedere all'interfaccia web di Operations Manager.
Per ulteriori informazioni sull'utilizzo di Operations Manager, vedere Esecuzione di operazioni multitenancy basate su VMware Cloud Director(VCD)in VMware Aria Operations.