Obiettivi

In questa esercitazione imparerete:

• Come creare reti VDC all'interno del VDC.
• Come creare macchine virtuali (VM) e collegarle alla rete VDC.
• Come configurare la traduzione degli indirizzi di rete (NAT) e le regole del firewall (FW) sul gateway edge VDC.

Il diagramma seguente presenta una panoramica della soluzione da implementare.

Questa esercitazione è suddivisa nelle seguenti fasi:

1. Accedere alla VMware Cloud Director Console dell'istanza e distribuire le reti VDC
2. Creare macchine virtuali
3. Creazione di set IP e gruppi statici
4. Creare regole NAT
5. Crea le regole del firewall
6. Connettersi alla macchina virtuale utilizzando la console web integrata
7. Connettersi alla macchina virtuale tramite Internet e convalidare la connettività

È disponibile anche un tutorial alternativo con Terraform.

Prima di iniziare

Questa esercitazione richiede:

• Un IBM Cloud conto fatturabile.
• Controlla le autorizzazioni utente. Assicurarsi che l'account utente disponga di autorizzazioni sufficienti per creare e gestire VMware Cloud Foundation as a Service risorse.
• Un'istanza single-tenant pre-provisionata VMware Cloud Foundation as a Service.
• Un VDC pre-provisionato sull'istanza VMware Cloud Foundation as a Service single-tenant.

Accedere all'istanza e distribuire la rete iniziale

Il primo passo consiste nell'accedere alla vostra VMware Cloud Foundation as a Service istanza single-tenant della VMware Cloud Director Console e distribuire le reti iniziali che saranno utilizzate per i test.

Accedere alla VMware Cloud Foundation as a Service console di Cloud Director dell'istanza single-tenant VMware:

1. Nella tabella VMware Cloud Foundation as a Service, fare clic su un nome di istanza VMware Cloud Foundation as a Service.
2. Nella scheda Riepilogo, esaminare le informazioni.
3. Se è la prima volta che si accede alla console di VMware Cloud Director per la regione VDC, è necessario impostare le credenziali di amministrazione per generare una password iniziale, complessa e casuale.
4. Nella pagina dei dettagli del VDC, fare clic su VMware Cloud Director Console per accedere alla console.
5. Usare il nome utente e la password di admin per accedere per la prima volta alla VMware Cloud Director Console.
6. Dopo che l'amministratore ha effettuato l'accesso a VMware Cloud Director Console, è possibile creare altri utenti che hanno ruoli che consentono loro di accedere a VMware Cloud Director Console.

Successivamente, si creeranno le seguenti reti VDC:

Le reti VDC instradate sono collegate al gateway edge, mentre una rete VDC isolata è una rete indipendente senza alcuna capacità di instradamento fornita dalla piattaforma. È possibile creare altre reti in base alle proprie esigenze seguendo la stessa logica e gli stessi passaggi.

Si consiglia di utilizzare gli indirizzi RFC 1918, ad esempio le sottoreti IP degli intervalli 10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16.

Per creare una rete VDC:

1. Nel menu di navigazione superiore, fare clic su Rete. Quindi fare clic su New per creare una nuova rete VDC. Verrà visualizzata la procedura guidata Nuova rete VDC dell'organizzazione.
2. Selezionare il Organization Virtual Data Center (predefinito) e quindi selezionare il VDC in cui si desidera distribuire la nuova rete. Nella maggior parte dei casi è presente un unico VDC. Fai clic su Next per continuare.
3. Selezionare il tipo di rete come Routed (predefinito) per le reti instradate net-application e net-db e selezionare Isolated per la rete isolata net-isolated-db. Fai clic su Next per continuare.
4. Per Connessione edge, selezionare l'edge che è stato fornito e lasciare tutte le altre impostazioni come predefinite. Le reti isolate non dispongono di una connessione gateway. Fai clic su Next per continuare.
5. Fornire un nome e il CIDR del gateway per la nuova rete. CIDR include l'indirizzo IP del gateway e la lunghezza della maschera di rete, ad esempio 192.168.100.1/24. Questo indirizzo IP può essere collegato alla rete interna o creato appositamente per IBM Cloud. In questo esempio, net-application è usato come nome e 192.168.100.1/24 è usato per il CIDR del gateway. Fai clic su Next per continuare.
6. Creare un pool IP statico per la nuova rete. Pur essendo opzionale, un pool IP statico consente di assegnare automaticamente un indirizzo IP alle macchine virtuali al momento del provisioning. Questo pool dovrebbe far parte della sottorete creata durante il passaggio precedente e per questo esempio 192.168.100.10 – 192.168.100.19 è usato per la rete instradata net-application. Seguire la stessa logica per le altre reti. Per aggiungere un pool IP statico, digitare l'intervallo nell'apposita casella e fare clic su Aggiungi. Fare clic su Next per continuare al termine.
7. Per il DNS utilizzare i server DNS pubblici IBM Cloud, che sono rispettivamente 161.26.0.10 e 161.26.0.11. Il suffisso DNS può essere lasciato vuoto. Fai clic su Next per continuare.
8. Per il Profilo segmento, lasciare il valore predefinito e fare clic su Avanti per continuare.
9. Rivedere i dati immessi e fare clic su Finish per completare la procedura guidata Nuova rete VDC dell'organizzazione e terminare la creazione della prima rete VDC.

Una volta completate queste operazioni, la nuova rete verrà distribuita e apparirà nella scheda Reti. L'operazione potrebbe richiedere alcuni secondi. Ripetete la procedura per le altre due reti, o per altre reti se necessarie alla vostra soluzione.

Creare le macchine virtuali e connettersi alla macchina virtuale utilizzando la console

In questo passaggio, creerete alcune macchine virtuali all'interno del vostro VDC e le collegherete alle reti VDC create nel passaggio precedente.

Verranno create le seguenti macchine virtuali:

Il primo server verrà utilizzato come server di salto, che può essere raggiunto facoltativamente attraverso la rete Internet pubblica. Gli altri due server sono esempi di server di applicazioni e database.

Per creare una macchina virtuale:

1. Nel menu di navigazione superiore fate clic su Applicazioni.
2. Fare clic su Macchine virtuali nelle schede di navigazione secondaria.
3. Fare clic su Nuova VM per avviare la finestra della nuova VM.
4. Selezionare il VDC di destinazione e fare clic su Next per continuare.
5. Viene visualizzata la procedura guidata per la creazione di una nuova macchina virtuale. I campi da compilare sono cinque. A seconda delle dimensioni del display, potrebbe essere necessario scorrere verso il basso per visualizzare tutti i campi.
   1. Nome- jump-server-1
   2. Nome del computer- Questo campo viene popolato automaticamente dal nome.
   3. Template- Per questo esempio viene utilizzato il template Windows 2022.
   4. Politica di archiviazione- I valori dipendono dal provisioning dell'istanza. In questo esempio, viene utilizzato 4 IOPS/GB (VDC Default).
   5. NIC- Selezionate la casella connessa e poi nel campo a discesa sotto la rete selezionate la rete creata nel primo passaggio. In questo esempio, viene utilizzato net-application. Nel menu a tendina sotto la modalità IP, selezionare Static-IP Pool.
6. Lasciare tutti gli altri valori ai valori predefiniti e fare clic su OK al termine.

Verrà creata la nuova macchina virtuale. Il provisioning della macchina virtuale può richiedere alcuni minuti per essere completato. Al termine, la macchina virtuale si accenderà automaticamente. Ripetete la procedura per le altre macchine virtuali, application-server-1 e db-server-1.

La VM db-server-1 richiede due NIC. Tuttavia, essendo il modello predefinito, ha una sola NIC. Quindi, è necessario aggiungerlo dopo il provisioning iniziale. Dopo la creazione della macchina virtuale, fare clic su Dettagli. Quindi selezionare NIC in Hardware e aggiungere la NIC 2nd alla macchina virtuale e collegarla al segmento di rete corretto. Per ulteriori informazioni, vedere Modifica delle proprietà hardware di una macchina virtuale.

Esaminare le altre opzioni hardware e vedere cosa è possibile modificare e come. Per ulteriori dettagli, consultare la sezione Modifica delle proprietà della macchina virtuale nella Guida ai tenant di VMware Cloud Director.

Creare set IP e gruppi statici

I set IP e i gruppi statici sono utilizzati come parte della configurazione delle regole del firewall. A differenza di altri firewall, per configurare i firewall per identificare le sorgenti e le destinazioni è necessario utilizzare gruppi statici e set IP; gli indirizzi IP non possono essere utilizzati direttamente nelle regole.

Prima di configurare i set IP, individuare gli indirizzi IP pubblici assegnati per il VDC. Utilizzare il portale IBM Cloud per ottenere gli indirizzi IP pubblici assegnati.

In questi esempi, public-ip-0 si riferisce al primo indirizzo IP fornito nell'elenco degli indirizzi IP disponibili e deve essere notato come una normale notazione di indirizzo IP aaa.bbb.ccc.ddd. Allo stesso modo, public-ip-1 si riferisce al secondo indirizzo IP e così via.

Verranno creati i seguenti set IP e gruppi statici:

Per creare un set IP:

1. Nel menu di navigazione superiore, fare clic su Rete.
2. Fare clic su Edge Gateways e selezionare l'Edge Gateway del VDC.
3. In Sicurezza, fare clic su Set IP.
4. Fare clic su Nuovo per creare un nuovo set IP.
5. Nella finestra del nuovo set IP, inserire un nome e l'intervallo IP per questo set IP. In questo esempio, ipset-dnat-to-jump viene utilizzato come nome e public-ip-0 (il primo IP pubblico effettivo ottenuto nel task precedente).
6. Fare clic su Aggiungi per aggiungere il set IP, quindi fare clic su Salva per completare la finestra.

Ripetete la procedura per gli altri set IP richiesti, o per altri ancora, se necessari alla vostra soluzione.

Per creare un gruppo statico:

1. Nel menu di navigazione superiore, fare clic su Rete.
2. Fare clic su Gateway edge e selezionare il gateway edge del VDC.
3. In Sicurezza, fare clic su Gruppi statici.
4. Fare clic su Nuovo per creare un nuovo gruppo statico. Immettere il nome e fare clic su Salva.
5. Selezionare il gruppo statico creato e fare clic su Gestione membri. Selezionare le reti net-application e net-db create nel passaggio precedente. Fai clic su Save.

Al termine di queste operazioni, verranno aggiunti i nuovi set IP e gruppi statici.

Creare regole NAT per consentire alle macchine virtuali di accedere a Internet

Il passo successivo consiste nel creare regole NAT per consentire alle macchine virtuali di accedere a Internet pubblica e a voi di accedere alle macchine virtuali su Internet pubblica.

In questa esercitazione verranno create le seguenti regole NAT.

Ricontrollare gli indirizzi IP delle macchine virtuali create utilizzando la VMware Cloud Director Console. È possibile utilizzare il pulsante Info durante la creazione della regola per verificare gli indirizzi IP esterni disponibili.

Quando si creano le proprie regole NAT, è necessario comprendere i flussi di traffico richiesti e progettare le regole NAT in base a tali flussi. Verificate che le regole non si sovrappongano causando effetti indesiderati.

Alcuni valori, come Priority, Firewall Match sono configurati in Impostazioni avanzate. Se un indirizzo ha più regole NAT, viene applicata la regola con la priorità più alta. Un valore più basso significa una maggiore precedenza per questa regola. Firewall Match determina il modo in cui il firewall abbina l'indirizzo durante il NATing. È possibile utilizzare Match Internal Address, Match External Address o Bypass.

In alcuni casi potrebbe essere necessario impedire la traduzione degli indirizzi di rete per un certo traffico quando è presente una regola DNAT o SNAT che corrisponde a una regola any. Una regola NO SNAT impedisce la traduzione dell'indirizzo IP interno dei pacchetti inviati da un VDC dell'organizzazione a una rete esterna o a un'altra rete VDC dell'organizzazione. Una regola NO DNAT impedisce la traduzione dell'indirizzo IP esterno dei pacchetti ricevuti da un VDC dell'organizzazione da una rete esterna o da un'altra rete VDC dell'organizzazione.

Per creare una regola NAT di destinazione (DNAT):

1. Nel menu di navigazione superiore, fare clic su Rete.
2. Fare clic su Edge Gateways e selezionare l'Edge Gateway del VDC.
3. Nella navigazione a sinistra, sotto Servizi, fare clic su NAT.
4. Fare clic su New per creare una nuova regola NAT.
5. Viene visualizzata la procedura guidata Aggiungi regola NAT. I campi da compilare sono quattro.
   1. Nome- In questo esempio, viene utilizzato dnat-to-jump.
   2. Tipo di interfaccia- Selezionare DNAT (NAT di destinazione) come tipo di interfaccia.
   3. IP esterno- Inserire uno degli indirizzi IP pubblici forniti da IBM Cloud alla propria istanza. Per visualizzare questi indirizzi IP, è possibile fare clic sul pulsante di informazione a destra del campo. In questo esempio, viene utilizzato public-ip-0 (il primo IP pubblico effettivo ottenuto nel passaggio precedente).
   4. IP interno- È l'indirizzo IP delle macchine virtuali create nel passaggio precedente. In questo esempio, viene utilizzato 192.168.100.10/32.
   5. Applicazione- Lasciare vuoto.
   6. Espandere Impostazioni avanzate e configurare i valori per Priority e Firewall Match.
6. Al termine, fare clic su Salva.

Verrà creata la nuova regola NAT. L'operazione potrebbe richiedere alcuni secondi. Ripetete la procedura per le altre regole NAT di destinazione, se necessarie nella vostra soluzione.

Per creare una regola NAT di origine (SNAT):

1. Nel menu di navigazione superiore, fare clic su Rete.
2. Fare clic su Edge Gateways e selezionare l'Edge Gateway del VDC.
3. Nella navigazione a sinistra, sotto Servizi, fare clic su NAT.
4. Fare clic su New per creare una nuova regola NAT.
5. Viene visualizzata la procedura guidata Aggiungi regola NAT. I campi da compilare sono quattro.
   1. Nome- In questo esempio, viene utilizzato snat-to-inet.
   2. Tipo di interfaccia- Selezionare SNAT (NAT sorgente) come tipo di interfaccia.
   3. IP esterno- Inserire uno degli indirizzi IP pubblici forniti da IBM Cloud alla propria istanza. Per visualizzare questi indirizzi IP, è possibile fare clic sul pulsante di informazione a destra del campo. In questo esempio, viene utilizzato public-ip-1 (il secondo IP pubblico effettivo ottenuto nel passaggio precedente).
   4. Internal IP- È l'intervallo CIDR della rete creata nel passaggio precedente. In questo esempio, viene utilizzato 192.168.100.0/24.
   5. Applicazione- Lasciare vuoto.
   6. Espandere Impostazioni avanzate e configurare i valori per Priority e Firewall Match.
6. Al termine, fare clic su Salva.

Verrà creata la nuova regola NAT. L'operazione potrebbe richiedere alcuni secondi. Ripetere la procedura per altre regole NAT di origine, se necessario nella soluzione.

Crea le regole del firewall

Il passo successivo è la creazione delle regole del firewall. Per impostazione predefinita, l'istanza VMware Cloud Foundation as a Service single-tenant è stata dotata di una regola firewall predefinita che interrompe tutto il traffico per garantire la sicurezza di base della rete. È necessario stabilire regole aggiuntive per consentire al traffico della rete creata in precedenza di accedere a Internet pubblica e per consentire l'accesso alle macchine virtuali da Internet pubblica.

Il default_rule è stato pre-provisionato da IBM Cloud. L'elenco è riportato qui sopra solo a scopo illustrativo.

Gli indirizzi IP utilizzati nelle regole del firewall devono corrispondere alle impostazioni delle regole NAT. In questo esempio sono state utilizzate due modalità diverse a scopo illustrativo.

In genere si sconsiglia l'uso di RDP su Internet pubblica. La regola sopra elencata è utilizzata solo a scopo illustrativo.

Per creare una regola del firewall:

1. Nel menu di navigazione superiore, fare clic su Rete.
2. Fare clic su Edge Gateways e selezionare l'Edge Gateway del VDC.
3. Nella navigazione a sinistra, sotto Servizi, fare clic su Firewall.
4. Fare clic su Modifica regole.
5. Fare clic su Nuovo in alto per creare una nuova regola firewall sopra il default_rule (drop any).
6. Verrà creata una nuova voce nell'elenco delle regole del firewall. Per completare la voce:
   1. Nome- In questo esempio, viene utilizzato dnat-to-jump.
   2. Applicazioni- Fare clic sull'icona della matita accanto a Applicazioni e selezionare RDP e ICMP ALL dall'elenco delle applicazioni. È possibile filtrare con un nome. Al termine, fare clic su Salva.
   3. Sorgente- Fare clic sull'icona della matita accanto a Sorgente e spostare il cursore accanto a Qualsiasi sorgente in verde (abilitato). Al termine, fare clic su Conserva.
   4. Destinazione- Fare clic sull'icona della matita accanto alla destinazione e selezionare Set IP ipset-dnat-to-jump (o Gruppo statico se è stato utilizzato). Al termine, fare clic su Conserva.
7. Esaminare i dati inseriti e fare clic su Salva al termine.

La nuova regola del firewall verrà creata. L'operazione potrebbe richiedere alcuni secondi. Ripetete la procedura per le altre regole del firewall, o per un numero maggiore se necessario nella vostra soluzione.

Connettersi alla macchina virtuale utilizzando la console web

Prima di effettuare il primo accesso alla macchina virtuale, è necessario ottenere la password di provisioning.

Per ottenere la password:

1. Fare clic su Dettagli sulla macchina virtuale.
2. Fate clic su Personalizzazioni del sistema operativo ospite.
3. Fai clic su Edit.
4. La password generata automaticamente durante il provisioning della macchina virtuale sarà elencata in Specifica password. Copiare questa password in uno spazio sicuro da utilizzare al primo accesso. Fare clic su Scarta quando la password è stata salvata.

Per collegarsi alla macchina virtuale utilizzando la console web:

1. Fare clic su Avvia console web per aprire una console locale della macchina virtuale.
2. Utilizzando la console web, accedere alla macchina virtuale utilizzando root come ID utente e la password acquisita nel passaggio precedente.
3. Dovreste essere in grado di eseguire il ping di risorse Internet come www.ibm.com, dimostrando che il collegamento in rete è completo e funzionante.

Connettersi alle macchine virtuali tramite Internet e convalidare la connettività

Il passo finale consiste nel connettersi alla macchina virtuale attraverso Internet per convalidare l'implementazione e la sua connettività di rete.

Per collegarsi alla macchina virtuale attraverso Internet:

1. Dovreste essere in grado di eseguire il ping dell'indirizzo IP pubblico public-ip-0 dal vostro portatile o dalla vostra workstation, dimostrando che il collegamento in rete è completo e funzionante.
2. Dovreste essere in grado di usare RDP per collegarvi al vostro Jump Server usando l'indirizzo IP pubblico public-ip-0 e il nome utente e la password raccolti nel passaggio precedente.
3. È quindi possibile disabilitare la regola FW dnat-to-jump creata nel passaggio precedente, modificando la regola e il suo Stato, spostando lo Stato su Disabilitato (grigio).

Materiale di riferimento

Per informazioni più dettagliate, consultare le seguenti VMware Cloud Director™ Tenant Portal Guides:

• Gestione delle reti di data center virtuali dell'organizzazione nel portale per i locatari di VMware Cloud Director
• Gestione dei gateway Edge NSX in VMware Cloud Director Tenant Portal
• Utilizzo delle macchine virtuali