Objetivos

Neste tutorial, você aprenderá:

• Como criar redes VDC dentro de seu VDC.
• Como criar máquinas virtuais (VMs) e anexá-las à sua rede VDC.
• Como configurar a tradução de endereços de rede (NAT) e as regras de firewall (FW) no gateway de borda do VDC.

O diagrama a seguir apresenta uma visão geral da solução a ser implementada.

Este tutorial está dividido nas seguintes etapas:

1. Faça login no Console do VMware Cloud Director da instância e implemente redes VDC
2. Criar VMs
3. Criar conjuntos de IPs e grupos estáticos
4. Criar regras NAT
5. Criar regras de firewall
6. Conecte-se à VM usando o console da Web integrado
7. Conecte-se à VM por meio da Internet e valide a conectividade

Também está disponível um tutorial alternativo com o Terraform.

Antes de Iniciar

Este tutorial requer:

• Uma IBM Cloud conta faturável.
• Verifique as permissões do usuário. Certifique-se de que sua conta de usuário tenha permissões suficientes para criar e gerenciar VMware Cloud Foundation as a Service recursos.
• Uma instância de locatário único VMware Cloud Foundation as a Service pré-provisionada.
• Um VDC pré-provisionado na VMware Cloud Foundation as a Service instância de locatário único.

Faça login na instância e implemente a rede inicial

A primeira etapa é fazer login no VMware Cloud Foundation as a Service Console do VMware Cloud Director da sua instância de locatário único e implantar as redes iniciais que serão usadas para teste.

Faça login no VMware Cloud Foundation as a Service console do VMware Cloud Director da instância de locatário único:

1. Na tabela VMware Cloud Foundation as a Service, clique em um nome de instância VMware Cloud Foundation as a Service.
2. Na guia Summary (Resumo ), revise as informações.
3. Se esta é a primeira vez que você acessa o console do VMware Cloud Director para a região do VDC, é necessário definir as credenciais de administrador para gerar uma senha inicial, complexa e aleatória.
4. Na página de detalhes do VDC, clique em VMware Cloud Director Console para acessar o console.
5. Use o nome de usuário e a senha de administrador para fazer login no Console do VMware Cloud Director pela primeira vez.
6. Depois que o administrador estiver conectado ao Console do VMware Cloud Director, você poderá criar usuários adicionais que tenham funções que lhes permitam acessar o Console do VMware Cloud Director.

Em seguida, você criará as seguintes redes VDC:

As redes VDC roteadas são conectadas ao gateway de borda, enquanto uma rede VDC isolada é uma rede autônoma sem nenhum recurso de roteamento fornecido pela plataforma. Você pode criar mais redes com base em suas necessidades seguindo a mesma lógica e as mesmas etapas.

A recomendação é usar endereços RFC 1918, por exemplo, sub-redes IP dos intervalos 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16.

Para criar uma rede VDC:

1. No menu de navegação superior, clique em Networking. Em seguida, clique em New para criar uma nova rede VDC. O assistente New Organization VDC Network será exibido.
2. Selecione o Organização Virtual Data Center (Padrão) e, em seguida, selecione o VDC no qual você deseja implantar a nova rede. Na maioria dos casos, haverá um único VDC. Clique em Avançar para continuar.
3. Selecione o tipo de rede como Roteada (padrão) para redes roteadas net-application e net-db e selecione Isolada para a rede isolada net-isolated-db. Clique em Avançar para continuar.
4. Para Edge Connection, selecione a borda que foi provisionada para você e deixe todas as outras configurações como padrão. As redes isoladas não têm uma conexão de gateway. Clique em Avançar para continuar.
5. Forneça um nome e o CIDR do gateway para a nova rede. O CIDR inclui o endereço IP do gateway e o comprimento da máscara de rede, por exemplo, 192.168.100.1/24. Esse endereço IP pode estar relacionado à sua rede interna ou ser criado especificamente para IBM Cloud. Neste exemplo, net-application é usado como o nome e 192.168.100.1/24 é usado para o CIDR do gateway. Clique em Avançar para continuar.
6. Crie um pool de IPs estáticos para sua nova rede. Embora seja opcional, um pool de IPs estáticos permite que as VMs recebam automaticamente um endereço IP no provisionamento. Esse pool deve fazer parte da sub-rede criada durante a etapa anterior e, neste exemplo, 192.168.100.10 – 192.168.100.19 é usado para a rede roteada net-application. Siga a mesma lógica para as outras redes. Para adicionar um pool de IPs estáticos, digite o intervalo na caixa fornecida e clique em Add. Clique em Next para continuar quando terminar.
7. Para DNS, use os IBM Cloud servidores DNS públicos, que são 161.26.0.10 e 161.26.0.11 respectivamente. O sufixo DNS pode ser deixado em branco. Clique em Avançar para continuar.
8. Para Segment Profile, deixe como padrão e clique em Next para continuar.
9. Revise sua entrada e clique em Finish para concluir o assistente New Organization VDC Network e terminar de criar sua primeira rede VDC.

Após a conclusão dessas tarefas, sua nova rede será implantada e aparecerá na guia redes. Isso pode levar alguns segundos para ser concluído. Repita o processo para as outras duas redes, ou mais, se necessário em sua solução.

Crie VMs e conecte-se à VM usando o console

Nesta etapa, você criará algumas VMs dentro do seu VDC e as anexará às redes do VDC que foram criadas na etapa anterior.

Você criará as seguintes VMs:

O primeiro servidor será usado como um servidor de salto, que você pode acessar opcionalmente por meio da Internet pública. Os outros dois servidores são exemplos de servidores de aplicativos e de banco de dados.

Para criar uma VM:

1. No menu de navegação superior, clique em Aplicativos.
2. Clique em Virtual Machines nas guias de subnavegação.
3. Clique em New VM para abrir a janela da nova VM.
4. Selecione o VDC de destino e clique em Next para continuar.
5. O assistente de nova VM será exibido. Há cinco campos que devem ser preenchidos. Observe que, dependendo do tamanho da tela, talvez seja necessário rolar a tela para baixo para ver todos os campos.
   1. Nome- jump-server-1
   2. Nome do computador- Esse campo é preenchido automaticamente a partir do nome.
   3. Templates- Para este exemplo, é usado o modelo Windows 2022.
   4. Política de armazenamento- Os valores aqui dependem do que foi provisionado na instância. Neste exemplo, 4 IOPS/GB é usado (padrão VDC).
   5. NICs- Marque a caixa para conectado e, no campo suspenso abaixo de rede, selecione a rede criada na primeira etapa. Neste exemplo, net-application é usado. No menu suspenso abaixo do modo IP, selecione Static-IP Pool.
6. Deixe todos os outros valores em seus padrões e clique em OK quando terminar.

A nova VM será criada. O provisionamento da VM pode levar vários minutos para ser concluído. Após a conclusão, a VM será ligada automaticamente. Repita o processo para as outras VMs, application-server-1 e db-server-1.

A VM db-server-1 requer duas NICs. No entanto, como esse é o modelo padrão, ele tem apenas uma placa de rede. Portanto, você precisa adicionar isso após o provisionamento inicial. Depois que a VM tiver sido criada, clique em Details (Detalhes ). Em seguida, selecione NICs em Hardware, e você poderá adicionar a NIC 2nd à VM e anexá-la ao segmento de rede correto. Para obter mais informações, consulte Alterar as propriedades de hardware de uma máquina virtual.

Analise as outras opções de hardware e veja o que você pode alterar e como. Consulte a seção Editar propriedades da máquina virtual no VMware Cloud Director Tenant Guide para obter mais detalhes.

Criar conjuntos de IPs e grupos estáticos

Os conjuntos de IP e os grupos estáticos são usados como parte da configuração das regras do firewall. Ao contrário de alguns outros firewalls, você deve usar Static Groups e IP Sets para configurar os firewalls para identificar origens e destinos; os endereços IP não podem ser usados diretamente nas regras.

Antes de configurar os conjuntos de IP, descubra os endereços IP públicos atribuídos ao seu VDC. Use o portal IBM Cloud para obter os endereços IP públicos alocados.

Nesses exemplos, public-ip-0 refere-se ao primeiro endereço IP fornecido na lista de endereços IP disponíveis e deve ser observado como uma notação normal de endereço IP aaa.bbb.ccc.ddd. Da mesma forma, public-ip-1 refere-se ao segundo endereço IP e assim por diante.

Você criará os seguintes conjuntos de IPs e grupos estáticos:

Para criar um conjunto de IPs:

1. No menu de navegação superior, clique em Networking.
2. Clique em Edge Gateways e selecione o Edge Gateway do seu VDC.
3. Em Security, clique em IP Sets.
4. Clique em New (Novo ) para criar um novo conjunto de IPs.
5. Na janela novo conjunto de IPs, digite um nome e o intervalo de IPs para esse conjunto de IPs. Neste exemplo, ipset-dnat-to-jump é usado como o nome e public-ip-0 (o primeiro IP público real obtido na tarefa anterior) é usado.
6. Clique em Add para adicionar o conjunto de IPs e, em seguida, clique em Save para concluir a janela.

Repita o processo para os outros conjuntos de IPs necessários, ou mais, se necessário em sua solução.

Para criar um grupo estático:

1. No menu de navegação superior, clique em Networking.
2. Clique em Edge Gateways e selecione o gateway de borda do seu VDC.
3. Em Segurança, clique em Grupos estáticos.
4. Clique em New (Novo ) para criar um novo Static Group. Digite o nome e clique em Save (Salvar ).
5. Selecione o Static Group criado e clique em Manage Members. Selecione as redes net-application e net-db criadas na etapa anterior. Clique em Salvar.

Após a conclusão dessas tarefas, os novos conjuntos de IPs e grupos estáticos serão adicionados.

Crie regras de NAT para permitir que as VMs acessem a Internet

A próxima etapa é criar regras NAT para permitir que suas VMs acessem a Internet pública e que você acesse as VMs pela Internet pública.

Você criará as seguintes regras NAT neste tutorial.

Verifique novamente os endereços IP das VMs que você criou usando o console do VMware Cloud Director. Você pode usar o botão de informações durante a criação da regra para verificar os endereços IP externos disponíveis.

Ao criar suas próprias regras de NAT, entenda seus fluxos de tráfego necessários e projete suas regras de NAT de acordo com isso. Verifique se suas regras não se sobrepõem para causar efeitos indesejados.

Alguns valores, como Priority, Firewall Match, são configurados em Advanced Settings. Caso um endereço tenha várias regras de NAT, será aplicada a regra que tiver a prioridade mais alta. Um valor menor significa uma precedência maior para essa regra. Firewall Match determina como o firewall corresponde ao endereço durante a NATing. Você pode usar Match Internal Address, Match External Address ou Bypass.

Em alguns casos, talvez você precise impedir a conversão de endereços de rede para algum tráfego quando uma regra DNAT ou SNAT estiver em vigor para corresponder a uma regra any. Uma regra NO SNAT impede a tradução do endereço IP interno de pacotes enviados de um VDC da organização para uma rede externa ou para a rede de outro VDC da organização. Uma regra NO DNAT impede a tradução do endereço IP externo de pacotes recebidos por um VDC da organização de uma rede externa ou de outra rede de VDC da organização.

Para criar uma regra de NAT de destino (DNAT):

1. No menu de navegação superior, clique em Networking.
2. Clique em Edge Gateways e selecione o Edge Gateway do seu VDC.
3. Na navegação à esquerda, em Serviços, clique em NAT.
4. Clique em New para criar uma nova regra NAT.
5. O assistente Add NAT Rule será exibido. Há quatro campos que devem ser preenchidos.
   1. Nome- Neste exemplo, dnat-to-jump é usado.
   2. Tipo de interface- Selecione DNAT (NAT de destino) como o tipo de interface.
   3. IP externo- Insira um dos endereços IP públicos fornecidos por IBM Cloud à sua instância. Você pode clicar no botão de informações à direita do campo para ver esses endereços IP. Neste exemplo, public-ip-0 (o primeiro IP público real obtido na etapa anterior) é usado.
   4. IP interno- Este é o endereço IP das VMs que você criou na etapa anterior. Neste exemplo, 192.168.100.10/32 é usado.
   5. Aplicativo- Deixe em branco.
   6. Expanda Advanced Settings e configure valores para Priority e Firewall Match.
6. Clique em Salvar quando terminar.

A nova regra NAT será criada. Isso pode levar alguns segundos para ser concluído. Repita o processo para outras regras NAT de destino, se necessário em sua solução.

Para criar uma regra de NAT de origem (SNAT):

1. No menu de navegação superior, clique em Networking.
2. Clique em Edge Gateways e selecione o Edge Gateway do seu VDC.
3. Na navegação à esquerda, em Serviços, clique em NAT.
4. Clique em New para criar uma nova regra NAT.
5. O assistente Add NAT Rule será exibido. Há quatro campos que devem ser preenchidos.
   1. Nome- Neste exemplo, snat-to-inet é usado.
   2. Tipo de interface- Selecione SNAT (source NAT) como o tipo de interface.
   3. IP externo- Insira um dos endereços IP públicos fornecidos por IBM Cloud à sua instância. Você pode clicar no botão de informações à direita do campo para ver esses endereços IP. Neste exemplo, public-ip-1 (o segundo IP público real obtido na etapa anterior) é usado.
   4. IP interno- Esse é o intervalo CIDR da rede que você criou na etapa anterior. Neste exemplo, 192.168.100.0/24 é usado.
   5. Aplicativo- Deixe em branco.
   6. Expanda Advanced Settings e configure valores para Priority e Firewall Match.
6. Clique em Salvar quando terminar.

A nova regra NAT será criada. Isso pode levar alguns segundos para ser concluído. Repita o processo para outras regras NAT de origem, se necessário em sua solução.

Criar regras de firewall

A próxima etapa é criar regras de firewall. Por padrão, a instância de VMware Cloud Foundation as a Service de locatário único foi provisionada com uma regra de firewall padrão que descartará todo o tráfego para garantir a segurança básica da rede. Regras adicionais devem ser implementadas para permitir que o tráfego da rede criada anteriormente acesse a Internet pública e para que você acesse as VMs a partir da Internet pública.

O default_rule foi pré-provisionado por IBM Cloud. Ele está listado acima apenas para fins ilustrativos.

Os endereços IP usados nas regras de firewall devem corresponder às configurações das regras de NAT. Neste exemplo, duas formas diferentes foram usadas para fins ilustrativos.

Em geral, não é aconselhável usar o RDP na Internet pública. A regra listada acima é usada apenas para fins ilustrativos.

Para criar uma regra de firewall:

1. No menu de navegação superior, clique em Networking.
2. Clique em Edge Gateways e selecione o Edge Gateway do seu VDC.
3. Na navegação à esquerda, em Serviços, clique em Firewall.
4. Clique em Editar regras.
5. Clique em New em Top para criar uma nova regra de firewall acima do default_rule (solte qualquer).
6. Será criada uma nova entrada na lista de regras do firewall. Para completar a entrada:
   1. Nome- Neste exemplo, dnat-to-jump é usado.
   2. Aplicativo- Clique no ícone de lápis ao lado de Aplicativos e selecione RDP e ICMP ALL na lista de aplicativos. Você pode filtrar com um nome. Clique em Salvar quando terminar.
   3. Fonte- Clique no ícone de lápis ao lado da fonte e alterne o controle deslizante ao lado de Qualquer fonte para verde (ativado). Clique em Keep quando terminar.
   4. Destino- Clique no ícone de lápis ao lado do destino e selecione Conjunto de IPs ipset-dnat-to-jump (ou Grupo estático, se tiver sido usado). Clique em Keep quando terminar.
7. Revise as entradas e clique em Salvar quando terminar.

A nova regra de firewall será criada. Isso pode levar alguns segundos para ser concluído. Repita o processo para as outras regras de firewall, ou mais, se necessário em sua solução.

Conecte-se à VM usando o console da Web

Antes de fazer login na VM pela primeira vez, você precisará obter a senha provisionada.

Para obter a senha:

1. Clique em Details na VM.
2. Clique em Personalizações do sistema operacional para convidados.
3. Clique em Editar.
4. A senha gerada automaticamente durante o provisionamento da VM será listada em Specify Password. Copie essa senha em um local seguro para ser usada no login inicial. Clique em Discard quando essa senha tiver sido salva.

Para se conectar à VM usando o console da Web:

1. Clique em Launch Web Console para abrir um console local na VM.
2. Usando o console da Web, faça login na VM usando root como ID de usuário e a senha capturada na etapa anterior.
3. Em seguida, você poderá fazer ping de recursos da Internet, como www.ibm.com, mostrando que a rede está completa e funcionando.

Conecte-se às VMs por meio da Internet e valide a conectividade

A etapa final é conectar-se à VM por meio da Internet para validar a implementação e sua conectividade de rede.

Para se conectar à VM pela Internet:

1. Você deve conseguir fazer ping no endereço IP público public-ip-0 do seu laptop ou estação de trabalho, mostrando que a rede está completa e funcionando.
2. Você deve ser capaz de usar o RDP para se conectar ao Jump Server usando o endereço IP público public-ip-0 e o nome de usuário e a senha coletados na etapa anterior.
3. Em seguida, você pode desativar a regra FW dnat-to-jump criada na etapa anterior editando a regra e seu estado, deslizando o estado para Disabled (cinza).

Material de referência

Consulte os seguintes VMware Guias do Cloud Director™ Tenant Portal para obter informações mais detalhadas:

• Gerenciamento de redes de data center virtual da organização no VMware Cloud Director Tenant Portal
• Gerenciando NSX Edge Gateways em VMware Cloud Director Tenant Portal
• Trabalhando com máquinas virtuais