目标

在本教程中，您将学习：

• 如何在 VDC 内创建 VDC 网络。
• 如何创建虚拟机 (VM) 并将其连接到 VDC 网络。
• 如何在 VDC 边缘网关上配置网络地址转换 (NAT) 和防火墙 (FW) 规则。

下图为将要部署的解决方案概览。

{: caption="*

本教程分为以下几个步骤：

1. 登录实例的 VMware Cloud Director 控制台并部署 VDC 网络
2. 创建虚拟机
3. 创建 IP 设置和静态组
4. 创建 NAT 规则
5. 创建防火墙规则
6. 使用集成的网络控制台连接到虚拟机
7. 通过互联网连接到虚拟机并验证连接性

还提供了使用 Terraform 的 替代教程。

准备工作

本教程需要

• 一个 IBM Cloud 计费账户。
• 检查用户许可权。 确保您的用户帐户具有足够的权限 来创建和管理 VMware Cloud Foundation as a Service 资源。
• 预配置的 VMware Cloud Foundation as a Service 单租户实例。
• 在 VMware Cloud Foundation as a Service 单租户实例上预先配置的 VDC。

登录实例并部署初始网络

第一步是登录 VMware Cloud Foundation as a Service 单租户实例的 VMware Cloud Director 控制台，并部署将用于测试的初始网络。

登录 VMware Cloud Foundation as a Service 单租户实例的 VMware Cloud Director 控制台：

1. 在 VMware Cloud Foundation as a Service 表中，单击 VMware Cloud Foundation as a Service 实例名称。
2. 在 “摘要”选项卡中查看信息。
3. 如果这是您第一次访问 VDC 区域的 VMware Cloud Director 控制台，则必须设置管理员凭据以生成初始、复杂和随机的密码。
4. 在 VDC 详细信息页面上，单击 VMware Cloud Director Console 访问控制台。
5. 使用 admin 用户名和密码首次登录 VMware Cloud Director 控制台。
6. 管理员登录 VMware Cloud Director 控制台后，您可以创建具有允许其访问 VMware Cloud Director 控制台的角色的额外用户。

接下来，您将创建以下 VDC 网络：

路由 VDC 网络连接到边缘网关，而隔离 VDC 网络是一个独立的网络，不具备任何平台提供的路由功能。 您可以根据自己的需要，按照相同的逻辑和步骤创建更多网络。

建议使用 RFC 1918 地址，例如 10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16 范围内的 IP 子网。

创建 VDC 网络：

1. 在顶部菜单导航中，单击 Networking。 然后单击 New 创建新的 VDC 网络。 新组织 VDC 网络向导将出现。
2. 选择 组织虚拟数据中心（默认），然后选择要部署新网络的 VDC。 在大多数情况下，只有一个 VDC。 单击下一步以继续。
3. 为路由网络 net-application 和 net-db 选择网络类型为 Routed （默认），为隔离网络 net-isolated-db 选择 Isolated。 单击下一步以继续。
4. 对于 边缘连接，选择为您配置的边缘，并将所有其他设置保留为默认。 隔离网络没有网关连接。 单击下一步以继续。
5. 提供新网络的名称和网关 CIDR。 CIDR 包括网关的 IP 地址和网络掩码长度，例如 192.168.100.1/24。 此 IP 地址既可以与内部网络相关，也可以专门为 IBM Cloud 创建。 在本例中，net-application 用作名称，192.168.100.1/24 用作网关 CIDR。 单击下一步以继续。
6. 为新网络创建静态 IP 池。 静态 IP 池是可选的，它允许虚拟机在调配时自动分配 IP 地址。 该池应是上一步创建的子网的一部分，在本例中，192.168.100.10 – 192.168.100.19 用于 net-application 路由网络。 其他网络也遵循同样的逻辑。 要添加静态 IP 池，请在提供的框中键入范围，然后单击 添加。 完成后单击 Next 继续。
7. 对于 DNS，请使用 IBM Cloud 公共 DNS 服务器，它们分别是 161.26.0.10 和 161.26.0.11。 DNS 后缀可以留空。 单击下一步以继续。
8. 对于分段配置文件，保留为默认值，然后单击 Next 继续。
9. 查看您的输入，然后单击 Finish 完成新建组织 VDC 网络向导，并完成创建第一个 VDC 网络。

完成这些任务后，您的新网络将被部署并显示在网络选项卡中。 这可能需要几秒钟才能完成。 对其他两个网络重复该过程，如果解决方案需要，也可以对更多网络重复该过程。

创建虚拟机并使用控制台连接虚拟机

在这一步中，您将在 VDC 内创建几个虚拟机，并将它们连接到上一步创建的 VDC 网络。

您将创建以下虚拟机：

第一台服务器将用作跳转服务器，您可以选择通过公共互联网访问该服务器。 另外两个服务器分别是应用程序服务器和数据库服务器。

创建虚拟机：

1. 在顶部菜单导航中单击 应用程序。
2. 单击子导航选项卡中的 Virtual Machines。
3. 单击 New VM 启动新虚拟机窗口。
4. 选择目标 VDC，然后单击 Next 继续。
5. 新虚拟机向导将出现。 有五个字段必须填写。 请注意，根据显示屏的大小，您可能需要向下滚动才能看到所有字段。
   1. 名称- jump-server-1
   2. 计算机名称- 该字段由名称自动填充。
   3. Templates- 本例使用 Windows 2022 模板。
   4. 存储策略- 这里的值取决于实例中的配置。 本例中使用了 4 IOPS/GB（VDC 默认值）。
   5. 网卡- 选中已连接复选框，然后在网络下方的下拉框中选择第一步中创建的网络。 本例中使用的是 net-application。 在 IP 模式下方的下拉菜单中，选择 Static-IP Pool。
6. 将所有其他值保留为默认值，完成后单击 OK。

新虚拟机将被创建。 虚拟机的调配可能需要几分钟才能完成。 完成后，虚拟机将自动开启。 对其他虚拟机 application-server-1 和 db-server-1 重复此过程。

VM db-server-1 需要两个网卡。 然而，由于这是默认模板，因此只有一个网卡。 所以，你需要添加初始配置后的内容。 虚拟机创建后，点击 “详细信息”。 然后在硬件下选择网卡，将 2nd 网卡添加到虚拟机中，并将其连接到正确的网段。 更多信息，请参阅 更改虚拟机的硬件属性。

查看其他硬件选项，看看可以更改什么以及如何更改。 有关详细信息，请参阅 VMware 云总监租户指南中的“编辑虚拟机属性”部分。

创建 IP 设置和静态组

作为防火墙规则配置的一部分，需要使用 IP 组和静态组。 与其他一些防火墙不同，您必须使用静态组和 IP 集来配置防火墙，以识别来源和目的地，而不能在规则中直接使用 IP 地址。

在配置 IP 设置之前，请找出为 VDC 分配的公共 IP 地址。 使用 IBM Cloud 门户 获取分配的公共 IP 地址。

在这些示例中，public-ip-0 指的是可用 IP 地址列表中提供的第一个 IP 地址，应将其作为正常的 IP 地址符号 aaa.bbb.ccc.ddd 注意。 同样，public-ip-1 指第二个 IP 地址，以此类推。

您将创建以下 IP 设置和静态组：

创建IP集：

1. 在顶部菜单导航中，单击 Networking。
2. 单击 Edge Gateways，然后选择 VDC 的边缘网关。
3. 在 Security 下，单击 IP 设置。
4. 点击 “新建” 创建新的IP集。
5. 在新 IP 集窗口中，输入该 IP 集的名称和 IP 范围。 在本例中，使用 ipset-dnat-to-jump 作为名称，并使用 public-ip-0（上一任务中获得的第一个实际公共 IP）。
6. 单击 Add 添加 IP 集，然后单击 Save 完成窗口。

对其他所需的 IP 设置重复此过程，如果解决方案需要，也可对更多 IP 设置重复此过程。

创建静态组：

1. 在顶部菜单导航中，单击 Networking。
2. 单击 Edge Gateways，然后选择 VDC 的边缘网关。
3. 在 Security 下，单击 Static Groups。
4. 单击 New 创建新的静态组。 输入名称，然后单击 保存。
5. 选择已创建的静态组，然后单击 管理成员。 选择上一步创建的 net-application 和 net-db 网络。 单击保存。

完成这些任务后，将添加新的 IP 设置和静态组。

创建 NAT 规则，允许虚拟机访问互联网

下一步是创建 NAT 规则，允许虚拟机访问公共互联网，并允许您通过公共互联网访问虚拟机。

在本教程中，您将创建以下 NAT 规则。

仔细检查使用 VMware Cloud Director 控制台创建的虚拟机的 IP 地址。 您可以在创建规则时使用信息按钮检查可用的外部 IP 地址。

在创建自己的 NAT 规则时，要了解所需的流量流向，并设计与之相匹配的 NAT 规则。 检查您的规则是否重叠，以免造成不必要的影响。

某些值，如 Priority、Firewall Match 是在高级设置下配置的。 如果一个地址有多个 NAT 规则，则应用优先级最高的规则。 数值越小，表示该规则的优先级越高。 防火墙匹配（Firewall Match）决定防火墙在 NAT 期间如何匹配地址。 您可以使用 Match Internal Address、Match External Address 或 Bypass。

在某些情况下，当 DNAT 或 SNAT 规则与 any 规则匹配时，您可能需要阻止某些流量的网络地址转换。 NO SNAT 规则可防止翻译从组织 VDC 发送到外部网络或其他组织 VDC 网络的数据包的内部 IP 地址。 NO DNAT 规则可防止翻译组织 VDC 从外部网络或其他组织 VDC 网络接收的数据包的外部 IP 地址。

要创建目的地 NAT (DNAT) 规则：

1. 在顶部菜单导航中，单击 Networking。
2. 单击 Edge Gateways，然后选择 VDC 的边缘网关。
3. 在服务下的左侧导航中，单击 NAT。
4. 单击 New 创建新的 NAT 规则。
5. 添加 NAT 规则向导将出现。 有四个字段必须填写。
   1. Name- 本例中使用 dnat-to-jump。
   2. 接口类型- 选择 DNAT （目标 NAT）作为接口类型。
   3. External IP- 输入 IBM Cloud 为实例提供的公共 IP 地址之一。 您可以点击字段右侧的信息按钮查看这些 IP 地址。 在本例中，使用的是 public-ip-0（上一步中获得的第一个实际公共 IP）。
   4. 内部 IP- 这是您在上一步中创建的虚拟机的 IP 地址。 本例中使用的是 192.168.100.10/32。
   5. Application- 留空。
   6. 展开 高级设置 并配置 Priority 和 Firewall Match 的值。
6. 完成后点击保存。

新的 NAT 规则将被创建。 这可能需要几秒钟才能完成。 如果解决方案需要，对其他目标 NAT 规则重复此过程。

要创建源 NAT (SNAT) 规则：

1. 在顶部菜单导航中，单击 Networking。
2. 单击 Edge Gateways，然后选择 VDC 的边缘网关。
3. 在服务下的左侧导航中，单击 NAT。
4. 单击 New 创建新的 NAT 规则。
5. 添加 NAT 规则向导将出现。 有四个字段必须填写。
   1. Name- 本例中使用 snat-to-inet。
   2. 接口类型- 选择 SNAT （源 NAT）作为接口类型。
   3. External IP- 输入 IBM Cloud 为实例提供的公共 IP 地址之一。 您可以点击字段右侧的信息按钮查看这些 IP 地址。 在本例中，使用的是 public-ip-1（上一步中获得的第二个实际公共 IP）。
   4. Internal IP- 这是您在上一步中创建的网络的 CIDR 范围。 本例中使用的是 192.168.100.0/24。
   5. Application- 留空。
   6. 展开 高级设置 并配置 Priority 和 Firewall Match 的值。
6. 完成后点击保存。

新的 NAT 规则将被创建。 这可能需要几秒钟才能完成。 如果解决方案需要，对其他源 NAT 规则重复此过程。

创建防火墙规则

下一步是创建防火墙规则。 默认情况下，VMware Cloud Foundation as a Service 单租户实例已配置了一个默认防火墙规则，该规则将丢弃所有流量，以确保基本网络安全。 必须制定其他规则，以允许来自先前创建的网络的流量访问公共互联网，并允许您从公共互联网访问虚拟机。

default_rule 已由 IBM Cloud 预先提供。 以上所列只是为了说明问题。

防火墙规则中使用的 IP 地址必须与 NAT 规则中的设置相匹配。 在本例中，为了便于说明，使用了两种不同的方法。

一般不建议在公共互联网上使用 RDP。 上述规则仅用于说明目的。

创建防火墙规则：

1. 在顶部菜单导航中，单击 Networking。
2. 单击 Edge Gateways，然后选择 VDC 的边缘网关。
3. 在服务下的左侧导航中，单击防火墙。
4. 单击 编辑规则。
5. 单击顶部的新建，在 default_rule（任意下拉）上方创建新的防火墙规则。
6. 防火墙规则列表中将创建一个新条目。 完成输入：
   1. Name- 本例中使用 dnat-to-jump。
   2. Application- 单击应用程序旁边的铅笔图标，然后从应用程序列表中选择 RDP 和 ICMP ALL。 您可以使用名称进行筛选。 完成后点击保存。
   3. 源- 单击源旁边的铅笔图标，并将“任何源”旁边的滑块切换为绿色（已启用）。 完成后点击 “保存”。
   4. 目的地- 单击目的地旁边的铅笔图标，然后选择 IP 设置 ipset-dnat-to-jump（或静态组，如果已使用）。 完成后点击 “保存”。
7. 查看输入内容，完成后单击 保存。

新的防火墙规则将被创建。 这可能需要几秒钟才能完成。 对其他防火墙规则重复该过程，如果解决方案需要，也可重复更多过程。

使用网络控制台连接虚拟机

在首次登录虚拟机之前，您需要获取配置密码。

获取密码：

1. 单击虚拟机上的 Details。
2. 单击 Guest OS Customizations。
3. 单击编辑。
4. 虚拟机配置过程中自动生成的密码将列在 Specify Password 下。 将此密码复制到安全空间，以便首次登录时使用。 保存密码后，单击 Discard。

使用网络控制台连接虚拟机：

1. 单击 Launch Web Console 打开虚拟机的本地控制台。
2. 使用网络控制台，使用 root 作为用户 ID 和上一步获取的密码登录虚拟机。
3. 然后，您就可以 ping 互联网资源（如 www.ibm.com），表明联网已完成并开始工作。

通过互联网连接虚拟机并验证连接性

最后一步是通过互联网连接虚拟机，以验证部署及其网络连接。

通过互联网连接虚拟机：

1. 您应该能从笔记本电脑或工作站 ping 到公共 IP 地址 public-ip-0，这表明联网已完成并开始工作。
2. 使用公共 IP 地址 public-ip-0 以及在上一步中收集的用户名和密码，您应该可以使用 RDP 连接到 Jump 服务器。
3. 然后，您可以通过将状态滑动到禁用（灰色）来编辑规则及其状态，从而禁用上一步创建的 FW 规则 dnat-to-jump。

参考资料

有关详细信息，请查看以下 VMware Cloud Director™ 租户门户指南：

• 管理组织 VMware 云中的虚拟数据中心网络 总监 租户门户
• 在 VMware 云总监租户门户中管理NSX边缘网关
• 使用虚拟机