營運 VMware Cloud Director
VMware Cloud Director 租戶入口網站概觀
VMware Cloud Director™ 租戶入口網站用於管理您的組織,以及在 vApps 內建立和設定虛擬機器 (VM)、vApps, 和網路。
您也可以在 VMware Cloud Director 環境中,設定 VMware NSX® for vSphere® 所提供的進階網路功能。 透過租用戶入口網站,您還可以建立和管理目錄、vApps,和虛擬資料中心 (VDC) 範本。
角色、許可權和使用者
若要存取 VMware Cloud Director,請使用 IBM Cloud 認證作為預設鑑別及授權機制。 如需與每一個角色相關聯的 IBM Cloud Identity and Access Management (IAM) Director 租戶入口網站角色及授權清單,請參閱 管理 VCF 即服務。 組織管理者可以建立由租戶入口網站鑑別的本端使用者,而不是 IBM Cloud IBM Cloud,也可以建立可針對本端使用者指派的其他自訂角色。
有關角色和權限的詳細資訊,請參閱 VMware Cloud Director 租戶入口角色和權限。
修改電子郵件設定
「組織管理者」必須修改組織 SMTP 伺服器的電子郵件通知設定。
如需修改 SMTP 伺服器設定的詳細資訊,請參閱 在 VMware Cloud Director 中修改電子郵件設定。
型錄
型錄是組織中 vApp 範本和媒體檔案的容器。 組織管理者和型錄建立者可以在組織中建立型錄。 目錄內容可與 VMware Cloud Foundation (VCF) as a Service 安裝中的其他使用者或組織共用。 也可以對外發佈,供 VCF 即服務 安裝以外的組織存取。
VCF 即服務 包含私有目錄、共用目錄和外部存取目錄。 專用型錄包含可以與組織中的其他使用者共用的 vApp 範本和媒體檔案。 如果系統管理員為您的組織啟用目錄共用功能,您就可以共用組織目錄,以建立 VCF 即服務 安裝中其他組織可以存取的目錄。
如果系統管理員為您的組織啟用了外部目錄發佈功能,您就可以發佈組織目錄供 VCF 即服務 安裝以外的組織存取。 VCF 即服務 安裝以外的組織必須訂閱外部發佈的目錄才能存取其內容。
每一個組織都有權存取 VCF 即服務 公用型錄。 型錄包含已配置、受保護且可供使用的 IBM相容映像檔。
VCF 即服務 公用型錄
每一個組織都有權存取 VCF 即服務 公用型錄。 型錄包含已配置、受保護且可供使用的 IBM相容映像檔。
請檢閱 VCF 即服務的下列考量:
- 配置給 IBM 專用網路上服務的公用範本需要額外的配置步驟,才能讓 VM 存取 IBM 服務網路。 如需相關資訊,請參閱 使用專用網路啟用 VM 存取 IBM Cloud 服務。
- 公用範本需要最低層次的自訂作業才能建立起始管理者密碼。 如需相關資訊,請參閱 變更 VM 的訪客作業系統自訂作業內容。
公用型錄包含下列元件的 vApp 範本:
影像 | 版本 |
---|---|
CentOS | 7.x |
Microsoft® Windows® | 2022 標準 |
Microsoft Windows | 2019 標準 |
Microsoft Windows | 2016 年標準 |
Red Hat Enterprise Linux® | 9.3 |
Red Hat Enterprise Linux | 8.1 |
Red Hat Enterprise Linux | 7.7 |
Rocky Linux | 9.4 |
Rocky Linux | 8.1 |
CentOS和 Rocky 模板
公共目錄中提供的範本具有以下特點:
- 已安裝最新的更新
- VMware® 由 Broadcom 工具安裝
- YUM 已啟用 IBM 專用網路 YUM 儲存庫
- 配置給 IBM 專用網路 NTP 伺服器的 NTP 伺服器
Microsoft Windows 範本
公共目錄中提供的 Microsoft Windows 模版具有以下特點:
- 已安裝最新的更新
- 已啟用 Windows 更新配置給 IBM 專用網路 Windows 更新伺服器
- VMware 由 Broadcom 工具安裝
- 已停用 Windows 遠端桌面
- 已啟動防火牆
- 已啟動 Windows Defender
- 配置給 IBM 專用網路 NTP 伺服器的 NTP 伺服器
- 配置為使用 IBM Service Network Microsoft Key Management Server (KMS) 而非網際網路 Microsoft KMS 來啟動及接收更新項目的 Windows 授權
Red Hat Enterprise Linux 範本
公用型錄中提供的 Red Hat Enterprise Linux (RHEL) 範本具有下列性質:
- 已安裝最新的更新
- VMware 由 Broadcom 工具安裝
- 已啟動防火牆
- 配置給 IBM 專用網路伺服器的 NTP 伺服器
在租戶入口網站上部署 VM 之後,請使用 IBM RHEL Capsule Server 中的 RHEL 啟動金鑰登錄 Red Hat VM。 若要使用 RHEL 啟動金鑰登錄 Red Hat VM,您必須啟用 VM 存取權以連接至 IBM 服務網路。 如需相關資訊,請參閱 使用專用網路啟用 VM 存取 IBM Cloud 服務。
完成下列步驟,以使用 RHEL 啟動金鑰登錄 Red Hat VM。
- 在VMware Solutions控制台中,按一下左側導覽面板中的資源 > VCF 即服務。
- 在虛擬資料中心索引標籤上,找到並按一下 Cloud Director 範例名稱。
- 在 摘要 標籤上,找出「網站詳細資料」畫面中的 Red Hat 啟動金鑰,然後按一下 複製到剪貼簿 圖示。
- 從 Red Hat VM 執行下列指令。
uuid=$(uuidgen)
echo {\"dmi.system.uuid\": \"$uuid\"} > /etc/rhsm/facts/uuid_override.facts
cat /etc/rhsm/facts/uuid_override.facts
請確定 uuid_override.facts 的內容包含產生的 UUID。subscription-manager register --org="customer" --activationkey="ACTIVATION_KEY" --force
其中ACTIVATION_KEY
是您複製到剪貼簿的 Red Hat 啟動金鑰。
如果您在 IBM之外已有 RHEL 訂閱,則仍然可以使用另一個 RHEL Capsule 伺服器或衛星伺服器。 RHEL 授權會對在 VDC 中執行的 RHEL VM 產生費用。
定義型錄和原則
若要建立型錄,您必須具有 組織管理者 或 型錄作者 租戶入口網站角色。
有关定义目录和策略的详细信息,请参阅 在 VMware Cloud Director 租户门户中使用目录。
上傳您的媒體或範本
OVF 套件可以作為 vApp 範本上傳至型錄,讓該範本可供使用者使用。 如需詳細資訊,請參閱 從 VMware Cloud Director 租戶入口網站中的 OVF 套件建立 vApp。
媒體檔案 (例如 ISO 磁碟映像檔及 FLP 軟式磁碟機映像檔) 可以作為媒體檔案上傳至型錄。 如需詳細資訊,請參閱 在 VMware Cloud Director 租戶入口網站中處理媒體檔案。
匯入大小上限為 750 GB。 大型圖片檔案或範本可能需要很長時間才能上傳。 如需大於 750 GB 之檔案的協助,請遵循 取得協助及支援 中的步驟來開立 IBM 支援問題單。
虛擬機器
使用租用戶入口網站時,您可以建立 VM 或從範本置備 VM。
如需詳細資訊,請參閱 在 VMware Cloud Director 租戶入口網站中建立獨立虛擬機器。
自訂虛擬機器內容
您可以編輯虛擬機器的內容,包括虛擬機器的名稱和說明、硬體和網路設定,以及客座的作業系統設定。
如需有關使用虛擬機器的詳細資訊,請參閱 在 VMware Cloud Director 租戶入口網站中使用虛擬機器。
如果您使用租用戶入口網站(來賓作業系統自訂)變更 Windows 管理員密碼,請確保遵守 Windows 複雜性要求。 如果您在租戶入口網站中變更密碼,但未這樣做,則密碼在 Windows VM 範本中無法運作。
變更虛擬機的一般屬性
您可以變更虛擬機器的名稱、說明、儲存政策和其他一般屬性。
在儲存體內容之間切換
當 VM 已開啟電源時,無法變更部分磁碟設定。 例如,您可以在 VM 開啟電源時增加磁碟大小,但除非 VM 關閉電源,否則無法減少磁碟大小。 如果您必須在修改磁碟設定之前關閉 VM 電源,則會顯示一則訊息。 如需詳細資訊,請參閱 VMware Cloud Director 租戶入口網站中的 Power off a virtual machine。
如需變更儲存原則的相關資訊,請參閱 變更虛擬機器的一般內容。
如果您必須在變更儲存原則之前關閉 VM 的電源,請在將 VM 移至新的儲存原則之後重新開啟 VM 的電源。 如需詳細資訊,請參閱 VMware Cloud Director 租戶入口網站中的 Power on a virtual machine。
使用 NFS 儲存政策時,磁碟大小不能超過 15.8 TB。 如果嘗試將任何大於 15.8 TB 的磁碟移動到 NFS 儲存政策,轉換會失敗。
變更虛擬機器的硬體屬性
您可以變更虛擬機器的硬體屬性、vCPUs, 記憶體數量、硬碟分配和網路組態。
變更虛擬機器的 Guest OS Customization 屬性
對於所有平台,訪客作業系統自訂都是選用的。 當 VM 開啟電源時,必須加入 Windows 網域的 VM 需要它。
當您使用IBM範本建立 VM 時,請使用來賓作業系統自訂面板取得或設定作業系統實例的唯一密碼。 請確定已選取 啟用訪客自訂作業 選項,然後使用其中一個 密碼重設 選項來建立起始管理者認證。
如需詳細資訊,請參閱 變更虛擬機器的 guest OS 自訂。
變更虛擬機器的進階內容
在進階設定中,您可以設定資源分配設定 (共用、預留和限制),以決定提供給虛擬機器的虛擬 CPU ( vCPU )、記憶體和儲存資源的數量。
如需詳細資訊,請參閱 編輯虛擬機的客座端內容。
使用 IBM 範本
如果從公用型錄中提供的 IBM 範本部署 VM,則密碼需求適用。 您必須使用第一次登入 VM 時在開啟電源期間產生的起始密碼。 您可以在虛擬機器詳細資訊頁面找到此密碼。
如果您使用租戶入口網站 密碼重設 欄位來變更 Windows 管理者密碼,請確保您遵循 Windows 複雜性需求。 如果您在租戶入口網站中變更密碼,但未這樣做,則密碼在 Windows VM 範本中無法運作。
- 在 Guest OS Customization 面板中,按一下 EDIT。
- 在 Edit Guest Properties(編輯訪客內容 )面板中,在 Specify password(指定密碼)欄位中找到密碼。
- 使用初始密碼成功登入後,返回 「編輯訪客屬性」 面板重設密碼並使用新密碼再次登入。
vApps
vApp 由一個或多個虛擬機器組成,這些虛擬機器透過網路進行通訊,並使用 VDC 中的資源和服務。 建立 vApp,然後新增 VM 和網路。
您可以將虛擬機器和網路新增至 vApp。
有关 vApps, 请参阅 在 VMware Cloud Director 租户门户中使用 vApps。
網路
如需如何在 VDC 內建立 VDC 網路、建立 VM 以連接至 VDC 網路,以及在邊緣閘道上配置 NAT 及防火牆規則的完整指導教學,請參閱 使用 VMware Cloud Director 主控台在 VMware Cloud Foundation 中配置虛擬資料中心即服務。
使用專用網路啟用 VM 存取 IBM Cloud 服務
您可以將在 VDC 內執行的vApps和虛擬機器設定為使用IBM Cloud專用網路來存取IBM Cloud服務。 透過專用網路存取 IBM Cloud 服務可節省外線公共網路成本,並可提供更高的可靠性和安全性。 VDC 透過在 VDC 邊緣設定為可用外部網路的 VDC 服務網路,路由至 IBM Cloud 專用網路。
提供以下服務。
服務 | IP 位址 (端點) |
---|---|
Microsoft Windows Update 伺服器 | 161.26.4.21 |
Microsoft Key Management Server | 161.26.96.8, 161.26.96.9 |
Red Hat 膠囊伺服器 | 161.26.96.25 |
DNS | 161.26.0.10 (rs1.adn.networklayer.com ) 和 161.26.0.11 (rs2.adn.networklayer.com ) |
Ubuntu 和 Debian APT 鏡映 | 161.26.0.6 (mirrors.adn.networklayer.com) |
RHEL 和 CentOS YUM repo | 161.26.0.6 (mirrors.adn.networklayer.com) |
NTP | 161.26.0.6 (time.adn.networklayer.com) |
IBM Cloud Object Storage | s3.direct.xxx.cloud-object-storage.appdomain.cloud |
VDC 必須具有邊緣(公有-私有或僅私有)以允許存取服務網路。 在建立 VDC 時,某些用於私人網路連線的 NAT 和防火牆規則會建立為預設值。 確保防火牆規則 Allow traffic from the VMware Cloud Director network that the VMs run on to the service destination。 檢閱您的防火牆規則,並視需要針對 Windows 啟動及其他需要私人網路連線的作業新增額外規則。 如需其他資訊,請參閱 VMware Cloud Director Tenant Portal 中的 Add an NSX Edge Gateway Firewall Rule。
考慮下列防火牆規則範例,以允許 VMware Cloud Director 網路存取。
- 使用
161.26.0.0/16
目的地進行 Windows 作業系統啟動和更新、Redhat/CentOS/Ubuntu/Debian 作業系統啟動和更新、IBM Classic DNS 和 IBM Classic NTP。 - 使用 IBM Cloud Object Storage 的 IP 範圍建立防火牆規則,以允許存取 Cloud Object Storage direct endpoint。
為VCF 即服務建立vApp網絡
如果尚未完成,請在完成以下程序之前建立一個包含至少兩個虛擬機器的vApp。 如需詳細資訊,請參閱 在 VMware Cloud Director 租戶入口網站中使用 vApps。
- 在租戶入口網站中,按一下左側導覽面板中的資料中心。
- 在虛擬資料中心詳細資訊頁面上,按一下要建立 vApp 網路的 VDC。
- 在左側導覽面板的「計算」區段中,按一下 vApps.
- 按一下您要新增 vApp 網路的 vApp。
- 按一下 網路 標籤,然後按一下 vApp 柵欄 區段中的 新建。
- 在 「將網路加入」 面板中,選擇 OrgVDC網路並選擇網路名稱。
- 按一下新增。
如需詳細資訊,請參閱 在 VMware Cloud Director 租戶入口網站中的 vApp 中處理網路。
要求額外的公用 IP 位址
您可以開啟 IBM 支援票單,要求在具有公私網路的 VDC 上提供額外的公用 IP 位址。 每個票單可以包含四個 NAT/Floating IP 或一個公用 IP 前綴的請求。 IP 前綴請求可以包含單一 /30
(兩個連續位址) 或 /29
(六個連續位址)。
- 使用類似最初八個公開位址的 NAT/Floating 位址。 您必須將位址設定為從公用網路到 Cloud Director 私有網路的 NAT。
- 使用 IP 前綴位址將 Cloud Director 虛擬機器直接連接到公用網路,而無需 NAT。 邊緣防火牆用於控制公共出口和入口。
在 IBM 支援票單中提供下列詳細資訊:
- IP 位址類型:NAT/Floating IPs 或 IP 前綴
- 包含邊緣的 VDC ID,以針對 IP 位址新增
- VDC 中要新增額外 IP 位址的邊緣閘道或提供者閘道的名稱
為 NAT 規則和 VPN 指派公用 IP 位址
每個具有公共邊緣的VCF 即服務 VDC 都提供有八個公用 IP 位址。 若要啟用這八個位址以用於邊緣 NAT 規則或虛擬私人網路 (VPN) 規則,您必須先指派公用位址。
您必須以擁有「管理手動 IP 預約」權限的使用者身份完成這些步驟。 IBM預設角色 Manager、Administrator、Director Network Admin 和 Director Security Admin 都擁有此權限。
-
在租戶入口網站中,按一下左側導覽面板中的 Networking。
-
在右側面板的頂部,選擇 IP 空間。
-
按一下與 VDC 邊緣關聯的 IP 空間名稱。 如果您有多個具有公共邊緣的 VDC,則當 IP 空間名稱的前三個字元與建立 VDC 的資料中心相符時,您可以識別哪個 IP 空間名稱與邊緣關聯。 例如,t04 匹配tokyo04。
如果需要,您也可以在名稱中使用 V00 值。 在 Edge Gateway 詳細資訊頁面的 Configuration(組態 )下,按一下 General(一般 )。 提供者網關名稱具有 VRF000 值。 使用該值中的數字,例如 vfr015。 在此範例中,使用模式 t04-xxx-V15-xxx 來尋找正確的 IP 空間條目。
-
在 IP Spaces 詳細資訊頁面的 Allocation(分配 )區段中,選擇 Floating IPs(浮動 IP)。
-
在表格頂端,按一下 REQUEST。
-
每個VDC分配8個公網IP位址。 請求對話方塊支援每個請求操作最多五個 IP。 為確保分配所有 8 個 IP 位址,請先要求 5 個 IP,然後重複要求剩餘的 3 個 IP。
為 IP 前綴位址建立 Cloud Director 網路
使用 IP 前綴位址時,虛擬機器會被直接指派一個公用 IP 前綴位址,而不會使用 NAT 進行公用存取。
-
分配公用 IP 位址。
-
在租戶入口網站中,按一下左側導覽面板中的 Networking。
-
在右側面板的頂部,選擇 IP 空間。
-
按一下與 VDC 邊緣關聯的 IP 空間名稱。 如果您有多個具有公共邊緣的 VDC,則當 IP 空間名稱的前三個字元與建立 VDC 的資料中心相符時,您可以識別哪個 IP 空間名稱與邊緣關聯。 例如,t04 匹配tokyo04。
如果需要,您也可以在名稱中使用 V00 值。 在 Edge Gateway 詳細資訊頁面的 Configuration(組態 )下,按一下 General(一般 )。 提供者網關名稱具有 VRF000 值。 使用該值中的數字,例如 vfr015。 在此範例中,使用模式 t04-xxx-V15-xxx 來尋找正確的 IP 空間條目。
-
在 IP 空間詳細資料頁面的分配部分中,選擇 IP 前綴。
-
在表格頂端,按一下 REQUEST。
-
-
建立網路。
- 在目標 VDC 中,按一下 Networks(網路 )索引標籤。 然後按一下新。
- 完成新組織 VDC 網路的網路設定。
- 對於範圍,請選擇目前組織虛擬資料中心,然後按一下下一步。
- 網路類型」請選擇「路由」,然後按一下 NEXT。
- 對於 Edge Connection(邊緣連線 ),選取單一邊緣,然後在 Distributed Routing(分散式路由 )上切換。 按下一步。
- 針對「一般」,選擇閘道 CIDR 的 IP 前綴,然後按一下 NEXT。
- 完成其餘的網路設定,然後按一下完成。
-
建立要使用 IP 前綴位址的虛擬機器。 如需詳細資訊,請參閱 在 VMware Cloud Director 租戶入口網站中建立獨立虛擬機器。
- 當您建立要使用 IP 前綴位址的虛擬機器時,您必須使用 IP 前綴網路。
- 針對 Primary NIC 設定,將 IP Mode(IP 模式 )設為 Static(靜態)- Manual(手動 ),並為 IP Address(IP 位址 )指定其中一個 IP Prefix 位址。
- 確保防火牆設定為入口和出口流量。
使用 VPN 將 VMware by Broadcom 工作負載連接至 IBM Cloud
您可以使用 VPN 透過公共網路將您的 VMware by Broadcom 工作負載連接到 VCF 即服務 單租戶和多租戶實體。
透過公共網際網路針對 VDC 邊緣閘道為VCF 即服務建立基於路由的 IPsec VPN
以下步驟概述了經過驗證的流程。 許多不同的配置都有效,並且根據 IPsec 隧道的遠端,可能需要不同的配置。
在開始之前,請確保任何邊緣公共出口規則不使用 Any
作為內部 IP 值。 規則必須指定支援 SNAT 出口的內部 VDC 網路的 CIDR。
- 在租戶入口網站中,按一下左側導覽面板中的資料中心。
- 在虛擬資料中心詳細資訊頁面上,按一下要建立基於路由的 IPsec VPN 的 VDC。
- 從 VDC 的左側導覽面板,展開 Networking(網路 ),然後按一下 Edges(邊緣 )。
- 在「服務」區段中,按一下 IPSec VPN.
- 按一下新建並填寫 IPsec VPN 隧道的以下欄位。
-
對於常規設置,完成以下選擇並按一下下一步。
- 對於名稱和描述,請提供有助於描述 VPN 的詳細資訊。
- 對於類型,選擇基於路由。
- 對於安全性配置文件,使用預設值。
- 對於 Status,切換至啟用。
- 對於 Logging,切換至停用。
-
對於對等身份驗證模式,完成以下選擇並按一下 「下一步」。
- 對於身份驗證模式,選擇預共用金鑰。 您還必須在 VPN 隧道的另一端使用此值。
- 對於預先共用金鑰,輸入也在 VPN 隧道的另一端使用的安全值。
-
對於端點配置,完成以下選擇並按一下下一步。
- 對於 Local Endpoint,輸入可用且未使用的公用 IP 位址。 公用 IP 位址也必須指派在 IP 空間浮動 IP 中。
- 對於遠端端點,輸入 VPN 遠端的公用 IP 位址。 VPN 遠端的位址稱為本機 IP 位址。 將遠端 ID 欄位留空。
- 對於虛擬隧道介面 (VTI) 隧道接口,將該值設定為連結本地範圍 ( 169.254.0.0/16 ) 中的
/30
或/31
網路。 不要重複使用相同的隧道介面。 考慮以下範例。
隧道介面範例 本端介面 遠端介面 (remote interface) 169.254.101.1/30 169.254.101.2/30 169.254.110.5/30 169.254.110.6/30 169.254.120.9/30 169.254.120.10/30 169.254.139.13/30 169.254.130.14/30 -
檢查設定是否正確,然後按一下完成。
-
- 在左側導覽面板的 Routing(路由 )區段中,按一下 Static Routes(靜態路由 )。
- 點選新建並填寫新靜態路由的以下欄位。
- 在 General(一般 )標籤上,完成下列選項。
- 對於名稱和描述,請提供有助於描述靜態路由的詳細資訊。
- 對於網絡,輸入 VPN 正在連接的遠端網路。 例如,
192.168.47.0/24
。 - 確保 “Route Advertized” 欄位已關閉。
- 在 Next Hops(下一跳 )標籤上,完成下列選擇。
- 對於 IP 位址,輸入遠端隧道的隧道 IP 位址。 例如,
169.254.101.1
。 - 對於管理距離,輸入1。
- 對於 Scope,請將該欄位留空。
- 對於 IP 位址,輸入遠端隧道的隧道 IP 位址。 例如,
- 按一下儲存。
- 在 General(一般 )標籤上,完成下列選項。
透過公共網際網路針對 VDC 供應商網關為VCF 即服務建立基於路由的 IPsec VPN
您可以使用VMware Cloud Director 租用戶入口網站在提供者閘道上自動設定基於路由的 IPsec VPN 隧道。 設定會自動在VMware Cloud Director 中建立 IPsec VPN 隧道、IP 空間上行鏈路以及關聯的 BGP 前綴、對映和鄰居。 VMware Cloud Director 使用 IP 空間來定義透過 IPsec VPN 隧道通告的網路。
任何邊緣網關出口 NAT 規則優先。 例如,如果邊緣網關具有將目標流量傳送到 IPsec 隧道以外的位置的 SNAT 出口規則,則該規則優先,且流量不使用 IPsec 隧道。
以下步驟概述了經過驗證的流程。 許多不同的設定都有效,並且根據 IPsec VPN 隧道的遠端,可能需要不同的設定。
第1步:建立IP空間
- 在租戶入口網站中,按一下左側導覽面板中的 Networking。
- 在右側面板的頂部,選擇 IP 空間。
- 按一下 IP 空間表頂部的新建。
- 對於 「常規」,完成以下選擇並按一下 「下一步」。
- 對於名稱和描述,請提供有助於描述 VPN 的詳細資訊。
- 對於網路拓撲,完成以下選擇並按一下下一步。
- 選擇 “允許路由通告” 以啟用。
- 保持預設自動配置規則處於停用狀態。
- 對於 「範圍」,請完成以下部分並按一下 「下一步」。
- 對於內部範圍,輸入要透過 VPN 共享的本地 VDC 的 VDC 網路 CIDR。 例如,
192.168.19.0/24
。 - 對於外部範圍,輸入要透過 VPN 共享的遠端網路的 CIDR。 例如,
192.168.47.0/24
。
- 對於內部範圍,輸入要透過 VPN 共享的本地 VDC 的 VDC 網路 CIDR。 例如,
- 對於 IP 範圍,請完成以下部分並按一下 「下一步」。 您可以將此欄位留空以共用為內部範圍標識的完整網絡,也可以指定僅共用內部範圍中的範圍。
- 對於 IP 前綴,請完成以下部分並按一下 「下一步」。 您可以將此欄位留空以共用為內部範圍標識的完整網絡,也可以指定共用識別碼的前綴中的 IP 範圍。
- 檢查設定是否正確,然後按一下完成。
- 對於 「常規」,完成以下選擇並按一下 「下一步」。
步驟 2:建立提供者網關 IPsec VPN
- 在租戶入口網站中,按一下左側導覽面板中的 Networking。
- 在右側面板的頂部,選擇 Provider Gateways。
- 按一下與 VDC 關聯的提供者網關。 如果您有多個 VDC,請完成以下步驟來識別正確的提供者網關。
- 在租戶入口網站中,按一下左側導覽面板中的資料中心。
- 在虛擬資料中心詳細資訊頁面上,按一下要建立提供者閘道 IPsec VPN 的 VDC。
- 從 VDC 的左側導覽面板,展開 Networking(網路 ),然後按一下 Edges(邊緣 )。
- 在 Edge Gateway 詳細資訊頁面的 Configuration(組態 )下,按一下 General(一般 )。 找到提供者網關名稱。
- 在「服務」部分,選擇 IPSec VPN.
- 在 IPSec VPN 表上方,按一下 「自動設定」。
- 對於名稱,輸入 VPN 的描述。
- 對於 IP 空間,請從下拉式功能表中選擇先前建立的 IP 空間項目。
- 對於遠端端點,輸入 VPN 遠端的公用 IP 位址。
- 對於 Local Endpoint,輸入來自 VDC 的可用且未使用的公用 IP 位址。 公共IP位址必須分配在IP空間浮動IP。
- 對於預共用金鑰,輸入一個安全值。
- 對於本機隧道接口,建議使用預設值。 VPN 隧道兩端必須使用不同的值。 例如,本端使用
192.168.200.1/30
,遠端使用192.168.200.2/30
。 - 對於遠端 VTI 位址,輸入 VPN 隧道另一端所使用的 IP 位址。 在大多數情況下,預設值是最好的。 例如,
192.168.200.2
。 - 對於 BGP 鄰居遠端 AS 編號,輸入典型的 BGP 編號,例如
65001
。 您必須提供不同的本地和遠端 BGP 號碼。 - 對於 BGP 鄰居本地 AS 編號,輸入典型的 BGP 編號,例如
65002
。 您必須提供不同的本地和遠端 BGP 號碼。
- 檢查設定是否正確,然後按一下完成。
透過公共網際網路針對 VDC 邊緣閘道為VCF 即服務建立基於政策的 IPsec VPN
以下步驟概述了經過驗證的流程。 許多不同的配置都有效,並且根據 IPsec 隧道的遠端,可能需要不同的配置。
在開始之前,請確保任何邊緣公共出口規則不使用 Any
作為內部 IP 值。 規則必須指定支援 SNAT 出口的內部 VDC 網路的 CIDR。
- 在租戶入口網站中,按一下左側導覽面板中的資料中心。
- 在虛擬資料中心詳細資訊頁面中,按一下要建立政策式 IPsec VPN 的 VDC。
- 從 VDC 的左側導覽面板,展開 Networking(網路 ),然後按一下 Edges(邊緣 )。
- 在「服務」區段中,按一下 IPSec VPN.
- 按一下新建並填寫 IPsec VPN 隧道的以下欄位。
- 對於常規設置,完成以下選擇並按一下下一步。
- 對於名稱和描述,請提供有助於描述 VPN 的詳細資訊。
- 對於類型,選擇基於策略。
- 對於安全性配置文件,使用預設值。
- 對於 Status,切換至啟用。
- 對於 Logging,切換至停用。
- 對於對等身份驗證模式,完成以下選擇並按一下 「下一步」。
- 對於身份驗證模式,選擇預共用金鑰。 您還必須在 VPN 隧道的另一端使用此值。
- 對於預先共用金鑰,輸入也在 VPN 隧道的另一端使用的安全值。
- 對於端點配置,完成以下選擇並按一下下一步。
- 對於本機端點 IP 位址,輸入可用且未使用的公用 IP 位址。 公用 IP 位址也必須指派在 IP 空間浮動 IP 中。
- 對於本地端點網絡,輸入要透過 VPN 共享的本地 VDC 的 VDC 網路 CIDR。 例如,
192.168.19.0/24
。 - 對於遠端端點 IP 位址,輸入 VPN 遠端的公用 IP 位址。 VPN 遠端的位址稱為本機 IP 位址。
- 對於遠端端點網絡,輸入要透過 VPN 共享的遠端 VDC 的 VDC 網路 CIDR。 例如,
192.168.47.0/24
。 - 對於遠端 ID,請將該欄位留空。
- 檢查設定是否正確,然後按一下完成。
- 對於常規設置,完成以下選擇並按一下下一步。
透過公共網際網路針對 VDC 邊緣閘道為VCF 即服務建立L2 VPN
以下步驟概述了經過驗證的流程。 許多不同的配置都有效,並且根據L2 VPN 的遠端,可能需要不同的配置。
在開始之前,請確保任何邊緣公共出口規則不使用 Any
作為內部 IP 值。 規則必須指定支援 SNAT 出口的內部 VDC 網路的 CIDR。
設定L2 VPN 伺服器的過程
- 在租戶入口網站中,按一下左側導覽面板中的資料中心。
- 在虛擬資料中心詳細資訊頁面中,按一下要建立 L2 VPN 的 VDC。
- 從 VDC 的左側導覽面板,展開 Networking(網路 ),然後按一下 Edges(邊緣 )。
- 在「服務」區段中,按一下 L2 VPN。
- 點選新建並填寫L2 VPN 隧道的以下欄位。
-
對於選擇會話模式,將L2 VPN 的會話模式設定為伺服器。 您在設定L2 VPN 用戶端的過程中將另一端設定為客戶端。
-
對於常規設置,完成以下選擇並按一下下一步。
- 對於名稱和描述,請提供有助於描述 VPN 的詳細資訊。
- 對於預共用金鑰,輸入一個安全值。
- 對於 State,切換至啟用。
-
對於端點設置,完成以下選擇。
- 對於 Local Endpoint,輸入可用且未使用的公用 IP 位址。 公共IP位址必須分配在IP空間浮動IP。
- 對於隧道介面 CIDR,將值設定為連結本地範圍 ( 169.254.0.0/16 ) 中的
/30
或/31
網路。 不要重複使用相同的隧道介面。 請考量下列範例:- 169.254.101.1/30
- 169.254.110.5/30
- 169.254.120.9/30
- 169.254.139.13/30
- 對於遠端 IP,輸入 VPN 遠端的公用 IP 位址。 VPN 遠端的位址稱為本機 IP 位址。
- 對於啟動模式, 選擇三個選項之一(啟動器、僅回應或按需),然後按一下下一步。
-
對於組織 VDC 網絡,選擇要參與L2 VPN 的 VDC 網絡,然後按下一步。
L2 VPN 的兩端必須使用相同的網路 IP 範圍,並為 VPN 兩端的伺服器和虛擬機器指派唯一的 IP。 例如,L2 VPN 將隧道的一端與使用
192.168.50.10-192.168.50.100
網路連接到另一端與使用192.168.50.101-192.168.50.190
的網路。 -
檢查設定是否正確,然後按一下完成。
-
設定L2 VPN 用戶端的過程
- 在租戶入口網站中,按一下左側導覽面板中的資料中心。
- 在虛擬資料中心詳細資訊頁面上,按一下要建立 L2 VPN 的 VDC。
- 從 VDC 的左側導覽面板,展開 Networking(網路 ),然後按一下 Edges(邊緣 )。
- 在「服務」區段中,按一下 L2 VPN。
- 點選新建並填寫L2 VPN 隧道的以下欄位。
-
對於選擇會話模式,將L2 VPN 的會話模式設定為客戶端。 另一邊是伺服器。
-
對於常規設置,完成以下選擇並按一下下一步。
- 對於名稱和描述,請提供有助於描述 VPN 的詳細資訊。
- 對於 Peer Code,請使用L2 VPN 伺服器端的值。 如果伺服器端是Director VDC,請從作為L2 VPN 伺服器端的VDC 完成下列步驟。
- 從 VDC 的左側導覽面板,展開 Networking(網路 ),然後按一下 Edges(邊緣 )。
- 在服務部分,選擇 L2 VPN,然後從清單中選擇 L2 VPN 伺服器。
- 在表格上方,按一下複製對等代碼。
- 將對等代碼值貼到客戶端L2 VPN 對等代碼*輸入 欄位中。
- 對於 State,切換至啟用。
-
對於端點設置,完成以下選擇並按一下 「下一步」。
- 對於 Local Endpoint,輸入可用且未使用的公用 IP 位址。 IP 位址與L2 VPN 伺服器設定中使用的遠端 IP 位址相同。 IP 位址也必須指派在 IP 空間浮動 IP 中。
- 對於遠端 IP,輸入L2 VPN 遠端的公用 IP 位址。 VPN 伺服器端的位址稱為本機 IP 位址。
-
對於組織 VDC 網絡,完成以下選擇並按一下 「下一步」。
- 選擇要透過L2 VPN 擴充的 VDC 網路。
L2 VPN 的兩端必須使用相同的網路 IP 範圍,並為 VPN 兩端的伺服器和虛擬機器指派唯一的 IP。 例如,L2 VPN 將隧道的一端與使用
192.168.50.10-192.168.50.100
網路連接到另一端與使用192.168.50.101-192.168.50.190
的網路。- 對於 Tunnel ID,請為每個L2 VPN 隧道使用遞增編號。 對於第一個隧道,使用
1
。 對於第二條隧道,使用2
,依此類推。
-
檢查設定是否正確,然後按一下完成。
-
檢視邊緣閘道的防火牆記錄
您可以使用租戶入口網站檢視防火牆記錄,以排除邊緣閘道環境的故障。
- 在租戶入口網站中,按一下左側導覽面板中的資料中心。
- 在虛擬資料中心詳細資訊頁面中,按一下要檢視防火牆記錄的 VDC。
- 從 VDC 的左側導覽面板,展開 Networking(網路 ),然後按一下 Edges(邊緣 )。
- 在「服務」區段中,按一下 Firewall。
- 按一下記錄索引標籤以檢視防火牆記錄詳細資料。
使用 VMware Cloud Director 租戶入口網站中的服務
存取 Operations Manager
使用 Operations Manager 查看 VDC、vApp,和 VM 等級指標並匯出指標資料。 您可以使用此資料來隔離資源用量,並協助瞭解計費費用。
依預設會啟用 Operations Manager 服務。 在VMware Cloud Director 租用戶入口網站中,按一下更多 > Operations Manager 以存取 Operations Manager Web UI。
有關使用 Operations Manager 的詳細資訊,請參閱 VMware Aria Operations 中執行 VMware Cloud Director(VCD)Based Multitenancy Operations。