IBM Cloud Docs
订购 VMware HCX

订购 VMware HCX

您可以在新的 VMware Cloud Foundation for Classic - Automated 实例中包含 VMware HCX™ 服务,或将该服务添加到现有实例中。

安装 HCX 时的注意事项

在安装 HCX 之前,请查看以下注意事项。

对 ESXi 服务器数的需求

HCX 服务网格目标群集不能有超过 51 个 VMware ESXi 服务器。 HCX 需要服务网格目标群集 vMotion 子网中的八个 IP 地址。 由于这一要求,如果 ESXi 服务器的数量超过 51,则 vMotion 子网中的任何 IP 地址都不能用于 HCX。

对于带有 NSX-V 实例的现有 VCF for Classic - Automated,服务网格目标群集是默认群集。

有关防火墙规则的需求

安装 HCX 服务前,必须在任何现有防火墙上添加防火墙规则。

  1. 在 VMware Solutions 控制台中,从左侧导航面板单击资源 > VCF for Classic

  2. VMware Cloud Foundation for Classic 表中,单击实例查看该实例的群集。

  3. 单击 Infrastructure 选项卡并选择要安装 HCX 服务的群集。

  4. 转到群集页面上的 Network interface 部分。

  5. 关闭公共VLAN选项,并关闭与集群便携式子网对应的子网描述。

  6. 使用服务 T0 uplink2 虚拟 IP 地址中的 IP 地址路由防火墙规则中的流量。 防火墙规则必须允许所有出站 HTTPS 流量,这样 HCX Manager 虚拟设备 (HCX Manager) 才能注册自己。

  7. 在 HCX Manager 安装完成后,可以除去该防火墙规则。

通过网关防火墙规则限制对HCX云IP地址的访问。 要访问 HCX 云 IP 地址,必须更新防火墙规则,允许入站流量。 为此,请登录NSX Manager并找到网关防火墙规则 HCX_Inbound_Traffic_1_for_{{ hcxhostname }}。 将操作值从拒绝更改为允许。

此外,必须配置防火墙规则以允许 HCX 正常运行。 有关详细信息,请参阅 VMware HCX 的端口访问要求

为新实例订购 HCX

  1. 订购实例 时,向下滚动到附加服务部分。 HCX 属于数据弹性和迁移类别。
  2. 打开类别,找到 HCX,然后打开开关。
  3. 单击 Edit 查看并指定 配置信息,然后单击 Save

为现有实例订购 HCX

  1. 在实例详细信息页面,单击服务选项卡。
  2. 单击 添加 添加服务。
  3. 添加服务页面上,在数据弹性和迁移部分找到 HCX 服务,并打开其开关。
  4. 单击 Edit 查看并指定 配置信息,然后单击 Save

HCX 配置

要安装 HCX,请完成以下步骤:

  1. 选择 HCX Service Mesh 目标群集,可以是管理群集,也可以是工作负载群集。

  2. 选择以下选项之一,指定 HCX 网络连接。 如果任何管理或服务网格目标群集只部署了专用网络,则只能选择专用网络选项。

    • 公共网络- HCX 通过公共网络在站点之间创建加密连接。 许可证注册和计量通过公共网络完成。
    • 专用网络- HCX 通过专用网络在站点之间创建加密连接。 许可证注册和计量通过 HTTP 代理在专用网络上完成。

  3. 如果选择了专用网络连接,则会显示代理信息。 否则,无法使用代理选项。 代理字段必须反映一个正常工作的代理服务器,该服务器接受来自 IBM Cloud 专用网络的流量,并将流量转发到 connect.hcx.vmware.com 的 HCX 激活服务。 安装 HCX 服务后,可通过以下方式激活许可证:

    • 从 HCX 管理器(与 vCenter 虚拟机安装在同一可移植子网中)发送请求。
    • 通过代理发送请求。
    • connect.hcx.vmware.com 发送请求。 有关详细信息,请参阅 HCX 用户指南:配置代理服务器

    如果代理服务器无法访问或无法处理许可证激活请求,HCX自动安装将失败。 如果管理VLAN( vCenter 安装在此处)的防火墙配置为将流量从新的HCX管理器路由到 connect.hcx.vmware.com,则无需代理服务器。

    填写以下代理字段:

    • 代理 IP 地址- 代理服务器的 IPv4 地址。
    • 代理端口号- 代理服务器端口。 端口号通常为 8080 或 3128。
    • 代理用户名(可选)- 需要代理身份验证时的用户名。
    • 代理密码 (可选)- 需要代理身份验证时的密码。
    • 重新输入代理密码 (可选)- 重新输入代理身份验证验证密码。

  4. 指定公共端点证书类型。 如果选择 CA 证书,请配置以下设置:

    • 证书内容- 输入 CA 证书的内容。
    • 私钥- 输入 CA 证书的私钥。
    • 密码 (可选)- 输入私人密钥的密码(如果已加密)。
    • 重新输入密码 (可选)- 再次输入私钥的密码。
    • 主机名 (可选)- 要映射到 CA 证书通用名 (CN) 的主机名。 HCX 要求 CA 证书的格式必须是 NSX Edge 接受的格式。 有关 NSX Edge 证书格式的更多信息,请参阅 导入 SSL 证书

HCX 的部署过程

部署 HCX 会自动执行。 无论是订购包含服务的 VCF for Classic - Automated 实例,还是稍后将服务部署到实例中,IBM Cloud for VMware Solutions 自动化流程都会完成以下步骤:

自动部署流程不支持 BYOL(自带许可证)。 您必须手动完成 HCX 部署流程。

  1. 为 IBM Cloud 基础架构中的 HCX 订购三个子网:

    • 一个专有可移植子网,用于 HCX 管理。
    • 一个用于 HCX 互联的专用可移植子网。 当 HCX 连接类型选择专用网络选项时,将使用该子网。
    • 如果 HCX 连接类型选择了公共网络选项,则为 HCX 互联提供一个公共便携子网。 在 NSX-V 中,该子网也用于与 VMware 一起进行激活和维护。

    为 HCX 订购的子网中的 IP 地址将由 VMware Solutions 自动化管理。 这些 IP 地址不能分配给您创建的 VMware 资源(如虚拟机和 NSX Edges)。 如果需要更多 IP 地址用于 VMware 工件,那么必须向 IBM Cloud 订购您自己的子网。

  2. 如果针对 HCX 网络连接选择了专用网络,那么将在专用分布式虚拟交换机 (DVS) 上创建名为 SDDC-DPortGroup-HCX-Private 的端口组。

  3. 向 VMware 订购 HCX 激活密钥。

  4. 对于带有 NSX-T 实例的 VCF for Classic - Automated,防火墙规则和网络地址转换(NAT)规则被配置为允许进出 HCX 管理器的 HTTPS 流量。

  5. 对于使用 NSX-V 实例的 VCF for Classic - Automated 来说,要部署和配置一对用于 HCX 管理流量的 NSX 边缘服务网关 (ESG):

    • 使用订购的子网配置公用和专用上行链路接口。
    • 将 ESG 配置为启用了高可用性 (HA) 的超大型 Edge 设备对。
    • 将防火墙规则和网络地址转换 (NAT) 规则配置为允许进出 HCX Manager 的入站和出站 HTTPS 流量。
    • 配置负载均衡器规则和资源池。 这些规则和资源池用于将与 HCX 相关的入站流量转发到 HCX Manager 和 VMware vCenter® Server Appliance (VCSA) 的相应虚拟设备。
    • 应用 SSL 证书以对通过 ESG 流入的与 HCX 相关的入站 HTTPS 流量进行加密。

    HCX 管理 Edge 专用于处理内部部署 HCX 组件和云端 HCX 组件之间的 HCX 管理流量。 不要修改 HCX 管理 Edge 或将其用于 HCX 网络扩展。 请改为创建单独的 Edge 用于网络扩展。 此外,如果使用防火墙或者禁用与专用 IBM 管理组件或因特网的 HCX 管理 Edge 通信,可能会对 HCX 功能产生影响。

  6. 部署、激活和配置 HCX Manager:

    • HCX 管理器已在 VCSA 注册。
    • HCX 管理器、VCSA 和 NSX 管理器已配置。
    • 创建 HCX 计算和网络配置文件。

  7. HCX 管理器的主机名和 IP 地址已在 VCF for Classic - Automated 实例的 DNS 服务器上注册。