操作 VMware 共享

自 2024 年 3 月 28 日起，VMware 共享不再用于新的部署，对现有实例的支持也于 2025 年 2 月 28 日结束。自 2025 年 3 月 4 日起，所有虚拟机都将关闭电源，自 2025 年 4 月 6 日起，所有客户和管理数据都将删除。为避免永久删除 VMware 共享备份，并将 VMware 共享资源迁移到 IBM Cloud® for VMware Cloud Foundation as a Service，请在 2025 年 4 月 6 日之前打开 IBM 支持票据。更多信息，请参阅 VMware 共享部署的支持终止。

VMware Cloud Director 租户门户概述

VMware® Cloud Director 租户门户用于管理您的组织，并在 vApps 中创建和配置虚拟机 (VM)、vApps, 和网络。

您还可以在 VMware Cloud Director 环境中配置 VMware NSX® for vSphere® 提供的高级联网功能。通过租户门户，您还可以创建和管理目录、vApps, 和虚拟数据中心模板。

角色、许可权和用户

租户门户网站包括一套预先配置的用户角色及其权限。可以访问租户门户的角色是在创建组织时默认创建的，其他角色由组织管理员创建。分配有以下组织角色的用户可以访问租户门户网站。他们能看到的对象和能执行的操作取决于与角色相关联的权限。

组织管理员
目录创建者
vApp 创建者
vApp 用户
仅限控制台访问权

有关角色和权限的更多信息，请参阅 VMware 租户门户角色和权限。

管理用户

使用租户门户创建用户或更改现有用户的密码或角色。有关访问租户门户的更多信息，请参阅登录 VMware 云总监租户门户。

有关创建和修改租户门户用户的更多信息，请参阅管理您的 VMware 云总监租户门户中的用户。

修改电子邮件设置

组织管理员必须修改组织 SMTP 服务器的电子邮件通知设置。

有关修改SMTP服务器设置的更多信息，请参阅 VMware Cloud Director中的修改您的电子邮件设置。

VMware 共享包含私有目录、共享目录和可从外部访问的目录。专用目录包含可以与组织中的其他用户共享的 vApp 模板和介质文件。如果系统管理员为你的组织启用了目录共享功能，你就可以共享一个组织目录，创建一个 VMware 共享安装中其他组织可以访问的目录。

如果系统管理员为您的组织启用了外部目录发布功能，您就可以发布组织目录，供 VMware 共享安装之外的组织访问。 VMware 共享安装之外的组织必须订阅外部发布的目录才能访问其内容。

VMware 共享公共目录

每个组织都可以访问 VMware 共享公共目录。该目录包含符合 IBM 要求的映像，这些映像已经过配置，受到保护且可供使用。

查看 VMware 共享的以下注意事项：

使用时需要支付操作系统许可费用。有关商业操作系统许可证租用如何计费的详细信息，请参阅 VMware 共享定价。
配置为 IBM 专用网络服务的公共模板需要额外的配置步骤，以启用虚拟机访问 IBM 服务网络。有关详细信息，请参阅通过使用专用网络启用虚拟机访问 IBM Cloud 服务。
公共模板需要最低级别的定制来确定初始管理员密码。有关详细信息，请参阅更改虚拟机的客户操作系统自定义属性。

公共目录包含以下组件的 vApp 模板：

vApp 模板
图像	版本
CentOS	7.x 和 8.x
Microsoft® Windows®	2022 标准
Microsoft Windows	2019 Standard
Microsoft Windows	2016 Standard
Red Hat Enterprise Linux®	8.1
Red Hat Enterprise Linux	7.7

CentOS模板

公共目录中提供的 CentOS 模板具有以下特征：

已安装最新更新
已安装 VMware Tools
已启用 YUM 存储库，并配置为 IBM 专用网络 YUM 存储库
配置到 IBM 专用网络的 NTP 服务器 NTP 服务器

Microsoft Windows模板

公共目录中提供的 Microsoft Windows 模板具有以下特点：

已安装最新更新
已启用 Windows 更新，并配置为 IBM 专用网络 Windows 更新服务器
已安装 VMware Tools
已禁用 Windows 远程桌面
已激活防火墙
已激活 Windows Defender
配置到 IBM 专用网络的 NTP 服务器 NTP 服务器
Windows 许可证配置为使用 IBM 服务网络 Microsoft 密钥管理服务器 (KMS) 而不是互联网 Microsoft KMS 激活和接收更新

Red Hat Enterprise Linux 模板

公共目录中提供的 Red Hat Enterprise Linux 模板具有以下特点：

已安装最新更新
已安装 VMware Tools
已激活防火墙
配置到 IBM 专用网络服务器的 NTP 服务器

在租户门户上部署虚拟机后，在 IBM RHEL Capsule Server 中使用 RHEL 激活密钥注册 Red Hat 虚拟机。要使用 RHEL 激活密钥注册 Red Hat VM，必须启用 VM 访问以连接到 IBM 服务网络。有关详细信息，请参阅通过使用专用网络启用虚拟机访问 IBM Cloud 服务。

完成以下步骤，使用 RHEL 激活密钥注册 Red Hat 虚拟机。有关访问虚拟数据中心详细信息的更多信息，请参阅查看虚拟数据中心摘要的步骤。

从 IBM Cloud for VMware Solutions 控制台，单击 VMware 共享 虚拟数据中心表中的虚拟数据中心名称。
在虚拟数据中心详细信息页面，找到并记下 Red Hat 激活密钥。
从 Red Hat 虚拟机运行以下命令。
1. rpm -ivh http://52.117.132.7/pub/katello-ca-consumer-latest.noarch.rpm
2. uuid = uuidgen 其中， uuidgen 周围使用的字符是重音符号或回车键。
3. echo '{"dmi.system.uuid": "'$uuid'"}' > /etc/rhsm/facts/uuid_override.facts
4. cat /etc/rhsm/facts/uuid_override.facts 确保 uuid_override.facts 的内容包含生成的 UUID。
5. subscription-manager register --org="customer" --activationkey="ACTIVATION_KEY" --force 其中 ACTIVATION_KEY 是虚拟数据中心详细信息页面上的 Red Hat 激活密钥。

如果您已经在IBM之外订购了 RHEL，您仍然可以使用另一个 RHEL 胶囊服务器或卫星服务器。 RHEL 许可证的费用由在虚拟数据中心运行的 RHEL 虚拟机承担。

定义目录和策略

要创建目录，您必须拥有 Organizational Administrator 或 Catalog Author 租户门户角色。

有关定义目录和策略的更多信息，请参阅使用目录。

上传媒体或模板

可以将 OVF 包作为 vApp 模板上传到目录，以便向用户提供模板。更多信息，请参阅使用您的 VMware 云总监租户门户从OVF文件创建 vApp 模板。

ISO 磁盘映像和 FLP 磁盘驱动器映像等介质文件可作为介质文件上载到目录中。更多信息，请参阅 VMware 云总监租户门户中的上传媒体文件。

最大导入容量为 750 GB。大型图像文件或模板可能需要很长时间才能上传。如需帮助处理超过 750 GB 的文件，请按照获取帮助和支持中的步骤打开 IBM 支持票单。

虚拟机

使用租户门户时，可以创建虚拟机 (VM) 或从模板调配虚拟机。

更多信息，请参阅 VMware 云总监租户门户中的创建独立虚拟机。

自定义虚拟机属性

你可以编辑虚拟机的属性，包括虚拟机名称和描述、硬件和网络设置，以及客户机的操作系统设置。

有关使用虚拟机的更多信息，请参阅 VMware 云总监租户门户中的使用虚拟机。

如果使用租户门户 Password Reset 字段更改 Windows 管理员密码，请确保遵守 Windows 复杂性要求。如果您在租户门户网站中更改密码而不执行此操作，则密码在 Windows VM 模板中不起作用。

更改虚拟机的一般属性

您可以更改虚拟机的名称、描述、存储策略和其他一般属性。

在存储属性之间切换

某些磁盘设置无法在虚拟机打开时更改。例如，您可以在虚拟机打开电源时增加磁盘大小，但除非虚拟机关闭电源，否则无法减小磁盘大小。如果在修改磁盘设置之前必须关闭虚拟机电源，则会显示一条信息。更多信息，请参阅 VMware 云总监租户门户中的关闭虚拟机。

有关更改存储策略的更多信息，请参阅更改虚拟机的常规属性。

如果必须在更改存储策略前关闭虚拟机电源，请在将虚拟机移动到新存储策略后重新打开虚拟机电源。更多信息，请参阅 VMware 云总监租户门户中的虚拟机电源。

启用计算策略

计算策略适用于 VMware 伸展的 vSAN 虚拟数据中心。在拉伸位置创建新虚拟机时，会使用该虚拟数据中心可用的 compute_policies。此外，您还可以通过编辑虚拟机硬件属性从一种计算策略更改为另一种计算策略。

在故障转移过程中，虚拟机会移动到辅助站点。当首选站点恢复后，虚拟机会自动返回首选站点并恢复计算策略。

您可以为每个虚拟机选择您偏好的计算策略，VMware Solutions 会尝试将虚拟机保留在偏好的数据中心（如果它正常运行）。

从租户门户，单击左侧面板中的 虚拟机。
单击 Hardware 展开列表，然后单击 Compute。
找到 Placement Policy 并单击 EDIT。
选择计算策略，然后单击保存。

更改虚拟机的硬件属性

您可以更改虚拟机的硬件属性、vCPUs, 内存数量、硬盘分配和网络配置。

更改虚拟机的客户操作系统自定义属性

对于所有平台，访客操作系统定制都是可选的。打开 VM 电源期间，VM 必须加入 Windows 域。

使用 IBM 模板创建虚拟机时，请使用 Guest OS Customization 窗格获取或设置操作系统实例的唯一密码。确保选择了启用访客自定义选项，然后使用密码重置选项之一建立初始管理员凭证。

更多信息，请参阅更改来宾操作系统自定义虚拟机。

更改虚拟机的高级属性

在高级设置中，可以配置资源分配设置（共享、预留和限制），以确定为虚拟机提供的虚拟 CPU ( vCPU )、内存和存储资源的数量。

更多信息，请参阅 VMware 云总监租户门户中的“编辑虚拟机属性”。

使用 IBM 模板

如果虚拟机是从公共目录中提供的 IBM 模板部署的，则密码要求适用。您必须使用首次登录虚拟机时在开机过程中生成的初始密码。您可以在虚拟机详细信息页面找到该密码。

在 Guest OS Customization 窗格中，单击 EDIT。
在编辑访客属性窗格中，找到指定密码字段中的密码。
使用初始密码登录成功后，返回编辑访客属性窗格重置密码，并使用新密码再次登录。

vApps

vApp 由一个或多个虚拟机组成，这些虚拟机通过网络进行通信，并使用虚拟数据中心中的资源和服务。创建 vApp 并添加虚拟机和网络。

vApps,更多信息，请参阅使用 vApps。

网络

每个 VMware 共享虚拟数据中心都配置了一个边缘网关，带有五个公共 IP 地址和一个专用 IBM 服务网络 IP 地址。您可以打开IBM Cloud支持票单，为您的虚拟数据中心申请另外五个公共 IP 地址或整个子网。

请在支持单中提供以下详细信息：

虚拟数据中心区域和位置
组织标识
虚拟数据中心名称
所需 IP 地址数量

有关开立支持票单的更多信息，请按照获取帮助和支持中的步骤操作。

边缘网关服务可供客户配置，这些服务需要配置才能允许进出客户组织虚拟数据中心的网络流量。要访问因特网和 IBM Services 网络，需要进行相关配置。五个公共地址用于面向公众的 vApp，以处理入站和出站公用因特网流量。

服务地址用于访问 IBM Cloud 内部专用网络上的一些 IBM Cloud 基础设施服务。清单包括以下服务

NTP
Windows 操作系统许可和更新
Red Hat操作系统许可和更新
Cloud Object Storage

VMware 共享虚拟数据中心中提供两种类型的组织虚拟数据中心网络：路由和内部。

路由网络

只能由同一组织的虚拟数据中心访问。只有本组织虚拟数据中心的虚拟机才能连接到该网络。此网络还提供对外部网络的受控访问权。组织管理员可以配置网络地址转换（NAT）、防火墙和 VPN 设置，使特定虚拟机可从外部网络访问。

内部或隔离网络

只能由同一组织的虚拟数据中心访问。只有本组织虚拟数据中心中的虚拟机才能连接到本组织内部虚拟数据中心网络并查看其流量。

隔离的组织虚拟数据中心网络为组织虚拟数据中心提供一个隔离的专用网络，多个虚拟机和 vApps 可以连接到该网络。该网络不提供与本组织虚拟数据中心以外的虚拟机的连接。组织虚拟数据中心之外的虚拟机无法连接到组织虚拟数据中心内的虚拟机。

创建网络

从租户门户，使用以下步骤创建示例网络拓扑，其中包括：配置 DHCP 服务、定义源 NAT (SNAT) 和目标 NAT (DNAT) 规则，以及在边缘网关上创建防火墙规则以允许访问互联网。从租户门户 数据中心选项卡完成这些程序。

IBM Cloud for VMware Solutions network topology

创建路由组织虚拟数据中心网络

有关如何创建路由组织的更多信息，请参阅 VMware 云总监租户门户中的添加路由组织虚拟数据中心网络。

查看以下创建路由组织虚拟数据中心网络的注意事项。

虚拟数据中心只有在同一地区才能共享网络。当组织虚拟数据中心内的应用程序将预订或分配池设置为分配模式时，您可以选择设置 Shared 选项。在这种情况下，该应用程序可能没有足够的空间来运行更多 VM。要解决此问题，可以创建具有随需应变功能的辅助组织虚拟数据中心，并在该网络上临时运行更多 VM。
从 Edge Connection 页，选择创建虚拟数据中心时创建的边缘。
为接口类型选择分布式。
重复该步骤，创建另一个“组织”虚拟数据中心网络。给网络一个不同的 Name （如 App ）和一个不同的 Gateway CIDR （如 192.168.101.1/24 ）。

验证网络已连接到边缘

使用添加静态路由的步骤，验证之前定义的“组织”虚拟数据中心网络是否被列为静态路由。单击 Create (+) 时，找到 Next Hop 字段，并确认 52.117.132.2 已显示。此值为边缘网关的内部接口。

在边缘网关上配置 DHCP

您可以选择在边缘网关上配置 DHCP，以便为连接到组织虚拟数据中心网络的虚拟机自动分配 IP 地址。如果使用静态 IP 地址，则无需此步骤。

从该边缘网关的虚拟数据中心配置 DHCP。对连接到需要 DHCP 服务的边缘的其他组织虚拟数据中心网络重复该步骤。更多信息，请参见在 VMware 云总监租户门户中为 vSphere 边缘网关的NSX数据中心添加DHCP IP池。

查看以下在边缘网关上配置 DHCP 的注意事项。

IP 范围是连接到边缘的组织虚拟数据中心网络的范围。
您可以现在定义 Primary Name Server 和 Secondary Name Server 的名称，也可以稍后更新名称。
默认网关是连接到边缘的网关 CIDR 或组织虚拟数据中心网络。
确保将 DHCP 服务状态设置为启用。

将 VM 连接到网络

独立虚拟机或 vApp,可以连接到组织虚拟数据中心网络。

从租户门户访问虚拟机的硬件属性，并将新网络接口添加到 NICs 字段。对其他虚拟机重复该步骤。更多信息，请参阅更改虚拟机的硬件属性。

虚拟机连接到“组织”虚拟数据中心网络后，就能相互通信。您可以从一个虚拟机 ping 到另一个虚拟机进行测试。如果 ping 命令没有响应，请检查操作系统防火墙是否允许 ICMP。

启用入站和出站流量

要使“组织”虚拟数据中心网络上的虚拟机能够访问外部网络，请配置 SNAT（源网络地址转换）规则和防火墙策略，以允许虚拟机流量出站。要允许来自外部网络的入站流量，必须配置 DNAT（目标网络地址转换）规则和防火墙策略。

在创建防火墙和 NAT 规则之前，请获取后续步骤所需的信息。

从租户门户，单击 数据中心。
在主页面的虚拟数据中心下，单击该边缘网关的虚拟数据中心。
在网络下的左窗格中，单击边缘。
在“配置”下，选择 网关接口。复制表中租户外部网络和服务网络的值。使用租户外部地址，可以路由到外部网络；使用服务网络地址，可以路由到 IBM 专用网络。
返回 IBM Cloud for VMware Solutions 控制台。从 Resources > VMware 共享 页，复制分配给虚拟数据中心的公共 IP 地址。

创建组织虚拟数据中心网络防火墙规则，允许访问外部网络

从该边缘网关的虚拟数据中心创建网络防火墙规则。有关详细信息，请参阅为vSphere边缘网关防火墙规则添加 NSX 数据中心。

查看以下有关创建组织虚拟数据中心网络防火墙规则以允许访问外部网络的说明。

对于源，您可以使用 IP 地址、地址范围或对象。
在 Browse objects of Type 菜单中选择 Org Vdc Networks。选择您创建的“组织”虚拟数据中心网络作为 Source 单元。单击向右箭头，将组织虚拟数据中心网络移动到 筛选器 列中。
保留所有剩余的默认选择。
在 Action 中，选择接受。
要定义源 IP 地址或范围，请单击 Source 单元中的 IP 并设置 IP 地址或范围，以允许该子网中的所有内容。例如，192.168.100.2 或 192.168.100.0/24。选择默认值时，目的地和服务被设置为任意。

外部网络的源 NAT 定义

有必要制定源 NAT 规则，以允许从组织虚拟数据中心网络出站到互联网的流量。从该边缘网关的虚拟数据中心创建 NAT44 规则。更多信息，请参阅添加SNAT或DNAT规则。

查看以下注释，了解源 NAT 定义。

在 NAT44 Rules 下，单击 SNAT Rule 并使用以下选择创建配置。

对于 Applied On，选择组织虚拟数据中心外部网络。
对于 原始源 IP/范围，请输入您的组织虚拟数据中心网关 CIDR。
对于 Translated Source IP/Range，单击 SELECT。然后，在选择 IP 地址网络中，选择外部网络并从分配给虚拟数据中心的外部网络地址中选择一个。
可选择输入目标端口。
可选择输入描述。说明有助于稍后识别 SNAT 规则。
设置为 已启用。
可选择启用日志记录。日志不保存。如果想获得历史数据，必须设置一个系统日志服务器。

创建组织虚拟数据中心网络防火墙规则，允许访问 IBM Cloud 服务网络

从该边缘网关的虚拟数据中心创建网络防火墙规则。有关详细信息，请参阅为vSphere边缘网关防火墙规则添加 NSX 数据中心。

查看以下说明，以创建组织虚拟数据中心网络防火墙规则，允许访问 IBM Cloud 服务网络。

对于 Source 可以使用 IP 地址、地址范围或对象。
在 Browse objects of Type 菜单中选择 Org Vdc Networks。选择您创建的“组织”虚拟数据中心网络作为 Source 单元。单击向右箭头，将组织虚拟数据中心网络移动到 筛选器 列中。
目的地可以是 IP 地址、地址范围或对象。在 Destination 列中，单击单元格右上方的 +，此时鼠标悬停在字段中。在 Browse objects of Type 菜单中选择 Gateway Interfaces。选择虚拟数据中心可用的服务网络。单击右箭头，将服务网络移至右侧过滤栏。
在 Action 中，选择接受。
要定义目标 IP 地址或范围，请单击目标单元格中的 IP 并设置 IP 地址或范围，以允许该子网中的所有内容。例如，192.168.100.2 或 192.168.100.0/24。

到 IBM 服务网络（专用）的源 NAT 定义

要允许来自组织虚拟数据中心网络的流量进入 IBM Cloud 服务网络，必须使用源 NAT 规则。此规则用于启用虚拟机访问 IBM Cloud 服务，如更新服务器、DNS 服务器、NTP 服务器，或访问 IBM Cloud Object Storage。

从该边缘网关的虚拟数据中心，创建指向 IBM 服务网络（专用）的源 NAT 定义。更多信息，请参阅添加SNAT或DNAT规则。

在 NAT44 Rules 下，单击 SNAT Rule 并使用以下选择创建配置。

在 Applied On 中，选择服务网络。
对于 原始源 IP/范围，请输入您的组织虚拟数据中心网关 CIDR。
对于 Translated Source IP/Range，单击 SELECT。在 选择 IP 地址 网络菜单中，选择服务网络并从分配给虚拟数据中心的服务网络地址中选择一个。
可选择输入目标 IP 地址。
可选择输入目标端口。
可选择输入说明。说明有助于稍后识别 SNAT 规则。
设置为 已启用。
可选择启用日志记录。日志不保存。如果想获得历史数据，必须设置一个系统日志服务器。

如果在边缘启用了 DHCP 服务，则可以通过登录连接到定义了防火墙和 DNAT 规则的网络的其中一个虚拟机来测试互联网连接性。

步骤因虚拟机操作系统和网络配置而异：

对于 Windows 虚拟机，更新 DHCP 租约。打开命令行并发出 ipconfig /renew 命令。
对于 Linux 虚拟机，请键入 systemctl restart NetworkManager.service。根据 Linux 的类型和版本，该命令可能会有所不同。在命令行中，ping 8.8.8.8 或 9.9.9.9. 如果一切配置正确，您就会收到回复。如果需要名称解析，但尚未定义 DNS 服务器，可以在虚拟机上配置 9.9.9.9 或 8.8.8.8，编辑 DHCP 池并在其中定义。

目标 NAT 定义和端口转发

目标 NAT 允许外部主机（这里指互联网）连接到组织虚拟数据中心网络的内部主机。目标 NAT 将一个 IP 地址或端口映射到另一个 IP 地址或端口。以下说明是配置 DNAT 和端口转发以允许 Windows 远程桌面连接到“组织”虚拟数据中心的 Windows 虚拟机的示例。端口转发是可选的。

从边缘网关的虚拟数据中心创建目标 NAT 定义。更多信息，请参阅添加SNAT或DNAT规则。

在 NAT44 Rules 下，单击 DNAT Rule 并使用以下选择创建配置。

对于 Applied On，请选择 <datacenter>-w<idx>-tenant-external 接口，例如 dal13-w02-tenant-external。
对于原始源 IP/范围，从子分配公共 IP 地址范围中选择一个 IP 地址。单击选择，然后从 IP 地址菜单中选择一个 IP。该值就是未来步骤中引用的 tenant-external IP address 值。点击保留。
可选择端口转发。单击 Protocol 菜单箭头，然后选择 TCP。
选择之前未与原始 IP 地址或范围一起使用的端口。本例中的原始端口是 8000。低于 1024 的端口为保留端口。
如果在 Protocol 菜单中选择了 ICMP，请选择 ICMP 类型。
在 Translated IP/Range 中，键入要连接的私有 Organization 虚拟数据中心上虚拟机的 IP 地址。
对于“翻译端口”，选择服务程序正在监听的前一个虚拟机上的端口。在 Windows RDP 示例中，默认远程桌面端口为 3389。
（可选）提供描述。

从该边缘网关的虚拟数据中心添加防火墙规则，以启用端口转发。有关详细信息，请参阅为vSphere边缘网关防火墙规则添加 NSX 数据中心。

查看以下有关目标 NAT 定义和端口转发的说明。

对于源，如果要将对内部组织虚拟数据中心 VM 的访问限制为特定 IP 或 IP 范围，则可选择定义源。
对于 Destination，将值设置为 DNAT 规则中 Original IP/Range 使用的 tenant-external IP address 值。
对于服务，将协议设置为 TCP，将目标端口设置为 DNAT 规则中使用的 tenant-external IP address。示例中使用的是 8000 端口。

要测试配置，请使用远程桌面客户端，并将 tenant-external IP address:port number 作为“计算机”字段中的目标进行连接。

通过使用专用网络启用虚拟机访问 IBM Cloud 服务

您可以配置在虚拟数据中心内运行的 vApps 和虚拟机使用 IBM Cloud 专用网络访问 IBM Cloud 服务。通过专用网络来访问 IBM Cloud 服务可以节省出站公用联网成本，并且可以提供更高的可靠性和安全性。虚拟数据中心通过虚拟数据中心服务网络（配置为虚拟数据中心边缘上的可用外部网络）路由到 IBM Cloud 专用网络。

VMware 共享完全支持访问 IaaS 端点的 IBM Cloud 虚拟私有云 (VPC)。有关详细信息，请参阅 VPC 可用端点。

以下服务可用：

可用的服务
服务	IP 地址（端点）
Microsoft Windows Update Server	52.117.132.5
Microsoft 密钥管理服务器	52.117.132.4
Red Hat 胶囊服务器	52.117.132.7
DNS	161.26.0.10 (`rs1.adn.networklayer.com`) 和 161.26.0.11 (`rs2.adn.networklayer.com`)
Ubuntu 和 Debian APT 镜像	161.26.0.6 (mirrors.adn.networklayer.com)
RHEL 和 CentOS YUM repo	161.26.0.6 (mirrors.adn.networklayer.com)
NTP	161.26.0.6 (time.adn.networklayer.com)
IBM Cloud Object Storage	`s3.direct.xxx.cloud-object-storage.appdomain.cloud`

通过两个边缘配置步骤，启用对服务网络的访问。

为 VMware Solutions 共享添加 NAT 规则

添加 NAT 规则，用于将内部网络地址转换为服务网络 IP 地址空间。

登录 VMware Cloud Director 租户门户。
单击虚拟数据中心的边缘选项卡，然后打开单个预配置的边缘。
在外部网络部分，单击 IP 设置链接。从显示的表格中查找服务网络名称和为服务网络接口分配的 IP 地址。服务网络名称的格式为 <datacenter>-w<idx>-service<idx>，例如 dal13-w02-service02。
单击 SERVICES 打开边缘网关配置页面。单击 NAT 选项卡并单击 + SNAT RULE 添加 SNAT 规则。
选择“应用于”字段旁边的服务网络，并将其中一个虚拟数据中心组织网络的 IP 地址或范围添加到“原始源 IP/范围”字段。
在 Translated Source IP/Range 字段中，单击 Select。从 Network 菜单中选择服务网络。从 IP 地址菜单中选择要使用的服务 IP 地址。
可选择定义 Description 字段。
确认已选择 Enabled 并单击 KEEP。
单击保存更改。

为 VCF as a Service 添加 NAT 规则

添加 NAT 规则，用于将内部网络地址转换为服务网络 IP 地址空间。

登录 VMware Cloud Director 租户门户。
从 Virtual Data Center 下的主页面，单击要添加 NAT 规则的虚拟数据中心。
在 Networking 下的左窗格中，单击 Edges 并打开单个预配置边缘。
在 Services 部分下，单击 NAT 选项卡，然后单击 NEW 添加 SNAT 规则。
在 Add NAT Rule 窗口中完成以下配置：
1. 输入 NAT 规则的名称。
2. 在 接口类型字段中选择 SNAT。
3. 在 External IP 字段中，单击信息图标查看可用 IP 地址，然后输入要使用的外部 IP 地址。
4. 在 Internal IP 字段中，输入内部 IP 地址，包括要翻译的 CIDR。通常情况下，最好使用 RFC1918 专用范围内的子网，但并非必须。例如，192.168.10.0/24。
验证高级设置字段，然后单击保存。

添加 VMware Solutions共享的防火墙规则

添加防火墙规则，用于允许从内部网络流至服务网络的流量。

单击防火墙选项卡，然后单击 + 以添加防火墙规则。
将内部网络中的 IP 地址或范围添加到源字段。
在52.117.132.1/24目标**字段中添加 **。
对于Any服务字段，指定，对于Accept操作字段，指定。
单击保存更改。

完成先前配置后，就可以在虚拟数据中心的 VM 上使用支持的 IBM Cloud 服务。

如果 vApp 或 VM 是通过公共目录中提供的 IBM 模板部署的，那么这些服务已在 VM 上进行配置。要启用连接，必须完成添加 NAT 规则和添加防火墙规则中的先前步骤。

为 VCF as a Service 添加防火墙规则

添加防火墙规则，用于允许从内部网络流至服务网络的流量。添加防火墙规则前，必须定义 IP 集。

定义 IP 集。
1. 登录 VMware Cloud Director 租户门户。
2. 从 All Edge Gateways 下的主页面，单击要添加防火墙规则的虚拟数据中心。
3. 在 IP 管理下的左窗格中，单击 IP 分配。记下外部分配的 IP。
4. 在 Security 下的左窗格中，单击 IP 设置。然后点击“新建”。
5. 在 Edit IP Set 窗口中，输入 IP 集的名称并添加要使用的 IP 地址。然后，单击保存。
添加防火墙规则。
1. 在服务部分，单击防火墙选项卡，然后单击编辑规则。然后，单击 NEW ON TOP 添加防火墙规则。
2. 将内部网络中的 IP 地址或范围添加到源字段。
3. 在 Destination 字段中添加 IP 设置。
4. 在 Action 字段中选择 Allow。
5. 单击保存。

完成先前配置后，就可以在虚拟数据中心的 VM 上使用支持的 IBM Cloud 服务。

为 VMware Solutions共享创建 vApp 网络

如果尚未完成，请创建至少包含两个虚拟机的 vApp。有关更多信息，请参阅 Working with vApps。

从租户门户网站，单击页面左上角的菜单图标，然后选择数据中心。
从 Virtual Data Center 下的主页面，单击要在其中创建 vApp 网络的虚拟数据中心。
在左侧窗格“**计算 **”下单击 vApps.
单击要添加 vApp 网络的 vApp 上的详细信息。
单击 Network 选项卡，然后在 vApp Fencing 部分中单击 New。
选择 vApp 网络。
填写名称和网关 CIDR 字段。例如，Web 和 192.168.33.1/24。
(可选）提供 DNS 信息。
将 Static IP Pools 部分留空。
将滑块设置为“连接到组织 VDC 网络”。
单击添加。

有关更多信息，请参阅在 vApp。

为 VCF as a Service 创建 vApp 网络

如果尚未完成，请创建至少包含两个虚拟机的 vApp。有关更多信息，请参阅 Working with vApps。

从租户门户网站，单击页面左上角的菜单图标，然后选择数据中心。
从 Virtual Data Center 下的主页面，单击要在其中创建 vApp 网络的虚拟数据中心。
在左侧窗格“**计算 **”下单击 vApps.
单击要添加 vApp 网络的 vApp 网络。
单击 Networks 选项卡，然后单击 NEW 中的 vApp Fencing 部分。
在 Add Network to 窗口中，选择 OrgVDC Network 并选择网络名称。
单击添加。

有关更多信息，请参阅在 vApp。

配置专用网络终端

每个专用网络端点都配置有一个专用网络 IP 地址，可用于配置虚拟数据中心。

配置专用网络终端的前提条件

审查 VCF as a Service 概览。
您必须有一个正在运行的虚拟机。
虚拟机必须连接到路由组织虚拟数据中心网络。有关详细信息，请参阅创建路由组织虚拟数据中心网络和将虚拟机连接到网络。
您必须在允许列表 IP 地址或子网所属的账户上启用虚拟路由和转发以及服务端点。有关更多信息，请参阅启用 VRF 和服务端点。

收集网络 IP 地址

收集服务网络和专用网络 IP 地址，以配置防火墙和 DNAT 规则。

在 VMware Solutions 控制台中，从左侧导航面板单击资源 > VMware 共享。
在 VMware 共享 表中，单击要配置的虚拟数据中心。
在 Private Network Endpoint 部分，收集 Service network IP 地址和 Private network IP 地址。

为 VMware NSX Edge 服务网关配置防火墙规则

防火墙规则允许来自专用网络 IP 的流量通过边缘服务网关。您可能需要重复此过程（步骤 5 - 10），以允许不同的流量进入虚拟数据中心，具体取决于您需要开放哪些端口和协议。

从租户门户，单击 数据中心。
从 Virtual Data Center 下的主页面，单击要配置专用网络的虚拟数据中心。
在网络下的左窗格中，单击边缘。
在右窗格中，选择网络并单击 SERVICES。
单击防火墙选项卡，然后单击 + 以添加防火墙规则。
将从 IBM Cloud 虚拟数据中心详细信息页面收集的私有网络 IP 添加到 Source 字段。
将从 IBM Cloud 虚拟数据中心详细信息页面收集的服务网络 IP 添加到 Destination 字段。
选择协议（TCP、UDP 或任意），并在 Service 字段中指定端口。
在 Accept 字段中选择 Action。
单击保存更改。

有关详细信息，请参阅为vSphere边缘网关防火墙规则添加 NSX 数据中心。

为 NSX Edge 服务网关配置 DNAT 规则

要允许从专用网络端点到虚拟数据中心的流量，必须使用目的地 NAT 规则。

从边缘网关服务窗格，单击 NAT 选项卡。
在 NAT44 规则下，单击 + DNAT 规则。
从边缘网关设置部分的 IP 地址表中查找为服务网络接口分配的服务网络名称。服务网络名称的格式为 w<idx>-service<idx>，例如 w02-service02。
单击“已应用”箭头并选择服务网络接口。
将服务网络 IP 添加到 Original Source IP/Range 中。
单击 Protocol 并为入站流量选择端口类型。
对于 TCP 或 UDP 协议，单击 原始端口，然后输入您要允许的端口范围。对于 Any 协议，跳过此步骤。
Translated Source IP/Range 是连接到路由组织虚拟数据中心的虚拟机的 IP 地址。
对于 TCP 或 UDP 协议，选择 Translated Port 以将流量路由至该端口。对于 Any 协议，跳过此步骤。
跳过 ICMP 类型，并可选择输入描述。点击保留。
单击保存更改。

验证专用网络终端连接

要验证专用网络端点连接，请登录 IBM Cloud 基础架构账户中的虚拟服务器实例资源。要连接到虚拟数据中心的虚拟机，请使用 SSH、RDP 或 Ping（如果启用了 ICMP）。

确保组织虚拟数据中心网络类型为 routed。

有关创建专用网络端点的更多信息，请参阅订购专用网络端点以将 IBM 帐户连接到 VMware 共享虚拟数据中心。还提供了一个成功配置的示例。

使用网络高可用性

使用网络高可用性（HA）将您的 VMware 网络锚定在两个数据中心。

您必须访问数据中心组才能使用网络高可用性功能。数据中心组作为跨虚拟数据中心路由器，可提供以下功能。

网络集中管理
为多个虚拟数据中心的多个出口点进行配置
组内所有网络之间的东西向流量

更多信息，请参阅 VMware 云总监租户门户中的管理组织虚拟数据中心网络。

数据中心群组不需要物理隔离。但是，为了实现最佳冗余，建议实施的数据中心组将出口点设置在两个不同的物理数据中心，例如 Dallas 10 和 Dallas 12。

创建本地数据中心组的步骤

从 IBM Cloud for VMware Solutions 控制台的主导航栏中，选择 Data Centers > Data Center Groups，然后单击 New Data Center Group。
完成新数据中心组的配置。
1. 在名称选项卡上，输入数据中心组的名称，然后选择创建本地组。单击 下一步。
2. 在 Network Pool 选项卡上，选择网络池。单击下一步。
3. 在 Data Centers 选项卡上，选择要包含在数据中心组中的虚拟数据中心。单击下一步。
4. 在 Review 选项卡上，确认配置并单击 FINISH。

创建数据中心组，并将 NSX 分布式逻辑路由器 (DLR) 与该组关联。

添加出口点的步骤

NSX 边缘服务网关 (ESG) 必须有一个用于连接 DLR 的空闲接口（vNIC）。如果 ESG 没有任何可用接口，Add Egress Point 或 Add StandBy Egress Point 任务将失败。

从 IBM Cloud for VMware Solutions 控制台的主导航栏中，选择 数据中心 > 数据中心组，然后单击数据中心组的 详细信息。
在 Network Topology 选项卡上，单击 Add Egress Point 或 Add Stand By Egress Point。
从添加的虚拟数据中心中选择一个 ESG，然后单击添加。出口点已创建。

如果必须改变出口点的角色，则显示 Swap Egress Points，而不是 Add Egress Point 或 Add Stand By Egress Point。

从租户门户修改 BGP 配置。在活动和备用出口点的 ESG 设置中，单击 Routing > BGP。查看 Enable BGP、Enable Graceful Restart 和 Enable Default Originate 的更改。

创建并管理一个新邻居。如果 Local AS 以前设置为 65010 以外的值，则会被覆盖。新邻居是通过使用每个 ESG 的 DLR 接口创建的组。网络为 192.168.253.0/30，目前无法更改，否则 DCG 功能无法正常工作。主动 ESG 权重为 60，备用权重为 30。

添加延伸网络的步骤

添加延伸网络，使用跨虚拟数据中心网络。

从 IBM Cloud for VMware Solutions 控制台的主导航栏中，选择 数据中心。
在 Stretched Networks 选项卡上，单击 ADD。
在 New Stretched Network 中输入名称、网关 CIDR，然后单击 CREATE。新网络现在可用于数据中心组虚拟数据中心的 BGP。

现在，您已准备好将虚拟机放到跨虚拟数据中心网络上，并构建您的用例。

启用 VMware Chargeback

VMware Chargeback（原 VMware Aria® Operations™ Tenant App for VMware Cloud Director）功能在组织调配时默认启用。从 Cloud Director 租户门户，单击 More > Operations Manager 访问 VMware Chargeback。

如果 Operations Manager 选项在 More 菜单中不可用，请打开 IBM ServiceNow 票据，并提交在您的组织中启用 VMware Chargeback 功能的请求。

为组织启用 VMware Chargeback 功能后，组织中定义的用户就可以访问该功能。

VMware Chargeback 中的计费链接已禁用。 VMware 共享的所有计费均通过 VMware Solutions控制台处理。

删除 OpenID Cloud Director 组织中的 VMware 连接配置

在重置 VMware 共享实例站点的 IAM 集成之前，必须删除所有 OpenID Connect (OIDC) 用户和具有 OIDC 类型的导入组，然后再删除 OIDC 提供程序。

只有当您的站点 VMware 云计算总监组织与 IAM 集成时，单点登录才可用。

从 VMware Cloud Director 控制台，单击 SIGN IN WITH SINGLE SIGN-ON 登录门户。
单击顶部菜单栏上的管理。
在左侧导航面板的“访问控制”下单击“用户”。
在“用户”窗格中，选择所有 OIDC 类型用户，然后单击“删除”。
在左侧导航面板的访问控制下，单击组。
在组窗格中，选择具有 OIDC 类型的所有组，然后单击删除。
在左侧导航面板的身份供应商下，点击 OIDC。
在 OpenID Connect 窗格中，单击 DELETE。