初始配置
VMware Cloud Foundation for Classic - Automated 自动化配置 VMware vCenter® Server Appliance (VCSA),默认网关设置为 IBM Cloud 后端客户路由器 (BCR)。 不过,目前还没有通过 BCR 接入互联网的路径。 管理组件从 VCF for Classic - Automated 实例到互联网的标准路径是通过 T0 服务。 由于不建议更改 VCSA 或服务 T0 的配置,因此建议在客户子网上实施代理服务器,以启用 VMware Update Manager (VUM)。
这种方法意味着无需重新配置 VCSA 或服务 T0,但必须安装一个小型虚拟机 (VM)。 代理服务器是一个系统,位于两个端点设备之间,充当中间设备。 在这种情况下,它位于 VMware 的 VCSA 和更新服务器之间。
当 VUM 在 VMware 上向更新服务器请求资源时,请求会先发送到代理服务器,然后代理服务器再将请求发送到更新服务器。 代理服务器获得资源后,会将该资源发送给 VUM。 代理服务器的使用有利于安全性、管理控制和高速缓存服务。
您可以使用基于 Linux 和 Squid 的代理服务器。 Squid 代理是用于 Web 的开放式源代码高速缓存代理,支持许多协议,包括 HTTP 和 HTTPS。 有若干 VM 和基于设备的代理可用,您必须根据企业需求选择适当的代理,并遵循供应商的指导进行安装和配置。 如果您选择使用 Squid,请继续执行以下操作。
- 将 Linux ISO 下载到跳转服务器。
- 创建 vCenter 图书馆。
- 将 ISO 上传到 vCenter 库。
- 创建虚拟机,安装并配置 Linux,然后安装 Squid。
查找子网信息
开始此任务之前,请先收集信息以填充下表。 请复查建议的值,并确保这些值适合您的环境。
要查找客户专用便携式子网的详细信息,请完成以下步骤:
-
在 VMware Solutions 控制台中,从左侧导航面板单击资源 > VCF for Classic。
-
选择所需的实例。
-
单击 Infrastructure 选项卡并选择所需的群集。
-
选择专用 VLAN,找到标有
Private subnet for customer workload edge的子网。 -
选择子网,查看显示 IP 地址及其分配的子网详细信息页面。
-
利用这些信息,选择一个未分配的 IP 地址,并用适当的注释更新注释。 将此 IP 地址用于下表中的
proxy ip参数。
| 参数 | 建议值 | 注释 |
|---|---|---|
| 代理 CPU | 1 个 vCPU | Squid 没有最低要求。 |
| 代理 RAM | 2 GB | Squid 没有最低要求。 |
| 代理磁盘 | 25 GB | Squid 没有最低要求。 |
| 主机名 | Proxy01 |
|
| 地址 | 代理 IP | 必须使用供应过程中分配的客户专用可移植子网中的备用 IP 地址。 |
| 网络掩码 | 255.255.255.192 | 无 |
| 网关 | 客户 T0 uplink1 虚拟 IP 地址 | 该参数是代理服务器的默认网关设置,即客户 T0 的专用上行链路 IP 地址。 通过浏览客户工作负载边缘的可移植专用子网,在 IBM Cloud for VMware Solutions 控制台中查看详细信息,即可找到 IP 地址。 |
| DNS 服务器 | AD/DNS IP | 通过浏览 Resources > VCF for classic > 摘要页面,可以在 IBM Cloud for VMware Solutions 控制台中找到该 IP 地址。 |
| BCR IP | BCR IP | 在选择代理 IP 的同一页面上,注意标有网关的地址。 该地址是 IBM Cloud 后端客户路由器的 IP 地址,是 10.0.0.0/8、161.26.0.0/16 和 166.8.0.0/14 的网关。 稍后,您可以在代理服务器的静态路由中使用该地址,这样它就能到达 VCSA 和 AD/DNS 服务器。 |
| NAT IP | T1 SNAT 地址 | 客户工作负载边缘的公共 T1 SNAT 地址将作为代理的公共 NAT 地址。 在 IBM Cloud for VMware Solutions 控制台中浏览客户工作负载边缘的可移植公共子网,查看详细信息,即可找到此 IP 地址。 |
配置 NSX
NSX-T 客户工作负载 T0 防火墙和 NAT 设置是启用代理服务器流量的必要条件。
设置防火墙
使用下表中的参数添加网关防火墙策略和规则。 有关更多信息,请参阅 添加网关防火墙策略和规则。
| 参数 | 建议值 |
|---|---|
| 名称 | Outbound Proxy01 |
| 源 | 代理服务器 IP |
| 目标 | 任意 |
| 服务 | HTTP/HTTPS/ICMP Echo |
| 操作 | 允许 |
定义 NAT 规则
使用下表中的参数添加 NAT 规则。 有关更多信息,请参阅 配置 SNAT/DNAT/无 SNAT/无 DNAT/反向 NAT。
| 参数 | 建议值 |
|---|---|
| 名称 | Proxy01 SNAT |
| 操作 | SNAT |
| 源 IP | 代理服务器 IP |
| 目标 IP | 任意 |
| 转换的 IP 地址 | NAT IP |
| 已启用 | 是 |
安装和配置代理服务器
以下步骤将从内容库中部署一个托管 Linux Squid 的虚拟机。 在此示例中,Windows® VSI 被配置为跳转服务器,通过 VSI 公共接口的远程桌面协议访问跳转服务器。
- 从版本库中下载 Linux ISO 文件。
- 配置 vCenter 内容库,并用 Linux ISO 文件填充。
- 配置虚拟机并安装 Linux 和 Squid。
下载 Linux ISO 文件
在跳转服务器上使用浏览器下载所需的 Linux ISO 文件。
配置内容库并使用 CentOS ISO 文件填充该内容库
创建本地 vCenter 内容库,请参阅 创建库。 只有在创建该库的 VCF for Classic - Automated 实例中才能访问该库。 使用 Linux ISO 填充库。 请参阅 将项目导入内容库。
配置虚拟机并安装 CentOS 和 Squid
- 创建虚拟机。 更多信息,请参阅 使用新的虚拟机向导创建虚拟机。
- 使用
Content Library ISO File选项将 ISO 附加到虚拟机的 CD/DVD 驱动器上。 更多信息,请参阅 如何添加或修改虚拟机CD或DVD驱动器。 - 按照Linux发行商提供的说明安装Linux。
- 安装 Squid。 Squid的安装因Linux发行版而异。 以下代码仅供参考:
yum -y update
yum -y install epel-release
yum -y update
yum clean all
yum -y install squid
systemctl start squid
systemctl enable squid
systemctl status squid
firewall-cmd –add-port=3128/tcp –permanent
firewall-cmd –reload
初始设置 VUM
配置 VCSA 以使用代理。 有关更多信息,请参阅 配置 DNS、IP 地址和代理设置。