Compartir a través de

Habilitación del servicio VMware Cloud Director con Azure VMware Solution

  • Artículo

VMware Cloud Director service (CDs) con Azure VMware Solution permite a los clientes empresariales usar las API o el portal de servicios de Cloud Director para aprovisionar y administrar centros de datos virtuales a través de varios inquilinos con menor tiempo y complejidad.

En este artículo, aprenderá a habilitar VMware Cloud Director service con Azure VMware Solution para que los clientes empresariales usen recursos Azure VMware Solution y nubes privadas de Azure VMware Solution con recursos subyacentes para centros de datos virtuales.

Importante

VMware Cloud Director service ya está disponible para su uso con Azure VMware Solution solo en el modelo de Contrato Enterprise (EA). No es adecuado para que proveedores de servicios administrados (MSP) o de hospedaje revendan capacidad de Azure VMware Solution a los clientes en este momento. Para más información, consulte Términos del servicio de Azure.

Arquitectura de referencia

El diagrama siguiente muestra la arquitectura típica de Cloud Director service con Azure VMware Solution y cómo se conectan. Un proxy inverso SSL admite la comunicación a los puntos de conexión de Azure VMware Solution desde el servicio Cloud Director.

Diagrama que muestra la arquitectura típica y cómo los VMware Cloud Director service se conecta a Azure VMware Solution.

VMware Cloud Director admite el multiinquilino mediante organizaciones. Una sola organización puede tener varios centros de datos virtuales (VDC) de la organización. Cada centro de datos virtual de la organización puede tener su propio enrutador de nivel 1 dedicado (puerta de enlace perimetral) que se conecta aún más con el enrutador compartido de nivel 0 administrado del proveedor.

Obtenga más información sobre los CDs de la arquitectura de referencia de Azure VMware Solutions

Conexión de inquilinos y centros de datos virtuales de la organización a recursos basados en red virtual de Azure

Para proporcionar acceso a los recursos de Azure basados en la red virtual, cada inquilino puede tener su propia red virtual de Azure dedicada con Azure VPN Gateway. Se establece una VPN de sitio a sitio entre el centro de datos virtual de la organización del cliente y la red virtual de Azure. Para lograr esta conectividad, el inquilino proporciona una dirección IP pública al centro de datos virtual de la organización. El administrador del centro de datos virtual de la organización puede configurar la conectividad de VPN IPSEC desde el portal de Cloud Director service.

Diagrama que muestra la conexión VPN de sitio a sitio y cómo VMware Cloud Director service se conecta a Azure VMware Solution.

Como muestra el diagrama anterior, la organización 01 tiene dos centros de datos virtuales de organización: VDC1 y VDC2. El centro de datos virtual de cada organización tiene sus propias redes virtuales de Azure conectadas con su puerta de enlace perimetral del centro de datos virtual de la organización respectiva a través de la VPN IPSEC. Los proveedores proporcionan direcciones IP públicas a la puerta de enlace perimetral del centro de datos virtual de la organización para la configuración de la VPN IPSEC. Un firewall de puerta de enlace perimetral del centro de datos virtual de la organización bloquea todo el tráfico de forma predeterminada; es necesario agregar reglas de permiso específicas en el firewall de puerta de enlace perimetral de la organización.

Los centros de datos virtuales de la organización pueden formar parte de una sola organización y seguir proporcionando aislamiento entre ellos. Por ejemplo, la VM1 hospedada en la organización VDC1 no puede hacer ping a la máquina virtual de Azure JSVM2 para tenant2.

Requisitos previos

  • El centro de datos virtual de la organización se configura con una puerta de enlace perimetral y tiene direcciones IP públicas asignadas para establecer la VPN IPSEC por proveedor.
  • Los inquilinos han creado una red de centro de datos virtual de organización enrutada en el centro de datos virtual del inquilino.
  • La prueba de VM1 y VM2 se crean en el VDC1 de la organización y VDC2 respectivamente. Ambas máquinas virtuales están conectadas a la red orgVDC enrutada en sus respectivos VDC.
  • Tenga una red virtual de Azure dedicada configurada para cada inquilino. En este ejemplo, hemos creado Tenant1-VNet y Tenant2-VNet para tenant1 y tenant2 respectivamente.
  • Cree una puerta de enlace de red virtual de Azure para redes virtuales creadas anteriormente.
  • Implemente las máquinas virtuales de Azure JSVM1 y JSVM2 para tenant1 y tenant2 con fines de prueba.

Nota:

VMware Cloud Director service admite una VPN basada en directivas. Azure VPN Gateway configura la VPN basada en rutas de forma predeterminada y para configurar el selector basado en directivas de VPN basada en directivas debe habilitarse.

Configuración de la red virtual de Azure

Cree los siguientes componentes en la red virtual de Azure dedicada del inquilino para establecer la conexión de túnel IPSEC con la puerta de enlace perimetral del centro de datos virtual de la organización del inquilino.

  • Puerta de enlace de red virtual de Azure
  • Puerta de enlace de red local.
  • Agregue la conexión IPSEC en VPN Gateway.
  • Edite la configuración de conexión para habilitar la VPN basada en directivas.

Creación de una puerta de enlace de red virtual de Azure

Para crear una puerta de enlace de red virtual de Azure, consulte el tutorial de creación de una puerta de enlace de red virtual.

Crear puerta de enlace de red local

  1. Inicie sesión en Azure Portal y seleccione Puerta de enlace de red local en marketplace y, a continuación, seleccione Crear.
  2. La puerta de enlace de red local representa los detalles del sitio final remoto. Por lo tanto, proporcione la dirección IP pública de la tenant1 y los detalles de la red orgVDC para crear un punto de conexión local para tenant1.
  3. En Detalles de la instancia, seleccione Punto de conexión como dirección IP.
  4. Agregue la dirección IP (agregue la dirección IP pública desde la puerta de enlace perimetral OrgVDC del inquilino).
  5. En Espacio de direcciones, agregue Red VDC de la organización de inquilinos.
  6. Repita los pasos del 1 al 5 para crear una puerta de enlace de red local para el inquilino 2.

Creación de una conexión IPSEC en VPN Gateway

  1. Seleccione la puerta de enlace de VPN de tenant1 (creado anteriormente) y, a continuación, seleccione Conexión (en el panel izquierdo) para agregar una nueva conexión IPSEC con la puerta de enlace perimetral de orgVDC de tenant1.

  2. Escriba los siguientes datos.

    Nombre Connection
    Tipo de conexión De sitio a sitio
    VPN Gateway VPN Gateway del inquilino
    Puerta de enlace de red local Puerta de enlace local del inquilino
    PSK Clave compartida (proporcione una contraseña)
    Protocolo IKE IKEV2 (ORG-VDC usa IKEv2)

  3. Seleccione Aceptar para implementar la puerta de enlace de red local.

Configuración de la conexión IPSec

VMware Cloud Director service admite una VPN basada en directivas. Azure VPN Gateway configura la VPN basada en rutas de forma predeterminada y para configurar el selector basado en directivas de VPN basada en directivas debe habilitarse.

  1. Seleccione la conexión que creó anteriormente y, a continuación, elija la configuración para ver los valores predeterminados.
  2. Directiva IPSEC/IKE
  3. Habilitación del selector de tráfico base de directivas
  4. Modifique todos los demás parámetros para que coincidan con lo que tiene en OrgVDC.

    Nota:

    Tanto el origen como el destino del túnel deben tener una configuración idéntica para IKE, SA, DPD, etc.

  5. Seleccione Guardar.

Configuración de VPN en el enrutador perimetral del centro de datos virtual de la organización

  1. Inicie sesión en el portal de inquilinos de VMware Cloud Director service de la organización y seleccione la puerta de enlace perimetral del inquilino.

  2. Seleccione la opción VPN IPSEC en Servicios y, a continuación, seleccione Nuevo.

  3. En la configuración general, escriba el nombre y seleccione el perfil de seguridad deseado. Asegúrese de que la configuración del perfil de seguridad (IKE, Tunnel y DPD) sea la misma en ambos lados del túnel IPsec.

  4. Modifique Azure VPN Gateway para que coincida con el perfil de seguridad, si es necesario. También puede realizar la personalización del perfil de seguridad desde el portal de inquilinos de CDS.

    Nota:

    El túnel VPN no establecerá si esta configuración no coincide.

  5. En Modo de autenticación del mismo nivel, proporcione la misma clave precompartida que se usa en Azure VPN Gateway.

  6. En Configuración del punto de conexión, agregue la dirección IP pública y los detalles de red pública de la organización en el punto de conexión local y los detalles de la red virtual de Azure en la configuración del punto de conexión remoto.

  7. En Listo para completarse, revise la configuración aplicada.

  8. Seleccione Finalizar para aplicar la configuración.

Aplicación de la configuración del firewall

El firewall del enrutador perimetral del centro de datos de la organización deniega el tráfico de forma predeterminada. Tiene que aplicar reglas específicas para habilitar la conectividad. Siga estos pasos para aplicar reglas de firewall.

  1. Adición de un conjunto de direcciones IP en el portal de VMware Cloud Director service
    1. Inicie sesión en el enrutador perimetral y seleccione Conjuntos de direcciones IP en la pestaña Seguridad del plano izquierdo.
    2. Seleccione Nuevo para crear conjuntos de direcciones IP.
    3. Escriba el nombre y la dirección IP de la máquina virtual de prueba implementada en orgVDC.
    4. Cree otro conjunto de direcciones IP para la red virtual de Azure para este inquilino.
  2. Aplique reglas de firewall en el enrutador perimetral del centro de datos virtual de la organización.
    1. En Puerta de enlace perimetral, seleccione Puerta de enlace perimetral y, a continuación, Firewall en Servicios.
    2. Seleccione Editar reglas.
    3. Seleccione Nuevo en la parte superior y escriba el nombre de la regla.
    4. Agregue los detalles de origen y destino. Use el IPSET creado en origen y destino.
    5. En Acción, seleccione Permitir.
    6. Seleccione Guardar para aplicar las opciones de configuración.
  3. Comprobación del estado del túnel
    1. En Puerta de enlace perimetral, seleccione Servicio y, a continuación, VPN IPSEC.
    2. Seleccione Ver estadísticas.
      El estado del túnel debe aparecer ARRIBA.
  4. Comprobación de la conexión de IPsec
    1. Inicie sesión en la máquina virtual de Azure implementada en la red virtual de inquilinos y haga ping en la dirección IP de la máquina virtual de prueba del inquilino en OrgVDC del inquilino.
      Por ejemplo, haga ping a VM1 desde JSVM1. Del mismo modo, debería poder hacer ping a VM2 desde JSVM2. Puede comprobar el aislamiento entre redes virtuales de Azure de los inquilinos. El inquilino 1 VM1 no puede hacer ping al inquilino 2 de VM JSVM2 de Azure en las redes virtuales de Azure del inquilino 2.

Conexión de la carga de trabajo de inquilino a una red pública de Internet

  • Los inquilinos pueden usar la dirección IP pública para realizar la configuración de SNAT para habilitar el acceso a Internet para la máquina virtual hospedada en el centro de datos virtual de la organización. Para lograr esta conectividad, el proveedor puede proporcionar una dirección IP pública al centro de datos virtual de la organización.
  • Cada centro de datos virtual de la organización se puede crear con el enrutador T1 dedicado (creado por el proveedor) con IP privada y pública reservada para la configuración de NAT. Los inquilinos pueden usar la configuración de SNAT de IP pública para habilitar el acceso a Internet para la máquina virtual hospedada en el centro de datos virtual de la organización.
  • El administrador de OrgVDC puede crear una red orgVDC enrutada conectada a su puerta de enlace perimetral de OrgVDC. Para proporcionar acceso a Internet.
  • El administrador de OrgVDC puede configurar SNAT para proporcionar una máquina virtual específica o usar CIDR de red para proporcionar conectividad pública.
  • OrgVDC Edge tiene una regla de firewall DENY ALL predeterminada. Los administradores de la organización deben abrir los puertos adecuados para permitir el acceso a través del firewall mediante la adición de una nueva regla de firewall. Las máquinas virtuales configuradas en dicha red orgVDC usada en la configuración de SNAT deben poder acceder a Internet.

Requisitos previos

  1. La dirección IP pública se asigna al enrutador perimetral del centro de datos virtual de la organización. Para comprobarlo, inicie sesión en el centro de datos virtual de la organización. En Redes>perimetrales, seleccione Puerta de enlace perimetral y, a continuación, Asignaciones de IP en Administración de IP. Debería ver un intervalo de direcciones IP asignadas allí.
  2. Cree una red del centro de datos virtual de organización enrutada. (Conecte la red OrgvDC a la puerta de enlace perimetral con la dirección IP pública asignada.)

Aplicación de la configuración de SNAT

  1. Inicie sesión en el centro de datos virtual de la organización. Vaya a la puerta de enlace perimetral y seleccione NAT en Servicios.
  2. Seleccione Nuevo para agregar una regla SNAT nueva.
  3. Escriba el nombre y seleccione Tipo de interfaz como SNAT.
  4. En Dirección IP externa, escriba la dirección IP pública del grupo de direcciones IP públicas asignada al enrutador perimetral orgVDC.
  5. En Dirección IP interna, escriba la dirección IP de la máquina virtual de prueba. Esta dirección IP es una de las direcciones IP de la red orgVDC asignadas a la máquina virtual.
  6. El estado debe estar habilitado.
  7. En Prioridad, seleccione un número mayor. Por ejemplo: 4096
  8. Para guardar la configuración, seleccione Guardar.

Aplicación de una regla de firewall

  1. Inicie sesión en el centro de datos virtual de la organización y vaya a Puerta de enlace perimetral; a continuación, seleccione Conjunto de direcciones IP en Seguridad.
  2. Cree un conjunto de IPset. Proporcione la dirección IP de la máquina virtual (también puede usar CIDR). Seleccione Guardar.
  3. En Servicios, seleccione Firewall y, después, Editar reglas.
  4. Seleccione Nuevo en la parte superior y cree una regla de firewall para permitir el puerto y el destino deseados.
  5. Seleccione el IPset que creó anteriormente como origen. En Acción, seleccione Permitir.
  6. Seleccione Aceptar para guardar la configuración.
  7. Inicie sesión en la máquina virtual de prueba y haga ping a la dirección de destino para comprobar la conectividad saliente.

Migración de cargas de trabajo a Cloud Director service en Azure VMware Solution

VMware Cloud Director Availability se puede usar para migrar la carga de trabajo de VMware Cloud Director a VMware Cloud Director service en Azure VMware Solution. Los clientes empresariales pueden impulsar la migración en caliente unidireccional desde el complemento Cloud Director Availability vSphere local, o bien pueden ejecutar el complemento de disponibilidad de Cloud Director desde la instancia de Cloud Director administrada por el proveedor y mover cargas de trabajo a Azure VMware Solution.

Para obtener más información sobre la disponibilidad de VMware Cloud Director, consulte Disponibilidad de VMware Cloud Director | Migración y recuperación ante desastres.

Preguntas más frecuentes

¿Cuáles son las regiones de Azure admitidas para VMware Cloud Director service?

Esta oferta se admite en todas las regiones de Azure en las que Azure VMware Solution está disponible, excepto en Sur de Brasil y Sudáfrica. Asegúrese de que la región en la que desea conectarse a VMware Cloud Director service se encuentra en un intervalo de tiempo de ida y vuelta de 150 milisegundos para la latencia con VMware Cloud Director service.

¿Cómo configurar VMware Cloud Director service en Microsoft Azure VMware Solutions?

Obtenga más información sobre cómo configurar los CDs en Azure VMware Solutions.

¿Cómo se admite VMware Cloud Director service?

VMware Cloud Director service (CDs) es un producto propiedad de VMware y compatible con este conectado a la solución de VMware en Azure. Para cualquier consulta de soporte técnico en CDs, póngase en contacto con el soporte técnico de VMware para obtener ayuda. Los equipos de soporte técnico de VMware y Microsoft colaboran según sea necesario para solucionar y resolver problemas de Cloud Director Service en Azure VMware Solution.

Pasos siguientes

Documentación del servicio director de VMware Cloud
Migración a Azure VMware Solutions con el servicio Cloud Director