Dela via

Aktivera VMware Cloud Director-tjänsten med Azure VMware Solution

Med VMware Cloud Director-tjänsten (CD:er) med Azure VMware Solution kan företagskunder använda API:er eller cloud director-tjänstportalen för att självbetjäna, etablera och hantera virtuella datacenter via flera innehavare med kortare tid och komplexitet.

I den här artikeln får du lära dig hur du aktiverar VMware Cloud Director-tjänsten med Azure VMware Solution för företagskunder för att använda Azure VMware Solution-resurser och privata Azure VMware Solution-moln med underliggande resurser för virtuella datacenter.

Viktigt!

VMware Cloud Director-tjänsten är nu tillgänglig för användning med Azure VMware Solution endast enligt företagsavtal-modellen (EA). Det är inte lämpligt för MSP/Hosters att sälja azure VMware Solution-kapacitet till kunder i det här läget. Mer information finns i Villkor för Azure-tjänsten.

Referensarkitektur

Följande diagram visar typisk arkitektur för Cloud Director-tjänster med Azure VMware Solution och hur de är anslutna. En omvänd SSL-proxy stöder kommunikation till Azure VMware Solution-slutpunkter från Cloud Director-tjänsten.

Diagram som visar typisk arkitektur och hur VMware Cloud Director-tjänsten är ansluten till Azure VMware Solution.

VMware Cloud Director stöder flera innehavare med hjälp av organisationer. En enskild organisation kan ha flera virtuella datacenter för organisationen (VDC). Varje organisations VDC kan ha en egen dedikerad Tier-1-router (Edge Gateway) som är ytterligare ansluten till den providerhanterade delade tier-0-routern.

Läs mer om cd-skivor i referensarkitekturen för Azure VMware Solutions

Anslut hyresgäster och deras organisationers virtuella datacenter till resurser baserade på Azure VNet

För att ge åtkomst till VNet-baserade Azure-resurser kan varje klientorganisation ha sitt eget dedikerade virtuella Azure-nätverk med Azure VPN-gateway. Ett plats-till-plats-VPN mellan kundorganisationen VDC och Azure VNet upprättas. För att uppnå den här anslutningen tillhandahåller klientorganisationen en offentlig IP-adress till organisationens VDC. Organisationens VDC-administratör kan konfigurera IPSEC VPN-anslutning från cloud director-tjänstportalen.

Diagram visar vpn-anslutning från plats till plats och hur VMware Cloud Director-tjänsten är ansluten till Azure VMware Solution.

Som du ser i föregående diagram har organisation 01 två virtuella organisationsdatacenter: VDC1 och VDC2. Det virtuella datacentret i varje organisation har sina egna virtuella Azure-nätverk som är anslutna till respektive organisation VDC Edge-gateway via IPSEC VPN. Leverantörer tillhandahåller offentliga IP-adresser till organisationens VDC Edge-gateway för IPSEC VPN-konfiguration. En ORG VDC Edge-gatewaybrandvägg blockerar all trafik som standard; specifika tillåtelseregler måste läggas till i organisationens Edge-gatewaybrandvägg.

Organisations-VDC:er kan ingå i en enda organisation och ändå tillhandahålla isolering mellan dem. VM1 som finns i organisationen VDC1 kan till exempel inte pinga Azure VM JSVM2 för klientorganisation2.

Förutsättningar

  • Organisationens VDC är konfigurerad med en Edge-gateway och har offentliga IP-adresser tilldelade för att upprätta IPSEC VPN per provider.
  • Hyresgäster skapade ett dirigerat organisations-VDC-nätverk i hyresgästens virtuella datacenter.
  • Test-VM1 och VM2 skapas i organisationens VDC1 respektive VDC2. Båda de virtuella datorerna är anslutna till det dirigerade orgVDC-nätverket i sina respektive VDC:er.
  • Ha ett dedikerat virtuellt Azure-nätverk konfigurerat för varje klientorganisation. I det här exemplet har vi skapat Tenant1-VNet och Tenant2-VNet för tenant1 respektive tenant2.
  • Skapa en Azure Virtual Network Gateway för VNETs som skapades tidigare.
  • Distribuera virtuella Azure-datorer JSVM1 och JSVM2 för klient1 och klientorganisation2 i testsyfte.

Anteckning

VMware Cloud Director-tjänsten stöder ett principbaserat VPN. Azure VPN-gateway konfigurerar som standard en routningsbaserad VPN, och för att konfigurera en principbaserad VPN måste en principbaserad väljare aktiveras.

Konfigurera virtuellt Azure-nätverk

Skapa följande komponenter i klientens dedikerade virtuella Azure-nätverk för att upprätta IPSEC-tunnelanslutning med klientens ORG VDC Edge-gateway.

  • Virtuell Azure-nätverksgateway
  • Lokal nätverksgateway.
  • Lägg till IPSEC-anslutning på VPN-gateway.
  • Redigera anslutningskonfigurationen för att aktivera principbaserad VPN.

Skapa en virtuell Azure-nätverksgateway

Information om hur du skapar en virtuell Azure-nätverksgateway finns i självstudiekursen create-a-virtual-network-gateway.

Skapa lokal nätverksgateway

  1. Logga in på Azure-portalen och välj Lokal nätverksgateway från Marketplace och sedan välj Skapa.
  2. Lokal nätverksgateway representerar information om fjärrslutplatser. Ange därför offentlig IP-adress för klient1 OrgVDC och orgVDC-nätverksinformation för att skapa en lokal slutpunkt för klient1.
  3. Under Instansinformation väljer du Slutpunkt som IP-adress
  4. Lägg till IP-adress (lägg till offentlig IP-adress från klientens OrgVDC Edge-gateway).
  5. Under Adressutrymme lägger du till klientorganisationens VDC-nätverk.
  6. Upprepa steg 1–5 för att skapa en lokal nätverksgateway för klient 2.

Skapa IPSEC-anslutning på VPN-gateway

  1. Välj tenant1 VPN Gateway (skapades tidigare) och välj sedan Anslutning (i det vänstra fönstret) för att lägga till en ny IPSEC-anslutning med tenant1 orgVDC Edge-gateway.

  2. Ange följande detaljer.

    Namn Anslutning
    Anslutningstyp Sajt-till-Sajt
    VPN Gateway Hyresgästens VPN Gateway
    Lokal nätverksgateway Hyresgästens lokala gateway
    PSK Delad nyckel (ange ett lösenord)
    IKE-protokoll IKEV2 (ORG-VDC använder IKEv2)

  3. Välj Ok för att distribuera en lokal nätverksgateway.

Konfigurera IPsec-anslutning

VMware Cloud Director-tjänsten stöder ett principbaserat VPN. Azure VPN-gateway konfigurerar en routningsbaserad VPN som standard och för att konfigurera en principbaserad VPN måste en principbaserad väljare aktiveras.

  1. Välj den anslutning som du skapade tidigare och välj sedan konfiguration för att visa standardinställningarna.
  2. IPSEC/IKE-policy
  3. Aktivera principbastrafikväljare
  4. Ändra alla andra parametrar så att de matchar det du har i OrgVDC.

    Kommentar

    Både källan och målet för tunneln bör ha identiska inställningar för IKE, SA, DPD osv.

  5. Välj Spara.

Konfigurera VPN på organisationens VDC Edge-router

  1. Logga in på organisationens VMware Cloud Director-tjänstklientportal och välj klientorganisationens Edge-gateway.

  2. Välj alternativet IPSEC VPN under Tjänster och välj sedan Nytt.

  3. Under allmän inställning anger du Namn och väljer önskad säkerhetsprofil. Se till att säkerhetsprofilinställningarna (IKE, Tunnel och DPD-konfiguration) är desamma på båda sidor av IPsec-tunneln.

  4. Ändra Azure VPN-gatewayen så att den matchar säkerhetsprofilen om det behövs. Du kan också anpassa säkerhetsprofilen från CDS-klientportalen.

    Kommentar

    VPN-tunneln kommer inte att fastställa om de här inställningarna var matchningsfel.

  5. Under Peer Authentication Mode (Peer-autentiseringsläge) anger du samma i förväg delade nyckel som används i Azure VPN-gatewayen.

  6. Under Slutpunktskonfiguration lägger du till organisationens offentliga IP- och nätverksinformation i lokal slutpunkt och Azure VNet-information i fjärrslutpunktskonfiguration.

  7. Under Klar att slutföra granskar du den tillämpade konfigurationen.

  8. Välj Slutför för att tillämpa konfigurationen.

Tillämpa brandväggskonfiguration

Organisationens VDC Edge-routerbrandvägg nekar trafik som standard. Du måste tillämpa specifika regler för att aktivera anslutningen. Använd följande steg för att tillämpa brandväggsregler.

  1. Lägg till en IP-uppsättning i tjänstportalen för VMware Cloud Director
    1. Logga in på Edge-routern och välj IP SETS sedan under fliken Säkerhet i det vänstra planet.
    2. Välj Ny för att skapa IP-uppsättningar.
    3. Ange Namn och IP-adress för test-VM som distribuerats i orgVDC.
    4. Skapa ytterligare en IP-uppsättning för Azure VNet för den här klientorganisationen.
  2. Tillämpa brandväggsregler på ORG VDC Edge-routern.
    1. Under Edge-gateway väljer du Edge-gateway och sedan brandvägg under tjänster.
    2. Välj Redigera regler.
    3. Välj NYTT ÖVERST och ange regelnamn.
    4. Lägg till käll- och målinformation . Använd skapad IPSET i källa och mål.
    5. Under Åtgärd väljer du Tillåt.
    6. Välj Spara för att tillämpa konfigurationen.
  3. Verifiera tunnelstatus
    1. Under Edge-gateway väljer du Tjänst och sedan IPSEC VPN.
    2. Välj Visa statistik.
      Status på tunneln bör visas UP.
  4. Verifiera IPsec-anslutning
    1. Logga in på en virtuell Azure-dator som distribuerats i klientorganisationens virtuella nätverk och pinga klientens IP-adress för den virtuella testdatorn i klientorganisationens OrgVDC.
      Du kan till exempel pinga VM1 från JSVM1. På samma sätt bör du kunna pinga VM2 från JSVM2. Du kan kontrollera isoleringen mellan klientorganisationers virtuella Azure-nätverk. Tenant 1 VM1 kan inte pinga Tenant 2 Azure VM JSVM2 i tenant 2 virtuella nätverk.

Anslut tenant-belastning till allmän Internet.

  • Klienter kan använda offentlig IP för att utföra SNAT-konfiguration för att aktivera Internetåtkomst för virtuella datorer som finns i organisationens VDC. För att uppnå den här anslutningen kan providern tillhandahålla offentlig IP-adress till organisationens VDC.
  • Varje organisations VDC kan skapas med en dedikerad T1-router (skapad av providern) med reserverad offentlig och privat IP-adress för NAT-konfiguration. Klienter kan använda offentlig IP SNAT-konfiguration för att aktivera Internetåtkomst för virtuella datorer som finns i organisationens VDC.
  • OrgVDC-administratören kan skapa ett dirigerat OrgVDC-nätverk som är anslutet till deras OrgVDC Edge-gateway. För att tillhandahålla Internetåtkomst.
  • OrgVDC-administratören kan konfigurera SNAT för att tillhandahålla en specifik virtuell dator eller använda nätverks-CIDR för att tillhandahålla offentlig anslutning.
  • OrgVDC Edge har standardregeln DENY ALL för brandväggsregeln. Organisationsadministratörer måste öppna lämpliga portar för att tillåta åtkomst via brandväggen genom att lägga till en ny brandväggsregel. Virtuella datorer som konfigurerats i ett sådant OrgVDC-nätverk som används i SNAT-konfigurationen bör kunna komma åt Internet.

Förutsättningar

  1. Offentlig IP-adress tilldelas organisationens VDC Edge-router. Logga in på organisationens VDC för att verifiera. Under > väljer du Edge Gateway och sedan IP-allokeringar under IP-hantering. Du bör se ett intervall med tilldelade IP-adresser där.
  2. Skapa ett dirigerat VDC-nätverk för organisationen. (Anslut OrgvDC-nätverket till Edge-gatewayen med en tilldelad offentlig IP-adress)

Tillämpa SNAT-konfiguration

  1. Logga in på Organisationens VDC. Gå till din edge-gateway och sedan välj NAT under Tjänster.
  2. Välj Ny för att lägga till en ny SNAT-regel.
  3. Ange Namn och välj Gränssnittstyp som SNAT.
  4. Under Extern IP anger du offentlig IP-adress från den offentliga IP-pool som tilldelats till din orgVDC Edge-router.
  5. Under Intern IP anger du IP-adress för den virtuella testdatorn. Den här IP-adressen är en av den orgVDC-nätverks-IP som tilldelats den virtuella datorn.
  6. Status ska vara aktiverat.
  7. Under Prioritet väljer du ett högre tal. Till exempel 4096.
  8. Välj Spara för att spara konfiguration.

Tillämpa brandväggsregel

  1. Logga in på Organisations-VDC och navigera till Edge Gateway, välj sedan IP-set under säkerhet.
  2. Skapa ett IP-set. Ange IP-adressen för den virtuella datorn (du kan också använda CIDR). Välj Spara.
  3. Under Tjänster väljer du Brandvägg och sedan Redigera regler.
  4. Välj Nytt ÖVERST och skapa en brandväggsregel för att tillåta önskad port och mål.
  5. Välj den IPset som du skapade tidigare som källa. Under Åtgärd väljer du Tillåt.
  6. Spara konfigurationen genom att välja Behåll .
  7. Logga in på den virtuella testdatorn och pinga måladressen för att verifiera utgående anslutning.

Migrera arbetsbelastningar till VMware Cloud Director-tjänsten i Azure VMware Solution

VMware Cloud Director-tillgänglighet kan användas för att migrera VMware Cloud Director-arbetsbelastningen till VMware Cloud Director-tjänsten i Azure VMware Solution. Företagskunder kan köra envägsmigrering med självbetjäning från det lokala plugin-programmet Cloud Director Availability vSphere, eller så kan de köra plugin-programmet Cloud Director Availability från den providerhanterade Cloud Director-instansen och flytta arbetsbelastningar till Azure VMware Solution.

Mer information om tillgänglighet för VMware Cloud Director finns i Tillgänglighet för VMware Cloud Director | Haveriberedskap och migrering

Vanliga frågor och svar

Vilka Är de Azure-regioner som stöds för VMware Cloud Director-tjänsten?

Det här erbjudandet stöds i alla Azure-regioner där Azure VMware Solution är tillgängligt förutom Brasilien, södra och Sydafrika. Se till att den region som du vill ansluta till VMware Cloud Director-tjänsten ligger inom 150 millisekunders tur och retur för svarstid med VMware Cloud Director-tjänsten.

Hur gör jag för att konfigurera VMware Cloud Director-tjänsten på Microsoft Azure VMware Solutions?

Lär dig hur du konfigurerar cd-skivor på Azure VMware Solutions

Hur stöds VMware Cloud Director-tjänsten?

VMware Cloud Director-tjänsten (CDs) är VMware-ägd och stöds produkt som är ansluten till Azure VMware-lösningen. Om du vill ha supportfrågor på CD-skivor kontaktar du VMware-supporten för att få hjälp. Både VMware och Microsofts supportteam samarbetar vid behov för att åtgärda och lösa problem med Cloud Director Service i Azure VMware Solution.

Nästa steg

Dokumentation om VMware Cloud Director Service
Migrering till Azure VMware Solutions med Cloud Director-tjänsten