使用 Azure VMware 解决方案启用 VMware Cloud Director 服务

结合使用 VMware Cloud Director 服务 (CDs) 与 Azure VMware 解决方案，使企业客户能够使用 API 或 Cloud Director 服务门户通过多租户自助预配和管理虚拟数据中心，同时减少时间和复杂性。

在本文中，了解如何通过 Azure VMware 解决方案启用 VMware Cloud Director 服务 (CDs)，以便企业客户能够使用 Azure VMware 解决方案资源和带有虚拟数据中心基础资源的 Azure VMware 解决方案私有云。

重要

Cloud Director 服务 (CDs) 现在只能在企业协议 (EA) 模型下与 Azure VMware 解决方案一起使用。 目前，MSP/主机托管服务提供商不适合向客户转售 Azure VMware 解决方案容量。 有关详细信息，请参阅 Azure 服务条款。

参考体系结构

下图显示带有 Azure VMware 解决方案的 Cloud Director 服务的典型体系结构及其连接方式。 SSL 反向代理支持从 Cloud Director 服务到 Azure VMware 解决方案终结点的通信。

VMware Cloud Director 通过使用组织来支持多租户。 单个组织可以拥有多个组织虚拟数据中心 (VDC)。 每个组织的 VDC 都可以拥有自己的专用第 1 层路由器（Edge 网关），该路由器与提供商的托管共享第 0 层路由器进一步连接。

详细了解 Azure VMware 解决方案参考体系结构上的 CD

将租户及其组织的虚拟数据中心连接到基于 Azure VNet 的资源

若要提供对基于 VNet 的 Azure 资源的访问权限，每个租户都可以拥有自己的具有 Azure VPN 网关的专用 Azure VNet。 在客户组织 VDC 和 Azure VNet 之间建立站点到站点 VPN。 为了实现此连接，租户可以向组织 VDC 提供公共 IP。 组织 VDC 管理员可以从 Cloud Director 服务门户配置 IPSEC VPN 连接。

如前面的图中所示，组织 01 有两个组织虚拟数据中心 (VDC)：VDC1 和 VDC2。 每个组织的虚拟数据中心都有自己的 Azure VNet，它们通过 IPSEC VPN 与各自的组织 VDC Edge 网关连接。 提供商向组织 VDC Edge 网关提供公共 IP 地址以进行 IPSEC VPN 配置。 ORG VDC Edge 网关防火墙默认阻止所有流量，需在组织 Edge 网关防火墙上添加特定的允许规则。

组织 VDC 可以是单个组织的一部分，并且仍提供它们之间的隔离。 例如，组织 VDC1 中托管的 VM1 无法通过 ping 操作连接到 tenant2 的 Azure VM JSVM2。

先决条件

• 组织 VDC 配置有 Edge 网关，并分配有公共 IP，以通过提供商建立 IPSEC VPN。
• 租户在租户的虚拟数据中心创建了一个路由组织 VDC 网络。
• 测试 VM1 和 VM2 分别是在组织 VDC1 和 VDC2 中创建的。 两个 VM 分别连接到各自 VDC 中的路由 orgVDC 网络。
• 为每个租户配置了专用的 Azure VNet。 对于此示例，我们分别为 tenant1 和 tenant2 创建了 Tenant1-VNet 和 Tenant2-VNet。
• 为之前创建的 VNet 创建 Azure 虚拟网络网关。
• 为 tenant1 和 tenant2 部署 Azure VM JSVM1 和 JSVM2，以便进行测试。

注意

VMware Cloud Director 服务支持基于策略的 VPN。 Azure VPN 网关默认配置基于路由的 VPN，需要启用基于策略的选择器才能配置基于策略的 VPN。

配置 Azure VNet

在租户的专用 Azure VNet 中创建以下组件，以与租户的 ORG VDC Edge 网关建立 IPSEC 隧道连接。

• Azure 虚拟网络网关
• 本地网络网关。
• 在 VPN 网关上添加 IPSEC 连接。
• 编辑连接配置以启用基于策略的 VPN。

创建 Azure 虚拟网络网关

要创建 Azure 虚拟网络网关，请参阅 create-a-virtual-network-gateway 教程。

创建本地网络网关

1. 登录到 Azure 门户并从市场中选择“本地网络网关”，然后选择“创建”。
2. 本地网络网关表示远程终端站点详细信息。 因此，提供 tenant1 OrgVDC 公共 IP 地址和 orgVDC 网络详细信息来为 tenant1 创建本地终结点。
3. 在“实例详细信息”下，选择“终结点”作为 IP 地址
4. 添加 IP 地址（从租户的 OrgVDC Edge 网关添加公共 IP 地址）。
5. 在“地址空间”下，添加“租户 Org VDC 网络”。
6. 重复步骤 1 - 5 为 tenant2 创建本地网络网关。

在 VPN 网关上创建 IPSEC 连接

1. 选择之前创建的 tenant1 VPN 网关，然后选择左侧窗格中的“连接”，添加与 tenant1 orgVDC Edge 网关的新 IPSEC 连接。

2. 输入以下详细信息。

   Name	Connection
   连接类型	站点到站点
   VPN 网关	租户的 VPN 网关
   本地网络网关	租户的本地网关
   PSK	共享密钥（提供密码）
   IKE 协议	IKEV2（ORG-VDC 将使用 IKEv2）

3. 选择“确定”，部署本地网络网关。

配置 IPsec 连接

VMware Cloud Director 服务支持基于策略的 VPN。 Azure VPN 网关默认配置基于路由的 VPN，需要启用基于策略的选择器才能配置基于策略的 VPN。

1. 选择之前创建的连接，然后选择“配置”查看默认设置。
2. IPSEC/IKE 策略
3. 启用基于策略的流量选择器
4. 修改所有其他参数以匹配 OrgVDC 中的参数。

   注意

   隧道的源和目标都应具有相同的 IKE、SA、DPD 等设置。

5. 选择“保存”。

在组织 VDC Edge 路由器上配置 VPN

1. 登录到组织 VMware Cloud Director 租户门户并选择租户的 Edge 网关。

2. 选择“服务”下的“IPSEC VPN”选项，然后选择“新建”。

3. 在常规设置下，提供“名称”并选择所需的安全配置文件。 确保 IPsec 隧道两端的安全配置文件设置（IKE、隧道和 DPD 配置）相同。

4. 如有必要，请修改 Azure VPN 网关以匹配安全配置文件。 你还可以从 CDS 租户门户自定义安全配置文件。

   注意

   如果这些设置不匹配，VPN 隧道将无法建立。

5. 在“对等身份验证模式”下，提供在 Azure VPN 网关中使用的相同预共享密钥。

6. 在“终结点配置”下，在本地终结点中添加组织的公共 IP 和网络详细信息，在远程终结点配置中添加 Azure VNet 详细信息。

7. 在“即将完成”下，查看应用的配置。

8. 选择“完成”以应用配置。

应用防火墙配置

组织 VDC Edge 路由器防火墙默认拒绝流量。 你需要应用特定的规则来启用连接。 使用以下步骤来应用防火墙规则。

1. 在 VMware Cloud Director 服务门户中添加 IP 集
   1. 登录到 Edge 路由器，然后在左侧平面的“安全性”下选择“IP 集”。
   2. 选择“新建”以创建 IP 集。
   3. 输入部署在 orgVDC 中的测试 VM 的“名称”和“IP 地址”。
   4. 为此租户创建另一个用于 Azure VNet 的 IP 集。
2. 在 ORG VDC Edge 路由器上应用防火墙规则。
   1. 在“Edge 网关”下，选择“Edge 网关”，然后在“服务”下选择“防火墙”。
   2. 选择“编辑规则”。
   3. 选择“顶部新建”并输入规则名称。
   4. 添加“源”和“目标”详细信息。 在源和目标中使用创建的 IPSET。
   5. 在“操作”下，选择“允许”。
   6. 选择“保存”以应用配置。
3. 验证隧道状态
   1. 在“Edge 网关”下选择“服务”，然后选择“IPSEC VPN”，
   2. 选择“查看统计信息”。
      隧道的状态应显示为“向上”。
4. 验证 IPsec 连接
   1. 登录到部署在租户 VNet 中的 Azure VM，并在租户的 OrgVDC 中对该租户的测试 VM IP 地址执行 ping 操作。
      例如，通过 ping 操作从 JSVM1 连接到 VM1。 同样，应能够通过 ping 操作从 JSVM2 连接到 VM2。 你可以验证租户 Azure VNet 之间的隔离。 租户 1 VM1 无法通过 ping 操作连接到租户 2 Azure VNet 中的租户 2 Azure VM JSVM2。

将租户工作负载连接到公共 Internet

• 租户可以使用公共 IP 进行 SNAT 配置，以使托管在组织 VDC 中的 VM 能够访问 Internet。 为了实现此连接，提供商可以向组织 VDC 提供公共 IP。
• 可使用专用 T1 路由器（由提供商创建）来创建每个组织 VDC，并为 NAT 配置保留公共 IP 和专用 IP。 租户可以使用公共 IP SNAT 配置为托管在组织 VDC 中的 VM 启用 Internet 访问。
• OrgVDC 管理员可以创建连接到其 OrgVDC Edge 网关的路由 OrgVDC 网络。 提供 Internet 访问。
• OrgVDC 管理员可以将 SNAT 配置为提供特定的 VM，也可使用网络 CIDR 来提供公共连接。
• OrgVDC Edge 具有默认的“全部拒绝”防火墙规则。 组织管理员需要通过添加新的防火墙规则来打开适当的端口，从而允许通过防火墙进行访问。 在 SNAT 配置中使用的此类 OrgVDC 网络上配置的虚拟机应该能够访问 Internet。

先决条件

1. 将公共 IP 分配给组织 VDC Edge 路由器。 若要进行验证，请登录到组织的 VDC。 在“网络”>“Edge”下，选择“Edge 网关”，然后在“IP 管理”下选择“IP 分配”。 你应会在此处看到分配的 IP 地址范围。
2. 创建路由组织 VDC 网络。 （将 OrgvDC 网络连接到分配有公共 IP 地址的 Edge 网关）

应用 SNAT 配置

1. 登录到组织 VDC。 导航到 Edge 网关，然后选择“服务”下的“NAT”。
2. 选择“新建”添加新的 SNAT 规则。
3. 提供“名称”并选择“接口类型”作为 SNAT。
4. 在“外部 IP”下，输入分配给你的 orgVDC Edge 路由器的公共 IP 池中的公共 IP 地址。
5. 在“内部 IP”下，输入测试 VM 的 IP 地址。 此 IP 地址是分配给 VM 的 orgVDC 网络 IP 之一。
6. 应启用“状态”。
7. 在“优先级”下，选择一个更大的数字。 例如 4096。
8. 选择“保存” 以保存配置。

应用防火墙规则

1. 登录到组织 VDC 并导航到“Edge 网关”，然后在安全性下选择“IP 集”。
2. 创建 IPset。 提供 VM 的 IP 地址（也可使用 CIDR）。 选择“保存”。
3. 在“服务”下，选择“防火墙”，然后选择“编辑规则”。
4. 选择“顶部新建”，然后创建防火墙规则以允许所需的端口和目标。
5. 选择之前创建的 IPset 作为源。 在“操作”下，选择“允许”。
6. 选择“保留”以保存配置。
7. 登录到测试 VM 并对目标地址执行 ping 操作，以验证出站连接。

将工作负载迁移到 Azure VMware 解决方案上的 VMware Cloud Director 服务

可使用 VMware Cloud Director 可用性将 VMware Cloud Director 工作负载迁移到 Azure VMware 解决方案上的 VMware Cloud Director 服务。 企业客户可以从本地 Cloud Director 可用性 vSphere 插件推动自助式单向暖迁移，也可以从提供商管理的 Cloud Director 实例运行 Cloud Director 可用性插件并将工作负载迁移到 Azure VMware 解决方案中。

有关 VMware Cloud Director 可用性的详细信息，请参阅 VMware Cloud Director 可用性 | 灾难恢复与迁移

常见问题

VMware Cloud Director 服务支持哪些 Azure 区域？

可提供 Azure VMware 解决方案的所有 Azure 区域都支持此服务，但巴西南部和南非除外。 确保想要连接到 VMware Cloud Director 服务的区域与 VMware Cloud Director 服务之间的往返延迟在 150 毫秒内。

如何实现在 Microsoft Azure VMware 解决方案上配置 VMware Cloud Director 服务？

了解如何在 Azure VMware 解决方案上配置 CD

如何支持 VMware Cloud Director 服务？

VMware Cloud Director 服务 (CD) 是连接到 Azure VMware 解决方案的 VMware 拥有和支持的产品。 有关 CD 支持的问题，请联系 VMware 支持部门求助。 VMware 和 Microsoft 支持团队在必要时都会进行协作，以解决 Azure VMware 解决方案中的 Cloud Director 服务问题。

后续步骤

VMware Cloud Director 服务文档
使用 Cloud Director 服务迁移到 Azure VMware 解决方案