(30 minutos)
Introdução à implantação do SDDC por meio da interface do usuário
A implantação de um data center definido por software (SDDC) é a primeira etapa para utilizar o serviço VMware Cloud on AWS.
Neste módulo, discutiremos um dos cenários mais comuns para implantação de novos aplicativos em um data center definido por software no VMware Cloud on AWS.
É temporada de picos de produção na Rainpole Systems, e é necessário adicionar
capacidade com base no aumento da carga nos sistemas. Como os data centers norte-americanos da empresa estão com a capacidade máxima, optou-se por utilizar o
VMware Cloud on AWS para fornecimento de capacidade adicional. Mary é administradora na equipe de tecnologia da informação da empresa e precisará implantar um SDDC para atender a essas necessidades.
Veremos como a Mary pode implantar rapidamente um data center definido por software e atender às necessidades da Rainpole Systems.
Forneceremos uma visão geral da interface do usuário do VMware Cloud on AWS e conheceremos as opções disponíveis com a solução.
Antes de começar este módulo
Verifique suas credenciais de login seguindo as instruções em Verificação do aluno . É muito importante que o endereço de e-mail usado para fazer login no laboratório prático corresponda às suas credenciais do My VMware.
Depois de receber suas informações de login e concluir o processo de ativação do VMware Cloud on AWS, você poderá fazer login no portal do VMware Cloud on AWS.
Se você ainda não se conectou, siga as etapas abaixo:
1. Abra o navegador Google Chrome e faça o login no site http://vmc.vmware.com
inserindo suas credenciais do portal My VMware ou use o marcador na parte superior do navegador
Observação: se você não tiver credenciais de login no portal My VMware, siga instruções para criá-las. Talvez seja necessário fazer login novamente depois de verificar suas credenciais de login do My VMware.
2. Insira suas credenciais de login ou, caso já tenha se conectado, selecione seu nome de usuário e insira sua senha quando solicitado
Implantar um data center definido por software (SDDC) usando o console do VMC
É muito simples criar seu primeiro SDDC. Depois de fazer login, selecione o serviço VMware Cloud on AWS.
1. Clique no botãoCreate SDDC
Configurar parâmetros do SDDC
Implantar um SDDC para hospedar suas cargas de trabalho na nuvem fornece uma camada de controle simples para a TI. Você pode gerenciar, administrar e proteger aplicativos em execução nas nuvens privadas e públicas. O VMware Cloud on AWS centraliza o gerenciamento e fornece visibilidade abrangente para seu SDDC e segurança de nível corporativo.
Quando você implanta um SDDC no VMware Cloud on AWS, ele é criado em uma Virtual Private Cloud (VPC) da AWS dedicada à sua organização. A VMware cria e gerencia essa VPC, e você não tem acesso direto a ela.
Observação: para fins de demonstração e para atender às restrições de tempo do ambiente dos laboratórios práticos, implantaremos instâncias de SDDC que são data centers sem nenhum hardware físico. Dessa forma, poderemos demonstrar como um SDDC é criado sem esperar pela instalação real.
Siga estas etapas para implantar seu SDDC no VMware Cloud on AWS.
1. Em AWS Region, mantenha o padrãoUS West (Oregon) selecionado 2. Selecione Multi-Host em Deployment
3. Em SDDC Name, digite um nome para seu SDDC.
4. Selecione 4em Number of Hosts 5. Clique em Next
Conectar ao AWS
1. Como este é um ambiente de laboratório/demonstração, não nos conectaremos a uma conta da AWS. Clique em Next
Configurar rede de gerenciamento
A etapa final antes de implantar seu SDDC é definir o intervalo do CIDR para a rede de gerenciamento.
1. Digite um intervalo de endereços IPpara a rede de gerenciamento como um bloco CIDR (ex.: 10.2.0.0/16) ou deixe a caixa de texto em branco para usar o valor padrão. Considere o seguinte ao escolher a sub-rede de gerenciamento:
◦ Especifique um intervalo de sub-redes privadas (RFC 1918) a serem usadas pelo vCenter Server, pelo NSX Manager e pelos hosts ESXi.
◦ Escolha um intervalo que não entrará em conflito com outras redes que você conectará a este SDDC.
◦ Tamanhos máximos de CIDR: /23 para até 27 hosts, /20 para até 251 hosts, /16 para até 4.091 hosts
2. Clique em Deploy SDDC. O SDDC levará alguns instantes para ser implantado
Observação: a notação do CIDR é uma representação compacta de um endereço IP e seu prefixo de roteamento associado. A notação é criada a partir de um endereço IP, um caractere de barra ('/') e um número decimal. O número é a contagem dos bits
principais na máscara de roteamento, tradicionalmente chamada de máscara de rede. O endereço IP é expresso de acordo com os padrões de IPv4 ou IPv6.
O endereço pode denotar um endereço de interface único e distinto ou o endereço inicial de uma rede inteira. O tamanho máximo da rede é dado pelo número de
endereços possíveis com os bits restantes e menos significativos, abaixo do prefixo. A agregação desses bits é geralmente chamada de identificador de host.
Por exemplo:
• 192.168.100.14/24 representa o endereço IPV4 192.168.100.14 e seu prefixo de roteamento associado 192.168.100.0, ou equivalentemente, sua máscara de sub-rede 255.255.255.0, que tem 24 bits principais de 1.
• O bloco IPV4 192.168.100.0/22 representa os 1024 endereços IPV4 de 192.168.100.0 a 192.168.103.255.
Analisar o console do VMware Cloud on AWS
Depois de implantar o SDDC, podemos fazer um tour pelo console do VMware Cloud on AWS. A visão geral do SDDC está disponível imediatamente com as guias Summary, Network, Add Ons, Troubleshooting, Settings e Support. Os clientes podem obter um snapshot rápido do data center da sua infraestrutura de SDDC e gerenciar tudo a partir desse console. Para acessar as informações específicas ao SDDC que acabou de ser criado:
1. Clique em View Details no SDDC
Analisar os detalhes do datacenter definido por software
Principais áreas para serem compreendidas no console do VMware Cloud on AWS:
1. Summary: esta é a página de gerenciamento padrão do seu SDDC. Veja
métricas de CPU, memória e armazenamento, configuração de rede, informações de conexão e suporte, bem como ações que controlam seu SDDC. Você também pode abrir diretamente seus vCenters no console do VMware Cloud on AWS para facilitar o gerenciamento, as migrações de VMs, a migração de conteúdo e muito mais.
2. Network: fornece um diagrama completo dos gateways de gerenciamento e processamento. É aqui que você pode ver quais VPNs estão configuradas e quais são as regras de firewall. Abordaremos isso com mais detalhes posteriormente.
3. Add Ons: aqui você encontrará serviços de complemento para o ambiente do VMware Cloud on AWS, como o Hybrid Cloud Extension e o Site Recovery.
4. Troubleshooting: permite que você execute testes de conectividade de rede para garantir que todo o acesso necessário esteja disponível para execução dos casos de uso selecionados.
5. Settings: fornece acesso ao vSphere Client (HTML5), à API do vCenter Server, ao PowerCLI Connect e ao vCenter Server e analisa suas informações de
autenticação.
6. Support: você pode entrar em contato com o Suporte usando seu ID de SDDC, o ID da organização, o IP privado e público do vCenter e a data da implantação do SDDC.
7. Actions Menu: esse menu conterá quaisquer ações disponíveis para o seu SDDC, inclusive a exclusão do ambiente.
8. Open vCenter: você pode acessar diretamente seu SDDC privado por meio desta opção. Antes de fazer login no seu vCenter, você precisa abrir o acesso à rede para o vCenter por meio do gateway de gerenciamento. Escolha uma opção para abrir o acesso à rede criando uma regra de firewall e configurando seu acesso à VPN.
Observação: como este é um ambiente de demonstração, você não terá acesso ao vCenter Server.
Há algumas áreas a serem abordadas sobre a configuração do gateway de gerenciamento do VMware Cloud on AWS.
Para se conectar ao vCenter Server e gerenciar seu novo SDDC, você precisa configurar uma conexão VPN para o gateway de gerenciamento ou configurar uma regra de
firewall para permitir o acesso ao vCenter Server.
Discutiremos as regras de firewall para o gateway de gerenciamento, o DNS do gateway de gerenciamento e a criação de uma VPN de gerenciamento para conectividade do vCenter no próximo artigo .
Consulte o próximo artigo para saber mais sobre a configuração de rede do VMware Cloud on AWS.
Configuração de rede do VMware Cloud on AWS
A otimização de rede é apenas um dos benefícios da utilização do VMware Cloud on AWS. Além da otimização, você obtém visibilidade, controle e conformidade
operacional nas cargas de trabalho em execução no VMware Cloud on AWS. Também é possível otimizar o desempenho, a integridade e a disponibilidade de sua rede entre as nuvens privada e pública.
No console do VMware Cloud on AWS, você pode visualizar o diagrama do sistema de rede da sua nuvem híbrida. Você fará a configuração da sua rede para concluir a conexão do VMware Cloud on AWS com sua nuvem privada.
No console do VMware Cloud on AWS, é possível configurar regras de firewall, uma VPN IPsec e o DNS para o gateway de gerenciamento. Para conectar sua nuvem privada ao VMware Cloud on AWS, você precisa configurar um gateway de gerenciamento.
Veremos novamente como definir os seguintes componentes do sistema de rede para configurar seu gateway de gerenciamento.
• Configuração das regras de firewall para o gateway de gerenciamento
• Configuração do DNS do gateway de gerenciamento
• Criação de uma VPN de gerenciamento
Depois que o gateway de gerenciamento for configurado, o gateway de processamento precisará ser configurado para concluir a conectividade do sistema de rede do ambiente do VMware Cloud on AWS. A finalidade da existência de dois gateways é isolar a rede de gerenciamento da rede de processamento por meio de conexões VPN separadas.
O gateway de processamento lida com o tráfego de rede para suas VMs de carga de trabalho. Reveja os seguintes componentes para configurar um gateway de
processamento:
• Definição das regras de firewall para o gateway de processamento
• Configuração de regras do protocolo Network Address Translation (NAT) para suas máquinas virtuais de carga de trabalho
• Criação de uma VPN de processamento de volta para a rede no local
• Definição do DNS do gateway de processamento
• Solicitação de endereços IP públicos
Observação: este é um laboratório simulado, e nós NÃO poderemos criar nenhuma VPN para sua nuvem privada com o VMware Cloud on AWS. As
etapas que exigem conectividade com sua nuvem privada serão anotadas. As etapas são fornecidas apenas para fins de demonstração.
Continue para aprender como configurar um gateway de gerenciamento do VMware Cloud on AWS.
Criação de uma VPN de gerenciamento
A criação de uma VPN de gerenciamento permite que você acesse com segurança o sistema do vCenter Server e a biblioteca de conteúdo implantada no SDDC. Configure uma VPN IPsec entre seu data center no local e o SDDC na nuvem para permitir uma comunicação mais fácil e segura. Você não precisa configurar uma conexão VPN. No entanto, transferir templates de máquinas virtuais e imagens de disco para o seu SDDC na nuvem será mais fácil e mais seguro se a conectividade estiver completa.
Para configurar uma VPN de gerenciamento é necessário seguir estas etapas:
• Um roteador ou firewall no local que consiga encerrar uma VPN IPsec, como Cisco ISR, Cisco ASA, CheckPoint Firewall, Juniper SRX, NSX Edge ou qualquer outro dispositivo que crie um túnel de IPsec.
• O roteador ou firewall deve ser definido com configurações de criptografia, conforme descrito em Recommended Cryptography Settings na documentação do VMware Cloud on AWS.
Se o seu gateway no local estiver atrás de outro firewall, faça o seguinte para permitir que o tráfego VPN IPsec passe pelo firewall para chegar ao seu dispositivo:
• Abra a porta UDP 500 para permitir que o tráfego do Security Association and Key Management Protocol (ISAKMP) seja encaminhado por meio do firewall.
• Defina a porta UDP 4500 para Internet Key Exchange (IKE) (necessário apenas se o NAT for usado) para a lista de portas de firewall.
• Defina o ID de protocolo IP 50 para permitir que o tráfego do Encapsulating Security Protocol (ESP) IPsec seja encaminhado pelo firewall.
• Defina o ID de protocolo IP 51 para permitir que o tráfego de Authentication Header (AH) seja encaminhado por meio do firewall.
Configure o lado do túnel para o gateway de gerenciamento.
Adicionar VPN
1. Clique naseta ao lado de IPsec VPNs emManagement Gateway 2. Clique em ADD VPN
Configurar VPN IPsec
1. DigiteRainpole Management VPN como nome da VPN.
2. Clique em Remote Gateway Public IP e digite o endereço IP do seu gateway no local. Neste exemplo, usaremos 1.2.3.4.
3. Clique em Remote Gateway Private IP e digite o endereço IP privado do seu gateway no local. Neste exemplo, usaremos 1.2.3.5.
4. Clique em Remote Networkse digite10.8.0.0/16 como endereço da sua rede de gerenciamento no local.
5. Há três tipos decriptografia disponíveis no VMware Cloud on AWS (AES, AES 256 e AES GCM). Selecione AES-256.
6. Em Perfect Forward Secrecy, selecione Enabled.
7. Em Diffie Hellman, selecioneDH14.
8. Digite VMware1! para Pre-Shared Key. A chave é uma string com
comprimento máximo de 128 caracteres e é usada pelas duas extremidades do túnel VPN para realizar a autenticação com cada endpoint.
9. Clique em Save.
Verificação da conexão VPN
Observação: como este é um ambiente de simulação, a conexão permanecerá desconectada. Ignore todos os erros e siga para o próximo passo.
Em uma implantação do cliente, você precisaria configurar o lado do túnel no local. A configuração do dispositivo de gateway no seu data center local deverá ser realizada por um membro da equipe de sistema de rede.
• Consulte a documentação do VMware Cloud on AWS relacionada ao seu dispositivo de gateway ou firewall para saber como configurá-lo de modo a corresponder com as configurações de VPN no local.
Quando o túnel VPN estiver configurado na nuvem privada, você poderá verificar a conectividade acessando o console do VMware Cloud on AWS e o vCenter Server implantado no seu ambiente por meio de um navegador da web
Depois de salvar a configuração, a VPN será exibida como conectada no diagrama do console e nas configurações da VPN.
Regras de firewall para o gateway de gerenciamento do VMware Cloud on AWS
Por padrão, o firewall do gateway de gerenciamento é definido para rejeitar todo o
tráfego de entrada e saída. Você pode adicionar outras regras de firewall para permitir o tráfego, conforme necessário.
Na sessão do navegador aberta anteriormente, execute a seguinte tarefa:
1. Selecione a guia Networke role a página para baixo até o gateway de gerenciamento
2. Clique naseta ao lado de Firewall Rulesem Management Gateway 3. Clique em Add Rule (May Not Look As Shown)
4. Em Rule Name, digite vCenter Access
5. Em Source, digite 10.8.0.0/16. Esse é o bloco CIDR para as redes de
gerenciamento interno da Rainpole. Assim que a conexão VPN for estabelecida, essa rede poderá se comunicar com o vCenter
6. Clique no menu suspenso abaixo deDestination e selecione vCenterpara identificar o vCenter Server do VMware Cloud on AWS
7. Clique no menu suspenso Servicee selecione HTTPS (TCP 443) para ativar o acesso ao SSL
8. Clique em Save para salvar a regra de firewall
Acelerador de regras de firewall
Depois de criar a VPN, o acelerador de regras do firewall estará habilitado. O acelerador de regras de firewall pode ser usado para criar automaticamente regras de firewall para soluções como o vCenter Access, o Hybrid Linked Mode e o Site Recovery.
1. Clique naseta ao lado de Firewall Rule Accelerator em Management Gateway 2. Clique em Create Firewall Rules
3. As regras de firewall na tabela serão criadas automaticamente e, ao serem concluídas com êxito, uma marca de seleção verde será exibida à esquerda de cada regra. Você também verá as regras na tabela adicionadas à seção Firewall Rules. Você observará a marca de seleção verde ao lado da regra de firewall que já criamos manualmente neste módulo.
Configurar DNS
As etapas necessárias para se conectar à nuvem privada do cliente seriam as seguintes:
1. Clique na seta ao lado de DNS
2. Clique em Editdo lado direito abaixo de DNS
1. Digite8.8.8.8 e 8.8.4.4 para os servidores DNS 1 e 2 (em uma implantação do cliente, esses seriam os endereços IP privados dos seus servidores DNS internos) 2. Clique em Savepara salvar a configuração
Isso conclui a configuração do gateway de gerenciamento.
Visualização das redes lógicas de processamento
Como não é possível criar redes lógicas, você pode utilizar a rede lógica padrão criada durante a compilação do SDDC para o restante da seção de sistema de rede deste manual.
Para localizar as informações lógicas da rede, siga estas etapas:
1. Clique naseta ao lado de Logical Networks em Compute Gateway
2. Você pode ver que a rede lógica padrão tem um bloco CIDR de 10.0.0.0/24 e está com DHCP habilitado
Nas próximas seções, consideraremos que uma máquina virtual de carga de trabalho foi implantada nessa rede e tem o seguinte endereço IP 10.0.0.10.
Configurar regras de firewall para o gateway de processamento
Por padrão, o firewall do gateway de processamento é definido para rejeitar todo o
tráfego de entrada e saída. Você pode adicionar outras regras de firewall para permitir o tráfego, conforme necessário.
Na sessão do navegador aberta anteriormente, execute a seguinte tarefa:
1. Role a página Network até as configurações de rede paraCompute Gateway (não de gerenciamento)
2. Clique naseta ao lado de Firewall Rules 3. Clique em Add Rule (Not Shown)
4. Em Rule Name, digite Rainpole Web Access 5. Em Action, selecione Allow no menu suspenso
6. Em Source, selecione Any, o que permitirá que qualquer computador na internet se conecte a este servidor web
7. Em Destination, digite 10.0.0.10. Este é o endereço IP da máquina virtual que foi implantada
8. Clique no menu suspenso abaixo de Service e selecione HTTP (TCP 80) para ativar o acesso a HTTP
9. Clique em Save para salvar a regra de firewall Prossiga para solicitar um endereço IP público
Solicitar um endereço IP público
Antes de configurar uma regra do protocolo NAT, você precisa solicitar um endereço IP público.
Na sessão do navegador aberta anteriormente, execute a seguinte tarefa:
1. Role a página da rede até as configurações de rede para Compute Gateway 2. Clique naseta ao lado de Public IPs
3. Clique em Request Public IP (Not Shown)
4. Abaixo de Notes, digite Rainpole Web Server Public IP 5. Clique em Request para obter um endereço IP público
Confirmar endereço IP público
Depois de clicar em Request, você verá o novo endereço IP público associado ao SDDC.
Definir configurações do protocolo NAT de entrada
O protocolo NAT de entrada permite mapear o tráfego da Internet para um endereço IP público e uma porta para um endereço IP privado, além de uma porta dentro da rede de processamento do seu SDDC.
1. Role para baixo na página Network até as configurações de rede para Compute Gateway
2. Em Compute Gateway, clique na setaao lado de NAT 3. Clique em Add NAT Rule (Not Shown)
4. DigiteRainpole Web NAT em Description
5. Selecione o menu suspenso em Public IP e oIP Address solicitado na lição Solicitar um endereço IP público
6. Em Service, selecione HTTP (TCP 80) para permitir o tráfego de entrada da web 7. Em Public Ports, mantenha o valor padrão80
8. Em Internal IP, especifique o endereço IP do nosso servidor web 10.0.0.10 9. Clique em Save para ativar a regra.
Depois de concluir essa configuração, o servidor web ficará disponível na Internet por meio do endereço IP público na porta 80.
Demais tarefas no gateway de processamento
Agora você pode configurar a e o seguindo as mesmas etapas concluídas para o gateway de gerenciamento, detalhadas neste artigo. Você precisará substituir os
intervalos de IPs do SDDC na VPN pelo intervalo de IPs para o switch lógico no gateway de processamento.
Isso conclui as etapas de configuração necessárias para conectar sua nuvem privada ao VMware Cloud on AWS. Você concluiu a configuração dos gateways de gerenciamento e processamento do VMware Cloud on AWS.
Consulte o próximo artigo para obter mais informações sobre o VMware Cloud on AWS.