Para permitir o emparelhamento com o VMware Cloud Director Availability no VMware Cloud on AWS, primeiro defina as configurações de rede do SDDC.

O acesso aos pools de recursos é limitado no VMware Cloud on AWS, e os endereços IP privados de todos os dispositivos de nuvem do VMware Cloud Director Availability devem ser explicitamente permitidos, bem como o acesso aos componentes de gerenciamento e infraestrutura no pool de recursos de gerenciamento, como o vCenter Server e o ESXi.

O VMware Cloud Director Availability no VMware Cloud on AWS fornece dois serviços para a Internet. Para usar esses dois serviços na configuração das regras de NAT necessárias, você deve defini-los explicitamente, pois ambos usam internamente portas HTTPS não padrão. Esses dois serviços, em conjunto com as duas regras de NAT a seguir, convertem o tráfego de rede que chega ao endereço IP público na porta externa 443/TCP:

  • Em direção ao Cloud Director Replication Management Appliance, internamente na porta 8046/TCP para o tráfego de rede da interface de gerenciamento para o Cloud Service.
  • Em direção ao Tunnel Appliance, internamente na porta 8048/TCP para o tráfego da rede de dados de replicação para o Endpoint de Serviço Público.

Pré-requisitos

Procedimento

  1. Faça login no VMware Cloud on AWS em https://vmc.vmware.com.
  2. Adicione dois novos serviços SDDC de inventário para a interface de gerenciamento e para o Endpoint de Serviço Público.
    1. No console do VMC, no painel esquerdo, clique em SDDCs.
    2. No SDDC, clique em Exibir Detalhes e clique na guia Rede e Segurança.
    3. No painel esquerdo, na seção Inventário, clique em Serviços.
      Repita as etapas a seguir duas vezes.
      • Adicione um serviço de inventário para a interface de gerenciamento do Cloud Director Replication Management Appliance.
      • Adicione outro serviço de inventário para o Endpoint de Serviço Público do Tunnel Appliance.
    4. Para adicionar um serviço SDDC de inventário, clique em Adicionar Serviço.
    5. Digite um nome e, opcionalmente, uma descrição para cada serviço.
    6. Para cada serviço, na coluna Entradas de Serviço, clique no link Definir Entradas de Serviço.
    7. Para cada serviço, na janela Definir Entradas de Serviço, no menu suspenso Tipo, selecione Camada 3 e superior.
    8. Para cada serviço, na guia Protocolo de Porta, clique em Adicionar Entrada de Serviço, digite os detalhes da respectiva coluna e clique em Aplicar.
      Opção Serviço de Inventário da Interface de Gerenciamento Serviço de Inventário do Endpoint de Serviço Público
      Nome Digite um nome para a entrada de serviço da interface de gerenciamento do Cloud Director Replication Management Appliance. Por exemplo, digite VCDA-Cloud-Service-Management. Digite um nome para a entrada de serviço do Tunnel ApplianceEndpoint de Serviço Público. Por exemplo, digite VCDA-Tunnel-Service-Endpoint.
      Tipo de serviço Selecione TCP. Selecione TCP.
      Propriedades Adicionais Deixe a caixa de texto Portas de Origem em branco. Deixe a caixa de texto Portas de Origem em branco.
      Para acessar a interface de gerenciamento do Cloud Director Replication Management Appliance na caixa de texto Portas de Destino, digite a porta 8046. Para acessar o Endpoint de Serviço Público do Tunnel Appliance, na caixa de texto Portas de Destino, digite a porta 8048.
    9. Para salvar cada serviço de inventário, clique em Salvar.
      Na página Serviços, ambos os serviços mostram:
      Nome Entradas de Serviço
      VCDA-Cloud-Service-Management TCP (Origem: Qualquer | Destino: 8046)
      VCDA-Tunnel-Service-Endpoint TCP (Origem: Qualquer | Destino: 8048)
  3. Para uso posterior em regras de NAT, solicite novos endereços IP de SDDC públicos.
    • Solicite um endereço IP público para acessar o assistente de configuração inicial na interface de gerenciamento do Cloud Director Replication Management Appliance.
    • Solicite um endereço IP público para permitir o emparelhamento externo com o Endpoint de Serviço Público do Tunnel Appliance.
    1. Na guia Rede e Segurança, no painel esquerdo abaixo da seção Sistema, clique em IPs Públicos.
    2. Para solicitar um endereço IP público para o Cloud Director Replication Management Appliance, clique em Solicitar Novo IP, digite uma nota e clique em Salvar.
      Por exemplo, como uma nota, digite VCDA-Management-Public-IP-address.
    3. Para solicitar um endereço IP público para o Tunnel Appliance, clique em Solicitar Novo IP, digite uma nota e clique em Salvar.
      Por exemplo, como uma nota, digite VCDA-Tunnel-Public-IP-address.
  4. Para encaminhar o tráfego de rede de entrada aos dispositivos e portas de nuvem corretos, adicione duas novas regras de NAT.
    1. Na guia Rede e Segurança, no painel esquerdo abaixo da seção Rede, clique em NAT.
      Repita a etapa a seguir duas vezes.
      • Adicione uma regra de NAT para a interface de gerenciamento do Cloud Director Replication Management Appliance.
      • Adicione outra regra de NAT para o tráfego de rede de entrada ao Endpoint de Serviço Público do Tunnel Appliance.
    2. Para adicionar uma regra de NAT, clique em Adicionar Regra de NAT, defina as configurações a seguir e clique em Salvar.
      Opção NAT da Interface de Gerenciamento NAT do Endpoint de Serviço Público
      Nome Digite um nome para a regra de NAT da interface de gerenciamento do Cloud Director Replication Management Appliance. Por exemplo, digite NAT da Interface de Gerenciamento do VCDA. Digite um nome para a regra de NAT do Tunnel ApplianceEndpoint de Serviço Público. Por exemplo, digite NAT do Endpoint do Tunnel Service do VCDA.
      IP público Selecione VCDA-Management-Public-IP-address. Selecione VCDA-Tunnel-Public-IP-address.
      Serviço Selecione o serviço de inventário para a interface de gerenciamento do Cloud Director Replication Management Appliance. Por exemplo, selecione VCDA-Cloud-Service-Management. Selecione o serviço de inventário para o Tunnel ApplianceEndpoint de Serviço Público. Por exemplo, selecione VCDA-Tunnel-Service-Endpoint.
      Porta Pública Digite a porta 443. Digite a porta 443.
      IP Interno Digite o valor de private-IP-address do Cloud Director Replication Management Appliance. Digite o valor de private-IP-address do Tunnel Appliance.
      Porta interna 8046 (não editável) 8048 (não editável)
      Firewall Endereço Interno de Correspondência Endereço Interno de Correspondência
      Concluída a configuração inicial, para reduzir a possível superfície de ataques, a regra de NAT da interface de gerenciamento pode ser desativada ou removida. O VMware Cloud Director Availability permanece acessível no Cloud Director instance usando o plug-in para o VMware Cloud Director Availability.
  5. Para criar um grupo de gerenciamento posteriormente e usá-lo em uma regra de firewall de gerenciamento, observe o endereço IP público do NAT de origem do gateway de computação do SDDC.
    1. No painel esquerdo da guia Rede e Segurança, clique em Visão Geral.
    2. Em Gateway de Computação Padrão e em Cargas de Trabalho, observe o endereço IP Público do NAT de Origem do SDDC.
  6. Para preparar o acesso dos dispositivos de nuvem aos serviços de gateway de gerenciamento, como o vCenter Server e o ESXi, adicione dois grupos de gerenciamento.
    1. Na guia Rede e Segurança, no painel esquerdo abaixo da seção Inventário, clique em Grupos.
    2. Clique na guia Grupos de Gerenciamento.
      Repita as etapas a seguir duas vezes.
      • Adicione um grupo de gerenciamento que contenha os endereços IP privados de todas as instâncias do Replicator Appliance implementadas.
      • Adicione outro grupo de gerenciamento, contendo o NAT de origem do gateway de computação.
    3. Para criar um grupo de gerenciamento, clique em Adicionar Grupo e, para cada grupo, digite um nome de grupo de gerenciamento.
    4. Para adicionar membros confiáveis a cada grupo de gerenciamento, na coluna Membros de Computação, clique no link Definir Membros.
    5. Na janela Selecionar Membros, na guia Endereços IP, digite os seguintes endereços IP para cada grupo de gerenciamento e clique emAplicar:
      Nome do Grupo de Gerenciamento Endereços IP de Membros Confiáveis do Grupo de Gerenciamento
      Grupo de Gerenciamento SNAT VCDA
      • Digite o endereço IP público do NAT de origem do gateway de computação do SDDC, conforme observado na etapa anterior.
      • Digite o grupo de sub-rede dos dispositivos do VMware Cloud Director Availability. Por exemplo, digite vcda-network-segment.
      Grupo de Gerenciamento de Replicadores do VCDA Digite os endereços IP privados reservados no vcda-network-segment para todas as instâncias do Replicator Appliance implantadas no VMware Cloud on AWS. Todas as instâncias do Replicator Appliance devem acessar os serviços de gateways de gerenciamento do vCenter Server para o provisionamento de máquinas virtuais e a execução de tarefas de replicação com os hosts e datastores do ESXi.
    6. Para salvar cada grupo de gerenciamento, clique em Salvar.
  7. Para permitir a comunicação interna dos dispositivos de nuvem com o vCenter Server e com o datastore do ESXi no gateway de gerenciamento, adicione duas novas regras de firewall do gateway de gerenciamento.
    1. Na página Firewall do Gateway, clique na guia Gateway de Gerenciamento.
      Repita as etapas a seguir duas vezes.
      • Adicione uma regra de firewall de gerenciamento para permitir o tráfego de rede do NAT de origem do gateway de computação para o vCenter Server do gateway de gerenciamento.
      • Adicione outra regra de firewall de gerenciamento para permitir que as instâncias do Replicator Appliance gravem no datastore do ESXi de destino.
    2. Para criar uma regra de firewall de gerenciamento, clique em Adicionar Regra.
    3. Configure cada uma das duas regras de firewall de gerenciamento e clique em Aplicar quando solicitado.
      Opção Regra de Firewall do Gateway de Gerenciamento do vCenter Server Regra de Firewall do Gateway de Gerenciamento de Hosts do ESXi
      Nome Digite um nome para a regra do gateway de gerenciamento do vCenter Server. Por exemplo, digite Regra do SNAT VCDA para vCenter. Digite um nome para a regra do gateway de gerenciamento do ESXi. Por exemplo, digite Regra de Replicadores do VCDA para ESXi.
      Fontes Clique em Qualquer. Na janela Definir Origem, selecione Grupos Definidos pelo Usuário e selecione o grupo de gerenciamento para o SNAT. Por exemplo, selecione Grupo de Gerenciamento SNAT VCDA e clique em Aplicar. Clique em Qualquer. Na janela Definir Origem, selecione Grupos Definidos pelo Usuário e selecione o grupo de gerenciamento para os endereços IP privados das instâncias do Replicator Appliance. Por exemplo, selecione Grupo de Gerenciamento de Replicadores do VCDA e clique em Aplicar.
      Destinos Clique em Qualquer. Na janela Definir Destino, em Grupos Definidos pelo Sistema, selecione vCenter e clique em Aplicar. Clique em Qualquer. Na janela Definir Destino, em Grupos Definidos pelo Sistema, selecione ESXi e clique em Aplicar.
      Serviços Clique em Qualquer e selecione HTTPS (TCP 443). Para permitir que o Data Engine Service do Replicator Appliance grave nos datastores do ESXi, clique em Qualquer e selecione HTTPS (TCP 443) e Provisionamento e Console Remoto (TCP 902).
      Ação Permitir Permitir
    4. Depois de criar as duas regras de firewall do gateway de gerenciamento, clique em Publicar.
  8. Para se preparar para acessar os serviços do gateway de computação no VMware Cloud on AWS, crie quatro grupos de computação.
    1. Na guia Rede e Segurança, no painel esquerdo abaixo da seção Inventário, clique em Grupos.
      Repita as etapas a seguir quatro vezes.
      • Adicione um grupo de computação para os usuários confiáveis que precisam acessar a interface de gerenciamento do VMware Cloud Director Availability.
      • Adicione um grupo de computação para o Cloud Director Replication Management Appliance.
      • Adicione um grupo de computação para todas as instâncias do Replicator Appliance.
      • Adicione um grupo de computação para o Tunnel Appliance.
    2. Para criar um grupo de computação, na guia Grupos de Computação, clique em Adicionar Grupo e digite um nome de grupo.
    3. Para adicionar membros confiáveis a cada grupo de computação, na coluna Membros de Computação, clique no link Definir Membros.
    4. Na janela Selecionar Membros, na guia Endereços IP, digite os endereços IP a seguir para cada grupo de computação e clique em Aplicar.
      Nome do Grupo de Computação Endereços IP de Membros Confiáveis do Grupo de Computação
      Grupo de Origens de Computação Confiáveis Digite os endereços IP públicos externos dos usuários com acesso concedido à interface de gerenciamento do VMware Cloud Director Availability.
      Importante: Certifique-se de adicionar todos os endereços IP públicos de cada usuário com permissão para acessar o VMware Cloud Director Availability no VMware Cloud on AWS. Se isso não for feito, esses usuários não terão acesso.
      Grupo de Computação de Gerenciadores do VCDA Digite o valor de private-IP-address do Cloud Director Replication Management Appliance.
      Grupo de Computação de Replicadores do VCDA Digite os endereços IP privados de todas as instâncias do Replicator Appliance.
      Grupo de Computação de Tunnel do VCDA Digite o valor de private-IP-address do Tunnel Appliance.
    5. Para salvar cada grupo de computação, clique em Salvar.
  9. Para se preparar para concluir o assistente de configuração inicial, permita o acesso à interface de gerenciamento do VMware Cloud Director Availability pelas origens de computação confiáveis. Permita também o acesso de saída dos dispositivos de nuvem, adicionando duas novas regras de firewall do gateway de computação.
    1. Na guia Rede e Segurança, no painel esquerdo abaixo da seção Segurança, clique em Firewall de Gateway.
      Repita as etapas a seguir duas vezes.
      • Adicione uma regra de firewall do gateway de computação para permitir que as origens de computação confiáveis acessem o Cloud Director Replication Management Appliance para concluir o assistente de configuração inicial do VMware Cloud Director Availability.
      • Adicione uma regra de firewall do gateway de computação para permitir o tráfego de rede de saída dos dispositivos do VMware Cloud Director Availability a partir do gateway de computação.
    2. Na guia Gateway de Computação, clique em Adicionar Regra.
    3. Configure cada uma das duas regras de firewall de computação e clique em Aplicar quando solicitado.
      Opção Regra de Firewall do Gateway de Computação de Entrada Regra de Firewall do Gateway de Computação de Saída
      Nome Digite um nome para a regra do gateway de computação de entrada. Por exemplo, digite Regra de Gerenciamento do VCDA a partir de Origens de Computação Confiáveis. Digite um nome para a regra do gateway de computação de saída. Por exemplo, digite Regra de Computação de Saída para Dispositivos do VCDA.
      Fontes Clique em Qualquer. Na janela Definir Origem, selecione o grupo de origens de computação confiáveis e clique em Aplicar. Por exemplo, selecione Grupo de Origens de Computação Confiáveis. Clique em Qualquer. Na janela Definir Origem, selecione os três grupos de computação para os dispositivos do VMware Cloud Director Availability e clique em Aplicar. Por exemplo, selecione todos os três: Grupo de Computação de Gerenciadores do VCDA, Grupo de Computação de Replicadores do e Grupo de Computação de Tunnel do VCDA.
      Destinos Clique em Qualquer. Na janela Definir Destino, selecione o grupo de computação do Cloud Director Replication Management Appliance e clique em Aplicar. Por exemplo, selecione Grupo de Computação de Gerenciadores do VCDA. Qualquer
      Serviços Clique em Qualquer. Na janela Definir Serviços, selecione o serviço da interface de gerenciamento do Cloud Director Replication Management Appliance e clique em Aplicar. Por exemplo, selecione VCDA-Cloud-Service-Management TCP (Origem: Qualquer | Destino: 8046). Qualquer
      Aplicado a Todos os Uplinks Todos os Uplinks
      Ação Permitir Permitir
    4. Depois de criar as duas regras de firewall do gateway de computação, clique em Publicar.

Resultados

A configuração do SDDC no VMware Cloud on AWS está concluída e pronta para a configuração inicial do VMware Cloud Director Availability. Em resumo, a rede do SDDC no VMware Cloud on AWS está configurada com:
  • vcda-network-segment:
    Uma rede roteada dedicada para todos os dispositivos de nuvem do VMware Cloud Director Availability.
  • Endereços IP públicos:
    Dois endereços IP públicos solicitados, para a interface de gerenciamento do Cloud Director Replication Management Appliance e para o Endpoint de Serviço Público do Tunnel Appliance.
  • Gateway de gerenciamento:
    • Acesso do endereço NAT de origem do gateway de computação para o vCenter Server do gateway de gerenciamento, usado para fazer a ponte entre o acesso a partir dos dispositivos do VMware Cloud Director Availability do gateway de computação.
    • Acesso do Replicator Appliance ao datastore do ESXi do gateway de gerenciamento, usado para o destino das migrações.
  • Gateway de computação:
    • Acesso do Grupo de Origens de Computação Confiáveis à interface de gerenciamento do Cloud Service, usado para concluir a configuração inicial. Posteriormente, a modificação da mesma regra permite o acesso a todos os quatro tipos de interfaces de gerenciamento do VMware Cloud Director Availability. Para obter mais informações, consulte Pós-configurar a rede SDDC no VMware Cloud on AWS.
    • Acesso de dispositivos do VMware Cloud Director Availability à Internet, usado para o tráfego de rede externo proveniente do gateway de computação.
Para obter informações sobre o resumo da configuração de rede do SDDC, consulte Resumo da configuração da rede do SDDC.

O que Fazer Depois

Agora, você pode configurar o VMware Cloud Director Availability no VMware Cloud on AWS concluindo o assistente de configuração inicial do Cloud Director Replication Management Appliance. Para obter mais informações, consulte Configurar o VMware Cloud Director Availability no VMware Cloud on AWS.