如何在 Google Cloud VMware Engine 上配置 VMware Cloud Director service

配置提供商项目

要开始使用 Google Cloud VMware Engine 资源，您必须配置提供商云和提供商管理网络。

过程

在 Google Cloud Console 中的提供商项目中，激活 Cloud DNS API。请参见Google Cloud VMware Engine文档中的启用 Cloud DNS API。
访问 VMware Engine 门户，并在出现提示时，激活其 API。请参见Google Cloud VMware Engine文档中的访问 VMware Engine 门户。
在 Google Cloud Console 中，创建 VPC 网络。请参见Google Cloud Virtual Private Cloud (VPC)文档中的创建和管理 VPC 网络。
- 为网络输入一个有意义的名称。
- 在区域文本框中，选择您的环境所在的区域。
- 选中相应复选框以确认子网配置包含 RFC 1918 地址空间之外的范围。
- 选中相应单选按钮以激活专用 Google 访问。
- 选择全局动态路由模式，并将最大 MTU 设置为 1500。
配置与 Google Cloud Platform 的专用服务连接，并连接到分配 IP 范围时创建的网络。请参见Google Cloud Virtual Private Cloud (VPC)文档中的配置专用服务访问。

设置 Google Cloud VMware Engine SDDC

要开始提供资源以供租户使用，您必须创建一个 SDDC。

过程

创建私有云。请参见Google Cloud VMware Engine文档中的创建 VMware Engine 私有云。
- 对于云的位置，选择要在其中创建 SDDC 的 Google Cloud Platform 数据中心。
- 对于节点类型，选择多节点，并至少包含 4 个节点。
在 SDDC 和提供商项目之间创建专用连接。请参见Google Cloud VMware Engine文档中的在 VMware Engine 门户中完成专用连接创建。
- 在服务文本框中，选择 VPC 网络。
- 在区域文本框中，选择您在其中创建了私有云的区域。
- 在对等项目 ID 文本框中，输入提供商项目名称。
  提示：在单独的选项卡中打开 Google Cloud Platform，然后从项目信息中复制提供商项目名称。
- 在对等项目编号中，输入提供商项目编号。
  提示：从 Google Cloud Platform 选项卡中，复制项目信息中提供商项目名称下方的提供商项目编号。
- 在对等 VPC ID 文本框中，输入提供商管理网络的名称 ID。
- 在租户项目 ID 文本框中，输入租户项目的 ID。
  提示：要查找租户项目 ID，请在左侧窗格中单击 VPC 网络 > VPC 网络对等互连。从右侧窗格中，复制对等的项目 ID 值。
- 在路由模式下拉菜单中，选择全局。
几分钟后，区域状态将显示为“已连接”。
更新 servicenetworking VPC 网络的对等连接，以导入和导出自定义路由。请参见Google Cloud Virtual Private Cloud (VPC)文档中的更新对等连接。
为您的区域激活 Internet 访问和公用 IP 网络服务。请参见Google Cloud VMware Engine文档中的为您的区域启用 Internet 访问和公用 IP 网络服务。

配置租户项目

要为租户项目提供资源，请配置租户服务网络和对等连接。

过程

在 Google Cloud Console 中，导航到租户项目并删除其默认 VPC 网络。
创建新的 VPC 网络。
- 在区域文本框中，选择您的 SDDC 所在的区域。
- 选中相应复选框以确认子网配置包含 RFC 1918 地址空间之外的范围。
- 选中相应单选按钮以激活专用 Google 访问。
- 在“子网”部分中，选择完成。
- 选择全局动态路由模式。
- 将最大 MTU 设置为 1500。
配置与 Google Cloud Platform 的专用服务连接，并为要使用的服务连接分配内部 IP 范围。请参见Google Cloud Virtual Private Cloud (VPC)文档中的配置专用服务访问。
更新在步骤 3 中创建的对等连接，以导入和导出自定义路由。请参见Google Cloud Virtual Private Cloud (VPC)文档中的更新对等连接。
在 Google Cloud VMware Engine 门户中创建专用连接。请参见Google Cloud VMware Engine文档中的在 VMware Engine 门户中完成专用连接创建。
- 从服务下拉菜单中，选择 VPC 网络。
- 从区域下拉菜单中，选择您在其中创建了私有云的区域。
- 在对等项目 ID 文本框中，输入提供商项目名称。
  提示：在单独的选项卡中打开 Google Cloud Console，然后从项目信息中复制提供商项目名称。
- 在对等项目编号文本框中，输入项目编号。
- 在对等 VPC ID 文本框中，输入您在步骤 2 中创建的租户 VPC 网络的名称。
- 在租户项目 ID 文本框中，输入租户项目的 ID。
  注：要查找租户项目 ID，请在左侧窗格中单击 VPC 网络 > VPC 网络对等互连。从右侧窗格中，复制对等的项目 ID 值。
- 在路由模式下拉菜单中，选择全局。

下一步做什么

要配置任何其他租户项目，请对每个项目重复上述步骤。

在提供商项目中创建跳转主机并允许网络访问

您可以使用提供商项目中的跳转主机对远程网络中的 vCenter Server、NSX Manager 和其他服务进行受控访问。

过程

在提供商项目中，在与您的私有云相同的区域中创建 Windows Server 虚拟机实例。请参见Google Cloud Compute Engine文档中的创建 Windows Server 虚拟机实例。
在网络 > 磁盘 > 安全 > 管理 > 唯一租户下，编辑连接到提供商管理网络的网络接口。
在虚拟机实例详细信息中，设置虚拟机的 Windows 密码，并记下该密码。
创建可允许输入流量的防火墙规则。请参见Google Cloud Virtual Private Cloud (VPC)文档中的创建防火墙规则。
- 为规则输入一个唯一且有意义的名称，例如“所提供的服务”。
- 对于网络，选择提供商管理网络。
- 对于流量方向，选择输入。
- 对于目标，选择网络中的所有实例。
- 对于源筛选器，选择 IP 范围，然后在文本框中输入 0.0.0.0/0 以允许来自任何网络的源。
- 在协议和端口文本框中，选择 TCP 3389。
创建可在提供商项目中允许东西向流量的防火墙规则。
- 为规则输入一个唯一且有意义的名称，例如东西向。
- 对于网络，选择提供商管理网络。
- 对于流量方向，选择输出。
- 对于目标，选择网络中的所有实例。
- 对于源筛选器，选择 IP 范围，然后在文本框中输入管理网络的范围。
- 在协议和端口文本框中，选择允许全部。
记下要用于远程桌面协议 (Remote Desktop Protocol, RDP) 通信的虚拟机实例的外部 IP 地址。
确认您可以使用外部 IP 和 Windows 凭据登录到新创建的虚拟机。

创建 VMware Cloud Director 实例

针对计划给每个租户分配云资源的每个区域，创建至少一个 VMware Cloud Director 实例。

过程

在 Google Cloud VMware Engine 容量所在的区域中创建一个 VMware Cloud Director 实例。请参见如何创建 VMware Cloud Director 实例。
更新 VMware Cloud Director 实例域名。请参见如何自定义 VMware Cloud Director 实例的 DNS 和证书设置。

通过 VMware 反向代理关联 SDDC

要在 VMware Cloud Director service 环境内使用不可公开访问且只能对 Internet 进行出站访问的基础架构资源，您必须将 VMware Cloud Director 实例设置为使用 VMware 代理服务。

过程

在跳转主机虚拟机上，登录到 VMware Cloud Partner Navigator，然后导航到 VMware Cloud Director service 并生成代理设备。请参见如何配置和下载 VMware 反向代理 OVA。
验证代理设备连接。
1. 以 root 身份登录到代理设备。
2. 要验证设备是否已获取 IP 地址，请运行 ip a。
3. 要确保服务处于活动状态且正在运行，请运行 systemctl status transporter-client.service。
  
  注：如果该命令导致错误，请验证 DNS 是否正常工作以及是否可以访问 Internet。
4. 要验证代理设备的连接，请运行 transporter-status.sh。
5. 运行以下命令来诊断代理设备的任何问题。
```
diagnose.sh -o OUTPUT_FILE
```
  请参见如何对 VMware Cloud Director service 代理客户端设备进行故障排除。
在 VMware Cloud Director service 中，导航到从中生成了代理的 VMware Cloud Director 实例，并通过 VMware 代理关联数据中心。请参见如何通过 VMware 代理将 VMware Cloud Director 实例与 SDDC 相关联。
要在 SDDC 关联期间创建提供商 VDC，请选中创建基础架构资源复选框。

结果

任务完成时，SDDC 将在 VMware Cloud Director 实例 UI 中显示为提供商 VDC。

部署和配置 IPsec 隧道

在租户项目中部署并配置 VPN 设备，以通过 IPsec 隧道连接到提供者 VDC 中的 Tier-1 网关。

过程

在租户项目中，创建可管理对 VPN 设备的访问权限的防火墙规则。请参见Google Cloud Virtual Private Cloud (VPC)文档中的配置防火墙规则。
1. 创建输入规则。
  - 为规则输入一个唯一且有意义的名称，例如 gcve-transit。
  - 对于网络，输入 tenantname-transit。
  - 对于优先级，输入 100。
  - 对于流量方向，选择输入。
  - 对于匹配时的操作，选择允许。
  - 对于目标，选择网络中的所有实例。
  - 对于源筛选器，选择 IP 范围，然后输入转换网络的范围，例如 100.64.0.0/16。
  - 在协议和端口文本框中，选择允许全部。
2. 创建输出规则。
  - 为规则输入一个唯一且有意义的名称，例如 ipsec-egress。
  - 对于网络，选择 tenantname-transit。
  - 对于优先级，输入 100。
  - 对于流量方向，选择输出。
  - 对于匹配时的操作，选择允许。
  - 对于目标，选择网络中的所有实例。
  - 对于源筛选器，选择 IP 范围，然后输入转换网络的范围，例如 100.64.0.0/16。
  - 在协议和端口文本框中，选择 IPsec 端口。
在租户项目中，部署用于 IPSec VPN 隧道的 CentOS 7 Linux 虚拟机，并连接到该虚拟机。请参见Google Cloud Compute Engine文档中的在计算引擎中创建 Linux 虚拟机实例。
在网络 > 磁盘 > 安全 > 管理 > 唯一租户下，激活 IP 转发并编辑连接到 tenantname-transit 网络的网络接口。
编辑 Linux 虚拟机网络设置以添加网络的标记名称。请参见Google Cloud Virtual Private Cloud (VPC)文档中的配置网络标记。
此标记可以是提供商所需的任何内容，但它必须在指向 Internet 的所有路由之间保持一致，并且必须应用于在提供商拥有的客户项目中可能需要访问 Internet 的任何虚拟机。
在 Linux 虚拟机上安装并配置 IPsec 实施。
在租户项目中，创建 IPsec VPN 路由。请参见Google Cloud Virtual Private Cloud (VPC)文档中的添加静态路由。
- 为路由输入一个有意义的名称。
- 对于网络，选择 tenantname-transit。
- 对于目标 IP 范围，输入租户的 SDDC 内的范围。
- 对于优先级，输入 100。
- 对于下一跃点，选择指定实例。
- 对于下一跃点实例，输入已安装并配置了 IPsec VPN 的虚拟机。

在 NSX Manager 中配置 IPsec VPN 和租户防火墙规则

要保护租户工作负载的网络连接，请配置 IPsec VPN 和防火墙规则。

过程

在管理 Google Cloud VMware Engine SDDC 的 VMware Cloud Director 实例中配置 IPsec VPN。请参见配置基于 NSX 策略的 IPSec VPN。
通过提供商跳转主机，以管理员身份登录到 NSX Manager，并在租户 Tier-1 网关中配置防火墙规则。请参见《NSX 管理指南》中的添加网关防火墙策略和规则。
1. 添加防火墙规则。
  - 对于源，添加远程租户项目的 CIDR 块。
  - 在目标列中，选择任意。
  - 在服务列中，选择任意。
  - 在操作列中，选择允许。
2. 添加出站防火墙规则。
  - 对于源，为任何本地网络选择任意，或者也可以将其锁定为单个 CIDR。
  - 在目标列中，输入 Google Cloud Platform 租户项目的 CIDR 块。
  - 在操作列中，选择允许。
3. 发布这两个规则。