Hierbei handelt es sich um eine Übersicht über den manuellen Bereitstellungsvorgang, der ausgeführt werden muss, um die Google Cloud-Projekte Ihrer Anbieter und Mandanten einzurichten und zu konfigurieren, ein SDDC bereitzustellen und es mit VMware Cloud Director service zu verknüpfen.

Die folgenden Verfahren enthalten die Informationen, die Sie benötigen, um VMware Cloud Director service erfolgreich mit Google Cloud VMware Engine zu konfigurieren. Sie enthalten jedoch weder alle Schritte noch alle Anweisungen für die Arbeit mit Google Cloud Console oder NSX Manager. Detaillierte Anweisungen finden Sie, indem Sie den entsprechenden Links zur Google Cloud-Dokumentation und zum Administratorhandbuch für NSX folgen.

Voraussetzungen

Stellen Sie sicher, dass Sie über die erforderlichen Rechte zum Konfigurieren der Anbieter- und Mandantenprojekte in Google Cloud verfügen.

Konfigurieren des Anbieterprojekts

Um mit der Verwendung der Google Cloud VMware Engine-Ressourcen zu beginnen, müssen Sie die Anbieter-Cloud und das Verwaltungsnetzwerk des Anbieters konfigurieren.

Prozedur

  1. Aktivieren Sie in Google Cloud Console die Cloud-DNS-API im Anbieterprojekt. Weitere Informationen finden Sie unter Cloud-DNS-API aktivieren in der Dokumentation zu Google Cloud VMware Engine.
  2. Greifen Sie auf das VMware Engine-Portal zu und aktivieren Sie die zugehörige API, wenn Sie dazu aufgefordert werden. Weitere Informationen finden Sie unter Zugriff auf das VMware Engine-Portal in der Dokumentation zu Google Cloud VMware Engine.
  3. Erstellen Sie in der Google Cloud Console ein VPC-Netzwerk. Weitere Informationen finden Sie unter VPC-Netzwerke (Virtual Private Cloud) erstellen und ändern in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).
    • Geben Sie einen aussagekräftigen Namen für das Netzwerk ein.
    • Wählen Sie im Textfeld Region die Region aus, in der sich Ihre Umgebung befindet.
    • Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass die Subnetzkonfiguration einen Bereich außerhalb des RFC 1918-Adressbereichs enthält.
    • Wählen Sie das Optionsfeld aus, um privaten Google-Zugriff zu aktivieren.
    • Wählen Sie den dynamischen Routing-Modus Global aus und legen Sie die maximale MTU auf 1500 fest.
  4. Konfigurieren Sie eine private Dienstverbindung zur Google Cloud Platform und stellen Sie eine Verbindung mit dem Netzwerk her, das bei der Zuweisung eines IP-Bereichs erstellt wurde. Weitere Informationen finden Sie unter Zugriff auf private Dienste konfigurieren in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).

Einrichten eines Google Cloud VMware Engine-SDDC

Zur Bereitstellung von Ressourcen, die von Mandanten verbraucht werden können, müssen Sie ein SDDC erstellen.

Prozedur

  1. Erstellen Sie eine Private Cloud. Weitere Informationen finden Sie unter VMware Engine Private Cloud erstellen in der Dokumentation zu Google Cloud VMware Engine.
    • Wählen Sie als Standort für die Cloud das Google Cloud Platform-Datencenter aus, in dem das SDDC erstellt werden soll.
    • Wählen Sie für Knotentyp die Option Mehrere Knoten (Multi Node) mit mindestens 4 Knoten aus.
  2. Erstellen Sie eine private Verbindung zwischen dem SDDC und dem Anbieterprojekt. Weitere Informationen finden Sie unter Vollständig private Verbindung im VMware Engine-Portal erstellen in der Dokumentation zu Google Cloud VMware Engine.
    • Wählen Sie im Textfeld Dienst die Option VPC-Netzwerk (VPC Network) aus.
    • Wählen Sie im Textfeld Region die Region aus, in der Sie die Private Cloud erstellt haben.
    • Geben Sie im Textfeld ID des Peer-Projekts (Peer Project ID) den Namen des Anbieterprojekts ein.
      Tipp: Öffnen Sie Google Cloud Platform in einer separaten Registerkarte und kopieren Sie den Namen des Anbieterprojekts aus den Projektinformationen.
    • Geben Sie im Textfeld Nummer des Peer-Projekts (Peer Project Number) die Projektnummer des Anbieters ein.
      Tipp: Kopieren Sie auf der Registerkarte „Google Cloud Platform“ die Nummer des Anbieterprojekts, die sich unter dem Namen des Anbieterprojekts in den Projektinformationen befindet.
    • Geben Sie im Textfeld ID des Peer-VPC (Peer VPC ID) den Namen der ID des Anbieterverwaltungsnetzwerks ein.
    • Geben Sie im Textfeld ID des Mandantenprojekts (Tenant Project ID) die ID des Mandantenprojekts ein.
      Tipp: Klicken Sie zum Auffinden der ID des Mandantenprojekts im linken Bereich auf VPC-Netzwerk (VPC Network) > VPC-Netzwerk-Peering (VPC Network Peering). Kopieren Sie im rechten Bereich den Wert ID des Peer-Projekts (Peered Project ID).
    • Wählen Sie im Dropdown-Menü Routing-Modus (Routing Mode) die Option Global aus.
    Innerhalb wenigen Minuten wird „Verbunden“ als Status für die Region angezeigt.
  3. Aktualisieren Sie die Peering-Verbindung des VPC-Netzwerks servicenetworking, um benutzerdefinierte Routen zu importieren und zu exportieren. Weitere Informationen finden Sie unter Peering-Verbindung aktualisieren in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).
  4. Aktivieren Sie den Internetzugriff und den öffentlichen IP-Netzwerkdienst für Ihre Region. Weitere Informationen finden Sie unter Öffentlichen IP-Netzwerkdienst in einer Region aktivieren in der Dokumentation zu Google Cloud VMware Engine.

Konfigurieren des Mandantenprojekts

Zur Bereitstellung von Ressourcen für das Mandantenprojekt konfigurieren Sie das Dienstnetzwerk für Mandanten sowie die Peering-Verbindung.

Prozedur

  1. Navigieren Sie in Google Cloud Console zum Mandantenprojekt und löschen Sie das zugehörige VPC-Standardnetzwerk.
  2. Erstellen Sie ein neues VPC-Netzwerk.
    • Wählen Sie im Textfeld Region die Region aus, in der sich Ihr SDDC befindet.
    • Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass die Subnetzkonfiguration einen Bereich außerhalb des RFC 1918-Adressbereichs enthält.
    • Wählen Sie das Optionsfeld aus, um privaten Google-Zugriff zu aktivieren.
    • Wählen Sie im Abschnitt „Subnetz“ die Option Fertig aus.
    • Wählen Sie den dynamischen Routing-Modus Global aus.
    • Legen Sie die maximale MTU auf 1500 fest.
  3. Konfigurieren Sie eine private Dienstverbindung mit Google Cloud Platform und weisen Sie einen internen IP-Bereich für die zu verwendende Dienstverbindung zu. Weitere Informationen finden Sie unter Zugriff auf private Dienste konfigurieren in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).
  4. Aktualisieren Sie die in Schritt 3 erstellte Peering-Verbindung, um benutzerdefinierte Routen zu importieren und zu exportieren. Weitere Informationen finden Sie unter Peering-Verbindung aktualisieren in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).
  5. Erstellen Sie eine private Verbindung im Google Cloud VMware Engine-Portal. Weitere Informationen finden Sie unter Vollständig private Verbindung im VMware Engine-Portal erstellen in der Dokumentation zu Google Cloud VMware Engine.
    • Wählen Sie im Dropdown-Menü Dienst die Option VPC-Netzwerk (VPC Network) aus.
    • Wählen Sie im Dropdown-Menü Region die Region aus, in der Sie Ihre Private Cloud erstellt haben.
    • Geben Sie im Textfeld ID des Peer-Projekts (Peer Project ID) den Namen des Anbieterprojekts ein.
      Tipp: Öffnen Sie Google Cloud Console in einer separaten Registerkarte und kopieren Sie den Namen des Anbieterprojekts aus den Projektinformationen.
    • Geben Sie im Textfeld Nummer des Peer-Projekts (Peer Project Number) die Projektnummer ein.
    • Geben Sie im Textfeld ID des Peer-VPC (Peer VPC ID) den Namen des VPC-Mandantennetzwerks ein, das Sie in Schritt 2 erstellt haben.
    • Geben Sie im Textfeld ID des Mandantenprojekts (Tenant Project ID) die ID des Mandantenprojekts ein.
      Hinweis: Klicken Sie zum Auffinden der ID des Mandantenprojekts im linken Bereich auf VPC-Netzwerk (VPC Network) > VPC-Netzwerk-Peering (VPC Network Peering). Kopieren Sie im rechten Bereich den Wert ID des Peer-Projekts (Peered Project ID).
    • Wählen Sie im Dropdown-Menü Routing-Modus (Routing Mode) die Option Global aus.

Nächste Maßnahme

So konfigurieren Sie alle zusätzlichen Mandantenprojekte und wiederholen Sie die Schritte für jedes Projekt.

Erstellen eines Jump-Hosts im Anbieterprojekt und Zulassen des Netzwerkzugriffs

Sie können den Jump-Host im Anbieterprojekt für den gesteuerten Zugriff auf vCenter Server, NSX Manager und andere Dienste in Remotenetzwerken verwenden.

Prozedur

  1. Erstellen Sie im Anbieterprojekt eine Windows Server-VM-Instanz in derselben Region und Zone wie Ihre Private Cloud. Weitere Informationen finden Sie unter Windows Server-VM-Instanz erstellen in der Dokumentation zu Google Cloud Compute Engine.
  2. Bearbeiten Sie unter Netzwerk, Festplatten, Sicherheit, Verwaltung, Einzelmandantenfähigkeit (Networking, disks, security, management, sole-tenancy) die Netzwerkschnittstelle zum Verwaltungsnetzwerk des Anbieters.
  3. Legen Sie in den Details der VM-Instanz ein Windows-Kennwort für die VM fest und notieren Sie sich das Kennwort.
  4. Erstellen Sie eine Firewallregel, die eingehenden Datenverkehr zulässt. Weitere Informationen finden Sie unter Firewallregeln erstellen in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).
    • Geben Sie einen eindeutigen und aussagekräftigen Namen für die Regel ein, z. B. den bereitgestellten Dienst.
    • Wählen Sie als Netzwerk das Verwaltungsnetzwerk des Anbieters aus.
    • Wählen Sie für Richtung des Datenverkehrs (Direction of Traffic) die Option Eingehend aus.
    • Wählen Sie für Ziele die Option Alle Instanzen im Netzwerk (All instances in the network) aus.
    • Wählen Sie für Quellfilter (Source Filter) die Option IP-Bereiche aus und geben Sie 0.0.0.0/0 im Textfeld ein, um Quellen aus einem beliebigen Netzwerk zuzulassen.
    • Wählen Sie im Textfeld Protokolle und Ports (Protocols and ports) die Option TCP 3389 aus.
  5. Erstellen Sie eine Firewallregel, die den Ost-West-Datenverkehr innerhalb des Anbieterprojekts zulässt.
    • Geben Sie einen eindeutigen und aussagekräftigen Namen für die Regel ein, z. B. Ost-West.
    • Wählen Sie als Netzwerk das Verwaltungsnetzwerk des Anbieters aus.
    • Wählen Sie für Richtung des Datenverkehrs (Direction of Traffic) die Option Ausgehend aus.
    • Wählen Sie für Ziele die Option Alle Instanzen im Netzwerk (All instances in the network) aus.
    • Wählen Sie für Quellfilter (Source Filter) die Option IP-Bereiche aus und geben Sie im Textfeld den Bereich des Verwaltungsnetzwerks ein.
    • Wählen Sie im Textfeld Protokolle und Ports (Protocols and ports) die Option Alle zulassen aus.
  6. Notieren Sie sich die externe IP-Adresse der VM-Instanz, die für die RDP-Kommunikation (Remote Desktop Protocol, Remotedesktopprotokoll) verwendet werden soll.
  7. Stellen Sie sicher, dass Sie sich bei der neu erstellten VM mit der externen IP und den Windows-Anmeldeinformationen anmelden können.

Erstellen einer VMware Cloud Director-Instanz

Erstellen Sie mindestens eine VMware Cloud Director-Instanz für jede Region, für die Sie Cloud-Ressourcen auf Mandantenbasis zuteilen möchten.

Prozedur

  1. Erstellen Sie eine VMware Cloud Director-Instanz in der Region, in der sich die Kapazität der Google Cloud VMware Engine befindet. Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Erstellen einer VMware Cloud Director-Instanz.
  2. Aktualisieren Sie den Domänennamen Ihrer VMware Cloud Director-Instanz. Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Anpassen der DNS- und Zertifikatseinstellungen einer VMware Cloud Director-Instanz.

Verknüpfen des SDDC über VMware Reverse Proxy

Zur Verwendung von Infrastrukturressourcen, die nicht öffentlich verfügbar sind und lediglich ausgehenden Zugriff auf das Internet in der VMware Cloud Director service-Umgebung aufweisen, müssen Sie Ihre VMware Cloud Director-Instanz für die Nutzung des VMware Proxy-Diensts einrichten.

Prozedur

  1. Melden Sie sich auf der Jump-Host-VM bei VMware Cloud Partner Navigator an, navigieren Sie zu VMware Cloud Director service und erzeugen Sie die Proxy-Appliance. Weitere Informationen finden Sie unter Vorgehensweise zum Konfigurieren und Herunterladen der VMware Reverse Proxy-OVA.
  2. Überprüfen Sie die Verbindung der Proxy-Appliance.
    1. Melden Sie sich bei der Proxy-Appliance als root an.
    2. Führen Sie ip a aus und stellen Sie sicher, dass die Appliance eine IP-Adresse erhalten hat.
    3. Führen Sie systemctl status transporter-client.service aus und stellen Sie sicher, dass der Dienst aktiv ist und ausgeführt wird.
      Hinweis: Wenn der Befehl einen Fehler verursacht, stellen Sie sicher, dass DNS funktioniert und auf das Internet zugreifen kann.
    4. Führen Sie transporter-status.sh aus, um die Verbindung der Proxy-Appliance zu überprüfen.
    5. Führen Sie den Befehl aus, um Probleme mit der Proxy-Appliance zu diagnostizieren.
      diagnose.sh -o OUTPUT_FILE
      Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Beheben von Fehlern bei der VMware Cloud Director service-Proxy-Client-Appliance.
  3. Navigieren Sie in VMware Cloud Director service zur VMware Cloud Director-Instanz, über die Sie den Proxy erzeugt haben, und verknüpfen Sie das Datencenter über VMware Proxy. Weitere Informationen finden Sie unter Vorgehensweise zum Verknüpfen einer VMware Cloud Director-Instanz mit einem SDDC über VMware Proxy.
    Zum Erstellen eines Provider-VDC während der Verknüpfung des SDDC aktivieren Sie das Kontrollkästchen Infrastrukturressourcen erstellen (Create Infrastructure Resources).

Ergebnisse

Nach Abschluss der Aufgabe wird das SDDC als Provider-VDC auf der Benutzeroberfläche der VMware Cloud Director-Instanz angezeigt.

Bereitstellen und Konfigurieren von IPsec-Tunneln

Stellen Sie eine VPN-Appliance im Mandantenprojekt bereit und konfigurieren Sie sie, um über einen IPsec-Tunnel eine Verbindung mit dem Tier-1-Gateway im Provider-VDC herzustellen.

Prozedur

  1. Erstellen Sie im Mandantenprojekt Firewallregeln, die den Zugriff auf die VPN-Appliance verwalten. Weitere Informationen finden Sie unter Firewallregeln konfigurieren in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).
    1. Erstellen Sie eine Regel für eingehenden Datenverkehr.
      • Geben Sie einen eindeutigen und aussagekräftigen Namen für die Regel ein, z. B. gcve-transit.
      • Geben Sie für Netzwerk den Wert tenantname-transit ein.
      • Geben Sie für Priorität den Wert 100 ein.
      • Wählen Sie für Richtung des Datenverkehrs (Direction of Traffic) die Option Eingehend aus.
      • Wählen Sie für Aktion bei Übereinstimmung (Action on match) die Option Zulassen aus.
      • Wählen Sie für Ziele die Option Alle Instanzen im Netzwerk (All instances in the network) aus.
      • Wählen Sie für Quellfilter (Source Filter) die Option IP-Bereiche aus und geben Sie den Bereich für das Transitnetzwerk ein, z. B. 100.64.0.0/16.
      • Wählen Sie im Textfeld Protokolle und Ports (Protocols and ports) die Option Alle zulassen aus.
    2. Erstellen Sie eine Regel für ausgehenden Datenverkehr.
      • Geben Sie einen eindeutigen und aussagekräftigen Namen für die Regel ein, z. B. ipsec-egress.
      • Wählen Sie für Netzwerk den Wert tenantname-transit aus.
      • Geben Sie für Priorität den Wert 100 ein.
      • Wählen Sie für Richtung des Datenverkehrs (Direction of Traffic) die Option Ausgehend aus.
      • Wählen Sie für Aktion bei Übereinstimmung (Action on match) die Option Zulassen aus.
      • Wählen Sie für Ziele die Option Alle Instanzen im Netzwerk (All instances in the network) aus.
      • Wählen Sie für Quellfilter (Source Filter) die Option IP-Bereiche aus und geben Sie den Bereich für das Transitnetzwerk ein, z. B. 100.64.0.0/16.
      • Wählen Sie im Textfeld Protokolle und Ports (Protocols and ports) die Option IPsec-Ports (IPsec ports) aus.
  2. Stellen Sie im Mandantenprojekt eine CentOS 7-Linux-VM zur Verwendung für den IPsec-VPN-Tunnel bereit und stellen Sie eine Verbindung zu ihr her. Weitere Informationen finden Sie unter Instanz einer virtuellen Linux-Maschine in Compute Engine erstellen in der Dokumentation zu Google Cloud Compute Engine.
  3. Aktivieren Sie IP-Weiterleitung unter Netzwerk, Festplatten, Sicherheit, Verwaltung, Einzelmandantenfähigkeit (Networking, disks, security, management, sole-tenancy) und bearbeiten Sie die Netzwerkschnittstelle zum tenantname-transit-Netzwerk.
  4. Bearbeiten Sie die Einstellungen des Linux-VM-Netzwerks, um den Tag-Namen des Netzwerks hinzuzufügen. Weitere Informationen finden Sie unter Netzwerk-Tags konfigurieren in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).
    Dieses Tag kann sich nach den Wünschen des Anbieters richten, muss aber für alle Routen, die auf das Internet verweisen, einheitlich sein und auf jede VM angewendet werden, die unter Umständen Internetzugriff im anbietereigenen Kundenprojekt benötigt.
  5. Installieren und konfigurieren Sie eine IPsec-Implementierung auf der Linux-VM.
  6. Erstellen Sie die IPsec-VPN-Route im Mandantenprojekt. Weitere Informationen finden Sie unter Statische Route hinzufügen in der Dokumentation zu Google Cloud Virtual Private Cloud (VPC).
    • Geben Sie einen aussagekräftigen Namen für die Route ein.
    • Wählen Sie für Netzwerk den Wert tenantname-transit aus.
    • Geben Sie für Ziel-IP-Bereich (Destination IP Range) einen Bereich für den Mandanten im SDDC ein.
    • Geben Sie für Priorität den Wert 100 ein.
    • Wählen Sie für Nächster Hop die Option Instanz angeben (Specify an instance) aus.
    • Geben Sie für Nächste Hop-Instanz (Next Hop Instance) die VM ein, auf der Sie IPsec-VPN installiert und konfiguriert haben.

Konfigurieren von IPsec-VPN und Firewallregeln für Mandanten in NSX Manager

Zum Sichern der Netzwerkverbindung von Mandantenarbeitslasten konfigurieren Sie IPsec-VPN und Firewallregeln.

Prozedur

  1. Konfigurieren Sie IPsec-VPN in der VMware Cloud Director-Instanz, die das Google Cloud VMware Engine-SDDC verwaltet. Weitere Informationen finden Sie unter Konfigurieren des richtlinienbasierten NSX-T-IPSec-VPN.
  2. Melden Sie sich über den Jump-Host des Anbieters bei NSX Manager als admin an und konfigurieren Sie Firewallregeln im Tier-1-Gateway des Mandanten. Weitere Informationen finden Sie unter Hinzufügen von Regeln und Richtlinien für eine Gateway-Firewall im Administratorhandbuch für NSX.
    1. Fügen Sie eine Firewallregel hinzu.
      • Fügen Sie den CIDR-Block des Remote-Mandantenprojekts als Quelle hinzu.
      • Wählen Sie in der Spalte Ziel die Option Beliebig aus.
      • Wählen Sie in der Spalte Dienste die Option Beliebig aus.
      • Wählen Sie in der Spalte Aktion die Option Zulassen aus.
    2. Fügen Sie eine ausgehende Firewallregel hinzu.
      • Wählen Sie Beliebig als Quelle für ein beliebiges lokales Netzwerk aus, das alternativ auf ein einzelnes CIDR beschränkt werden kann.
      • Geben Sie in der Spalte Ziel den CIDR-Block für das Google Cloud Platform-Mandantenprojekt ein.
      • Wählen Sie in der Spalte Aktion die Option Zulassen aus.
    3. Veröffentlichen Sie beide Regeln.