Bevor Sie Ihr SDDC aktivieren, stellen Sie sicher, dass Sie die Aufgaben für die Vorabprüfung der Aktivierung ausführen. Sie müssen auch die IP-Adressen von VeloCloud Orchestrator (VCO) und VeloCloud Gateway (VCG) kennen, um Ihre Firewallregeln zu konfigurieren. Weitere Informationen finden Sie in den Abschnitten VCO-Dienste und VCG-Dienste in diesem Thema.

Aufgaben für die Vorabprüfung der Aktivierung

Aufgabe Beschreibung
Hauptstromkreis Stellen Sie sicher, dass der Hauptstromkreis für die Verbindung mit den Rack-PDUs bereit ist.
Bereithalten der Umverpackung am Bereitstellungsstandort Sie erhalten eine Umverpackung mit zusätzlichen Kabeln und Transceivern sowie dem Rack. Geben Sie die Verpackung an den Bereitstellungstechniker weiter, wenn der Techniker dies verlangt.
Ausschalten der Rack-Geräte Stellen Sie sicher, dass alle Geräte im Rack ausgeschaltet sind.
Kupfer- oder Glasfaser-VeloCloud-Uplink-Verbindungen Legen Sie fest, ob Kupfer oder Glasfaser für die VeloCloud-1-GbE-Uplink-Verbindungen verwendet werden soll, und stellen Sie sicher, dass die Kabel bei der Bereitstellung des SDDC verfügbar sind.
Top-of-Rack-Switch-Uplink-Geschwindigkeit Legen Sie fest, ob ein Uplink mit 10 Gb oder 25 Gb von ToR zu Ihrem L2-Uplink-Switch verwendet werden soll.
Top-of-Rack-Switch-Uplink-Konfiguration

(Informationen zum Konfigurieren einer Uplink-Verbindung finden Sie unter Konfigurieren von Uplink-Verbindungen.)

 Legen Sie fest, ob eine Standard- oder Butterfly-Konfiguration vom VMware Cloud on Dell EMC-Rack zu Ihrem L2-Uplink-Switch erforderlich ist.
  • Standardkonfiguration: Jeder ToR-Switch benötigt 1 Uplink-Verbindung zum L2-Uplink-Core-Switch.
  • Butterfly-Konfiguration: Jeder ToR-Switch benötigt 2 Uplink-Verbindungen zum L2-Uplink-Core-Switch.
Hinweis: Die Butterfly-ToR-Uplink-Konfiguration wird nur für statisches Routing unterstützt.
Uplink-Konfiguration am Tag der Aktivierung Bestätigen Sie, dass Sie die Uplink-Verbindung in der Tag-1-Bereitstellung konfigurieren möchten.
Verfügbarkeit des technischen Mitarbeiters für L2-Switches Stellen Sie sicher, dass ein technischer Mitarbeiter, der die Konfiguration und die Parameter des L2-Core-Switches kennt, während der Bereitstellung zur Verfügung steht. Der technische Mitarbeiter muss an der Aktivierung beteiligt sein.
Aktivierung der VeloCloud-Ports Die beiden VeloCloud-Geräte, die im HA-Modus (primäre/sekundäre Hochverfügbarkeit) auf dem VMware Cloud on Dell EMC-Rack konfiguriert sind, bieten Remotezugriffsfunktionen. Der VMware Cloud on Dell EMC-SRE verwaltet das Rack mit einem anderen Kommunikationspfad als den Pfaden (2 x ToRs), die vom SDDC und den Arbeitslasten im Rack verwendet werden. Damit VeloCloud ordnungsgemäß funktioniert, müssen Sie Folgendes konfigurieren:
  1. Während der Aktivitäten für die Bereitstellung von VMware Cloud on Dell EMC müssen die VeloCloud-Switches auf den VeloCloud Orchestrator-Dienst (VCO) sowie auf die VeloCloud Gateway-Dienste (VCG) zugreifen.

    Konfigurieren Sie die folgenden Ports für die ausgehende Kommunikation:

    • UDP 2426 (für IPSec-Tunnel): Die den VCG-Diensten zugeordneten IP-Adressen sollten über die Firewall erreichbar sein.
    • TCP 443 (für Aktivierung und Verwaltung): Die dem VCO zugeordneten IP-Adressen sollten über die Firewall erreichbar sein.
  2. Stellen Sie sicher, dass die VeloCloud-Geräte über ausgehenden Zugriff auf UDP-Port 53 auf den IP-Adressen 8.8.8.8 und 8.8.4.4 (Google DNS) verfügen.
Benutzerbereitstellung Dem Bereitstellungstechniker, der die Bereitstellung unterstützt, müssen die erforderlichen Rollen zugewiesen werden. Stellen Sie sicher, dass sich der Bereitstellungstechniker bei der VMware Cloud on Dell EMC-Konsole anmelden kann. Weitere Informationen hierzu finden Sie unter Erstellung und Verwaltung von Konten.
Rollenzuweisung Stellen Sie sicher, dass Sie die erforderlichen Rollen für den Bereitstellungstechniker aktivieren. Weitere Informationen hierzu finden Sie unter Zuweisen einer Rolle an ein Organisationsmitglied.
DNS-Konfiguration

Nachdem Sie die Uplink-Verbindungen konfiguriert haben, lassen Sie zu, dass die DNS-Weiterleitung des NSX-Computing-Gateways (IP-Adresse: x.x.x.188) und die DNS-Weiterleitung des Verwaltungs-Gateways (IP-Adresse: x.x.x.189) die Upstream-DNS-Server an UDP-Port 53 erreichen. Diese Kommunikation findet zwischen VMware Cloud on Dell EMC-ToRs und Ihren Uplink-Routern statt.

Sie können die DNS-Weiterleitung des Computing-Gateways für Ihre VMs und Arbeitslasten verwenden. Die VMware Cloud on Dell EMC-Verwaltungs-VM verwendet die DNS-Weiterleitung des Verwaltungs-Gateways.
Hinweis: x.x.x bezieht sich auf das Subnetz des SDDC-Verwaltungsnetzwerks. Informationen zur Netzwerkadressierung finden Sie unter Konfigurieren der Netzwerkadressen des SDDC.
vCenter-Erreichbarkeit für vSAN-Insight-Analyse-Endpoint
  • Sie müssen zulassen, dass die vCenter-Verwaltungs-IP x.x.x.36/32 vcsa.vmware.com über FQDN an HTTPS-Port 443 erreicht. Diese Kommunikation wird nicht über Proxyserver ausgeführt und direkt eingerichtet.

    x.x.x bezieht sich auf das Subnetz des SDDC-Verwaltungsnetzwerks. Informationen zur Netzwerkadressierung finden Sie unter Konfigurieren der Netzwerkadressen des SDDC.

  • Wenn Sie Firewallregeln eingerichtet haben, müssen Sie die Regeln aktualisieren, um Datenverkehr zu vcsa.vmware.com zuzulassen.
HCX-Endpoint-Erreichbarkeit

(Diese Aufgabe gilt nur, wenn Sie HCX auf einem VMware Cloud on Dell EMC-SDDC bereitstellen.)
  • Sie müssen zulassen, dass die vCenter-Verwaltungs-IP x.x.x.36/32 connect.hcx.vmware.com und hybridity-depot.vmware.com an HTTPS-Port 443 erreicht. Diese Kommunikation wird direkt über Ihre Uplink-Verbindung eingerichtet und geht nicht über Proxyserver.
  • Wenn Sie Firewallregeln eingerichtet haben, müssen Sie die Regeln aktualisieren, um Datenverkehr zu den Sites, connect.hcx.vmware.com und hybridity-depot.vmware.com, zuzulassen.
Hinweis: hybridity-depot.vmware.com ist ein CDN-Backend mit einer dynamischen IP, daher müssen Sie es entsprechend konfigurieren.
VCO-Dienst-URLs zur Positivliste des L7-Firewall-URL-Filtermoduls hinzufügen Wenn Sie das URL-Filtermodul in einer L7-Firewall verwenden, müssen Sie die folgende Firewall-Positivliste für VCO160-URLs hinzufügen:
IP-Positivliste für vCenter-Zugriff über das Internet
Sie können Ihr vCenter über das Intranet oder das Internet verwalten. Um Ihr vCenter über das Internet zu verwalten, müssen Sie die IP-Positivliste vor der Bereitstellung angeben. Weitere Informationen hierzu finden Sie unter Hinzufügen einer IP-Positivliste für den Zugriff auf vCenter und NSX Manager.
Hinweis: Die Standardrichtlinie für IPs, die die vCenter-Verwaltung durchführen dürfen, ist „Alle ablehnen“.
Nach Konfiguration der Uplink-Verbindung sicherstellen, dass der Uplink-Ping-Test für das CSP-Portal erfolgreich ist Sofern ICMP nicht blockiert ist, erkennt ein HTTP-Test oder ein Ping-Test Routing- oder Rendering-Probleme, wie z. B. eine Überschneidung zwischen ToR- und Core-Switches.
Verwaltungs-Gateway Navigieren Sie zur Registerkarte Netzwerk und Sicherheit des Formulars VMware Cloud on Dell EMC SDDC bestellen und stellen Sie sicher, dass das Verwaltungs-Gateway mit dem Internet verbunden ist.

VCO-Dienste

In jedem VMware Cloud on Dell EMC-Rack werden zwei VeloCloud-Geräte im Hochverfügbarkeitsmodus (HA) betrieben. Diese VeloCloud-Geräte ermöglichen einen Out-of-Band-Kommunikationspfad zwischen dem VMware Cloud on Dell EMC-SDDC und VMware, unabhängig von den Uplinks von den ToR-Switches im VMware Cloud on Dell EMC-SDDC zu Ihrem Netzwerk. Dieser ToR-Uplink-Pfad wird von Arbeitslasten verwendet, um mit Diensten, die an einer anderen Stelle in Ihrem Netzwerk arbeiten, und mit dem Internet zu kommunizieren, wenn die Arbeitslast dies erfordert.

Ohne die VeloCloud-Konnektivität kann VMware nicht auf das Rack zugreifen, um die Remoteverwaltung durchzuführen, und kann keine Überwachungsdaten vom Rack empfangen, das VMware bei Vorfällen warnt, und um zu überprüfen, ob das Rack innerhalb seiner Service Level Objectives betrieben wird.

Die VeloCloud Edge 620-Geräte kommunizieren mit einer VCO-Dienstinstanz im VeloCloud Cloud Service. VCO verwaltet VeloCloud und stellt eine Steuerungsebene für die VeloCloud-Geräte bereit. Die folgenden VCO-Dienstinstanzen werden zur Verwendung durch VeloCloud in den VMware Cloud on Dell EMC-Racks zugewiesen:
  • VCO160 (52.53.138.251)
  • VCO129 (54.173.111.227)
Jede VCO-Dienstinstanz ist einem Pool von VeloCloud Gateway-IP-Adressen zugeordnet. Der Pool stellt die SD-WAN-Endpoints dar, die aus der Datenebene bestehen, um Folgendes bereitzustellen:
  • Datenfluss vom VMware Cloud on Dell EMC-Rack
  • Eingehende Konnektivität während SRE-Jump-Host-Interaktionen mit dem VMware Cloud on Dell EMC-Rack

VCG-Dienste

Jeder VeloCloud Edge verwendet eine bestimmte VCG-Dienstinstanz basierend auf seinem geografischen Standort. Wenn sich die VMware Cloud on Dell EMC Edges beispielsweise in einem Rack befinden, das in Oklahoma City bereitgestellt wird, und der Kunde VCO129 zugewiesen ist, werden die VeloClouds im Rack angewiesen, die VCG-Dienstinstanz VCO129 zu verwenden, die sich in derselben Region, in Texas (216.221.31.57), befindet.

Das VMware Customer Success-Team informiert Sie über den VCO-Dienst, dem Ihre VeloCloud Edges zugewiesen sind, unabhängig davon, ob es sich um VCO160 oder VCO129 handelt. Alle VMware Cloud on Dell EMC-Racks in Ihrer Umgebung verwenden dieselbe VCO-Dienstinstanz, entweder VCO160 oder VCO129. Für eine ordnungsgemäße Verwaltung und Überwachung des VMware Cloud on Dell EMC-Racks muss Ihre Firewall so konfiguriert sein, dass sie die ausgehende Kommunikation wie folgt zulässt:
  • TCP zu Port 443 auf der IP-Adresse der VCO-Dienstinstanz
  • UDP zu Port 2426 auf einer beliebigen IP-Adresse im VCG-Pool
Hinweis: VeloCloud erweitert routinemäßig die Anzahl der VCG-Dienstinstanzen in den Pools VCO160 und VCO129. Wenn dem Pool also neue IP-Adressen von VeloCloud hinzugefügt werden, müssen Sie ausgehende Kommunikation mit den neuen IP-Adressen im Pool zulassen. Dies bedeutet, dass Sie die IP-Adressen der Firewall-Positivliste aktualisieren müssen. Bitten Sie Ihr VMware Customer Success-Team darum, die VCG-IP-Adressliste zu überprüfen und alle neuesten IP-Adressen bereitzustellen, die hinzugefügt wurden.

Wenn Ihnen beispielsweise VCO160 zugewiesen ist und Sie die Firewallregeln erstellen, die die UDP-Kommunikation mit Port 2426 an jede der spezifischen VCG-IP-Adressen für VCO160 zulassen, muss jedes Mal, wenn eine neue IP-Adresse zum VCO160-Pool hinzugefügt wird, ein Netzwerktechniker eine neue Firewallregel erstellen, die die Konnektivität zwischen UDP-Port 2426 und dieser IP ermöglicht.

Ohne die neue Firewallregel für die neuen IP-Adressen im Pool leitet VCO160 VeloCloud Edge 620 möglicherweise an, eine Verbindung zu einer der neuen VCG-IP-Adressen herzustellen. In diesem Fall ist VeloCloud möglicherweise nicht in der Lage, das Internet zu erreichen, und das Rack wird isoliert, bis die Firewallregel erstellt wurde.

Im Folgenden finden Sie die drei Optionen für die Konfiguration von Firewallregeln, um den Zugriff auf VCG-IP-Adressen zu ermöglichen:

  • UDP auf Port 2426 für eine beliebige IP-Adresse zulassen: Wenn dem VCG-Pool eine neue IP-Adresse hinzugefügt wird, müssen Sie keine neue Firewallregel erstellen
    Hinweis: VMware empfiehlt, der obigen Option zu folgen, bei der die Firewallregel die UDP-Kommunikation mit Port 2426 an einer beliebigen IP-Adresse zulässt. Diese Konfiguration wird bevorzugt, da die Firewallregel für die ausgehende VeloCloud-Kommunikation bei jedem Hinzufügen einer neuen IP zum Pool VCO 52.53.138.251 oder VCO 54.173.111.227 nicht wiederholt aktualisiert werden muss.
  • UDP auf Port 2426 für alle bekannten VCG-IPs für VCO160 oder VCO129 zulassen: Wenn dem VCG-Pool eine neue IP-Adresse hinzugefügt wird, erstellen Sie eine neue Firewallregel für diese IP-Adresse
  • UDP auf Port 2426 für alle Subnetze innerhalb VMware ASN53766 zulassen (ASN, die VeloCloud zugewiesen ist): Immer dann, wenn eine neue IP zum VCG-Pool hinzugefügt wird, ermöglichen die vorhandenen Firewallregeln die Kommunikation mit allen neu hinzugefügten IP-Adressen
Die folgenden VCG-IP-Adressen sind spezifisch für VCO160 (52.53.138.251):
IP-Adresse IP-Adresse
1. 192.40.64.104 21. 159.100.165.45
2. 159.100.164.66 22. 169.38.70.30
3. 104.193.29.93 23. 216.221.31.104
4. 159.100.160.62 24. 216.221.25.104
5. 104.193.30.93 25. 159.100.173.32
6. 104.193.28.91 26. 216.221.29.33
7. 159.100.168.81 27. 216.221.25.33
8. 159.100.161.52 28. 216.221.27.34
9. 104.193.31.81 29. 216.221.27.34
10. 104.193.30.145 30. 64.186.27.39
11. 216.221.31.64 31. 159.100.175.41
12. 168.128.69.22 32. 159.100.171.45
13. 52.68.66.124 33. 216.221.27.49
14. 35.182.90.236 34. 64.186.25.53
15. 18.136.6.49 35. 216.221.29.57
16. 3.10.86.209 36. 216.221.27.64
17. 15.188.112.82 37. 64.186.25.78
18. 18.229.103.223 38. 18.130.224.148
19. 107.155.76.14 39. 169.38.66.123
20. 13.235.28.38 40. 159.100.165.36
Die folgenden VCG-IP-Adressen sind spezifisch für VCO129 (54.173.111.227):
IP-Adresse IP-Adresse
1. 159.100.160.124 14. 159.100.173.40
2. 159.100.163.125 15. 64.186.25.43
3. 104.193.28.146 15. 64.186.27.44
4. 104.193.30.164 17. 64.186.25.51
5. 192.40.64.172 18. 216.221.31.57
6. 104.193.29.175 19. 216.221.27.66
7. 159.100.165.113 20. 216.221.25.77
8. 18.167.45.121 21. 216.221.29.89
9. 15.228.2.144 22. 159.100.168.106
10. 52.194.15.47 23. 159.100.164.106
11. 64.186.27.35 24. 104.193.31.106
12. 159.100.175.37 25. 159.100.161.124
13. 159.100.171.38