Para permitir el emparejamiento con VMware Cloud Director Availability en VMware Cloud on AWS, primero configure los ajustes de red de SDDC.

El acceso a los grupos de recursos es limitado en VMware Cloud on AWS, y las direcciones IP privadas de todos los dispositivos de nube de VMware Cloud Director Availability deben tener permiso explícito, y también para acceder a los componentes de administración e infraestructura en el grupo de recursos de administración, como vCenter Server y ESXi.

VMware Cloud Director Availability en VMware Cloud on AWS proporciona dos servicios a Internet. Para utilizar los dos servicios en la configuración de las reglas NAT necesarias, deberá definirlas explícitamente, ya que ambos servicios utilizan puertos HTTPS no estándar de manera interna. Estos dos servicios, junto con las dos reglas NAT siguientes, traducen el tráfico de red que llega a la dirección IP pública en el puerto externo 443/TCP:

  • Hacia Cloud Director Replication Management Appliance, internamente en el puerto 8046/TCP para el tráfico de red de la interfaz de administración hacia Cloud Service.
  • Hacia Tunnel Appliance, internamente en el puerto 8048/TCP para el tráfico de red de datos de replicación hacia Endpoint de servicio público.

Requisitos previos

Procedimiento

  1. En https://vmc.vmware.com, inicie sesión en VMware Cloud on AWS.
  2. Agregue dos nuevos servicios de SDDC de inventario para la interfaz de administración y para Endpoint de servicio público.
    1. En la consola de VMC, en el panel izquierdo, haga clic en SDDC.
    2. En el SDDC, haga clic en Ver detalles y en la pestaña Redes y seguridad.
    3. En el panel izquierdo, en la sección Inventario, haga clic en Servicios.
      Repita los siguientes pasos dos veces.
      • Agregue un servicio de inventario para la interfaz de administración de Cloud Director Replication Management Appliance.
      • Agregue otro servicio de inventario para Endpoint de servicio público de Tunnel Appliance.
    4. Si desea agregar un servicio de SDDC de inventario, haga clic en Agregar servicio.
    5. Introduzca un nombre y, opcionalmente, una descripción para cada servicio.
    6. Para cada servicio, en la columna Entradas de servicio, haga clic en el vínculo Establecer entradas de servicio.
    7. Para cada servicio, en la ventana Establecer entradas de servicio, en el menú desplegable Tipo seleccione Capa 3 y superior.
    8. Para cada servicio, en la pestaña Puerto-Protocolo, haga clic en Agregar entrada de servicio, introduzca los detalles de la columna correspondiente y haga clic en Aplicar.
      Opción Servicio de inventario de la interfaz de administración Servicio de inventario de Endpoint de servicio público
      Nombre Introduzca un nombre para la entrada de servicio de la interfaz de administración de Cloud Director Replication Management Appliance. Por ejemplo, escriba VCDA-Cloud-Service-Management. Introduzca un nombre para la entrada de servicio de Tunnel ApplianceEndpoint de servicio público. Por ejemplo, escriba VCDA-Tunnel-Service-Endpoint.
      Tipo de servicio Seleccione TCP. Seleccione TCP.
      Propiedades adicionales Deje en blanco el cuadro de texto Puertos de origen. Deje en blanco el cuadro de texto Puertos de origen.
      Para acceder a la interfaz de administración de Cloud Director Replication Management Appliance, en el cuadro de texto Puertos de destino introduzca el puerto 8046. Para acceder a la instancia de Endpoint de servicio público de Tunnel Appliance, en el cuadro de texto Puertos de destino introduzca el puerto 8048.
    9. Si desea guardar cada servicio de inventario, haga clic en Guardar.
      En la página Servicios, ambos servicios muestran lo siguiente:
      Nombre Entradas de servicio
      VCDA-Cloud-Service-Management TCP (Origen: cualquiera | Destino: 8046)
      VCDA-Tunnel-Service-Endpoint TCP (Origen: cualquiera | Destino: 8048)
  3. Solicite dos nuevas direcciones IP de SDDC públicas, para utilizarlas más adelante en reglas NAT.
    • Solicite una dirección IP pública para acceder al asistente de configuración inicial en la interfaz de administración de Cloud Director Replication Management Appliance.
    • Solicite una dirección IP pública para permitir el emparejamiento externo con Endpoint de servicio público de Tunnel Appliance.
    1. En la pestaña Redes y seguridad, en el panel izquierdo debajo de la sección Sistema, haga clic en IP públicas.
    2. Si desea solicitar una dirección IP pública para Cloud Director Replication Management Appliance, haga clic en Solicitar nueva IP, escriba una nota y haga clic en Guardar.
      Por ejemplo, introduzca, a modo de nota, VCDA-Management-Public-IP-address.
    3. Si desea solicitar una dirección IP pública para Tunnel Appliance, haga clic en Solicitar nueva IP, escriba una nota y haga clic en Guardar.
      Por ejemplo, introduzca, a modo de nota, VCDA-Tunnel-Public-IP-address.
  4. Para reenviar el tráfico de red entrante a los puertos y los dispositivos de nube correctos, agregue dos nuevas reglas NAT.
    1. En la pestaña Redes y seguridad, en el panel izquierdo debajo de la sección Red, haga clic en NAT.
      Repita el siguiente paso dos veces.
      • Agregue una regla NAT para la interfaz de administración de Cloud Director Replication Management Appliance.
      • Agregue otra regla NAT para el tráfico de red entrante a la instancia de Endpoint de servicio público de Tunnel Appliance.
    2. Para agregar una regla NAT, haga clic en Agregar regla NAT, configure las siguientes opciones y haga clic en Guardar.
      Opción NAT de interfaz de administración NAT de Endpoint de servicio público
      Nombre Introduzca un nombre para la regla NAT de la interfaz de administración de Cloud Director Replication Management Appliance. Por ejemplo, introduzca VCDA Management Interface NAT. Introduzca un nombre para la regla NAT de Tunnel ApplianceEndpoint de servicio público. Por ejemplo, introduzca VCDA Tunnel Service Endpoint NAT.
      Dirección IP pública Seleccione VCDA-Management-Public-IP-address. Seleccione VCDA-Tunnel-Public-IP-address.
      Servicio Seleccione el servicio de inventario de la interfaz de administración de Cloud Director Replication Management Appliance. Por ejemplo, seleccione VCDA-Cloud-Service-Management. Seleccione el servicio de inventario para Tunnel ApplianceEndpoint de servicio público. Por ejemplo, seleccione VCDA-Tunnel-Service-Endpoint.
      Puerto público Introduzca el puerto 443. Introduzca el puerto 443.
      IP interna Introduzca la private-IP-address de Cloud Director Replication Management Appliance. Introduzca la private-IP-address de Tunnel Appliance.
      Puerto interno 8046 (no editable) 8048 (no editable)
      Firewall Hacer coincidir con dirección interna Hacer coincidir con dirección interna
      Después de completar la configuración inicial, para reducir la posible superficie de ataque, se puede deshabilitar o eliminar la regla NAT para la interfaz de administración. Aún podrá acceder a VMware Cloud Director Availability desde Cloud Director instance mediante el complemento para VMware Cloud Director Availability.
  5. Para crear un grupo de administración y utilizarlo más adelante en una regla de firewall de administración, anote la public IP address (dirección IP pública) NAT de origen de la puerta de enlace de cómputo de SDDC.
    1. En la pestaña Redes y seguridad, en el panel izquierdo, haga clic en Descripción general.
    2. En Puerta de enlace de cómputo predeterminada y en Cargas de trabajo, anote la dirección IP pública NAT de origen de SDDC.
  6. Para preparar el acceso de los dispositivos de nube a los servicios de puerta de enlace de administración como vCenter Server y ESXi, agregue dos grupos de administración.
    1. En la pestaña Redes y seguridad, en el panel izquierdo debajo de la sección Inventario, haga clic en Grupos.
    2. Haga clic en la pestaña Grupos de administración .
      Repita los siguientes pasos dos veces.
      • Agregue un grupo de administración que contenga las direcciones IP privadas de todas las instancias de Replicator Appliance implementadas.
      • Agregue otro grupo de administración que contenga la NAT de origen de la puerta de enlace de cómputo.
    3. Para crear un grupo de administración, haga clic en Agregar grupo y, para cada grupo, introduzca un nombre para el grupo de administración.
    4. Para agregar miembros de confianza a cada grupo de administración, en la columna Miembros informáticos, haga clic en el vínculo Establecer miembros.
    5. En la ventana Seleccionar miembros en la pestaña Direcciones IP, introduzca las siguientes direcciones IP para cada grupo de administración y haga clic en Aplicar.
      Nombre del grupo de administración Direcciones IP de los miembros de confianza del grupo de administración
      SNAT VCDA Management Group
      • Introduzca la public-IP-address de NAT de origen de la puerta de enlace de cómputo de SDDC, como se indica en el paso anterior.
      • Introduzca el grupo de subredes de los dispositivos de VMware Cloud Director Availability. Por ejemplo, introduzca vcda-network-segment.
      VCDA Replicators Management Group Introduzca las private-IP-addresses reservadas en vcda-network-segment para todas las instancias de Replicator Appliance implementadas en VMware Cloud on AWS. Todas las instancias de Replicator Appliance deben acceder a los servicios de puertas de enlace de administración de vCenter Server para máquinas virtuales que provean y realicen tareas de replicación con los hosts y los almacenes de datos de ESXi.
    6. Para guardar cada grupo de administración, haga clic en Guardar.
  7. Para permitir la comunicación interna entre los dispositivos de nube con vCenter Server y con el almacén de datos de ESXi en la puerta de enlace de administración, agregue dos nuevas reglas de firewall de puerta de enlace de administración.
    1. En la página Firewall de puerta de enlace, haga clic en la pestaña Puerta de enlace de administración.
      Repita los siguientes pasos dos veces.
      • Agregue una regla de firewall de administración para permitir el tráfico de red desde la NAT de origen de puerta de enlace de cómputo a la puerta de enlace de administración de vCenter Server.
      • Agregue otra regla de firewall de administración para permitir que las instancias de Replicator Appliance escriban en el almacén de datos de ESXi de destino.
    2. Para crear una regla de firewall de administración, haga clic en Agregar regla.
    3. Configure cada una de las dos reglas de firewall de administración y haga clic en Aplicar cuando se lo solicite.
      Opción Reglas de firewall de puerta de enlace de administración de vCenter Server Regla de firewall de puerta de enlace de administración de hosts de ESXi
      Nombre Escriba un nombre para la regla de puerta de enlace de administración de vCenter Server. Por ejemplo, introduzca SNAT VCDA to vCenter Rule. Escriba un nombre para la regla de puerta de enlace de administración de ESXi. Por ejemplo, introduzca VCDA Replicators to ESXi Rule.
      Orígenes Haga clic en Cualquiera. En la ventana Establecer origen, seleccione Grupos definidos por el usuario y seleccione el grupo de administración para la SNAT. Por ejemplo, seleccione SNAT VCDA Management Group y haga clic en Aplicar. Haga clic en Cualquiera. En la ventana Establecer origen, seleccione Grupos definidos por el usuario y seleccione el grupo de administración para las direcciones IP privadas de las instancias de Replicator Appliance. Por ejemplo, seleccione VCDA Replicators Management Group y haga clic en Aplicar..
      Destinos Haga clic en Cualquiera. En la ventana Establecer destino en Grupos definidos por el sistema, seleccione vCenter y haga clic en Aplicar. Haga clic en Cualquiera. En la ventana Establecer destino en Grupos definidos por el sistema, seleccione ESXi y haga clic en Aplicar.
      Servicios Haga clic en Cualquiera y seleccione HTTPS (TCP 443). Para permitir Data Engine Service de la escritura de Replicator Appliance en los almacenes de datos de ESXi, haga clic en Cualquiera, y seleccione HTTPS (TCP 443) y Aprovisionamiento y consola remota (TCP 902).
      Acción Permitir Permitir
    4. Después de crear ambas reglas de firewall de puerta de enlace de administración, haga clic en Publicar.
  8. Para preparar el acceso a los servicios de puerta de enlace de cómputo en VMware Cloud on AWS, cree cuatro grupos de cómputo.
    1. En la pestaña Redes y seguridad, en el panel izquierdo debajo de la sección Inventario, haga clic en Grupos.
      Repita los siguientes pasos cuatro veces.
      • Agregue un grupo de cómputo para los usuarios de confianza que necesitan acceso a la interfaz de administración de VMware Cloud Director Availability.
      • Agregue un grupo de cómputo para Cloud Director Replication Management Appliance.
      • Agregue un grupo de cómputo para todas las instancias de Replicator Appliance.
      • Agregue un grupo de cómputo para Tunnel Appliance.
    2. Para crear un grupo de cómputo, en la pestaña Grupos de cómputo, haga clic en Agregar grupo e introduzca un nombre de grupo.
    3. Para agregar miembros de confianza a cada grupo de cómputo, en la columna Miembros de cómputo, haga clic en el vínculo Establecer miembros.
    4. En la ventana Seleccionar miembros, en la pestaña Direcciones IP introduzca las siguientes direcciones IP para cada grupo de cómputo y haga clic en Aplicación.
      Nombre del grupo de cómputo Direcciones IP de los miembros de confianza del grupo de cómputo
      Trusted Compute Sources Group Introduzca las public-IP-addresses externas de los usuarios a los que se les otorgó acceso a la interfaz de administración de VMware Cloud Director Availability.
      Importante: Asegúrese de agregar todas las direcciones IP públicas de cada usuario con permiso para acceder a VMware Cloud Director Availability en VMware Cloud on AWS o los usuarios no tendrán acceso.
      VCDA Manager Compute Group Introduzca la private-IP-address de Cloud Director Replication Management Appliance.
      VCDA Replicators Compute Group Introduzca las private-IP-addresses de todas las instancias de Replicator Appliance.
      VCDA Tunnel Compute Group Introduzca la private-IP-address de Tunnel Appliance.
    5. Para guardar cada grupo de cómputo, haga clic en Guardar.
  9. Como preparación para completar el asistente de configuración inicial, permita el acceso a la interfaz de administración de VMware Cloud Director Availability mediante los orígenes de cómputo de confianza. Permita también el acceso saliente de los dispositivos de nube agregando dos nuevas reglas de firewall de puerta de enlace de cómputo.
    1. En la pestaña Redes y seguridad, en el panel izquierdo debajo de la sección Seguridad, haga clic en Firewall de puerta de enlace.
      Repita los siguientes pasos dos veces.
      • Agregue una regla de firewall de puerta de enlace de cómputo para permitir que los orígenes de cómputo de confianza accedan a Cloud Director Replication Management Appliance para completar el asistente de configuración inicial de VMware Cloud Director Availability.
      • Agregue una regla de firewall de puerta de enlace de cómputo para permitir el tráfico de red saliente de los dispositivos de VMware Cloud Director Availability desde la puerta de enlace de cómputo.
    2. En la pestaña Puerta de enlace de cómputo, haga clic Agregar regla.
    3. Configure cada una de las dos reglas de firewall de cómputo y haga clic en Aplicar cuando se lo solicite.
      Opción Regla de firewall de puerta de enlace de cómputo entrante Regla de firewall de puerta de enlace de cómputo saliente
      Nombre Escriba un nombre para la regla de puerta de enlace cómputo entrante. Por ejemplo, introduzca VCDA Management from Trusted Compute Sources Rule. Escriba un nombre para la regla de puerta de enlace cómputo saliente. Por ejemplo, introduzca VCDA Appliances Outbound Compute Rule.
      Orígenes Haga clic en Cualquiera. En la ventana Establecer origen, seleccione el grupo de orígenes de cómputo de confianza y haga clic en Aplicar. Por ejemplo, seleccione Trusted Compute Sources Group. Haga clic en Cualquiera. En la ventana Establecer origen, seleccione los tres grupos de cómputo para los dispositivos VMware Cloud Director Availability y haga clic en Aplicar. Por ejemplo, seleccione las tres opciones VCDA Manager Compute Group, VCDA Replicators Compute Group y VCDA Tunnel Compute Group.
      Destinos Haga clic en Cualquiera. En la ventana Establecer destino, seleccione el grupo de cómputo Cloud Director Replication Management Appliance y haga clic en Aplicar. Por ejemplo, seleccione VCDA Manager Compute Group. Cualquiera
      Servicios Haga clic en Cualquiera. En la ventana Establecer servicios, seleccione el servicio de interfaz de administración de Cloud Director Replication Management Appliance y haga clic en Aplicar. Por ejemplo, seleccione VCDA-Cloud-Service-Management TCP (Origen: Cualquiera | Destino: 8046). Cualquiera
      Aplicado a Todos los vínculos superiores Todos los vínculos superiores
      Acción Permitir Permitir
    4. Después de crear ambas reglas de firewall de puerta de enlace de cómputo, haga clic en Publicar.

Resultados

Se completó la configuración de SDDC en VMware Cloud on AWS y está todo listo para la configuración inicial de VMware Cloud Director Availability. En resumen, la red de SDDC en VMware Cloud on AWS está configurada de la siguiente manera:
  • vcda-network-segment:
    Una red enrutada dedicada para todos los dispositivos de nube de VMware Cloud Director Availability.
  • Direcciones IP públicas:
    Dos direcciones IP públicas solicitadas para la interfaz de administración de Cloud Director Replication Management Appliance y para la instancia de Endpoint de servicio público de Tunnel Appliance.
  • Puerta de enlace de administración:
    • Acceso desde la dirección NAT de origen de puerta de enlace de cómputo a la instancia de vCenter Server de puerta de enlace de administración; permite acceder desde los dispositivos de puerta de enlace de cómputo de VMware Cloud Director Availability.
    • Acceso desde Replicator Appliance al almacén de datos ESXi de puerta de enlace de administración, que se utiliza como destino de migraciones.
  • Puerta de enlace de cómputo:
    • Acceso desde Trusted Compute Sources Group a la interfaz de administración de Cloud Service, que se utiliza para completar la configuración inicial. Más adelante, la modificación de la misma regla permitirá el acceso a los cuatro tipos de interfaces de administración de VMware Cloud Director Availability. Para obtener más información, consulte Configuración posterior de las redes de SDDC en VMware Cloud on AWS.
    • Acceso desde dispositivos de VMware Cloud Director Availability a Internet, que se utilizan para el tráfico de red externa de la puerta de enlace de cómputo.
Para obtener información sobre el resumen de la configuración de red de SDDC, consulte Resumen de configuración de red del SDDC.

Qué hacer a continuación

Ahora puede configurar VMware Cloud Director Availability en VMware Cloud on AWS al completar el asistente de configuración inicial de Cloud Director Replication Management Appliance. Para obtener más información, consulte Configurar VMware Cloud Director Availability en VMware Cloud on AWS.