Esta es una descripción general del proceso de implementación manual que debe seguir para configurar los proyectos de Google Cloud de proveedor y tenant, configurarlos, implementar un SDDC y asociarlo a VMware Cloud Director service.

Los siguientes procedimientos proporcionan la información que necesitará para configurar correctamente VMware Cloud Director service con Google Cloud VMware Engine, pero no incluyen el conjunto completo de pasos e instrucciones para trabajar con Google Cloud Console o con NSX Manager. Para obtener instrucciones detalladas, siga los vínculos a la documentación de Google Cloud y a la guía Guías de administración de NSX.

Requisitos previos

Compruebe que tiene los derechos necesarios para configurar los proyectos de proveedor y tenant en Google Cloud.

Configurar el proyecto de proveedor

Para comenzar a utilizar los recursos de Google Cloud VMware Engine, debe configurar la nube del proveedor y la red de administración del proveedor.

Procedimiento

  1. En Google Cloud Console, active la API de Cloud DNS en el proyecto del proveedor. Consulte Habilitar la API de DNS de nube en la documentación de Google Cloud VMware Engine.
  2. Acceda al portal de VMware Engine y active su API cuando se le indique. Consulte Acceso al portal de VMware Engine en la documentación de Google Cloud VMware Engine.
  3. En Google Cloud Console, cree una red VPC. Consulte Crear y administrar redes de VPC en la documentación de Google Cloud Virtual Private Cloud (VPC).
    • Introduzca un nombre significativo para la red.
    • En el cuadro de texto Región, seleccione la región en la que se encuentra su entorno.
    • Seleccione la casilla de verificación para confirmar que la configuración de subred incluye un rango fuera del espacio de direcciones RFC 1918.
    • Seleccione el botón de opción para activar el acceso privado a Google.
    • Seleccione el modo de enrutamiento dinámico Global y establezca la MTU máxima en 1500.
  4. Configure una conexión de servicio privado a Google Cloud Platform y conéctese a la red que se creó cuando asignó un rango de IP. Consulte Configurar el acceso a servicios privados en la documentación de Google Cloud Virtual Private Cloud (VPC).

Configurar un SDDC de Google Cloud VMware Engine

Para comenzar a proporcionar recursos para que los tenants los consuman, debe crear un SDDC.

Procedimiento

  1. Cree una nube privada. Consulte Crear una nube privada de VMware Engine en la documentación de Google Cloud VMware Engine.
    • Como Ubicación para la nube, seleccione el centro de datos Google Cloud Platform en el que se creará el SDDC.
    • Como Tipo de nodo, seleccione Varios nodos, con un mínimo de 4.
  2. Cree una conexión privada entre el SDDC y el proyecto del proveedor. Consulte Completar la creación de conexiones privadas en el portal de VMware Engine en la documentación de Google Cloud VMware Engine.
    • En el cuadro de texto Servicio, seleccione Red de VPC.
    • En el cuadro de texto Región, seleccione la región en la que creó la nube privada.
    • En el cuadro de texto Identificador de proyecto del mismo nivel, introduzca el nombre del proyecto del proveedor.
      Sugerencia: Abra Google Cloud Platform en una pestaña independiente y copie el nombre del proyecto del proveedor en los datos del proyecto.
    • En Número de proyecto del mismo nivel, introduzca el número de proyecto del proveedor.
      Sugerencia: En la pestaña Google Cloud Platform, copie el número de proyecto del proveedor que se encuentra debajo del nombre en los datos del proyecto.
    • En el cuadro de texto Identificador de VPC del mismo nivel, introduzca el nombre del identificador de la red de administración del proveedor.
    • En el cuadro de texto Identificador del proyecto de tenant, introduzca el identificador del proyecto de tenant.
      Sugerencia: Para buscar el identificador del proyecto de tenant, vaya al panel izquierdo y haga clic en Red de VPC > Emparejamiento de red de VPC. En el panel derecho, copie el valor de Identificador de proyecto emparejado.
    • En el menú desplegable Modo de enrutamiento, seleccione Global.
    En unos minutos, se mostrará el estado de la región como Conectado.
  3. Actualice la conexión de emparejamiento de la red de VPC de servicenetworking para importar y exportar rutas personalizadas. Consulte Actualizar una conexión de emparejamiento en la documentación de Google Cloud Virtual Private Cloud (VPC).
  4. Active la conexión a Internet y el servicio de red IP pública para su región. Consulte Habilitar el acceso a Internet y el servicio de red IP pública para su región en la documentación de Google Cloud VMware Engine.

Configurar el proyecto de tenant

Para proporcionar recursos al proyecto de tenant, configure la red de servicio del tenant y la conexión de emparejamiento.

Procedimiento

  1. En Google Cloud Console, desplácese hasta el proyecto del tenant y elimine su red de VPC predeterminada.
  2. Cree una nueva red de VPC.
    • En el cuadro de texto Región, seleccione la región en la que se encuentra el SDDC.
    • Seleccione la casilla de verificación para confirmar que la configuración de subred incluye un rango fuera del espacio de direcciones RFC 1918.
    • Seleccione el botón de opción para activar el acceso privado a Google.
    • En la sección Subred, seleccione Listo.
    • Seleccione el modo de enrutamiento dinámico Global.
    • Establezca el valor máximo de MTU en 1500.
  3. Configure una conexión de servicio privada a Google Cloud Platform y asigne un rango de IP interno para que lo use la conexión de servicio. Consulte Configurar el acceso a servicios privados en la documentación de Google Cloud Virtual Private Cloud (VPC).
  4. Actualice la conexión de emparejamiento que creó en el paso 3 para importar y exportar rutas personalizadas. Consulte Actualizar una conexión de emparejamiento en la documentación de Google Cloud Virtual Private Cloud (VPC).
  5. Cree una conexión privada en el portal Google Cloud VMware Engine. Consulte Completar la creación de conexiones privadas en el portal de VMware Engine en la documentación de Google Cloud VMware Engine.
    • En el menú desplegable Servicio, seleccione Red de VPC.
    • En el menú desplegable Región, seleccione la región en la que creó la nube privada.
    • En el cuadro de texto Identificador de proyecto del mismo nivel, introduzca el nombre del proyecto del proveedor.
      Sugerencia: Abra Google Cloud Console en una pestaña independiente y copie el nombre del proyecto del proveedor en los datos del proyecto.
    • En el cuadro de texto Número de proyecto de igual, introduzca el número de proyecto.
    • En el cuadro de texto Identificador de VPC del mismo nivel, introduzca el nombre de la red de VPC de tenant que creó en el paso 2.
    • En el cuadro de texto Identificador del proyecto de tenant, introduzca el identificador del proyecto de tenant.
      Nota: Para buscar el identificador del proyecto de tenant, vaya al panel izquierdo y haga clic en Red de VPC > Emparejamiento de red de VPC. En el panel derecho, copie el valor de Identificador de proyecto emparejado.
    • En el menú desplegable Modo de enrutamiento, seleccione Global.

Qué hacer a continuación

Para configurar cualquier proyecto de tenant adicional, repita los pasos para cada proyecto.

Crear un host de salto en el proyecto de proveedor y permitir el acceso a la red

Puede utilizar el host de salto en el proyecto del proveedor para el acceso controlado a vCenter Server, NSX Manager y otros servicios en redes remotas.

Procedimiento

  1. En el proyecto del proveedor, cree una instancia de máquina virtual de Windows Server en la misma región y zona que la nube privada. Consulte Crear una instancia de máquina virtual de Windows Server en la documentación de Google Cloud Compute Engine.
  2. En Redes, discos, seguridad, administración, tenant único, edite la interfaz de red a la red de administración del proveedor.
  3. En los detalles de la instancia de máquina virtual, establezca una contraseña de Windows para la máquina virtual y anótela.
  4. Cree una regla de firewall que permita el tráfico de entrada. Consulte Crear reglas de firewall en la documentación de Google Cloud Virtual Private Cloud (VPC).
    • Introduzca un nombre único y significativo para la regla (por ejemplo, el servicio que se proporciona).
    • Como Red, seleccione la red de administración del proveedor.
    • Para Dirección del tráfico, seleccione Entrada.
    • Como Destinos, seleccione Todas las instancias de la red.
    • Como Filtro de origen, seleccione Rangos de IP y, en el cuadro de texto, introduzca 0.0.0.0/0 para permitir los orígenes de cualquier red.
    • En el cuadro de texto Protocolos y puertos, seleccione TCP 3389.
  5. Cree una regla de firewall que permita el tráfico de este a oeste dentro del proyecto del proveedor.
    • Introduzca un nombre único y significativo para la regla (por ejemplo, este-oeste).
    • Como Red, seleccione la red de administración del proveedor.
    • Para Dirección del tráfico, seleccione Salida.
    • Como Destinos, seleccione Todas las instancias de la red.
    • Como Filtro de origen, seleccione Rangos de IP y, en el cuadro de texto, introduzca el rango de la red de administración.
    • En el cuadro de texto Protocolos y puertos, seleccione Permitir todo.
  6. Tome nota de la dirección IP externa de la instancia de máquina virtual que se utilizará para la comunicación del protocolo de escritorio remoto (RDP).
  7. Compruebe que puede iniciar sesión en la máquina virtual recién creada con la IP externa y las credenciales de Windows.

Crear una instancia de VMware Cloud Director

Cree al menos una instancia de VMware Cloud Director para cada región a la que planea asignar recursos de nube por tenant.

Procedimiento

  1. Cree una instancia de VMware Cloud Director en la región donde reside su capacidad de Google Cloud VMware Engine. Consulte Cómo crear una instancia de VMware Cloud Director.
  2. Actualice el nombre de dominio de la instancia de VMware Cloud Director. Consulte Cómo personalizar la configuración de DNS y de certificados de la instancia de VMware Cloud Director.

Asociar el SDDC a través de VMware Reverse Proxy

Para usar recursos de infraestructura que no son de acceso público y solo tienen acceso saliente a Internet dentro de su entorno de VMware Cloud Director service, debe configurar su instancia de VMware Cloud Director para usar el servicio de proxy de VMware.

Procedimiento

  1. En la máquina virtual de host de salto, inicie sesión en VMware Cloud Partner Navigator y desplácese hasta VMware Cloud Director service y genere el dispositivo proxy. Consulte Cómo configurar y descargar el OVA de VMware Reverse Proxy.
  2. Compruebe la conectividad del dispositivo proxy.
    1. Inicie sesión en el dispositivo del proxy como usuario raíz.
    2. Para comprobar que el dispositivo haya obtenido una dirección IP, ejecute ip a.
    3. Para asegurarse de que el servicio esté activo y en funcionamiento, ejecute systemctl status transporter-client.service.
      Nota: Si el comando genera un error, compruebe que el DNS funciona y que tiene acceso a Internet.
    4. Para comprobar la conectividad del dispositivo proxy, ejecute transporter-status.sh.
    5. Ejecute el comando para diagnosticar cualquier problema con el dispositivo proxy. 
      diagnose.sh -o OUTPUT_FILE
      Consulte Cómo solucionar problemas del dispositivo cliente de proxy de VMware Cloud Director service.
  3. En VMware Cloud Director service, desplácese hasta la instancia de VMware Cloud Director desde la que generó el proxy y asocie el centro de datos a través del proxy de VMware. Consulte Cómo asociar una instancia de VMware Cloud Director a un SDDC a través del proxy de VMware.
    Para crear un VDC de proveedor durante la asociación del SDDC, seleccione la casilla de verificación Crear recursos de infraestructura.

Resultados

Cuando se completa la tarea, el SDDC se mostrará como un VDC de proveedor en la interfaz de usuario de la instancia de VMware Cloud Director.

Implementar y configurar el túnel de IPsec

Implemente y configure un dispositivo VPN en el proyecto del tenant para conectarse a la puerta de enlace de nivel 1 en el VDC de proveedor a través de un túnel de IPsec.

Procedimiento

  1. En el proyecto del tenant, cree reglas de firewall que administren el acceso al dispositivo VPN. Consulte Configurar reglas de firewall en la documentación de Google Cloud Virtual Private Cloud (VPC).
    1. Cree una regla de entrada.
      • Introduzca un nombre único y significativo para la regla (por ejemplo, gcve-transit).
      • Para Red, introduzca tenantname-transit.
      • Como Prioridad, introduzca 100.
      • Para Dirección del tráfico, seleccione Entrada.
      • Como Acción al coincidir, seleccione Permitir.
      • Como Destinos, seleccione Todas las instancias de la red.
      • Como Filtro de origen, seleccione Rangos de IP e introduzca el rango de la red de tránsito (por ejemplo, 100.64.0.0/16).
      • En el cuadro de texto Protocolos y puertos, seleccione Permitir todo.
    2. Cree una regla de salida.
      • Introduzca un nombre único y significativo para la regla, como ipsec-egress.
      • Para Red, seleccione tenantname-transit.
      • Como Prioridad, introduzca 100.
      • Para Dirección del tráfico, seleccione Salida.
      • Como Acción al coincidir, seleccione Permitir.
      • Como Destinos, seleccione Todas las instancias de la red.
      • Como Filtro de origen, seleccione Rangos de IP e introduzca el rango de la red de tránsito (por ejemplo, 100.64.0.0/16).
      • En el cuadro de texto Protocolos y puertos, seleccione Puertos IPsec.
  2. En el proyecto del tenant, implemente una máquina virtual Linux CentOS 7 para usarla en el túnel VPN de IPSec y conéctese a ella. Consulte Crear una instancia de máquina virtual Linux en el motor de cálculo en la documentación de Google Cloud Compute Engine.
  3. En Redes, discos, seguridad, administración, tenant único, habilite el reenvío de IP y edite la interfaz de red a la red de tenantname-transit.
  4. Edite la configuración de red de la máquina virtual Linux para agregar el nombre de etiqueta de la red. Consulte Configurar etiquetas de red en la documentación de Google Cloud Virtual Private Cloud (VPC).
    Esta etiqueta puede ser la que desee el proveedor, pero debe ser uniforme en todas las rutas que apuntan a Internet y debe aplicarse a cualquier máquina virtual que pueda necesitar acceso a Internet en el proyecto del cliente propiedad del proveedor.
  5. Instale y configure una implementación de IPsec en la máquina virtual de Linux.
  6. En el proyecto del tenant, cree la ruta de VPN de IPsec. Consulte Agregar una ruta estática en la documentación de Google Cloud Virtual Private Cloud (VPC).
    • Introduzca un nombre significativo para la ruta.
    • Para Red, seleccione tenantname-transit.
    • Como Rango de IP de destino, introduzca un rango en el SDDC para el tenant.
    • Como Prioridad, introduzca 100.
    • Como Siguiente salto, seleccione Especificar una instancia.
    • Como Instancia de próximo salto, introduzca la máquina virtual en la que instaló y configuró la VPN de IPsec.

Configurar reglas de firewall de tenant y VPN de IPsec en NSX Manager

Para proteger la conectividad de red de las cargas de trabajo de los tenants, configure las reglas de firewall y VPN de IPsec.

Procedimiento

  1. Configure la VPN de IPsec en la instancia de VMware Cloud Director que administra el SDDC de Google Cloud VMware Engine. Consulte Configurar la VPN de IPSec basada en directivas de NSX.
  2. A través del host de salto de proveedor, inicie sesión en NSX Manager como admin y configure las reglas de firewall en la puerta de enlace de nivel 1 del tenant. Consulte Agregar una regla y una directiva de firewall de puerta de enlace en Guías de administración de NSX.
    1. Agregue una regla de firewall.
      • Como origen, agregue el bloque CIDR del proyecto de tenant remoto.
      • En la columna Destino, seleccione Cualquiera.
      • En la columna Servicios, seleccione Cualquiera.
      • En la columna Acción, seleccione Permitir.
    2. Agregue una regla de firewall saliente.
      • Como origen, seleccione Cualquiera para cualquier red local o, como alternativa, se puede bloquear en un solo CIDR.
      • En la columna Destino, introduzca el bloque de CIDR para el proyecto de tenant Google Cloud Platform.
      • En la columna Acción, seleccione Permitir.
    3. Publique ambas reglas.