Antes de activar el SDDC, asegúrese de completar las tareas de comprobación previa a la activación. También debe conocer las direcciones IP de VeloCloud Orchestrator (VCO) y VeloCloud Gateway (VCG) para configurar las reglas de firewall. Consulte las secciones Servicios de VCO y Servicios de VCG en este tema.

Tareas de comprobación previa a la activación

Tarea Descripción
Circuito de alimentación principal Asegúrese de que el circuito de alimentación principal esté listo para conectarse a las PDU del rack.
Tener la caja de empaque con protección lista en la ubicación de implementación Usted recibirá una caja de empaque con protección que contiene cables y transceptores adicionales junto con el rack. Entregue la caja al ingeniero de implementación si el ingeniero lo requiere.
Apagar dispositivos del rack Asegúrese de que todos los equipos del rack estén apagados.
Conexiones de vínculo superior de VeloCloud de fibra o cobre Determine si desea utilizar fibra o cobre para las conexiones de vínculo superior de 1 GbE de VeloCloud y asegúrese de que los cables estén disponibles al implementar el SDDC.
Velocidad de vínculo superior del conmutador de la parte superior del rack Determine si desea utilizar un vínculo superior de 10 GB o 25 GB desde la parte superior del rack (ToR) al conmutador de vínculo superior de capa 2.
Configuración de vínculo superior del conmutador de la parte superior del rack

(Para obtener información sobre cómo configurar una conexión de vínculo superior, consulte Configurar conexiones de vínculo superior).

 Determine si necesita una configuración estándar o tipo mariposa desde el rack de VMware Cloud on Dell EMC hasta el conmutador de vínculo superior de capa 2.
  • Configuración estándar: cada conmutador de ToR necesita 1 conexión de vínculo superior con el conmutador de vínculo superior de capa 2 principal.
  • Configuración tipo mariposa: cada conmutador de ToR necesita 2 conexiones de vínculo superior con el conmutador de vínculo superior de capa 2 principal.
Nota: La configuración de vínculo superior de ToR es compatible solo con el enrutamiento estático.
Configuración de vínculo superior en el día de activación Confirme si desea configurar la conexión de vínculo superior en la implementación del día 1.
Disponibilidad del técnico del conmutador de capa 2 Asegúrese de que un técnico que conozca la configuración y los parámetros del conmutador de capa 2 principal esté disponible durante la implementación. El técnico debe participar en el proceso de activación.
Habilitación de puertos de VeloCloud Los dos dispositivos VeloCloud configurados en el modo de alta disponibilidad (HA) principal/secundario en el rack de VMware Cloud on Dell EMC proporcionan capacidades de acceso remoto. El SRE de VMware Cloud on Dell EMC administra el rack mediante una ruta de comunicación distinta a las rutas de acceso (2 x ToR) que utilizan el SDDC y las cargas de trabajo en el rack. Para que VeloCloud funcione correctamente, debe configurar lo siguiente:
  1. Durante las actividades de implementación de VMware Cloud on Dell EMC, los conmutadores de VeloCloud deben acceder al servicio de VeloCloud Orchestrator (VCO), así como a los servicios de VeloCloud Gateway (VCG).

    Configure los siguientes puertos para las comunicaciones salientes:

    • UDP 2426 (para túnel de IPSec): Se debe poder acceder a las direcciones IP asociadas con los servicios de VCG a través del firewall.
    • TCP 443 (para activación y administración): Se debe poder acceder a las direcciones IP asociadas con VCO a través del firewall.
  2. Asegúrese de que los dispositivos VeloCloud tengan acceso saliente al puerto UDP 53 en las direcciones IP 8.8.8.8 y 8.8.4.4 (DNS de Google).
Aprovisionamiento de usuarios El ingeniero de implementación que asiste con la implementación debe tener las funciones requeridas. Asegúrese de que el ingeniero de implementación pueda iniciar sesión en la consola de VMware Cloud on Dell EMC. Consulte Crear y administrar cuentas.
Asignación de funciones Asegúrese de habilitar las funciones necesarias para el ingeniero de implementación. Consulte Asignar una función a un miembro de la organización.
Configuración de DNS

Después de configurar las conexiones de vínculo superior, permita que el reenviador DNS de puerta de enlace de cómputo de NSX (dirección IP: x.x.x.188) y el reenviador DNS de puerta de enlace de administración (dirección IP: x.x.x.189) accedan a los servidores DNS ascendentes en el puerto UDP 53. Esta comunicación se lleva a cabo entre las instancias de VMware Cloud on Dell EMC de ToR y los enrutadores de vínculo superior.

Puede utilizar el reenviador DNS de puerta de enlace de cómputo para las máquinas virtuales y las cargas de trabajo. La máquina virtual de administración de VMware Cloud on Dell EMC utiliza el reenviador DNS de puerta de enlace de administración.
Nota: x.x.x hace referencia a la subred de la red de administración del SDDC. Para obtener información sobre el direccionamiento de la red, consulte Configurar direcciones de red del SDDC.
Capacidad de acceso de vCenter al dispositivo de análisis de información de vSAN
  • Debe permitir que la IP de administración de vCenter x.x.x.36/32 acceda a vcsa.vmware.com a través del FQDN en el puerto HTTPS 443. Esta comunicación no pasa por servidores proxy y se establece directamente.

    x.x.x hace referencia a la subred de la red de administración del SDDC. Para obtener información sobre el direccionamiento de la red, consulte Configurar direcciones de red del SDDC.

  • Si ha configurado reglas de firewall, debe actualizarlas para permitir el tráfico hacia vcsa.vmware.com.
Acceso al endpoint de HCX

(Esta tarea solo se aplica si va a activar e implementar HCX en el SDDC de VMware Cloud on Dell EMC).
  • Debe permitir que la IP de administración de vCenter x.x.x.36/32 acceda a connect.hcx.vmware.com y hybridity-depot.vmware.com en el puerto HTTPS 443. Esta comunicación se establece directamente a través de la conexión de vínculo superior y no pasa por servidores proxy.
  • Si ha configurado reglas de firewall, debe actualizarlas para permitir el tráfico hacia los sitios, connect.hcx.vmware.com y hybridity-depot.vmware.com.
Nota: hybridity-depot.vmware.com es un back-end de CDN con una IP dinámica y, por lo tanto, debe configurarlo correctamente.
Agregar URL de servicio de vCO a la lista de permitidos del módulo de filtrado de URL de firewall de capa 7 Si utiliza el módulo de filtrado de URL en un firewall de capa 7, debe agregar la siguiente lista de direcciones URL de firewall permitidas de VCO160:
Lista de direcciones IP permitidas para el acceso a vCenter a través de Internet
Puede administrar su instancia de vCenter a través de intranet o Internet. Para administrar vCenter a través de Internet, debe especificar listas de direcciones IP permitidas antes de la implementación. Consulte Agregar lista de direcciones IP permitidas para acceder a vCenter y NSX Manager.
Nota: La directiva predeterminada para las IP que pueden realizar la administración de vCenter es Denegar todo.
Después de configurar la conexión de vínculo superior, comprobar que la prueba de ping de vínculo superior del portal de CSP sea correcta Una prueba HTTP o una prueba de ping, siempre que ICMP no esté bloqueado, detecta problemas de enrutamiento o representación, como una superposición entre conmutadores de ToR y principales.
Puerta de enlace de administración Desplácese hasta la pestaña Redes y seguridad del formulario Solicitar SDDC de VMware Cloud on Dell EMC y compruebe que la puerta de enlace de administración esté conectada a Internet.

Servicios de VCO

En cada rack de VMware Cloud on Dell EMC, hay dos dispositivos VeloCloud que funcionan en modo de alta disponibilidad (HA). Estos dispositivos VeloCloud permiten una ruta de comunicación fuera de banda entre el SDDC de VMware Cloud on Dell EMC y VMware, independiente de los vínculos superiores de los conmutadores ToR en el SDDC de VMware Cloud on Dell EMC a la red. Las cargas de trabajo utilizan esta ruta de vínculo superior de ToR para comunicarse entre sí con los servicios que funcionan en cualquier otro lugar de la red, y con Internet si la carga de trabajo lo requiere.

Sin la conectividad de VeloCloud, VMware no puede acceder al rack para realizar la administración remota y no puede recibir datos de supervisión del rack que alertan a VMware sobre cualquier incidente, ni comprobar que el rack está funcionando dentro de sus objetivos de nivel de servicio.

Los dispositivos VeloCloud Edge 620 se comunican con una instancia de servicio de VCO en el servicio de nube de VeloCloud. VCO administra VeloCloud y proporciona un plano de control para los dispositivos de VeloCloud. Las siguientes instancias de servicio de VCO se asignan para que VeloCloud las utilice en los racks de VMware Cloud on Dell EMC:
  • VCO160 (52.53.138.251)
  • VCO129 (54.173.111.227)
Cada instancia de servicio de VCO está asociada a un grupo de direcciones IP de puerta de enlace de VeloCloud. El grupo representa los endpoints de SD-WAN que constan del plano de datos para proporcionar lo siguiente:
  • Flujo de datos procedente del rack de VMware Cloud on Dell EMC
  • Conectividad entrante durante las interacciones del host de salto del SRE con el rack de VMware Cloud on Dell EMC

Servicios de VCG

Cada instancia de VeloCloud Edge utiliza una instancia de servicio de VCG específica en función de su ubicación geográfica. Por ejemplo, si las instancias de Edge de VMware Cloud on Dell EMC están en un rack implementado en Oklahoma City y el cliente está asignado a VCO129, se indicará a las VeloClouds del rack que utilicen la instancia de servicio de VCG VCO129 ubicada en la misma región, en Texas (216.221.31.57).

El equipo de éxito del cliente de VMware le informará sobre el servicio de VCO al que se asignan sus instancias de VeloCloud Edge, ya sea VCO160 o VCO129. Todos los racks de VMware Cloud on Dell EMC del entorno utilizan la misma instancia de servicio de VCO, ya sea VCO160 o VCO129. Para administrar y supervisar correctamente el rack de VMware Cloud on Dell EMC, el firewall debe configurarse para permitir la comunicación saliente de la siguiente manera:
  • TCP al puerto 443 en la dirección IP de la instancia de servicio de VCO
  • UDP al puerto 2426 en cualquier dirección IP del grupo de VCG
Nota: VeloCloud expande de forma rutinaria el número de instancias de servicio de VCG en los grupos de VCO160 y VCO129. Por lo tanto, cuando VeloCloud agrega nuevas direcciones IP al grupo, debe permitir la comunicación saliente a las nuevas direcciones IP del grupo, lo que implica que debe actualizar las direcciones IP en la lista de permitidas del firewall. Solicite al equipo de éxito del cliente de VMware que verifique la lista de direcciones IP de VCG y proporcione las direcciones IP más recientes que se agreguen.

Por ejemplo, si se le asigna VCO160 y crea las reglas de firewall que permiten la comunicación UDP con el puerto 2426 para cada una de las direcciones IP de VCG específicas para VCO160, cada vez que se agregue una nueva dirección IP al grupo de VCO160, un ingeniero de red tendrá que crear una nueva regla de firewall que permita la conectividad del puerto UDP 2426 con esa IP.

Sin la nueva regla de firewall para las nuevas direcciones IP en el grupo, VCO160 podría hacer que VeloCloud Edge 620 se conecte a una de las nuevas direcciones IP de VCG. En este caso, es posible que VeloCloud no pueda acceder a Internet y que el rack quede aislado hasta que se cree la regla de firewall.

A continuación se indican las tres opciones para la configuración de reglas de firewall que permiten el acceso a las direcciones IP de VCG:

  • Permitir UDP en el puerto 2426 a cualquier dirección IP: cada vez que se agrega una nueva IP al grupo de VCG, no es necesario crear una nueva regla de firewall
    Nota: VMware recomienda seguir la opción anterior, en la que la regla de firewall permite la comunicación UDP con el puerto 2426 en cualquier dirección IP. Esta es la configuración preferida, ya que evita que la regla de firewall de comunicación saliente de VeloCloud se actualice repetidamente cada vez que se agrega una nueva IP al grupo de VCO 52.53.138.251 o VCO 54.173.111.227.
  • Permitir UDP en el puerto 2426 a todas las direcciones IP de VCG conocidas para VCO160 o VCO129: cada vez que se agrega una nueva IP al grupo de VCG, debe crear una nueva regla de firewall para esa dirección IP
  • Permitir UDP en el puerto 2426 a todas las subredes dentro de VMware ASN53766 (ASN asignado a VeloCloud): cada vez que se agrega una nueva IP al grupo de VCG, las reglas de firewall existentes permiten la comunicación con todas las direcciones IP recién agregadas
Las siguientes direcciones IP de VCG son específicas de VCO160 (52.53.138.251):
Dirección IP Dirección IP
1. 192.40.64.104 21. 159.100.165.45
2. 159.100.164.66 22. 169.38.70.30
3. 104.193.29.93 23. 216.221.31.104
4. 159.100.160.62 24. 216.221.25.104
5. 104.193.30.93 25. 159.100.173.32
6. 104.193.28.91 26. 216.221.29.33
7. 159.100.168.81 27. 216.221.25.33
8. 159.100.161.52 28. 216.221.27.34
9. 104.193.31.81 29. 216.221.27.34
10. 104.193.30.145 30. 64.186.27.39
11. 216.221.31.64 31. 159.100.175.41
12. 168.128.69.22 32. 159.100.171.45
13. 52.68.66.124 33. 216.221.27.49
14. 35.182.90.236 34. 64.186.25.53
15. 18.136.6.49 35. 216.221.29.57
16. 3.10.86.209 36. 216.221.27.64
17. 15.188.112.82 37. 64.186.25.78
18. 18.229.103.223 38. 18.130.224.148
19. 107.155.76.14 39. 169.38.66.123
20. 13.235.28.38 40. 159.100.165.36
Las siguientes direcciones IP de VCG son específicas de VCO129 (54.173.111.227):
Dirección IP Dirección IP
1. 159.100.160.124 14. 159.100.173.40
2. 159.100.163.125 15. 64.186.25.43
3. 104.193.28.146 15. 64.186.27.44
4. 104.193.30.164 17. 64.186.25.51
5. 192.40.64.172 18. 216.221.31.57
6. 104.193.29.175 19. 216.221.27.66
7. 159.100.165.113 20. 216.221.25.77
8. 18.167.45.121 21. 216.221.29.89
9. 15.228.2.144 22. 159.100.168.106
10. 52.194.15.47 23. 159.100.164.106
11. 64.186.27.35 24. 104.193.31.106
12. 159.100.175.37 25. 159.100.161.124
13. 159.100.171.38