Il s'agit d'une présentation du processus de déploiement manuel que vous devez suivre pour mettre en œuvre vos projets Google Cloud de fournisseur et de locataire, les configurer, déployer un SDDC et l'associer à VMware Cloud Director service.

Les procédures ci-dessous fournissent les informations dont vous avez besoin pour configurer VMware Cloud Director service avec Google Cloud VMware Engine, mais n'incluent pas l'ensemble complet des étapes et des instructions d'utilisation de Google Cloud Console ou de NSX Manager. Pour obtenir des instructions détaillées, suivez les liens d'accès pertinents à la documentation de Google Cloud et au guide Guides d'administration de NSX.

Conditions préalables

Vérifiez que vous disposez des droits nécessaires pour configurer les projets de fournisseur et de locataire dans Google Cloud.

Configurer le projet du fournisseur

Pour commencer à utiliser les ressources Google Cloud VMware Engine, vous devez configurer votre cloud de fournisseur et votre réseau de gestion du fournisseur.

Procédure

  1. Dans Google Cloud Console, activez l'API DNS cloud dans le projet du fournisseur. Reportez-vous à la section Activer l'API DNS cloud de la documentation Google Cloud VMware Engine.
  2. Accédez au portail VMware Engine et, lorsque vous y êtes invité, activez son API. Reportez-vous à la section Accès au portail VMware Engine de la documentation Google Cloud VMware Engine.
  3. Dans Google Cloud Console, créez un réseau VPC. Reportez-vous à la section Créer et gérer des réseaux VPC de la documentation Google Cloud Virtual Private Cloud (VPC).
    • Entrez un nom significatif pour le réseau.
    • Dans la zone de texte Région, sélectionnez la région dans laquelle se trouve votre environnement.
    • Cochez la case pour confirmer que la configuration du sous-réseau inclut une plage en dehors de l'espace d'adresses RFC 1918.
    • Cochez la case d'option pour activer l'accès privé à Google.
    • Sélectionnez le mode de routage dynamique Global et définissez la MTU maximale sur 1 500.
  4. Configurez une connexion privée du service à Google Cloud Platform et connectez-vous au réseau qui a été créé lorsque vous avez attribué une plage d'adresses IP. Reportez-vous à la section Configuration de l'accès aux services privés de la documentation Google Cloud Virtual Private Cloud (VPC).

Configurer un SDDC Google Cloud VMware Engine

Pour commencer à fournir des ressources aux locataires, vous devez créer un SDDC.

Procédure

  1. Créez un cloud privé. Reportez-vous à la section Création d'un cloud privé VMware Engine de la documentation Google Cloud VMware Engine.
    • Dans Emplacement du cloud, sélectionnez le centre de données Google Cloud Platform dans lequel créer le SDDC.
    • Dans Type de nœud, sélectionnez Plusieurs nœuds, avec au moins 4 nœuds.
  2. Créez une connexion privée entre le SDDC et le projet fournisseur. Reportez-vous à la section Terminer la création d'une connexion privée dans le portail VMware Engine de la documentation Google Cloud VMware Engine.
    • Dans la zone de texte Service, sélectionnez Réseau VPC.
    • Dans la zone de texte Région, sélectionnez la région dans laquelle vous avez créé le cloud privé.
    • Dans la zone de texte ID de projet de l'homologue, entrez le nom de projet du fournisseur.
      Info-bulle : Ouvrez Google Cloud Platform dans un onglet distinct et copiez le nom de projet du fournisseur à partir des informations du projet.
    • Dans Numéro de projet de l'homologue, entrez le numéro de projet du fournisseur.
      Info-bulle : Dans l'onglet Google Cloud Platform, copiez le numéro de projet du fournisseur qui se trouve au-dessous du nom de projet du fournisseur dans les informations du projet.
    • Dans la zone de texte ID de VPC de l'homologue, entrez le nom de l'ID du réseau de gestion du fournisseur.
    • Dans la zone de texte ID de projet du locataire, entrez l'ID de projet du locataire.
      Info-bulle : Pour rechercher l'ID du projet de locataire, dans le volet de gauche, cliquez sur Réseau VPC > Appairage du réseau VPC. Dans le volet de droite, copiez la valeur ID de projet appairé.
    • Dans le menu déroulant Mode de routage, sélectionnez Global.
    En quelques minutes, l'état de la région s'affiche comme Connecté.
  3. Mettez à jour la connexion d'appairage du réseau VPC servicenetworking pour importer et exporter des routes personnalisées. Reportez-vous à la section Mise à niveau d'une connexion d'appairage de la documentation Google Cloud Virtual Private Cloud (VPC).
  4. Activez l'accès Internet et le service réseau IP public pour votre région. Reportez-vous à la section Activer l'accès Internet et le service réseau d'adresses IP publiques pour votre région de la documentation Google Cloud VMware Engine.

Configurer le projet de locataire

Pour fournir des ressources au projet de locataire, configurez le réseau de services locataires et la connexion d'appairage.

Procédure

  1. Dans Google Cloud Console, accédez au projet du locataire et supprimez son réseau VPC par défaut.
  2. Créez un réseau VPC.
    • Dans la zone de texte Région, sélectionnez la région dans laquelle se trouve le SDDC.
    • Cochez la case pour confirmer que la configuration du sous-réseau inclut une plage en dehors de l'espace d'adresses RFC 1918.
    • Cochez la case d'option pour activer l'accès privé à Google.
    • Dans la section Sous-réseau, sélectionnez Terminé.
    • Sélectionnez le mode de routage dynamique Global.
    • Définissez la MTU maximale sur 1 500.
  3. Configurez une connexion privée du service à Google Cloud Platform et allouez une plage d'adresses IP internes pour la connexion du service à utiliser. Reportez-vous à la section Configuration de l'accès aux services privés de la documentation Google Cloud Virtual Private Cloud (VPC).
  4. Mettez à jour la connexion d'appairage que vous avez créée à l'étape 3 pour importer et exporter des routes personnalisées. Reportez-vous à la section Mise à niveau d'une connexion d'appairage de la documentation Google Cloud Virtual Private Cloud (VPC).
  5. Créez une connexion privée dans le portail Google Cloud VMware Engine. Reportez-vous à la section Terminer la création d'une connexion privée dans le portail VMware Engine de la documentation Google Cloud VMware Engine.
    • Dans le menu déroulant Service, sélectionnez Réseau VPC.
    • Dans le menu déroulant Région, sélectionnez la région dans laquelle vous avez créé le cloud privé.
    • Dans la zone de texte ID de projet de l'homologue, entrez le nom de projet du fournisseur.
      Info-bulle : Ouvrez Google Cloud Console dans un onglet distinct et copiez le nom de projet du fournisseur à partir des informations du projet.
    • Dans la zone de texte Numéro de projet de l'homologue, entrez le numéro du projet.
    • Dans la zone de texte ID de VPC de l'homologue entrez le nom du réseau VPC du locataire que vous avez créé à l'étape 2.
    • Dans la zone de texte ID de projet du locataire, entrez l'ID de projet du locataire.
      Note : Pour rechercher l'ID du projet de locataire, dans le volet de gauche, cliquez sur Réseau VPC > Appairage du réseau VPC. Dans le volet de droite, copiez la valeur ID de projet appairé.
    • Dans le menu déroulant Mode de routage, sélectionnez Global.

Que faire ensuite

Pour configurer des projets de locataires supplémentaires, répétez les étapes pour chaque projet.

Créer un hôte de saut dans le projet du fournisseur et autoriser l'accès réseau

Vous pouvez utiliser l'hôte de saut dans le projet du fournisseur pour obtenir un accès contrôlé à vCenter Server, NSX Manager et à d'autres services des réseaux distants.

Procédure

  1. Dans le projet du fournisseur, créez une instance de machine virtuelle Windows Server dans la même région et la même zone que le cloud privé. Reportez-vous à la section Créer une instance de machine virtuelle Windows Server de la documentation Google Cloud Compute Engine.
  2. Sous Mise en réseau, disques, sécurité, gestion, locataire unique, modifiez l'interface du réseau de gestion du fournisseur.
  3. Dans les détails de l'instance de machine virtuelle, définissez un mot de passe Windows pour la machine virtuelle et notez-le.
  4. Créez une règle de pare-feu qui autorise le trafic d'entrée. Reportez-vous à la section Création des règles de pare-feu de la documentation Google Cloud Virtual Private Cloud (VPC).
    • Entrez un nom unique et significatif pour la règle, par exemple, le service fourni.
    • Dans Réseau, sélectionnez le réseau de gestion du fournisseur.
    • Dans Sens du trafic, sélectionnez Entrée.
    • Dans Cibles, sélectionnez Toutes les instances du réseau.
    • Dans Filtre source, sélectionnez Plages d'adresses IP et entrez 0.0.0.0/0 dans la zone de texte pour autoriser les sources de n'importe quel réseau.
    • Dans la zone de texte Protocoles et ports, sélectionnez TCP 3389.
  5. Créez une règle de pare-feu qui autorise le trafic horizontal dans le projet de fournisseur.
    • Entrez un nom unique et significatif pour la règle, par exemple est-ouest.
    • Dans Réseau, sélectionnez le réseau de gestion du fournisseur.
    • Dans Sens du trafic, sélectionnez Sortie.
    • Dans Cibles, sélectionnez Toutes les instances du réseau.
    • Dans Filtre source, sélectionnez Plages d'adresses IP et entrez la plage du réseau de gestion dans la zone de texte.
    • Dans la zone de texte Protocoles et ports, sélectionnez Autoriser tout.
  6. Notez l'adresse IP externe de l'instance de machine virtuelle à utiliser pour la communication avec le protocole RDP (Remote Desktop Protocol).
  7. Vérifiez que vous pouvez vous connecter à la machine virtuelle récemment créée avec l'adresse IP externe et les informations d'identification Windows.

Créer une instance de VMware Cloud Director

Créez au moins une instance de VMware Cloud Director pour chaque région pour laquelle vous prévoyez d'allouer des ressources de cloud par locataire.

Procédure

  1. Créez une instance de VMware Cloud Director dans la région dans laquelle réside votre capacité Google Cloud VMware Engine. Reportez-vous à la section Comment créer une instance de VMware Cloud Director ?.
  2. Mettez à jour le nom de domaine de votre instance de VMware Cloud Director. Reportez-vous à la section Comment personnaliser les paramètres de DNS et de certificat de l'instance de VMware Cloud Director ?.

Associer le SDDC via le proxy inverse VMware

Pour utiliser des ressources d'infrastructure qui ne sont pas accessibles publiquement et qui disposent uniquement d'un accès sortant à Internet dans votre environnement VMware Cloud Director service, vous devez configurer l'instance de VMware Cloud Director pour utiliser le service proxy VMware.

Procédure

  1. Sur la machine virtuelle de l'hôte de saut, connectez-vous à VMware Cloud Partner Navigator, accédez à VMware Cloud Director service et générez le dispositif proxy. Reportez-vous à la section Comment configurer et télécharger le fichier OVA du proxy inverse VMware ?
  2. Vérifiez la connectivité du dispositif proxy.
    1. Connectez-vous au dispositif proxy en tant qu'utilisateur racine.
    2. Pour vérifier que le dispositif a obtenu une adresse IP, exécutez ip a.
    3. Pour vous assurer que le service est actif, exécutez systemctl status transporter-client.service.
      Note : Si la commande génère une erreur, vérifiez que le DNS fonctionne et qu'il peut accéder à Internet.
    4. Pour vérifier la connectivité du dispositif proxy, exécutez transporter-status.sh.
    5. Exécutez la commande pour diagnostiquer les problèmes avec le dispositif proxy. 
      diagnose.sh -o OUTPUT_FILE
      Reportez-vous à la section Comment dépanner le dispositif client proxy de VMware Cloud Director service ?.
  3. Dans VMware Cloud Director service, accédez à l'instance de VMware Cloud Director à partir de laquelle vous avez généré le proxy et associez le centre de données via le proxy VMware. Reportez-vous à la section Comment associer une instance de VMware Cloud Director à un SDDC via le proxy VMware ?
    Pour créer un VDC de fournisseur lors de l'association de SDDC, cochez la case Créer des ressources d'infrastructure.

Résultats

Lorsque la tâche se termine, le SDDC s'affiche en tant que VDC de fournisseur dans l'interface utilisateur de l'instance de VMware Cloud Director.

Déployer et configurer le tunnel IPsec

Déployez et configurez un dispositif VPN dans le projet de locataire pour vous connecter à la passerelle de niveau 1 dans le VDC fournisseur via un tunnel IPsec.

Procédure

  1. Dans le projet de locataire, créez des règles de pare-feu qui gèrent l'accès au dispositif VPN. Reportez-vous à la section Configuration des règles de pare-feu de la documentation de Google Cloud Virtual Private Cloud (VPC).
    1. Créez une règle d'entrée.
      • Entrez un nom unique et significatif pour la règle, par exemple gcve-transit.
      • Dans Réseau, entrez tenantname-transit.
      • Dans Priorité, entrez 100.
      • Dans Sens du trafic, sélectionnez Entrée.
      • Dans Action sur correspondance, sélectionnez Autoriser.
      • Dans Cibles, sélectionnez Toutes les instances du réseau.
      • Dans Filtre source, sélectionnez Plages d'adresses IP, puis entrez la plage du réseau de transit, par exemple : 100.64.0.0/16.
      • Dans la zone de texte Protocoles et ports, sélectionnez Autoriser tout.
    2. Créez une règle de sortie.
      • Entrez un nom unique et significatif pour la règle, tel que ipsec-egress.
      • Dans Réseau, sélectionnez tenantname-transit.
      • Dans Priorité, entrez 100.
      • Dans Sens du trafic, sélectionnez Sortie.
      • Dans Action sur correspondance, sélectionnez Autoriser.
      • Dans Cibles, sélectionnez Toutes les instances du réseau.
      • Dans Filtre source, sélectionnez Plages d'adresses IP, puis entrez la plage du réseau de transit, par exemple : 100.64.0.0/16.
      • Dans la zone de texte Protocoles et ports, sélectionnez Ports IPsec.
  2. Dans le projet de locataire, déployez une machine virtuelle Linux CentOS 7 à utiliser pour le tunnel VPN IPSec et connectez-vous à celle-ci. Reportez-vous à la section Créer une instance de machine virtuelle Linux dans le moteur de calcul de la documentation Google Cloud Compute Engine.
  3. Sous Mise en réseau, disques, sécurité, gestion, locataire unique, activez le transfert d'adresses IP et modifiez l'interface du réseau tenantname-transit.
  4. Modifiez les paramètres réseau de la machine virtuelle Linux pour ajouter le nom de balise du réseau. Reportez-vous à la section Configuration des balises réseau de la documentation Google Cloud Virtual Private Cloud (VPC).
    Cette balise peut être celle que le fournisseur souhaite, mais elle doit être uniforme sur toutes les routes qui pointent vers Internet. Elle doit alors être appliquée à toute machine virtuelle pouvant nécessiter un accès à Internet dans le projet client appartenant au fournisseur.
  5. Installez et configurez une mise en œuvre IPsec sur la machine virtuelle Linux.
  6. Dans le projet de locataire, créez la route VPN IPsec. Reportez-vous à la section Ajout d'une route statique de la documentation Google Cloud Virtual Private Cloud (VPC).
    • Entrez un nom significatif pour la route.
    • Dans Réseau, sélectionnez tenantname-transit.
    • Dans Plage d'adresses IP de destination, entrez une plage dans le SDDC pour le locataire.
    • Dans Priorité, entrez 100.
    • Dans Tronçon suivant, sélectionnez Spécifier une instance.
    • Dans Instance de tronçon suivant, entrez la machine virtuelle sur laquelle vous avez installé et configuré le VPN IPsec configuré.

Configurer le VPN IPsec et les règles de pare-feu du locataire dans NSX Manager

Pour sécuriser la connectivité réseau des charges de travail du locataire, configurez le VPN IPsec et les règles de pare-feu.

Procédure

  1. Configurez le VPN IPsec dans l'instance de VMware Cloud Director qui gère le SDDC Google Cloud VMware Engine. Reportez-vous à la section Configurer le VPN IPSec basé sur la stratégie NSX.
  2. Par le biais de l'hôte de saut du fournisseur, connectez-vous à NSX Manager en tant qu'admin, puis configurez les règles de pare-feu dans la passerelle de niveau 1 du locataire. Reportez-vous à la section Ajouter une stratégie et une règle de pare-feu de passerelle du Guides d'administration de NSX.
    1. Ajoutez une règle de pare-feu.
      • En tant que source, ajoutez le bloc CIDR du projet de locataire distant.
      • Dans la colonne Destination, sélectionnez Tous.
      • Dans la colonne Services, sélectionnez Tous.
      • Dans la colonne Action, sélectionnez Autoriser.
    2. Ajoutez une règle de pare-feu sortante.
      • Comme source, sélectionnez Tous pour n'importe quel réseau local. Vous pouvez également le verrouiller sur un CIDR unique.
      • Dans la colonne Destination entrez le bloc CIDR du projet du locataire Google Cloud Platform.
      • Dans la colonne Action, sélectionnez Autoriser.
    3. Publiez les deux règles.