Avant d'activer votre SDDC, assurez-vous d'effectuer les tâches de vérification préalable de l'activation. Vous devez également connaître les adresses IP de VeloCloud Orchestrator (VCO) et de VeloCloud Gateway (VCG) pour configurer les règles de pare-feu. Reportez-vous aux sections Services VCO et Services VCG dans cette rubrique.

Tâches de vérification préalable à l'activation

Tâche Description
Circuit d'alimentation principal Assurez-vous que le circuit d'alimentation principal est prêt à se connecter aux PDU du rack.
Garder la boîte de surconditionnement à disposition à l'emplacement du déploiement Vous recevez une boîte de surconditionnement contenant des câbles et des émetteurs-récepteurs supplémentaires, en plus du rack. Vous devez pouvoir fournir cette boîte à l'ingénieur de déploiement en cas de besoin.
Éteindre les périphériques du rack Assurez-vous que tous les équipements du rack sont hors tension.
Connexions de liaison montante VeloCloud cuivre ou fibre Déterminez si vous avez besoin d'utiliser le cuivre ou la fibre pour les connexions de liaison montante VeloCloud 1 GbE et assurez-vous que les câbles sont disponibles lors du déploiement du SDDC.
Vitesse de liaison montante du commutateur Top of Rack Déterminez s'il faut utiliser une liaison montante de 10 Go ou 25 Go depuis le commutateur ToR vers votre commutateur de liaison montante L2.
Configuration de liaison montante du commutateur Top of Rack

(Pour plus d'informations sur la configuration d'une connexion de liaison montante, reportez-vous à la section Configurer les connexions de liaison montante).

 Déterminez si vous avez besoin d'une configuration standard ou papillon depuis le rack VMware Cloud on Dell EMC vers votre commutateur de liaison montante L2.
  • Configuration standard : chaque commutateur ToR a besoin d’une connexion de liaisons vers le commutateur de liaisons uplink L2 principal.
  • Configuration de la configuration : chaque commutateur ToR a besoin de 2 connexions de liaisons uplink au commutateur de liaisons uplink L2 principal.
Note : La configuration papillon de liaison montante ToR est prise en charge uniquement pour le routage statique.
Configuration de la liaison uplink le jour de l’activation Confirmez si vous souhaitez configurer la connexion de liaison descendante lors du déploiement du jour 1.
Disponibilité du technicien du commutateur L2 Assurez-vous qu’un technicien qui connaît la configuration et les paramètres du commutateur L2 principal est disponible pendant le déploiement. Le technicien doit être impliqué dans le processus d'activation.
Activation du port VeloCloud Les deux périphériques VeloCloud configurés en mode haute disponibilité (HA) principal/secondaire sur le rack VMware Cloud on Dell EMC fournissent des capacités d'accès à distance. L'équipe SRE VMware Cloud on Dell EMC gère le rack à l'aide d'un chemin de communication distinct autre que les chemins (2 x ToR) utilisés par le SDDC et les charges de travail sur le rack. Pour que VeloCloud fonctionne correctement, vous devez configurer les éléments suivants :
  1. Au cours des activités de déploiement de VMware Cloud on Dell EMC, les commutateurs VeloCloud doivent accéder au service VeloCloud Orchestrator (VCO) ainsi qu'aux services VeloCloud Gateway (VCG).

    Configurez les ports suivants pour les communications sortantes :

    • UDP 2426 (pour le tunnel IPSec) : les adresses IP associées aux services VCG doivent être accessibles via le pare-feu.
    • TCP 443 (pour l'activation et la gestion) : les adresses IP associées au VCO doivent être accessibles via le pare-feu.
  2. Assurez-vous que les périphériques VeloCloud disposent d'un accès sortant au port UDP 53 sur les adresses IP 8.8.8.8 et 8.8.4.4 (Google DNS).
Provisionnement de l'utilisateur L'ingénieur de déploiement qui supervise le déploiement doit être provisionné avec les rôles requis. Assurez-vous que l'ingénieur de déploiement peut se connecter à la console VMware Cloud on Dell EMC. Reportez-vous à la section Création et gestion de compte.
Attribution de rôle Assurez-vous d'activer les rôles nécessaires pour l'ingénieur de déploiement. Reportez-vous à la section Attribuer un rôle à un membre d'organisation.
Configuration DNS

Après avoir configuré les connexions de liaison montante, autorisez le redirecteur DNS de la passerelle de calcul (adresse IP : x.x.x.188) et le redirecteur DNS de la passerelle de gestion (adresse IP : x.x.x.189) de NSX à accéder aux serveurs DNS en amont sur le port UDP 53. Cette communication s'établit entre les dispositifs ToR VMware Cloud on Dell EMC et vos routeurs de liaison montante.

Vous pouvez utiliser le routeur DNS de la passerelle de calcul pour les machines virtuelles et les charges de travail. La machine virtuelle de gestion VMware Cloud on Dell EMC utilise le routeur DNS de la passerelle de gestion.
Note : x.x.x fait référence au sous-réseau du réseau de gestion SDDC. Pour plus d'informations sur l'adressage réseau, reportez-vous à la section Configurer les adresses réseau du SDDC.
Accessibilité de vCenter au point de terminaison d'analyse vSAN
  • Vous devez autoriser l'adresse IP de gestion de vCenter (x.x.x.36/32) à accéder à vcsa.vmware.com via le FQDN sur le port HTTPS 443. Cette communication ne passe pas par des serveurs proxy et est établie directement.

    x.x.x fait référence au sous-réseau du réseau de gestion SDDC. Pour plus d'informations sur l'adressage réseau, reportez-vous à la section Configurer les adresses réseau du SDDC.

  • Si vous avez configuré des règles de pare-feu, vous devez les mettre à jour pour autoriser le trafic vers vcsa.vmware.com.
Accessibilité du point de terminaison HCX

(Cette tâche s'applique uniquement si vous activez et déployez HCX sur le SDDC VMware Cloud on Dell EMC).
  • Vous devez autoriser l'adresse IP de gestion de vCenter (x.x.x.36/32) à accéder à connect.hcx.vmware.com et hybridity-depot.vmware.com sur le port HTTPS 443. Cette communication est établie directement par le biais de votre connexion de liaison descendante et ne passe pas par des serveurs proxy.
  • Si vous avez configuré des règles de pare-feu, vous devez les mettre à jour pour autoriser le trafic vers connect.hcx.vmware.com et hybridity-depot.vmware.com.
Note : hybridity-depot.vmware.com est un serveur principal CDN avec une adresse IP dynamique et vous devez donc le configurer de manière adéquate.
Ajouter des URL de service vCO à la liste autorisée du module de filtrage d'URL de pare-feu L7 Si vous utilisez le module de filtrage d'URL dans un pare-feu L7, vous devez ajouter la liste autorisée de pare-feu d'URL VCO160 suivante :
Liste autorisée d'adresses IP pour l'accès à vCenter via Internet
Vous pouvez gérer votre système vCenter via Intranet ou Internet. Pour gérer votre système vCenter via Internet, vous devez spécifier une liste autorisée d'adresses IP avant le déploiement. Reportez-vous à la section Ajouter une liste d'adresses IP autorisées pour accéder à vCenter et à NSX Manager.
Note : La stratégie par défaut pour les adresses IP autorisées à effectuer la gestion de vCenter est Refuser tout.
Après avoir configuré la connexion de liaison montante, vérifiez que le test ping de liaison montante du portail CSP a réussi. Un test HTTP ou un test ping (à condition qu'ICMP ne soit pas bloqué) permet de détecter des problèmes de routage ou de rendu, tels qu'un chevauchement entre les dispositifs ToR et les commutateurs principaux.
Passerelle de gestion Accédez à l'onglet Réseau et sécurité du formulaire Commander un SDDC VMware Cloud on Dell EMC et vérifiez que la passerelle de gestion est connectée à Internet.

Services VCO

Chaque rack VMware Cloud on Dell EMC comprend deux périphériques VeloCloud fonctionnant en mode haute disponibilité (HA). Ces périphériques VeloCloud autorisent un chemin de communication hors bande entre le SDDC VMware Cloud on Dell EMC et VMware, indépendamment des liaisons montantes des commutateurs ToR dans le SDDC VMware Cloud on Dell EMC vers votre réseau. Ce chemin de liaison montante ToR est utilisé par les charges de travail pour communiquer de manière bilatérale avec les services fonctionnant n'importe où ailleurs sur votre réseau et avec Internet si la charge de travail l'exige.

Sans la connectivité VeloCloud, VMware ne peut pas accéder au rack pour effectuer la gestion à distance, ne peut pas recevoir de données de surveillance du rack qui alertent en cas d'incident et ne peut pas vérifier que le rack fonctionne dans les limites des objectifs de niveau de service.

Les périphériques VeloCloud Edge 620 communiquent avec une instance de service VCO dans le service cloud VeloCloud. VCO gère le service VeloCloud et fournit un plan de contrôle pour les périphériques VeloCloud. Les instances de service VCO suivantes sont attribuées pour une utilisation par VeloCloud dans les racks VMware Cloud on Dell EMC :
  • VCO160 (52.53.138.251)
  • VCO129 (54.173.111.227)
Chaque instance de service VCO est associée à un pool d'adresses IP de passerelle VeloCloud. Le pool représente les points de terminaison SD-WAN qui se composent du plan de données pour fournir les éléments suivants :
  • Flux de données à partir du rack VMware Cloud on Dell EMC
  • Connectivité entrante lors des interactions de l'hôte de saut de l'équipe SRE avec le rack VMware Cloud on Dell EMC

Services VCG

Chaque dispositif VeloCloud Edge utilise une instance de service VCG particulière en fonction de son emplacement géographique. Par exemple, si les dispositifs Edge VMware Cloud on Dell EMC se trouvent dans un rack déployé à Oklahoma City et que le client est attribué à VCO129, il est indiqué aux instances de VeloCloud dans le rack d'utiliser l'instance de service VCG VCO129 située dans la même région, au Texas (216.221.31.57).

L'équipe de gestion clientèle de VMware vous informera du service VCO auquel vos dispositifs VeloCloud Edge sont attribués, qu'il s'agisse de VCO160 ou de VCO129. Tous les racks VMware Cloud on Dell EMC dans votre environnement utilisent la même instance de service VCO : VCO160 ou VCO129. Pour une gestion et une surveillance correctes du rack VMware Cloud on Dell EMC, vous devez configurer votre pare-feu pour autoriser les communications sortantes comme suit :
  • TCP vers le port 443 sur l'adresse IP de l'instance de service VCO
  • UDP vers le port 2426 sur n'importe quelle adresse IP du pool VCG
Note : VeloCloud augmente régulièrement le nombre d'instances de service VCG dans les pools VCO160 et VCO129. Par conséquent, lorsque de nouvelles adresses IP sont ajoutées au pool par VeloCloud, vous devez autoriser les communications sortantes vers les nouvelles adresses IP dans le pool, ce qui implique que vous devez mettre à jour les adresses IP de la liste autorisée du pare-feu. Demandez à l'équipe de gestion clientèle de VMware de vérifier la liste d'adresses IP de la VCG et de fournir les dernières adresses IP ajoutées.

Par exemple, si VCO160 vous est attribué et que vous créez les règles de pare-feu autorisant la communication UDP sur le port 2426 vers chacune des adresses IP de la VCG spécifiques pour VCO160, chaque fois qu'une nouvelle adresse IP est ajoutée au pool VCO160, un ingénieur réseau devra créer une nouvelle règle de pare-feu autorisant la connectivité du port UDP 2426 à cette adresse IP.

Sans la nouvelle règle de pare-feu pour les nouvelles adresses IP dans le pool, VCO160 peut demander au dispositif VeloCloud Edge 620 de se connecter à l'une des nouvelles adresses IP de la VCG. Dans ce cas, VeloCloud peut ne pas être en mesure d'accéder à Internet et le rack est isolé jusqu'à ce que la règle de pare-feu soit créée.

Les trois options de configuration des règles de pare-feu pour autoriser l'accès aux adresses IP de la VCG sont les suivantes :

  • Autoriser UDP sur le port 2426 vers n'importe quelle adresse IP : chaque fois qu'une nouvelle adresse IP est ajoutée au pool de VCG, vous n'avez pas besoin de créer une nouvelle règle de pare-feu.
    Note : VMware vous recommande d'utiliser cette option dans laquelle la règle de pare-feu autorise la communication UDP sur le port 2426 vers n'importe quelle adresse IP. Cette configuration est préférée, car elle évite à la règle de pare-feu de communication sortante VeloCloud de se mettre à jour de manière répétée chaque fois qu'une nouvelle adresse IP est ajoutée au pool VCO 52.53.138.251 ou VCO 54.173.111.227.
  • Autoriser UDP sur le port 2426 vers toutes les adresses IP de VCG connues pour VCO160 ou VCO129 : chaque fois qu'une nouvelle adresse IP est ajoutée au pool de VCG, vous devez créer une nouvelle règle de pare-feu pour cette adresse IP.
  • Autoriser le protocole UDP sur le port 2426 vers tous les sous-réseaux dans VMware ASN53766 (ASN attribué à VeloCloud) : chaque fois qu'une nouvelle adresse IP est ajoutée au pool de VCG, les règles de pare-feu existantes autorisent la communication avec toutes les adresses IP récemment ajoutées.
Les adresses IP VCG suivantes sont spécifiques à VCO160 (52.53.138.251) :
Adresse IP Adresse IP
1. 192.40.64.104 21. 159.100.165.45
2. 159.100.164.66 22. 169.38.70.30
3. 104.193.29.93 23. 216.221.31.104
4. 159.100.160.62 24. 216.221.25.104
5. 104.193.30.93 25. 159.100.173.32
6. 104.193.28.91 26. 216.221.29.33
7. 159.100.168.81 27. 216.221.25.33
8. 159.100.161.52 28. 216.221.27.34
9. 104.193.31.81 29. 216.221.27.34
10. 104.193.30.145 30. 64.186.27.39
11. 216.221.31.64 31. 159.100.175.41
12. 168.128.69.22 32. 159.100.171.45
13. 52.68.66.124 33. 216.221.27.49
14. 35.182.90.236 34. 64.186.25.53
15. 18.136.6.49 35. 216.221.29.57
16. 3.10.86.209 36. 216.221.27.64
17. 15.188.112.82 37. 64.186.25.78
18. 18.229.103.223 38. 18.130.224.148
19. 107.155.76.14 39. 169.38.66.123
20. 13.235.28.38 40. 159.100.165.36
Les adresses IP VCG suivantes sont spécifiques à VCO129 (54.173.111.227) :
Adresse IP Adresse IP
1. 159.100.160.124 14. 159.100.173.40
2. 159.100.163.125 15. 64.186.25.43
3. 104.193.28.146 15. 64.186.27.44
4. 104.193.30.164 17. 64.186.25.51
5. 192.40.64.172 18. 216.221.31.57
6. 104.193.29.175 19. 216.221.27.66
7. 159.100.165.113 20. 216.221.25.77
8. 18.167.45.121 21. 216.221.29.89
9. 15.228.2.144 22. 159.100.168.106
10. 52.194.15.47 23. 159.100.164.106
11. 64.186.27.35 24. 104.193.31.106
12. 159.100.175.37 25. 159.100.161.124
13. 159.100.171.38