これは、プロバイダとテナントの Google Cloud プロジェクトの設定、構成、SDDC の展開、VMware Cloud Director service との関連付けを行うために必要な手動展開プロセスの概要です。

以下の手順では、Google Cloud VMware Engine を使用して VMware Cloud Director service を正常に構成するために必要な情報を提供しますが、Google Cloud Console または NSX Manager を操作するための詳しい手順については説明しません。詳細な手順については、Google Cloud ドキュメントおよび『NSX 管理ガイド』への関連リンクを使用してください。

前提条件

Google Cloud でプロバイダ プロジェクトとテナント プロジェクトを構成するために必要な権限があることを確認します。

プロバイダ プロジェクトの構成

Google Cloud VMware Engine リソースの使用を開始するには、プロバイダ クラウドとプロバイダ管理ネットワークを構成する必要があります。

手順

  1. Google Cloud Console で、プロバイダ プロジェクトのクラウド DNS API を有効化します。『Google Cloud VMware Engine』のクラウド DNS API の有効化を参照してください。
  2. VMware Engine ポータルにアクセスします。プロンプトが表示されたら、API を有効化します。『Google Cloud VMware Engine』のVMware Engine ポータルへのアクセスを参照してください。
  3. Google Cloud Console で、VPC ネットワークを作成します。『Google Cloud Virtual Private Cloud (VPC)』のVPC ネットワークの作成と管理を参照してください。
    • ネットワークに意味のある名前を入力します。
    • [リージョン] テキスト ボックスで、環境が配置されているリージョンを選択します。
    • このチェック ボックスをオンにして、サブネット構成に RFC 1918 アドレス空間以外の範囲が含まれていることを確認します。
    • ラジオ ボタンを選択して、プライベート Google アクセスを有効化します。
    • [グローバル] 動的ルーティング モードを選択し、最大 MTU を 1500 に設定します。
  4. Google Cloud Platform へのプライベート サービス接続を構成し、IP アドレス範囲の割り当て時に作成されたネットワークに接続します。『Google Cloud Virtual Private Cloud (VPC)』のプライベート サービス アクセスの構成を参照してください。

Google Cloud VMware Engine SDDC の設定

テナントが使用するリソースの提供を開始するには、SDDC を作成する必要があります。

手順

  1. プライベート クラウドを作成します。『Google Cloud VMware Engine』のVMware Engine プライベート クラウドの作成を参照してください。
    • クラウドの [場所] として、SDDC を作成する Google Cloud Platform データセンターを選択します。
    • [ノード タイプ] で、[マルチ ノード (Multi Node)] を選択します。ノード数は 4 以上にします。
  2. SDDC とプロバイダ プロジェクト間にプライベート接続を作成します。『Google Cloud VMware Engine』のVMware Engine ポータルでのプライベート接続の作成を参照してください。
    • [サービス] テキスト ボックスで、[VPC ネットワーク (VPC Network)] を選択します。
    • [リージョン] テキスト ボックスで、プライベート クラウドを作成したリージョンを選択します。
    • [ピア プロジェクト ID (Peer Project ID)] テキスト ボックスにプロバイダ プロジェクト名を入力します。
      ヒント: Google Cloud Platform を別のタブで開き、プロジェクト情報からプロバイダ プロジェクト名をコピーします。
    • [ピア プロジェクト番号 (Peer Project Number)] にプロバイダ プロジェクト番号を入力します。
      ヒント: [Google Cloud Platform] タブで、プロジェクト情報のプロバイダ プロジェクト名の下にあるプロバイダ プロジェクト番号をコピーします。
    • [ピア VPC ID (Peer VPC ID)] テキスト ボックスに、プロバイダ管理ネットワークの ID の名前を入力します。
    • [テナント プロジェクト ID (Tenant Project ID)] テキスト ボックスに、テナント プロジェクトの ID を入力します。
      ヒント: テナント プロジェクト ID を確認するには、左側のペインで [VPC ネットワーク (VPC Network)] > [VPC ネットワーク ピアリング (VPC Network Peering)] をクリックします。右側のペインで、 [ピアリングされたプロジェクト ID (Peered Project ID)] の値をコピーします。
    • [ルーティング モード (Routing Mode)] ドロップダウン メニューで、[グローバル] を選択します。
    数分後、リージョン ステータスが「接続済み」と表示されます。
  3. servicenetworking VPC ネットワークのピアリング接続を、カスタム ルートのインポートとエクスポートの両方に更新します。『Google Cloud Virtual Private Cloud (VPC)』のピアリング接続の更新を参照してください。
  4. 使用するリージョンのインターネット アクセスとパブリック IP ネットワーク サービスを有効化します。『Google Cloud VMware Engine』のリージョンのインターネット アクセスとパブリック IP ネットワーク サービスの有効化を参照してください。

テナント プロジェクトの構成

テナント プロジェクトにリソースを提供するには、テナント サービス ネットワークとピアリング接続を構成します。

手順

  1. Google Cloud Console で、テナント プロジェクトに移動し、デフォルトの VPC ネットワークを削除します。
  2. 新しい VPC ネットワークを作成します。
    • [リージョン] テキスト ボックスで、SDDC が配置されているリージョンを選択します。
    • このチェック ボックスをオンにして、サブネット構成に RFC 1918 アドレス空間以外の範囲が含まれていることを確認します。
    • ラジオ ボタンを選択して、プライベート Google アクセスを有効化します。
    • [サブネット] セクションで、[完了] を選択します。
    • [グローバル] 動的ルーティング モードを選択します。
    • MTU の最大値を 1500 に設定します。
  3. Google Cloud Platform へのプライベート サービス接続を構成し、使用するサービス接続に内部 IP アドレス範囲を割り当てます。『Google Cloud Virtual Private Cloud (VPC)』のプライベート サービス アクセスの構成を参照してください。
  4. 手順 3 で作成したピアリング接続を、カスタム ルートのインポートとエクスポートの両方に更新します。『Google Cloud Virtual Private Cloud (VPC)』のピアリング接続の更新を参照してください。
  5. Google Cloud VMware Engine ポータルで、プライベート接続を作成します。『Google Cloud VMware Engine』のVMware Engine ポータルでのプライベート接続の作成を参照してください。
    • [サービス] ドロップダウン メニューから、[VPC ネットワーク (VPC Network)] を選択します。
    • [リージョン] ドロップダウン メニューから、プライベート クラウドを作成したリージョンを選択します。
    • [ピア プロジェクト ID (Peer Project ID)] テキスト ボックスにプロバイダ プロジェクト名を入力します。
      ヒント: Google Cloud Console を別のタブで開き、プロジェクト情報からプロバイダ プロジェクト名をコピーします。
    • [ピア プロジェクト番号 (Peer Project Number)] テキスト ボックスにプロジェクト番号を入力します。
    • [ピア VPC ID (Peer VPC ID)] テキスト ボックスに、手順 2 で作成したテナント VPC ネットワークの名前を入力します。
    • [テナント プロジェクト ID (Tenant Project ID)] テキスト ボックスに、テナント プロジェクトの ID を入力します。
      注: テナント プロジェクト ID を確認するには、左側のペインで [VPC ネットワーク (VPC Network)] > [VPC ネットワーク ピアリング (VPC Network Peering)] をクリックします。右側のペインで、 [ピアリングされたプロジェクト ID (Peered Project ID)] の値をコピーします。
    • [ルーティング モード (Routing Mode)] ドロップダウン メニューで、[グローバル] を選択します。

次のタスク

追加のテナント プロジェクトを構成するには、各プロジェクトごとに手順を繰り返します。

プロバイダ プロジェクトでのジャンプ ホストの作成とネットワーク アクセスの許可

プロバイダ プロジェクトのジャンプ ホストを使用して、リモート ネットワーク内の vCenter ServerNSX Manager、その他のサービスへのアクセスを制御できます。

手順

  1. プロバイダ プロジェクトで、プライベート クラウドと同じリージョンおよびゾーンに Windows Server 仮想マシン インスタンスを作成します。『Google Cloud Compute Engine』のWindows Server 仮想マシン インスタンスの作成を参照してください。
  2. [ネットワーク] > [ディスク} > [セキュリティ] > [管理] > [単一テナント (Networking, disks, security, management, sole-tenancy)] で、プロバイダ管理ネットワークのネットワーク インターフェイスを編集します。
  3. 仮想マシン インスタンスの詳細で、仮想マシンの Windows パスワードを設定してメモします。
  4. 入力方向トラフィックを許可するファイアウォール ルールを作成します。『Google Cloud Virtual Private Cloud (VPC)』のファイアウォール ルールの作成を参照してください。
    • 提供するサービスなど、一意で意味のあるルール名を入力します。
    • [ネットワーク] で、プロバイダ管理ネットワークを選択します。
    • [トラフィックの方向 (Direction of Traffic)] で、[入力方向] を選択します。
    • [ターゲット] で、[ネットワーク内のすべてのインスタンス (All instances in the network)] を選択します。
    • [送信元フィルタ (Source Filter)][IP アドレス範囲] を選択し、テキスト ボックスに 0.0.0.0/0 と入力して、任意のネットワークの送信元を許可します。
    • [プロトコルとポート (Protocols and ports)] テキスト ボックスで、TCP 3389 を選択します。
  5. プロバイダ プロジェクト内で East-West トラフィックを許可するファイアウォール ルールを作成します。
    • [east-west] など、一意でわかりやすいルール名を入力します。
    • [ネットワーク] で、プロバイダ管理ネットワークを選択します。
    • [トラフィックの方向 (Direction of Traffic)] で、[出力方向] を選択します。
    • [ターゲット] で、[ネットワーク内のすべてのインスタンス (All instances in the network)] を選択します。
    • [送信元フィルタ (Source Filter)][IP アドレス範囲] を選択し、テキスト ボックスに管理ネットワークの範囲をと入力します。
    • [プロトコルとポート (Protocols and ports)] テキスト ボックスで、[すべて許可] を選択します。
  6. Remote Desktop Protocol (RDP) 通信に使用する仮想マシン インスタンスの外部 IP アドレスをメモします。
  7. 外部 IP アドレスと Windows 認証情報を使用して、新しく作成した仮想マシンにログインできることを確認します。

VMware Cloud Director インスタンスの作成

テナントごとに、クラウド リソースを割り当てるすべてのリージョンに 1 つ以上の VMware Cloud Director インスタンスを作成します。

手順

  1. VMware Cloud Director キャパシティが存在するリージョンに、Google Cloud VMware Engine インスタンスを作成します。VMware Cloud Director インスタンスを作成する方法を参照してください。
  2. VMware Cloud Director インスタンスのドメイン名を更新します。VMware Cloud Director インスタンスの DNS および証明書設定をカスタマイズする方法を参照してください。

VMware リバース プロキシを介した SDDC の関連付け

VMware Cloud Director service 環境内で、パブリックにアクセスできず、インターネットへの送信アクセスのみを持つインフラストラクチャ リソースを使用するには、VMware プロキシ サービスを使用するように VMware Cloud Director インスタンスを設定する必要があります。

手順

  1. ジャンプ ホスト仮想マシンで、VMware Cloud Partner Navigator にログインし、VMware Cloud Director service に移動してプロキシ アプライアンスを生成します。「VMware リバース プロキシ OVA を構成してダウンロードする方法」を参照してください。
  2. プロキシ アプライアンスの接続を確認します。
    1. プロキシ アプライアンスに root としてログインします。
    2. アプライアンスが IP アドレスを取得したことを確認するには、ip a を実行します。
    3. サービスがアクティブで実行中であることを確認するには、systemctl status transporter-client.service を実行します。
      注: コマンドでエラーが発生する場合は、DNS が動作しており、インターネットにアクセスできることを確認します。
    4. プロキシ アプライアンスの接続を確認するには、transporter-status.sh を実行します。
    5. コマンドを実行して、プロキシ アプライアンスに関する問題を診断します。
  3. VMware Cloud Director service で、プロキシを生成した VMware Cloud Director インスタンスに移動し、VMware プロキシを介してデータセンターを関連付けます。「VMware Cloud Director インスタンスを VMware プロキシ経由で SDDC に関連付ける方法」を参照してください。
    SDDC の関連付けの実行中にプロバイダ VDC を作成するには、 [インフラストラクチャ リソースの作成 (Create Infrastructure Resources)] チェック ボックスをオンにします。

結果

タスクが完了すると、SDDC は VMware Cloud Director インスタンス ユーザー インターフェイスにプロバイダ VDC として表示されます。

IPsec トンネルの展開と構成

IPsec トンネルを使用してプロバイダ VDC の Tier-1 ゲートウェイに接続するように、テナント プロジェクトに VPN アプライアンスを展開して構成します。

手順

  1. テナント プロジェクトで、VPN アプライアンスへのアクセスを管理するファイアウォール ルールを作成します。『Google Cloud Virtual Private Cloud (VPC)』のファイアウォール ルールの構成を参照してください。
    1. 入力方向ルールを作成します。
      • gcve-transit など、一意でわかりやすいルール名を入力します。
      • [ネットワーク]tenantname-transit を入力します。
      • [優先度]100 と入力します。
      • [トラフィックの方向 (Direction of Traffic)] で、[入力方向] を選択します。
      • [一致時のアクション (Action on match)] で、[許可] を選択します。
      • [ターゲット] で、[ネットワーク内のすべてのインスタンス (All instances in the network)] を選択します。
      • [送信元フィルタ (Source Filter)][IP アドレス範囲] を選択し、中継ネットワークの範囲(100.64.0.0/16 など)を入力します。
      • [プロトコルとポート (Protocols and ports)] テキスト ボックスで、[すべて許可] を選択します。
    2. 出力方向ルールを作成します。
      • ipsec-egress など、一意でわかりやすいルール名を入力します。
      • [ネットワーク]tenantname-transit を選択します。
      • [優先度]100 と入力します。
      • [トラフィックの方向 (Direction of Traffic)] で、[出力方向] を選択します。
      • [一致時のアクション (Action on match)] で、[許可] を選択します。
      • [ターゲット] で、[ネットワーク内のすべてのインスタンス (All instances in the network)] を選択します。
      • [送信元フィルタ (Source Filter)][IP アドレス範囲] を選択し、中継ネットワークの範囲(100.64.0.0/16 など)を入力します。
      • [プロトコルとポート (Protocols and ports)] テキスト ボックスで、[IPsec ポート (IPsec ports)] を選択します。
  2. テナント プロジェクトで、IPsec VPN トンネルに使用する CentOS 7 Linux 仮想マシンを展開し、接続します。『Google Cloud Compute Engine』のCompute Engine での Linux 仮想マシン インスタンスの作成を参照してください。
  3. [ネットワーク] > [ディスク] > [セキュリティ] > [管理] > [単一テナンシー] で、IP フォワーディングを有効化して、tenantname-transit ネットワークのネットワーク インターフェイスを編集します。
  4. Linux 仮想マシンのネットワーク設定を編集して、ネットワークのタグ名を追加します。『Google Cloud Virtual Private Cloud (VPC)』のネットワーク タグの構成を参照してください。
    このタグは、プロバイダが必要とする任意の名前にすることができますが、インターネットを参照するすべてのルートで統一されている必要があります。また、プロバイダが所有するユーザー プロジェクトで、インターネット アクセスが必要になる可能性がある仮想マシンに適用する必要があります。
  5. Linux 仮想マシンに IPsec 実装をインストールして構成します。
  6. テナント プロジェクトで、IPsec VPN ルートを作成します。『Google Cloud Virtual Private Cloud (VPC)』のスタティック ルートの追加を参照してください。
    • ルートに意味のある名前を入力します。
    • [ネットワーク]tenantname-transit を選択します。
    • [宛先 IP アドレス範囲 (Destination IP Range)] に、テナントの SDDC の範囲を入力します。
    • [優先度]100 と入力します。
    • [ネクスト ホップ] で、[インスタンスを指定 (Specify an instance)] を選択します。
    • [ネクスト ホップ インスタンス (Next Hop Instance)] に、IPsec VPN をインストールして構成した仮想マシンを入力します。

NSX Manager での IPsec VPN およびテナント ファイアウォール ルールの構成

テナント ワークロードのネットワーク接続を保護するには、IPsec VPN とファイアウォール ルールを構成します。

手順

  1. VMware Cloud Director SDDC を管理している Google Cloud VMware Engine インスタンスで IPsec VPN を構成します。NSX ポリシーベース IPsec VPN の構成を参照してください。
  2. プロバイダ ジャンプ ホストを使用して、admin として NSX Manager にログインし、テナント Tier-1 ゲートウェイでファイアウォール ルールを構成します。『NSX 管理ガイド』のゲートウェイ ファイアウォール ポリシーとルールの追加を参照してください。
    1. ファイアウォール ルールを追加します。
      • 送信元として、リモート テナント プロジェクトの CIDR ブロックを追加します。
      • [宛先] 列で、[任意] を選択します。
      • [サービス] 列で、[任意] を選択します。
      • [アクション] 列で、[許可] を選択します。
    2. 送信ファイアウォール ルールを追加します。
      • 送信元として、任意のローカル ネットワークに [任意] を選択します。また、単一の CIDR にロックダウンすることもできます。
      • [宛先] 列で、Google Cloud Platform テナント プロジェクトの CIDR ブロックを入力します。
      • [アクション] 列で、[許可] を選択します。
    3. 両方のルールを発行します。