Google Cloud VMware Engine で VMware Cloud Director service を構成する方法

これは、プロバイダとテナントの Google Cloud プロジェクトの設定、構成、SDDC の展開、VMware Cloud Director service との関連付けを行うために必要な手動展開プロセスの概要です。

以下の手順では、Google Cloud VMware Engine を使用して VMware Cloud Director service を正常に構成するために必要な情報を提供しますが、Google Cloud Console または NSX Manager を操作するための詳しい手順については説明しません。詳細な手順については、Google Cloud ドキュメントおよび『NSX 管理ガイド』への関連リンクを使用してください。

前提条件

Google Cloud でプロバイダプロジェクトとテナントプロジェクトを構成するために必要な権限があることを確認します。

プロバイダプロジェクトの構成

Google Cloud VMware Engine リソースの使用を開始するには、プロバイダクラウドとプロバイダ管理ネットワークを構成する必要があります。

手順

Google Cloud Console で、プロバイダプロジェクトのクラウド DNS API を有効化します。『Google Cloud VMware Engine』のクラウド DNS API の有効化を参照してください。
VMware Engine ポータルにアクセスします。プロンプトが表示されたら、API を有効化します。『Google Cloud VMware Engine』のVMware Engine ポータルへのアクセスを参照してください。
Google Cloud Console で、VPC ネットワークを作成します。『Google Cloud Virtual Private Cloud (VPC)』のVPC ネットワークの作成と管理を参照してください。
- ネットワークに意味のある名前を入力します。
- [リージョン] テキストボックスで、環境が配置されているリージョンを選択します。
- このチェックボックスをオンにして、サブネット構成に RFC 1918 アドレス空間以外の範囲が含まれていることを確認します。
- ラジオボタンを選択して、プライベート Google アクセスを有効化します。
- [グローバル] 動的ルーティングモードを選択し、最大 MTU を 1500 に設定します。
Google Cloud Platform へのプライベートサービス接続を構成し、IP アドレス範囲の割り当て時に作成されたネットワークに接続します。『Google Cloud Virtual Private Cloud (VPC)』のプライベートサービスアクセスの構成を参照してください。

Google Cloud VMware Engine SDDC の設定

テナントが使用するリソースの提供を開始するには、SDDC を作成する必要があります。

手順

プライベートクラウドを作成します。『Google Cloud VMware Engine』のVMware Engine プライベートクラウドの作成を参照してください。
- クラウドの [場所] として、SDDC を作成する Google Cloud Platform データセンターを選択します。
- [ノードタイプ] で、[マルチノード (Multi Node)] を選択します。ノード数は 4 以上にします。
SDDC とプロバイダプロジェクト間にプライベート接続を作成します。『Google Cloud VMware Engine』のVMware Engine ポータルでのプライベート接続の作成を参照してください。
- [サービス] テキストボックスで、[VPC ネットワーク (VPC Network)] を選択します。
- [リージョン] テキストボックスで、プライベートクラウドを作成したリージョンを選択します。
- [ピアプロジェクト ID (Peer Project ID)] テキストボックスにプロバイダプロジェクト名を入力します。
  ヒント: Google Cloud Platform を別のタブで開き、プロジェクト情報からプロバイダプロジェクト名をコピーします。
- [ピアプロジェクト番号 (Peer Project Number)] にプロバイダプロジェクト番号を入力します。
  ヒント: [Google Cloud Platform] タブで、プロジェクト情報のプロバイダプロジェクト名の下にあるプロバイダプロジェクト番号をコピーします。
- [ピア VPC ID (Peer VPC ID)] テキストボックスに、プロバイダ管理ネットワークの ID の名前を入力します。
- [テナントプロジェクト ID (Tenant Project ID)] テキストボックスに、テナントプロジェクトの ID を入力します。
  ヒント: テナントプロジェクト ID を確認するには、左側のペインで [VPC ネットワーク (VPC Network)] > [VPC ネットワークピアリング (VPC Network Peering)] をクリックします。右側のペインで、 [ピアリングされたプロジェクト ID (Peered Project ID)] の値をコピーします。
- [ルーティングモード (Routing Mode)] ドロップダウンメニューで、[グローバル] を選択します。
数分後、リージョンステータスが「接続済み」と表示されます。
servicenetworking VPC ネットワークのピアリング接続を、カスタムルートのインポートとエクスポートの両方に更新します。『Google Cloud Virtual Private Cloud (VPC)』のピアリング接続の更新を参照してください。
使用するリージョンのインターネットアクセスとパブリック IP ネットワークサービスを有効化します。『Google Cloud VMware Engine』のリージョンのインターネットアクセスとパブリック IP ネットワークサービスの有効化を参照してください。

テナントプロジェクトの構成

テナントプロジェクトにリソースを提供するには、テナントサービスネットワークとピアリング接続を構成します。

手順

Google Cloud Console で、テナントプロジェクトに移動し、デフォルトの VPC ネットワークを削除します。
新しい VPC ネットワークを作成します。
- [リージョン] テキストボックスで、SDDC が配置されているリージョンを選択します。
- このチェックボックスをオンにして、サブネット構成に RFC 1918 アドレス空間以外の範囲が含まれていることを確認します。
- ラジオボタンを選択して、プライベート Google アクセスを有効化します。
- [サブネット] セクションで、[完了] を選択します。
- [グローバル] 動的ルーティングモードを選択します。
- MTU の最大値を 1500 に設定します。
Google Cloud Platform へのプライベートサービス接続を構成し、使用するサービス接続に内部 IP アドレス範囲を割り当てます。『Google Cloud Virtual Private Cloud (VPC)』のプライベートサービスアクセスの構成を参照してください。
手順 3 で作成したピアリング接続を、カスタムルートのインポートとエクスポートの両方に更新します。『Google Cloud Virtual Private Cloud (VPC)』のピアリング接続の更新を参照してください。
Google Cloud VMware Engine ポータルで、プライベート接続を作成します。『Google Cloud VMware Engine』のVMware Engine ポータルでのプライベート接続の作成を参照してください。
- [サービス] ドロップダウンメニューから、[VPC ネットワーク (VPC Network)] を選択します。
- [リージョン] ドロップダウンメニューから、プライベートクラウドを作成したリージョンを選択します。
- [ピアプロジェクト ID (Peer Project ID)] テキストボックスにプロバイダプロジェクト名を入力します。
  ヒント: Google Cloud Console を別のタブで開き、プロジェクト情報からプロバイダプロジェクト名をコピーします。
- [ピアプロジェクト番号 (Peer Project Number)] テキストボックスにプロジェクト番号を入力します。
- [ピア VPC ID (Peer VPC ID)] テキストボックスに、手順 2 で作成したテナント VPC ネットワークの名前を入力します。
- [テナントプロジェクト ID (Tenant Project ID)] テキストボックスに、テナントプロジェクトの ID を入力します。
  注：テナントプロジェクト ID を確認するには、左側のペインで [VPC ネットワーク (VPC Network)] > [VPC ネットワークピアリング (VPC Network Peering)] をクリックします。右側のペインで、 [ピアリングされたプロジェクト ID (Peered Project ID)] の値をコピーします。
- [ルーティングモード (Routing Mode)] ドロップダウンメニューで、[グローバル] を選択します。

次のタスク

追加のテナントプロジェクトを構成するには、各プロジェクトごとに手順を繰り返します。

プロバイダプロジェクトでのジャンプホストの作成とネットワークアクセスの許可

プロバイダプロジェクトのジャンプホストを使用して、リモートネットワーク内の vCenter Server、NSX Manager、その他のサービスへのアクセスを制御できます。

手順

プロバイダプロジェクトで、プライベートクラウドと同じリージョンおよびゾーンに Windows Server 仮想マシンインスタンスを作成します。『Google Cloud Compute Engine』のWindows Server 仮想マシンインスタンスの作成を参照してください。
[ネットワーク] > [ディスク} > [セキュリティ] > [管理] > [単一テナント (Networking, disks, security, management, sole-tenancy)] で、プロバイダ管理ネットワークのネットワークインターフェイスを編集します。
仮想マシンインスタンスの詳細で、仮想マシンの Windows パスワードを設定してメモします。
入力方向トラフィックを許可するファイアウォールルールを作成します。『Google Cloud Virtual Private Cloud (VPC)』のファイアウォールルールの作成を参照してください。
- 提供するサービスなど、一意で意味のあるルール名を入力します。
- [ネットワーク] で、プロバイダ管理ネットワークを選択します。
- [トラフィックの方向 (Direction of Traffic)] で、[入力方向] を選択します。
- [ターゲット] で、[ネットワーク内のすべてのインスタンス (All instances in the network)] を選択します。
- [送信元フィルタ (Source Filter)] で [IP アドレス範囲] を選択し、テキストボックスに 0.0.0.0/0 と入力して、任意のネットワークの送信元を許可します。
- [プロトコルとポート (Protocols and ports)] テキストボックスで、TCP 3389 を選択します。
プロバイダプロジェクト内で East-West トラフィックを許可するファイアウォールルールを作成します。
- [east-west] など、一意でわかりやすいルール名を入力します。
- [ネットワーク] で、プロバイダ管理ネットワークを選択します。
- [トラフィックの方向 (Direction of Traffic)] で、[出力方向] を選択します。
- [ターゲット] で、[ネットワーク内のすべてのインスタンス (All instances in the network)] を選択します。
- [送信元フィルタ (Source Filter)] で [IP アドレス範囲] を選択し、テキストボックスに管理ネットワークの範囲をと入力します。
- [プロトコルとポート (Protocols and ports)] テキストボックスで、[すべて許可] を選択します。
Remote Desktop Protocol (RDP) 通信に使用する仮想マシンインスタンスの外部 IP アドレスをメモします。
外部 IP アドレスと Windows 認証情報を使用して、新しく作成した仮想マシンにログインできることを確認します。

VMware Cloud Director インスタンスの作成

テナントごとに、クラウドリソースを割り当てるすべてのリージョンに 1 つ以上の VMware Cloud Director インスタンスを作成します。

手順

VMware Cloud Director キャパシティが存在するリージョンに、Google Cloud VMware Engine インスタンスを作成します。VMware Cloud Director インスタンスを作成する方法を参照してください。
VMware Cloud Director インスタンスのドメイン名を更新します。VMware Cloud Director インスタンスの DNS および証明書設定をカスタマイズする方法を参照してください。

VMware リバースプロキシを介した SDDC の関連付け

VMware Cloud Director service 環境内で、パブリックにアクセスできず、インターネットへの送信アクセスのみを持つインフラストラクチャリソースを使用するには、VMware プロキシサービスを使用するように VMware Cloud Director インスタンスを設定する必要があります。

手順

ジャンプホスト仮想マシンで、VMware Cloud Partner Navigator にログインし、VMware Cloud Director service に移動してプロキシアプライアンスを生成します。「VMware リバースプロキシ OVA を構成してダウンロードする方法」を参照してください。
プロキシアプライアンスの接続を確認します。
1. プロキシアプライアンスに root としてログインします。
2. アプライアンスが IP アドレスを取得したことを確認するには、ip a を実行します。
3. サービスがアクティブで実行中であることを確認するには、systemctl status transporter-client.service を実行します。
  
  注：コマンドでエラーが発生する場合は、DNS が動作しており、インターネットにアクセスできることを確認します。
4. プロキシアプライアンスの接続を確認するには、transporter-status.sh を実行します。
5. コマンドを実行して、プロキシアプライアンスに関する問題を診断します。
```
diagnose.sh -o OUTPUT_FILE
```
  「 VMware Cloud Director service プロキシクライアントアプライアンスをトラブルシューティングする方法」を参照してください。
VMware Cloud Director service で、プロキシを生成した VMware Cloud Director インスタンスに移動し、VMware プロキシを介してデータセンターを関連付けます。「VMware Cloud Director インスタンスを VMware プロキシ経由で SDDC に関連付ける方法」を参照してください。
SDDC の関連付けの実行中にプロバイダ VDC を作成するには、 [インフラストラクチャリソースの作成 (Create Infrastructure Resources)] チェックボックスをオンにします。

結果

タスクが完了すると、SDDC は VMware Cloud Director インスタンスユーザーインターフェイスにプロバイダ VDC として表示されます。

IPsec トンネルの展開と構成

IPsec トンネルを使用してプロバイダ VDC の Tier-1 ゲートウェイに接続するように、テナントプロジェクトに VPN アプライアンスを展開して構成します。

手順

テナントプロジェクトで、VPN アプライアンスへのアクセスを管理するファイアウォールルールを作成します。『Google Cloud Virtual Private Cloud (VPC)』のファイアウォールルールの構成を参照してください。
1. 入力方向ルールを作成します。
  - gcve-transit など、一意でわかりやすいルール名を入力します。
  - [ネットワーク] で tenantname-transit を入力します。
  - [優先度] に 100 と入力します。
  - [トラフィックの方向 (Direction of Traffic)] で、[入力方向] を選択します。
  - [一致時のアクション (Action on match)] で、[許可] を選択します。
  - [ターゲット] で、[ネットワーク内のすべてのインスタンス (All instances in the network)] を選択します。
  - [送信元フィルタ (Source Filter)] で [IP アドレス範囲] を選択し、中継ネットワークの範囲（100.64.0.0/16 など）を入力します。
  - [プロトコルとポート (Protocols and ports)] テキストボックスで、[すべて許可] を選択します。
2. 出力方向ルールを作成します。
  - ipsec-egress など、一意でわかりやすいルール名を入力します。
  - [ネットワーク] で tenantname-transit を選択します。
  - [優先度] に 100 と入力します。
  - [トラフィックの方向 (Direction of Traffic)] で、[出力方向] を選択します。
  - [一致時のアクション (Action on match)] で、[許可] を選択します。
  - [ターゲット] で、[ネットワーク内のすべてのインスタンス (All instances in the network)] を選択します。
  - [送信元フィルタ (Source Filter)] で [IP アドレス範囲] を選択し、中継ネットワークの範囲（100.64.0.0/16 など）を入力します。
  - [プロトコルとポート (Protocols and ports)] テキストボックスで、[IPsec ポート (IPsec ports)] を選択します。
テナントプロジェクトで、IPsec VPN トンネルに使用する CentOS 7 Linux 仮想マシンを展開し、接続します。『Google Cloud Compute Engine』のCompute Engine での Linux 仮想マシンインスタンスの作成を参照してください。
[ネットワーク] > [ディスク] > [セキュリティ] > [管理] > [単一テナンシー] で、IP フォワーディングを有効化して、tenantname-transit ネットワークのネットワークインターフェイスを編集します。
Linux 仮想マシンのネットワーク設定を編集して、ネットワークのタグ名を追加します。『Google Cloud Virtual Private Cloud (VPC)』のネットワークタグの構成を参照してください。
このタグは、プロバイダが必要とする任意の名前にすることができますが、インターネットを参照するすべてのルートで統一されている必要があります。また、プロバイダが所有するユーザープロジェクトで、インターネットアクセスが必要になる可能性がある仮想マシンに適用する必要があります。
Linux 仮想マシンに IPsec 実装をインストールして構成します。
テナントプロジェクトで、IPsec VPN ルートを作成します。『Google Cloud Virtual Private Cloud (VPC)』のスタティックルートの追加を参照してください。
- ルートに意味のある名前を入力します。
- [ネットワーク] で tenantname-transit を選択します。
- [宛先 IP アドレス範囲 (Destination IP Range)] に、テナントの SDDC の範囲を入力します。
- [優先度] に 100 と入力します。
- [ネクストホップ] で、[インスタンスを指定 (Specify an instance)] を選択します。
- [ネクストホップインスタンス (Next Hop Instance)] に、IPsec VPN をインストールして構成した仮想マシンを入力します。

NSX Manager での IPsec VPN およびテナントファイアウォールルールの構成

テナントワークロードのネットワーク接続を保護するには、IPsec VPN とファイアウォールルールを構成します。

手順

VMware Cloud Director SDDC を管理している Google Cloud VMware Engine インスタンスで IPsec VPN を構成します。NSX ポリシーベース IPsec VPN の構成を参照してください。
プロバイダジャンプホストを使用して、admin として NSX Manager にログインし、テナント Tier-1 ゲートウェイでファイアウォールルールを構成します。『NSX 管理ガイド』のゲートウェイファイアウォールポリシーとルールの追加を参照してください。
1. ファイアウォールルールを追加します。
  - 送信元として、リモートテナントプロジェクトの CIDR ブロックを追加します。
  - [宛先] 列で、[任意] を選択します。
  - [サービス] 列で、[任意] を選択します。
  - [アクション] 列で、[許可] を選択します。
2. 送信ファイアウォールルールを追加します。
  - 送信元として、任意のローカルネットワークに [任意] を選択します。また、単一の CIDR にロックダウンすることもできます。
  - [宛先] 列で、Google Cloud Platform テナントプロジェクトの CIDR ブロックを入力します。
  - [アクション] 列で、[許可] を選択します。
3. 両方のルールを発行します。