這裡概述了您在設定提供者和承租人 Google Cloud 專案、設定這些專案、部署 SDDC 並將其與 VMware Cloud Director service 建立關聯時需要遵循的手動部署程序。

下列程序提供了使用 Google Cloud VMware Engine 成功設定 VMware Cloud Director service 的必要資訊,但不包括使用 Google Cloud ConsoleNSX Manager 的全套步驟和說明。如需詳細指示,請按 Google Cloud 說明文件和NSX 管理指南》指南的相關連結。

必要條件

確認您具有在 Google Cloud 中設定提供者和承租人專案的必要權限。

設定提供者專案

若要開始使用 Google Cloud VMware Engine 資源,您必須設定提供者雲端和提供者管理網路。

程序

  1. Google Cloud Console 中,啟用提供者專案的雲端 DNS API。請參閱Google Cloud VMware Engine說明文件中的啟用雲端 DNS API
  2. 存取 VMware Engine 入口網站,並在系統提示時,啟用其 API。請參閱Google Cloud VMware Engine說明文件中的存取 VMware Engine 入口網站
  3. Google Cloud Console 中,建立 VPC 網路。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的建立和管理 VPC 網路
    • 為網路輸入有意義的名稱。
    • 區域文字方塊中,選取您的環境所在的區域。
    • 選取核取方塊以確認子網路組態包含 RFC 1918 位址空間之外的範圍。
    • 選取選項按鈕以啟用私人 Google 存取。
    • 選取全域動態路由模式,並將 MTU 上限設定為 1500。
  4. 設定與 Google Cloud Platform 的私人服務連線,並連線到配置 IP 範圍時建立的網路。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的設定私人服務存取

設定 Google Cloud VMware Engine SDDC

若要開始提供資源以供承租人使用,您必須建立一個 SDDC。

程序

  1. 建立私有雲。請參閱Google Cloud VMware Engine說明文件中的建立 VMware Engine 私有雲
    • 選取要在其中建立 SDDC 的 Google Cloud Platform 資料中心,作為雲端的位置
    • 選取多節點 (至少 4 個節點),作為節點類型
  2. 在 SDDC 和提供者專案之間建立私人連線。請參閱Google Cloud VMware Engine說明文件中的在 VMware Engine 入口網站中完成私人連線建立
    • 服務文字方塊中,選取 VPC 網路
    • 區域文字方塊中,選取您在其中建立了私有雲的區域。
    • 對等專案識別碼文字方塊中,輸入提供者專案名稱。
      提示: 在單獨的索引標籤中開啟 Google Cloud Platform,然後從專案資訊中複製提供者專案名稱。
    • 對等專案編號中,輸入提供者專案編號。
      提示: 從 [Google Cloud Platform] 索引標籤中,複製專案資訊中提供者專案名稱下方的提供者專案編號。
    • 對等 VPC 識別碼文字方塊中,輸入提供者管理網路的名稱識別碼。
    • 承租人專案識別碼文字方塊中,輸入承租人專案的識別碼。
      提示: 若要尋找承租人專案識別碼,請在左側窗格中按一下 VPC 網路 > VPC 網路對等。從右側窗格中,複製 對等的專案識別碼值。
    • 路由模式下拉式功能表中,選取全域
    幾分鐘後,區域狀態將顯示為 [已連線]。
  3. 更新 servicenetworking VPC 網路的對等連線,以匯入和匯出自訂路由。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的更新對等連線
  4. 為您的區域啟用網際網路存取和公用 IP 網路服務。請參閱Google Cloud VMware Engine說明文件中的為您的區域啟用網際網路存取和公用 IP 網路服務

設定承租人專案

若要為承租人專案提供資源,請設定承租人服務網路和對等連線。

程序

  1. Google Cloud Console 中,導覽至承租人專案並刪除其預設 VPC 網路。
  2. 建立新的 VPC 網路。
    • 區域文字方塊中,選取您的 SDDC 所在的區域。
    • 選取核取方塊以確認子網路組態包含 RFC 1918 位址空間之外的範圍。
    • 選取選項按鈕以啟用私人 Google 存取。
    • 在子網路區段中,選取完成
    • 選取全域動態路由模式。
    • 將 MTU 上限設定為 1500。
  3. 設定與 Google Cloud Platform 的私人服務連線,並為要使用的服務連線配置內部 IP 範圍。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的設定私人服務存取
  4. 更新在步驟 3 中建立的對等連線,以匯入和匯出自訂路由。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的更新對等連線
  5. Google Cloud VMware Engine 入口網站中建立私人連線。請參閱Google Cloud VMware Engine說明文件中的在 VMware Engine 入口網站中完成私人連線建立
    • 服務下拉式功能表中,選取 VPC 網路
    • 區域下拉式功能表中,選取您在其中建立了私有雲的區域。
    • 對等專案識別碼文字方塊中,輸入提供者專案名稱。
      提示: 在單獨的索引標籤中開啟 Google Cloud Console,然後從專案資訊中複製提供者專案名稱。
    • 對等專案編號文字方塊中,輸入專案編號。
    • 對等 VPC 識別碼文字方塊中,輸入您在步驟 2 中建立的承租人 VPC 網路的名稱。
    • 承租人專案識別碼文字方塊中,輸入承租人專案的識別碼。
      備註: 若要尋找承租人專案識別碼,請在左側窗格中按一下 VPC 網路 > VPC 網路對等。從右側窗格中,複製 對等的專案識別碼值。
    • 路由模式下拉式功能表中,選取全域

下一步

若要設定任何其他承租人專案,請對每個專案重複上述步驟。

在提供者專案中建立跳轉主機並允許網路存取

您可以使用提供者專案中的跳轉主機對遠端網路中的 vCenter ServerNSX Manager 和其他服務進行控制存取。

程序

  1. 在提供者專案中,在與您的私有雲相同的區域中建立 Windows Server 虛擬機器執行個體。請參閱Google Cloud Compute Engine說明文件中的建立 Windows Server 虛擬機器執行個體
  2. 網路 > 磁碟 > 安全性 > 管理 > 唯一承租人下,編輯提供者管理網路的網路介面。
  3. 從虛擬機器執行個體詳細資料,設定虛擬機器的 Windows 密碼,並記下該密碼。
  4. 建立可允許入口流量的防火牆規則。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的建立防火牆規則
    • 為規則輸入唯一且有意義的名稱,例如,提供的服務。
    • 選取提供者管理網路,作為網路
    • 針對流量方向,選取入口
    • 選取網路中的所有執行個體,作為目標
    • 選取 IP 範圍,作為來源篩選器,然後在文字方塊中輸入 0.0.0.0/0 以允許來自任何網路的來源。
    • 通訊協定和連接埠文字方塊中,選取 TCP 3389
  5. 建立可在提供者專案中允許東西向流量的防火牆規則。
    • 為規則輸入一個唯一且有意義的名稱,例如東西向
    • 選取提供者管理網路,作為網路
    • 針對流量方向,選取出口
    • 選取網路中的所有執行個體,作為目標
    • 選取 IP 範圍,作為來源篩選器,然後在文字方塊中輸入管理網路的範圍。
    • 通訊協定和連接埠文字方塊中,選取全部允許
  6. 記下要用於遠端桌面通訊協定 (RDP) 通訊的虛擬機器執行個體的外部 IP 位址。
  7. 確認您可以使用外部 IP 和 Windows 認證登入新建立的虛擬機器。

透過 VMware 反向 Proxy 與 SDDC 建立關聯

若要在 VMware Cloud Director service 環境內使用不可公開存取且只能輸出存取網際網路的基礎結構資源,您必須將 VMware Cloud Director 執行個體設定為使用 VMware Proxy 服務。

程序

  1. 在跳轉主機虛擬機器上,登入 VMware Cloud Partner Navigator,然後導覽至 VMware Cloud Director service 並產生 Proxy 應用裝置。請參閱如何設定和下載 VMware 反向 Proxy OVA
  2. 驗證 Proxy 應用裝置連線。
    1. 使用者身分登入 Proxy 應用裝置。
    2. 若要驗證應用裝置是否已取得 IP 位址,請執行 ip a
    3. 若要確保服務處於作用中狀態且正在執行,請執行 systemctl status transporter-client.service
      備註: 如果該命令導致錯誤,請驗證 DNS 運作正常以及是否可以存取網際網路。
    4. 若要驗證 Proxy 應用裝置的連線,請執行 transporter-status.sh
    5. 執行命令,以診斷 Proxy 應用裝置的任何問題。
  3. VMware Cloud Director service 中,導覽至從中產生了 Proxy 的 VMware Cloud Director 執行個體,並透過 VMware Proxy 與資料中心建立關聯。請參閱如何透過 VMware Proxy 將 VMware Cloud Director 執行個體與 SDDC 建立關聯
    若要在 SDDC 關聯期間建立提供者 VDC,請選取 建立基礎結構資源核取方塊。

結果

工作完成時,SDDC 將在 VMware Cloud Director 執行個體使用者介面中顯示為提供者 VDC。

部署和設定 IPsec 通道

在承租人專案中部署並設定 VPN 應用裝置,以透過 IPsec 通道連線至提供者 VDC 中的第 1 層閘道。

程序

  1. 在承租人專案中,建立可管理 VPN 應用裝置存取權的防火牆規則。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的設定防火牆規則
    1. 建立入口規則。
      • 為規則輸入唯一且有意義的名稱,例如 gcve-transit
      • 輸入 tenantname-transit,作為網路
      • 輸入 100,作為優先順序
      • 針對流量方向,選取入口
      • 選取允許,作為符合時的動作
      • 選取網路中的所有執行個體,作為目標
      • 選取 IP 範圍,作為來源篩選器,然後輸入傳輸網路的範圍,例如 100.64.0.0/16。
      • 通訊協定和連接埠文字方塊中,選取全部允許
    2. 建立出口規則。
      • 為規則輸入唯一且有意義的名稱,例如 ipsec-egress
      • 選取 tenantname-transit,作為網路
      • 輸入 100,作為優先順序
      • 針對流量方向,選取出口
      • 選取允許,作為符合時的動作
      • 選取網路中的所有執行個體,作為目標
      • 選取 IP 範圍,作為來源篩選器,然後輸入傳輸網路的範圍,例如 100.64.0.0/16。
      • 通訊協定和連接埠文字方塊中,選取 IPsec 連接埠
  2. 在承租人專案中,部署用於 IPsec VPN 通道的 CentOS 7 Linux 虛擬機器,並連線至該虛擬機器。請參閱Google Cloud Compute Engine說明文件中的在計算引擎中建立 Linux 虛擬機器執行個體
  3. 網路 > 磁碟 > 安全性 > 管理 > 唯一承租人下,啟用 IP 轉送並編輯 tenantname-transit 網路的網路介面。
  4. 編輯 Linux 虛擬機器網路設定以新增網路的標籤名稱。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的設定網路標籤
    此標籤可以是提供者所需的任何內容,但它必須在指向網際網路的所有路由之間保持一致,並且必須應用於在提供者擁有的客戶專案中可能需要存取網際網路的任何虛擬機器。
  5. 在 Linux 虛擬機器上安裝並設定 IPsec 實作。
  6. 在承租人專案中,建立 IPsec VPN 路由。請參閱Google Cloud Virtual Private Cloud (VPC)說明文件中的新增靜態路由
    • 為路由輸入有意義的名稱。
    • 選取 tenantname-transit,作為網路
    • 輸入承租人的 SDDC 內的範圍,作為目的地 IP 範圍
    • 輸入 100,作為優先順序
    • 選取指定執行個體,作為下一個躍點
    • 輸入已安裝並設定 IPsec VPN 上的虛擬機器,作為下一個躍點執行個體

NSX Manager 中設定 IPSec VPN 和承租人防火牆規則

若要保護承租人工作負載的網路連線,請設定 IPSec VPN 和防火牆規則。

程序

  1. 在管理 Google Cloud VMware Engine SDDC 的 VMware Cloud Director 執行個體中設定 IPSec VPN。請參閱設定 NSX 原則型 IPSec VPN
  2. 透過提供者跳轉主機,以管理員身分登入 NSX Manager,並在承租人第 1 層閘道中設定防火牆規則。請參閱NSX 管理指南》中的新增閘道防火牆原則和規則
    1. 新增防火牆規則。
      • 新增遠端承租人專案的 CIDR 區塊作為來源。
      • 目的地資料行中,選取任何
      • 服務資料行中,選取任何
      • 動作資料行中,選取允許
    2. 新增輸出防火牆規則。
      • 針對任何本機網路選取任何作為來源,或者也可以將其鎖定為單一 CIDR。
      • 目的地資料行中,輸入 Google Cloud Platform 承租人專案的 CIDR 區塊。
      • 動作資料行中,選取允許
    3. 發佈這兩條規則。