Conteúdo


Conecte com segurança suas cargas de trabalho VMware privadas no IBM Cloud

Saiba como proteger suas instâncias VCF privadas de vários sites e ainda ampliar seus aplicativos VMware para usar serviços públicos da Nuvem IBM

Comments

O IBM® e VMware® anunciaram uma nova parceria em 2016 que culminou no release do VMware Cloud Foundation na Nuvem IBM, uma implementação padronizada e automatizada de um ambiente de virtualização VMware completo na Nuvem IBM, incluindo as tecnologias VMware vSphere, VMware NSX e VMware vSAN. Desde o comunicado, IBM e VMware continuam a aprimorar as ofertas com novos recursos e serviços. As ofertas VMware Cloud Foundation e VMware vCenter Server da Nuvem IBM são a maneira mais rápida de implementar um ambiente de virtualização VMware totalmente operacional na Nuvem IBM.

Este tutorial destina-se a qualquer pessoa que esteja interessada em migrar dados, criar regras de firewall e criar uma topologia, entre outras ações.

Conectando-se à nuvem pública

A instância do VMware vCenter Server (vCS) ou do VMware Cloud Foundation (VCF) no IBM Cloud é implementada inicialmente com um acesso à rede pública mínimo para os componentes do software IBM e quaisquer serviços que exijam tal acesso para relatório de uso, como o Zerto Virtual Replication.

Muitos serviços da Nuvem IBM estão disponíveis para as cargas de trabalho do VMware na rede privada, incluindo armazenamento de arquivos, armazenamento de bloco, armazenamento de objeto, balanceamento de carga, entrega por e-mail e transcodificação digital.

No entanto, muitos outros serviços da Nuvem IBM, como o Cloudant®, o IBM Cloud Functions (antigo OpenWhisk), o API Connect™ e o Weather Company® Data, somente podem ser alcançados na rede pública.

Neste tutorial, vamos mostrar como conectar com segurança as instâncias privadas VCF de vários sites aos serviços públicos da Nuvem IBM. Este tutorial considera o caso mais complexo de configurar a conectividade pública para uma carga de trabalho de vários sites. Para implementações de um único site ou para implementações que usam VLAN em vez de VXLAN, algumas das etapas não serão necessárias. Depois de concluir este tutorial, você saberá como conectar de forma fácil e segura suas cargas de trabalho VMware privadas aos serviços públicos da Nuvem IBM.

A Nuvem IBM: migre sua carga de trabalho preservando a segurança

Este tutorial é baseado na empresa fictícia Acme Freight do IBM Code e em sua história de transformação. Veja a jornada completa (e enquanto isso, pegue o código de amostra) para ver como a Acme Freight implementou a topologia de rede. Veja como eles conseguiram migrar a carga de trabalho entre os data centers, permitindo o acesso externo da carga de trabalho aos serviços da Nuvem IBM — e ainda preservando a segurança da carga de trabalho executada na rede virtualizada privada da Nuvem IBM.

O aplicativo VMware da Acme Freight usa vários serviços da Nuvem IBM para implementar o mecanismo de recomendação de rota com base no clima. O mecanismo de recomendação é implementado usando o serviço de programação IBM Cloud Functions (antigo OpenWhisk), que acelera a inovação e o desenvolvimento a um custo muito baixo. Eles assinam o IBM Cloud Weather Company Data para receber previsões e alertas de clima. Eles usam o serviço API Connect da Nuvem IBM para segurança adicional, governança e análises de suas APIs. Todos esses componentes permitem que a Acme Freight monetize e classifique o limite de seus serviços à medida que ampliam seus negócios. A Figura 1 é um exemplo da interface de monitoramento do API Connect para a Acme Freight.

Figura 1. Interface de monitoramento do API Connect

A Figura 2 mostra a topologia do aplicativo da Acme Freight que está executando o VMware Cloud Foundation na Nuvem IBM.

Figura 2. Topologia de rede da Acme Freight

As etapas enumeradas a seguir mostram como criar esta topologia da Figura 2. Observe que o aplicativo pode migrar entre os dois data centers, portanto, vamos configurar cada data center para ter um egresso local apontando para a rede pública.

Topologia de rede: criando a rede interna

1

vCenter NSX cruzado

O VMware NSX é uma tecnologia de virtualização de função de rede (NFV) do VMware. O NSX não trata apenas da virtualização de rede, mas também fornece benefícios de segurança significativos por meio de seus recursos de firewall de microssegmentação. O NSX também oferece a flexibilidade de conectar várias funções de rede de terceiros nos fluxos de rede do NSX.

Muitas empresas estão adotando o NSX em seus próprios data centers devido à flexibilidade e à segurança que ele oferece. Mesmo se você não estiver usando o NSX em seu próprio data center, será necessário usá-lo ao implementar o VMware na nuvem. O uso do NSX na nuvem fornecerá muito mais flexibilidade e controle sobre as redes e o endereçamento em seu ambiente, permitindo que você aproveite outros benefícios do NSX pelo caminho.

Se você já tiver implementado uma topologia do VMware Cloud Foundation de vários sites, os servidores vCenter estarão vinculados, mas os gerenciadores do NSX ainda não estarão vinculados. Nesta etapa, vamos associar os gerenciadores do NSX entre suas instâncias, o que permitirá criar redes lógicas (VXLANs) que atuam entre os sites. Isso simplifica as comunicações entre as cargas de trabalho e permite que as cargas de trabalho migrem perfeitamente entre os sites, como no caso da Acme Freight. Para obter mais informações sobre o design e a arquitetura do vCenter NSX cruzado, consulte Guia de design do vCenter NSX cruzado do VMware.

Esta etapa exige que você escolha um site para funcionar como o gerenciador do NSX primário e exclua os controladores do NSX em todos os outros sites conectados. Por motivo de consistência e simplicidade, recomendamos que você escolha a instância do VCF primário como o gerenciador do NSX primário. É necessário executar esta etapa antes de criar os comutadores lógicos em um dos sites secundários:

  1. Use o Web client vSphere para efetuar login no vCenter.
  2. Antes de configurar o vCenter NSX cruzado, assegure-se de que todos os sites tenham intervalos exclusivos de ID de segmento para seus comutadores lógicos. Cada rede lógica tem um ID de segmento designado, como no caso de uma VLAN que tem um ID.
    1. Determine os intervalos de ID de segmento que você vai configurar em cada site para os comutadores locais e para os comutadores universais. Sua escolha determina quantos comutadores podem ser criados em cada site e quantas redes universais podem ser criadas. No caso da Acme Freight, escolhemos o seguinte:
      1. Site primário: 6000–6499
      2. Site secundário: 6500–6999
      3. Universal: 7000-7999
    2. Acesse Rede e segurança > Instalação. Selecione a guia Preparação da rede lógica e, em seguida selecione ID de segmento .
    3. Selecione o endereço IP dos gerenciadores do NSX que funcionarão como o gerenciador primário.
    4. Clique em Editar e ajuste o conjunto de IDs de segmento para o intervalo desejado.
    5. Repita as etapas c e d para cada um dos gerenciadores do NSX secundários. Vamos configurar os IDs de segmento universais em uma próxima etapa.
  3. Acesse Rede e segurança > Instalação e selecione Gerenciamento .
  4. Selecione o endereço IP do gerenciador do NSX que funcionará como o gerenciador primário.
  5. Clique em Ações > Designar função primária e clique em Sim quando solicitado.
  6. Na tabela de nós do Controlador do NSX, localize os três controladores do NSX que são gerenciados pelo Gerenciador do NSX que funcionará como o gerenciador secundário. Para cada controlador:
    1. Selecione o controlador.
    2. Clique no ícone de X vermelho para excluí-lo.
    3. Espere até que a exclusão seja concluída antes de continuar.
    4. Atualize a tela se você não puder clicar no botão de exclusão.
  7. Efetue login no IBM Cloud do portal Soluções VMware.
  8. Clique em Instâncias implementadas e selecione a instância secundária. Anote o endereço IP do NSX Manager, o nome do usuário HTTP e a senha do HTTP.
  9. Retorne à página de instalação do Web client vSphere NSX.
  10. Selecione a opção Gerenciador do NSX primário.
  11. Selecione Ações > Incluir gerenciador do NSX secundário.
  12. Insira o endereço IP, o nome de usuário e a senha do HTTP que você anotou na etapa 8.

Depois de concluir essa ação, um gerenciador do NSX será listado como primário e o outro como secundário. Deverão ser exibidas seis linhas na tabela de nós do controlador do NSX, mas somente três endereços IP exclusivos, pois os três controladores agora são compartilhados entre os sites primário e secundário. Levará alguns minutos para que os controladores entrem no estado conectado e, caso isso não ocorra, selecione o Gerenciador secundário e clique em Ações > Atualizar estado do controlador. A Figura 3 mostra o resultado.

Figura 3. Os gerenciadores e controladores do NSX
figure3
figure3

Repita as etapas 5 a 12 para todas as instâncias secundárias adicionais que deseja incluir na zona de transporte universal.

2

Zona de transporte universal do NSX

Nesta etapa, vamos configurar uma zona de transporte universal para permitir que os sites compartilhem os comutadores e roteadores lógicos do NSX.

  1. No Web client vSphere, navegue para Rede e Segurança > Instalação e selecione Preparação da rede lógica.
  2. Assegure-se de que o Gerenciador do NSX primário esteja selecionado na lista suspensa, clique na área de janela ID de segmento e clique em Editar.
  3. Escolha um conjunto de ID de segmento universal independente dos IDs de segmento locais. No caso da Acme Freight, escolhemos o intervalo 7000 a 7999 para os IDs de segmento, como é mostrado na Figura 4.
    Figura 4. IDs de segmento
    segment ids
    segment ids
  4. Selecione a opção Zonas de transporte .
  5. Clique no ícone de sinal de mais verde para incluir uma zona de transporte. Selecione Marcar este objeto para sincronização universal para que ele seja criado como uma zona de transporte universal. Selecione o cluster para conectar-se à zona de transporte.No caso da Acme Freight, o nomeamos como UniversalTransportZone.
    Figura 5. Zona de transporte universal
    figure5
    figure5
  6. Selecione o Gerenciador do NSX secundário na lista suspensa. Selecione a opção UniversalTransportZone, em seguida, selecione Ação > Conectar cluster para conectar o vCenter secundário a esta zona de transporte.
  7. Selecione o cluster e clique em OK.
  8. Repita as etapas 6 a 7 para quaisquer gerente NSX secundários adicionais no ambiente.
3

Comutadores lógicos

Nesta etapa, criaremos comutadores lógicos que funcionarão como as redes virtuais para nossa solução. É possível entender cada comutador lógico como o equivalente virtual de uma VLAN física. O tráfego para esses comutadores será encapsulado em pacotes VXLAN se ele for roteado entre hosts.

Será necessário planejar de acordo com suas próprias necessidades de rede, incluindo o número de comutadores lógicos e as sub-redes em uso por eles. No caso da Acme Freight, criamos os seguintes comutadores lógicos:

  1. Camada da web universal
    Esta rede hospeda os servidores da web para a Acme Freight. Sua sub-rede é 172.16.10.0/24.
  2. Camada de aplicativo universal
    Esta rede hospeda os servidores do aplicativo para a Acme Freight. Sua sub-rede é 172.16.20.0/24.
  3. Trânsito primário universal
    Esta é uma rede de trânsito que roteia o tráfego para a rede pública do site primário. Sua sub-rede é 172.16.100.0/27.
  4. Trânsito secundário universal
    Esta é uma rede de trânsito que roteia o tráfego para a rede pública do site secundário. Sua sub-rede é 172.16.200.0/27.

Em uma etapa posterior, criaremos um roteador lógico para rotear o tráfego entre essas redes.

Crie cada comutador lógico com as etapas a seguir:

  1. No Web client vSphere, navegue para Rede e segurança > Comutadores lógicos.
  2. Assegure-se de que o Gerenciador do NSX primário esteja selecionado na lista suspensa.
  3. Clique no ícone de sinal de mais verde para criar um comutador lógico.
  4. Nomeie seu comutador.
  5. Para a zona de transporte, clique em Mude e selecione a zona de transporte universal.
  6. Assegure-se de que Unicast esteja selecionado, como é mostrado na Figura 6.
  7. Clique em OK.
    Figura 6. Comutador lógico
    figure6
    figure6
4

Roteador lógico

Na etapa anterior, criamos várias redes lógicas (ou virtuais). Seria possível começar a implementar as máquinas virtuais nessas redes imediatamente, mas essas máquinas virtuais somente serão capazes de se comunicar com outras máquinas virtuais na mesma rede. Para rotear o tráfego entre as redes virtuais, é necessário implementar um roteador lógico.

O VMware NSX oferece roteadores lógicos (ou distribuídos) (DLRs) para configurações de site único e roteadores lógicos universais (UDLRs) para rotear o tráfego em comutadores lógicos universais, como os criados anteriormente. Nesta etapa, implementaremos um roteador lógico universal com egresso local. Vamos implementar um único UDLR com um par de dispositivos roteadores localizados em cada site.

  1. No Web client vSphere, navegue para Rede e segurança > NSX Edges.
  2. Assegure-se de que o Gerenciador do NSX primário esteja selecionado na lista suspensa.
  3. Clique no ícone de sinal de mais verde.
  4. O primeiro painel é mostrado na Figura 7:
    1. Escolha um tipo de instalação de roteador lógico universal (distribuído).
    2. Selecione Ativar egresso local.
    3. Nomeie o roteador.
    4. Ative a alta disponibilidade. Vamos implementar dois dispositivos para assegurar que o tráfego continue a ser roteado mesmo se um dispositivo for perdido devido à falha do host.
      Figura 7. Nome e descrição do UDLR
      figure7
      figure7
  5. No segundo painel, selecione um nome de usuário e uma senha para a administração do dispositivo.
  6. No terceiro painel, clique no ícone de sinal de mais verde para configurar a implementação de um dispositivo de UDLR. Configure no total dois dispositivos em um local adequado no site primário, como é mostrado na Figura 8. Vamos implementar os dispositivos para o site secundário em uma etapa posterior.
    Figura 8. Configuração de implementação de UDLR
    figure8
    figure8
  7. No quarto painel, configure as interfaces do roteador lógico.
    1. Mesmo se você não ativou a Alta disponibilidade, deve-se designar uma interface de HA. Essa interface é usada para que os dispositivos detectem a disponibilidade entre si. É possível usar a rede de trânsito primária para a interface de HA.
    2. Configure uma interface para cada um dos comutadores lógicos, incluindo a rede de trânsito secundária. Isso permite que o site primário roteie o tráfego de rede pública para o site secundário mesmo se o link público do site secundário falhar. Assegure-se de que a configuração da sub-rede corresponda à arquitetura de rede que você planejou anteriormente para cada comutador lógico. As redes de trânsito devem ser interfaces de uplink. Todas as outras redes devem ser interfaces internas.
    3. Posteriormente, vamos implementar um dispositivo de gateway nas redes de trânsito, portanto, o UDLR não deve ser designado a um endereço do gateway (por convenção, o primeiro endereço) nas redes de trânsito. No entanto, o UDLR funcionará como o gateway para todos os outros comutadores lógicos. Os endereços designados para o caso da Acme Freight, mostrados na Figura 9, são os seguintes:
      1. Camada da web universal
        interface interna, 172.16.10.1/24
      2. Camada de aplicativo universal
        interface interna, 172.16.20.1/24
      3. Trânsito primário universal
        interface de uplink, 172.16.100.2/27
      4. Trânsito secundário universal
        interface de uplink, 172.16.200.2/27
        Figura 9. Interfaces de UDLR
        figure9
        figure9
  8. No quinto painel, configure o gateway padrão para este dispositivo de UDLR. Especifique o endereço do gateway para a rede de trânsito primária. Mais tarde, vamos implementar um dispositivo de gateway nesse endereço. A Figura 10 mostra isso configurado para a Acme Freight.
    Figura 10. Gateway do UDLR padrão
    fig10
    fig10
  9. Conclua a criação do UDLR e de seus dispositivos primários.
  10. Se você tiver implementado seus dispositivos nos mesmos clústeres, conjunto de recursos e armazenamento de dados, será necessário configurar uma regra de afinidade de DRS para assegurar que os dispositivos sejam executados em hosts separados.

Agora, vamos implementar os dispositivos de UDLR no site secundário. Para cada site secundário, execute as etapas a seguir:

  1. No Web client vSphere, navegue para Rede e segurança > NSX Edges.
  2. Selecione o gerenciador do NSX secundário na lista suspensa.
  3. Selecione seu UDLR na lista.
  4. Na guia Gerenciar, selecione a área de janela Configurações e escolha Configuração.
  5. Clique no ícone de sinal de mais verde para configurar um novo dispositivo de UDLR e escolha um local apropriado para ele
  6. No painel de configuração de HA, clique em Alterar para configurar a HA. Selecione Ativar e escolha sua rede de trânsito secundária como a interface de HA.
  7. Clique no ícone de sinal de mais verde para configurar o segundo dispositivo de UDLR e escolha um local apropriado para ele.
  8. Se você tiver implementado seus dispositivos nos mesmos clústeres, conjunto de recursos e armazenamento de dados, será necessário configurar uma regra de afinidade de DRS para assegurar que os dispositivos sejam executados em hosts separados.

Topologia de rede: criando sua rede externa

1

Gateways do NSX Edge

Nesta etapa, vamos implementar os dispositivos de Edge Services Gateway (ESG) do NSX que funcionarão como gateways entre as redes lógicas e a rede pública. Vamos configurá-los para o tráfego de saída de NAT da carga de trabalho para a rede pública. O VMware designa este NAT de saída como NAT de origem (SNAT). Dependendo de suas necessidades, também é possível configurar um NAT de entrada para a carga de trabalho da rede pública, que é chamado de NAT de destino (DNAT). Vamos implementar um par de ESGs altamente disponível separado em cada site, pois cada site tem sua própria rede primária.  

Primeiro, devemos pedir sub-redes públicas da Nuvem IBM a serem usadas com os ESGs:

  1. Efetue login no portal da Nuvem IBM SoftLayer®.
  2. Primeiro, verifique se você sabe quais são as VLANs públicas dos hosts do vSphere. Siga estas etapas:
    1. Acesse Dispositivos > Lista de dispositivos.
    2. Identifique um dos hosts do vSphere no site primário e selecione-o.
    3. Na seção Rede, no título Público, observe o site e a VLAN. Por exemplo, wdc04.fcf03a.1165.
    4. Repita as etapas 2a até 2c para cada site secundário.
  3. Acesse Rede > Gerenciamento de IP > Sub-redes.
  4. Selecione Pedir endereços IP.
  5. Escolha uma sub-rede pública portátil
  6. Selecione quatro endereços IP públicos portáveis e clique em Continuar.
  7. Selecione a VLAN que você identificou anteriormente para o site primário.
  8. Preencha as informações de RFC 2050 e faça o pedido.
  9. Repita as etapas 4 até 8 para cada site secundário.

Você verá que já existe uma sub-rede portátil pública CIDR–28 nessas VLANs, que é usada pelo componente de gerenciamento da Nuvem IBM para comunicar-se com o portal da Nuvem IBM. No portal da Nuvem IBM SoftLayer, navegue para Rede > Gerenciamento de IP > Sub-redes e revise os detalhes das sub-redes CIDR–30 que você pediu. É necessário incluir uma observação nessas sub-redes para indicar seus propósitos, por exemplo, “NAT de carga de trabalho”. Clique para visualizar os detalhes de cada sub-rede. Anote o endereço do gateway e o endereço para seu uso. Vamos usar o endereço do dispositivo para o NSX ESG. É necessário incluir uma observação nesses endereços para indicar seus propósitos, por exemplo, “IP público do NSX ESG”.

Agora, vamos implementar os ESGs usando os endereços pedidos:

  1. No Web client vSphere, navegue para Rede e segurança > NSX Edges.
  2. Selecione o gerenciador do NSX primário na lista suspensa.
  3. Clique no ícone de sinal de mais verde para implementar um novo NSX ESG.
  4. No primeiro painel, selecione Edge Services Gateway, nomeie o ESG e selecione Ativar alta disponibilidade, conforme é mostrado na Figura 11.
    Figura 11. Nome e descrição do NSX ESG
    figure11
    figure11
  5. No segundo painel, selecione um nome de usuário e uma senha para a administração do dispositivo.
  6. No terceiro painel, clique no ícone de sinal de mais verde para configurar a implementação de um dispositivo de gateway. Configure no total dois dispositivos em um local adequado no site primário, como é mostrado na Figura
    Figura 12. Configurar implementação do NSX ESG
    figure12
    figure12
  7. No quarto painel, configure as interfaces do gateway, como é mostrado na Figura 13.
    1. A interface de uplink deve ser a rede pública. Na lista de grupo da porta distribuído, selecione o grupo da porta distribuído SDDC-DPortGroup-External. Configure o endereço IP que você pediu da Nuvem IBM com o prefixo de sub-rede 30.
    2. A interface de interna deve ser a rede de trânsito primária. Configure o endereço do gateway identificado para a rede de trânsito primária. No caso da Acme Freight, é 172.16.100.1/27.
      Figura 13. Interfaces de ESG
      figure13
      figure13
  8. No quinto painel, configure o gateway padrão para este dispositivo. Especifique o endereço do gateway para a sub-rede que você já pediu da Nuvem IBM. A Figura 14 mostra isso configurado para a Acme Freight.
    Figura 14. Gateway ESG padrão
    figure14
    figure14
  9. No sexto painel, configure a política de firewall padrão e defina a interface de HA para a interface interna.
  10. Conclua a criação do ESG.
  11. Se você tiver implementado seus dispositivos nos mesmos clústeres, conjunto de recursos e armazenamento de dados, será necessário configurar uma regra de afinidade de DRS para assegurar que os dispositivos sejam executados em hosts separados.
  12. Repita essas etapas para cada site secundário para implementar um par NSX ESG nesses sites, na rede de trânsito apropriada e usando a sub-rede escolhida para cada site.
2

Roteamento dinâmico

Nesta etapa, vamos ativar o roteamento dinâmico do OSPF entre os ESGs e o UDLR. Isso permite que o UDLR descubra dinamicamente as rotas de gateway disponíveis em cada site e, assim, identifique o gateway ativo mais próximo com base no site no qual a carga de trabalho está sendo executada.

Primeiro, vamos configurar cada dispositivo de UDLR para reconhecer o locale em que ele está sendo executado. Como nós ativamos o egresso local no UDLR, o ID da localidade será usado pelo UDLR para filtrar as rotas que ele configura nos hypervisores. Essa configuração permitirá que ele configure as rotas preferenciais que diferem em cada site:

  1. No Web client vSphere, navegue para Rede e segurança > Gerenciadores de NSX.
  2. Clique duas vezes no gerenciador do NSX para o site primário e selecione o Resumo .
  3. Copie o campo de ID, como é mostrado na Figura 15.
    Figura 15. ID do gerenciador do NSX
    figure15
    figure15
  4. Acesse Rede e segurança > NSX Edges e selecione o Gerenciador do NSX primário na lista suspensa.
  5. Clique duas vezes no UDLR.
  6. Selecione a guia Gerenciar e a área de janela Roteamento, em seguida, selecione Configuração global.
  7. Clique em Editar ao lado de Configuração de roteamento e insira o ID do roteador.
  8. Clique em Publicar mudanças para confirmar as mudanças.
    Figura 16. Publicar as mudanças no ID da localidade
    figure16
    figure16
  9. Repita essas etapas para cada gerenciador do NSX secundário e para os dispositivos de UDLR associados a eles, tomando cuidado para selecionar o gerenciador do NSX correto nas etapas 2 e 4.

Agora, precisamos ativar o OSPF para cada um dos dispositivos de UDLR:

  1. No Web client vSphere, navegue para Rede e segurança > NSX Edges e selecione o Gerenciador do NSX primário na lista suspensa.
  2. Clique duas vezes no UDLR e selecione Gerenciar .
  3. Na área de janela Roteamento, selecione a Configuração global .
  4. Clique em Editar ao lado de Configuração de roteamento dinâmico e assegure-se de que a rede de trânsito primária seja selecionada para o ID do roteador, como é mostrado na Figura 17.
    Figura 17. ID do roteador de UDLR
    figure17
    figure17
  5. Confirme suas mudanças clicando em Publicar mudanças.
  6. Na área de janela Roteamento, selecione a OSPF .
  7. Defina as configurações do OSPF.
    1. Clique em Editar para definir as configurações.
    2. Marque-o como Ativado.
    3. Insira o endereço não usado na rede de trânsito primária para o endereço do protocolo. O UDLR enviará e receberá o tráfego do OSPF neste endereço.
    4. O endereço de encaminhamento é o endereço que o UDLR usa para enviar e receber o tráfego roteado. Insira o endereço existente do UDLR na rede de trânsito primária.
      Figura 18. Configurações de OSPF do UDLR para a Acme Freight
      figure18
      figure18
  8. Crie uma definição de área, como é mostrado na Figura 19
    Figura 19. Área de OSPF de UDLR
    figure19
    figure19
  9. Mapeie a área para a interface de trânsito primária, como é mostrado na Figura 20.
    Figura 20. O mapeamento de interface do UDLR para OSPF
    figure20
    figure20
  10. Clique em Publicar mudanças para confirmar as mudanças que você fez na configuração do OSPF.
  11. Repita as etapas para cada um dos sites secundários para configurar o OSPF para os dispositivos UDLR nesses sites. Assegure-se de selecionar o gerenciador do NSX secundário apropriado na etapa 1 e a rede secundária e os endereços apropriados nas etapas 4, 7 e 9.  

Por último, precisamos ativar o OSPF para os NSX ESGs para que eles possam ser comunicar com o UDLR.

  1. No Web client vSphere, navegue para Rede e segurança > NSX Edges e selecione o Gerenciador do NSX primário na lista suspensa.
  2. Clique duas vezes no NSX ESG e selecione Gerenciar.
  3. Na área de janela Roteamento, selecione a Configuração global .
  4. Clique em Editar ao lado de Configuração de roteamento dinâmico e assegure-se de que a rede de uplink primária seja selecionada para o ID do roteador, como é mostrado na Figura 21.
    Figura 21. ID do roteador do NSX ESG
    figure21
    figure21
  5. Confirme suas mudanças clicando em Publicar mudanças.
  6. Na área de janela Roteamento, selecione a opção Ativar OSPF, como é mostrado na Figura 22.
    Figura 22. Configurações de NSX ESG OSPF
    figure22
    figure22
  7. Crie uma Definição de área, como é mostrado na Figura 23, que corresponda à definição de área do UDLR.
    Figura 23. Área do NSX ESG OSPF
    figure23
    figure23
  8. Mapeie a área para a interface de trânsito primária, como é mostrado na Figura 24.
    Figura 24. Mapeamento de interface do NSX ESG para OSPF
    figure24
    figure24
  9. Clique em Publicar mudanças para confirmar as mudanças que você fez na configuração do OSPF.
  10. Repita as etapas para cada um dos sites secundários para configurar o OSPF para os ESGs nesses sites. Assegure-se de selecionar o gerenciador do NSX secundário apropriado na etapa 1 e a rede secundária nas etapas 4 e 9.
3

Firewall e configuração de NAT

Finalmente, vamos configurar os gateways do NSX Edge, que implementamos na etapa 5, para permitir as conexões de saída dos aplicativos usando conversão de endereço.

  1. No Web client vSphere, navegue para Rede e segurança > NSX Edges.
  2. Assegure-se de que o Gerenciador do NSX primário esteja selecionado na lista suspensa e clique duas vezes no NSX ESG que você criou para a conectividade pública no site primário.
  3. Na guia Gerenciar, selecione o painel Firewall.
  4. Clique no ícone de sinal de mais verde para criar uma nova regra de firewall para permitir o tráfego de saída, como é mostrado na Figura 25.
    1. O endereço IP de origem provavelmente incluirá o endereço original do aplicativo (as regras de firewall são aplicadas antes das regras de NAT). É possível usar várias construções para selecionar o endereço de origem, incluindo cluster, comutador lógico, vApp, máquina virtual e especificação de endereço IP.
    2. É possível limitar o endereço de destino e os serviços, caso necessário.
      Figura 25. Regra de firewall
      figure25
      figure25
  5. Pulique suas mudanças.
  6. Na guia Gerenciar, selecione o painel NAT.
  7. Clique no ícone de sinal de mais verde e selecione Incluir regra de SNAT para criar uma nova regra para converter endereços IP privados em endereços IP públicos, como é mostrado na Figura 26.
    1. O endereço IP de origem original será o intervalo de endereços designados às máquinas virtuais na rede virtualizada 172.16.0.0/16.
    2. O endereço IP de origem convertido será o da interface de uplink do ESG.
      Figura 26. Regra de SNAT
      figure26
      figure26
  8. Pulique suas mudanças.
  9. Repita as etapas 2 a 8 para cada um dos gerenciadores de NSX e ESGs secundários. Assegure-se de especificar o IP de origem convertido das interfaces de uplink nos ESGs dos sites secundários.

Resumo

Neste tutorial, nós configuramos um vCenter NSX cruzado, criamos comutadores lógicos universais que permitem que as cargas de trabalho e as comunicações atravessem os sites sobre redes virtuais. Também configuramos um roteador lógico universal para rotear o tráfego entre essas redes e criamos gateways em cada local que permitem que o tráfego de saída se conecte à rede pública. Todas essas etapas permitem ampliar os aplicativos VMware para usar serviços públicos da Nuvem IBM, como o Watson Personality Insights ou a plataforma Watson IoT.

Como estamos usando o NAT para as conexões de saída, as cargas de trabalho passarão por uma perda de conexão momentânea se você executar uma migração em tempo real entre sites. Essa perda de conexão é causada pelo endereço IP de origem da conexão (como visto pela rede de saída) que mudará à medida que você passar de site para site. Mas a carga de trabalho poderá restabelecer a conexão imediatamente.

Este tutorial trata de maneira superficial sobre o que é possível com o VMware NSX na Nuvem IBM. Nós criamos as regras de firewall para um NSX Edge, mas é possível criar regras de firewall aplicadas a todo o tráfego, incluindo o tráfego dentro do comutador. Dependendo dos seus requisitos, também pode ser necessário considerar topologias alternativas. Se você requer conexões de entrada com o aplicativo, também será necessário considerar a configuração de NAT (incluindo NAT único versus duplo) e a possível necessidade de um balanceador de carga entre sites. O Guia de design do NSX vCenter cruzado do VMware descreve várias topologias recomendadas e as considerações de design para cada uma.

Aproveite seus recém-descobertos poderes de rede virtual e a poderosa matriz de serviços da Nuvem IBM ao seu alcance!

Agradecimentos

Os autores agradecem a Daniel De Araujo e Frank Chodacki por configurar o ambiente de teste de vários sites e fornecer a orientação de arquitetura do NSX.


Recursos para download


Temas relacionados


Comentários

Acesse ou registre-se para adicionar e acompanhar os comentários.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Cloud computing
ArticleID=1050589
ArticleTitle=Conecte com segurança suas cargas de trabalho VMware privadas no IBM Cloud
publish-date=10042017