Erste Schritte mit VMware Cloud on AWS - Februar 2019 VMware Cloud on AWS - VMware Docs

 
Erste Schritte mit VMware Cloud on AWS - Februar 2019 VMware Cloud on AWS - VMware Docs
Erste Schritte mit
VMware Cloud on AWS
14. Februar 2019
VMware Cloud on AWS
Erste Schritte mit VMware Cloud on AWS

Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:
https://docs.vmware.com/de/
Die VMware-Website enthält auch die neuesten Produkt-Updates.
Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie diese an:
docfeedback@vmware.com

 VMware, Inc.                                 VMware Global, Inc.
 3401 Hillview Ave.                           Zweigniederlassung Deutschland
 Palo Alto, CA 94304                          Willy-Brandt-Platz 2
 www.vmware.com                               81829 München
                                              Germany
                                              Tel.: +49 (0) 89 3706 17 000
                                              Fax: +49 (0) 89 3706 17 333
                                              www.vmware.com/de

Copyright © 2017–2019 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.

VMware, Inc.                                                                                     2
Inhalt

          Erste Schritte mit VMware Cloud on AWS                 4

     1 Erstellung und Verwaltung von Konten 5
               Erstellen eines Kontos   5
               Einladen eines neuen Benutzers      7
               Annehmen einer Kontoeinladung       7
               Zuweisen einer Rolle an ein Organisationsmitglied     8

     2 Erstellen eines Abonnements 10

     3 Bereitstellen und Verwalten eines SDDC (Software-Defined Data Center) 11
               Bereitstellen einer Einzelhost-SDDC-Startkonfiguration     13
               Bereitstellen eines SDDC von der VMC-Konsole        16
               Anzeigen von SDDC-Informationen und Erhalten von Unterstützung            19

     4 Verwenden des Assistenten zum Konfigurieren von MGW-VPN, um ein Verwal-
               tungs-VPN und -Gateway zu konfigurieren                   21
               Erstellen eines Verwaltungs-VPN in Ihrem SDDC       22
               Erstellen eines lokalen IPsec-VPN       23
               Erstellen von Firewallregeln für das Verwaltungsnetzwerk        25
               Konfigurieren des privaten DNS für das Verwaltungsnetzwerk           26
               Testen der Verwaltungs-VPN-Konnektivität     26

     5 Mit vCenter Server verbinden 28

     6 Erstellen von virtuellen Maschinen 29
               Verwenden Sie den Content Onboarding Assistant , um Inhalte in Ihr SDDC zu übertragen.   29
               Bereitstellen einer virtuellen Maschine anhand einer VMTX-Vorlage         32
               Zuweisen einer öffentlichen IP-Adresse zu einer virtuellen Maschine       32
               Aktivieren des Zugriffs auf die Remote-Konsole für die virtuelle Maschine      33

     7 Anfordern von Hilfe und Support 35

VMware, Inc.                                                                                                 3
Erste Schritte mit VMware Cloud on AWS

Dieses Handbuch enthält Informationen zum Erstellen von softwaredefinierten Datencentern (SDDCs) in
der Cloud mithilfe von VMware Cloud on AWS, zum Konfigurieren eines einfachen Netzwerks und weite-
rer Parameter für Ihr SDDC sowie zum Verbinden eines SDDC mit Ihrem lokalen Datencenter.

Nachdem Sie Ihr SDDC bereitgestellt und konfiguriert haben, informieren Sie sich im
VMware Cloud on AWS-Netzwerk- und Sicherheitshandbuch und im -Betriebshandbuch über erweiterte
Funktionen, die es Ihnen ermöglichen, eine sichere Hybrid Cloud mit erweitertem Netzwerk, Single Sign-
On und der Integration mit anderen Tools von VMware und Amazon zu erstellen.

Zielgruppe
Diese Informationen sind für alle gedacht, die mit VMware Cloud on AWS ein SDDC erstellen möchten,
das über die grundlegenden Funktionen zum Ausführen von Arbeitslasten in der Cloud verfügt und als
Ausgangspunkt für die Erkundung zusätzlicher Funktionen und Fähigkeiten dienen kann. Die Informatio-
nen richten sich an Leser, die vSphere in einer lokalen Umgebung eingesetzt haben und mit Virtualisie-
rungskonzepten vertraut sind. Fundierte Kenntnisse von vSphere oder den Amazon Web Services sind
nicht erforderlich.

Wichtig Bevor Sie mit den in diesem Handbuch beschriebenen Verfahren beginnen, laden Sie Vorberei-
tung von VMware Cloud on AWS herunter und lesen Sie dieses Planungshandbuch, in dem kritische Vor-
bereitungsschritte und die zugehörigen Ressourcen beschrieben werden, die Ihnen helfen können, Ihre
neue SDDC-Umgebung schnell und korrekt zu konfigurieren und bereitzustellen.

VMware, Inc.                                                                                             4
Erstellung und Verwaltung von
Konten                                                                                            1
VMware Cloud on AWS-Konten basieren auf einer Organisation, die einer Gruppe oder einem Geschäfts-
bereich entspricht, die bzw. der VMware Cloud on AWS-Dienste abonniert hat.

Jede Organisation verfügt über einen oder mehrere Organisationsbesitzer, die Zugriff auf alle Ressourcen
und Dienste der Organisation haben und zusätzliche Benutzer zum Konto einladen können. Standardmä-
ßig handelt es sich bei diesen zusätzlichen Benutzern um Organisationsbenutzer, die auf zur Organisati-
on gehörende SDDCs zugreifen und diese erstellen und verwalten, aber keine neuen Benutzer einladen
können.

Hinweis Die VMware Cloud on AWS-Organisationen, die Sie erstellen oder denen Sie angehören, ha-
ben keine Beziehung zu AWS-Organisationen.

Beide Arten von Konten sind mit einem My VMware-Konto verknüpft.

Dieses Kapitel enthält die folgenden Themen:

n    Erstellen eines Kontos

n    Einladen eines neuen Benutzers

n    Annehmen einer Kontoeinladung

n    Zuweisen einer Rolle an ein Organisationsmitglied

Erstellen eines Kontos
Sie erhalten eine E-Mail-Einladung mit einem Link, den Sie verwenden können, um sich für ein
VMware Cloud on AWS-Konto zu registrieren. Dieser Link kann nur einmal verwendet werden.

Wenn Sie sich für den Dienst registrieren, wird eine Organisation mit einer Organisations-ID und einem
Organisationsnamen erstellt. Sie sind als Besitzer der Organisation festgelegt und können andere Benut-
zer zur Verwendung des Diensts in Ihre Organisation einladen.

Erstellen eines Organisationsbesitzerkontos mit einem My
VMware-Konto
Wenn Sie über ein My VMware-Konto verfügen, können Sie es zum Erstellen eines Organisationsbesit-
zerkontos verwenden, nachdem Sie die Einladungs-E-Mail erhalten haben.

VMware, Inc.                                                                                           5
Erste Schritte mit VMware Cloud on AWS

Wenn Sie nicht über ein My VMware-Konto verfügen, werden Sie bei der Kontoerstellung dazu aufgefor-
dert, ein solches Konto zu erstellen.

Verfahren

1    Klicken Sie auf den Aktivierungs-Link in der E-Mail-Einladung.

     Die Anmeldungsseite wird geöffnet.

2    Geben Sie die mit Ihrem My VMware-Konto verknüpfte E-Mail-Adresse ein und klicken Sie auf Wei-
     ter.

3    Geben Sie das mit Ihrem My VMware-Konto verknüpfte Kennwort ein und klicken Sie auf Anmelden.

4    Aktivieren Sie das Kontrollkästchen zum Akzeptieren der Nutzungsbedingungen des Diensts und kli-
     cken Sie auf Weiter.

     Es wird eine Seite geöffnet, auf der die erfolgreiche Erstellung Ihres Kontos bestätigt wird. Sie wer-
     den zu einer Anmeldeseite weitergeleitet.

5    Melden Sie sich mit Ihren My VMware-Anmeldedaten an.

6    Wenn Sie nicht automatisch an die VMC Console umgeleitet werden, navigieren Sie zu
     https://vmc.vmware.com und melden Sie sich an.

Erstellen eines Organisationsbesitzerkontos ohne ein My VMware-
Konto
Wenn Sie nicht bereits über ein gültiges My VMware-Konto verfügen, können Sie es im Rahmen des An-
meldevorgangs erstellen.

Verfahren

1    Klicken Sie auf den Aktivierungs-Link in der E-Mail-Einladung.

     Die Anmeldungsseite wird geöffnet.

2    Klicken Sie auf Konto erstellen.

3    Geben Sie die erforderlichen Informationen ein und aktivieren Sie die Kontrollkästchen mit den Ge-
     schäftsbedingungen.

     Gründe für das Fehlschlagen der Registrierung:

     n    Sie haben keine gültige Adresse eingegeben.

     n    Sie haben nicht den vollständigen Namen des Bundesstaats eingegeben. Wenn Sie z. B. CA an-
          stelle von Kalifornien eingeben, schlägt die Registrierung fehl.

4    Klicken Sie auf Registrieren.

     Sie erhalten innerhalb der nächsten 10 Minuten eine Aktivierungs-E-Mail.

5    Öffnen Sie die E-Mail und klicken Sie auf den Aktivierungs-Link.

     Der Link ist eindeutig und kann nur einmal verwendet werden.

VMware, Inc.                                                                                                  6
Erste Schritte mit VMware Cloud on AWS

6    Geben Sie auf der Seite „Willkommen“ ein Kennwort ein und bestätigen Sie es. Klicken Sie anschlie-
     ßend auf Speichern.

     Sie werden zu einer Anmeldeseite weitergeleitet, auf der Sie sich mit Ihren Anmeldedaten registrieren
     können.

7    Melden Sie sich mit Ihren My VMware-Anmeldedaten an.

8    Wenn Sie nicht automatisch an die VMC Console umgeleitet werden, navigieren Sie zu
     https://vmc.vmware.com und melden Sie sich an.

Einladen eines neuen Benutzers
Als Besitzer einer Organisation können Sie zusätzliche Benutzer zu Ihrer Organisation einladen.

Mitglieder der Organisation können keine Benutzer zu einer Organisation einladen.

Voraussetzungen

Sie müssen Besitzer einer Organisation sein, um zusätzliche Benutzer zu Ihrer Organisation einladen zu
können.

Verfahren

1    Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.

2
     Klicken Sie auf das Dienste-Symbol (      ) oben rechts im Fenster und wählen Sie Identitäts- und
     Zugriffsverwaltung aus.

     Eine Liste aller Benutzer, die zurzeit zu Ihrer Organisation gehören, wird angezeigt.

3    Klicken Sie auf Benutzer hinzufügen.

4    Geben Sie eine E-Mail-Adresse für jeden Benutzer ein, den Sie hinzufügen möchten, getrennt durch
     ein Komma oder ein Leerzeichen oder in einer neuen Zeile.

5    Wählen Sie die Rolle aus, die zugewiesen werden soll.

     n    Besitzer der Organisation

     n    Mitglied der Organisation

6    Klicken Sie auf Hinzufügen.

Einladungen werden per E-Mail an alle von Ihnen eingeladenen Benutzer gesendet. Mithilfe dieser E-
Mails können die Benutzer ihre Konten aktivieren.

Annehmen einer Kontoeinladung
Nachdem Sie von einem Organisationsbesitzer in dessen Organisation in VMware Cloud on AWS einge-
laden wurden, können Sie die Einladung zum Erstellen Ihres Kontos annehmen und Zugriff auf den
Dienst erhalten.

VMware, Inc.                                                                                              7
Erste Schritte mit VMware Cloud on AWS

Verfahren

1    Klicken Sie in der empfangenen Einladungs-E-Mail auf DIENSTE ANZEIGEN.

     Die Seite „Registrierung“ wird in Ihrem Webbrowser geöffnet.

2    Registrieren Sie das Konto.

     Option                                   Beschreibung

     Sie besitzen bereits ein mit Ihrer E-    Geben Sie Ihre E-Mail-Adresse und das My VMware-Kennwort ein und klicken
     Mail-Adresse verknüpftes My VMware-      Sie auf Anmelden.
     Konto

     Sie besitzen kein mit Ihrer E-Mail-Ad-   a   Geben Sie Ihren Vornamen, Nachnamen und ein Kennwort ein.
     resse verknüpftes My VMware-Konto        b   Aktivieren Sie das Kontrollkästchen, um die Nutzungsbedingungen von
                                                  VMware zu akzeptieren.
                                              c   Klicken Sie auf Speichern.

3    Wenn Sie nicht automatisch an die VMC Console umgeleitet werden, navigieren Sie zu
     https://vmc.vmware.com und melden Sie sich an.

Zuweisen einer Rolle an ein Organisationsmitglied
Organisationsmitgliedern werden Organisations- und Dienstrollen zugewiesen. Als Organisationsbesitzer
können Sie beide Arten der Rollenzuweisung für Mitglieder Ihrer Organisation ändern.

Organisationsrollen geben die Rechte an, die ein Organisationsmitglied für Assets der Organisation hat.
Dienstrollen geben die Rechte an, die ein Organisationsmitglied beim Zugreifen auf von der Organisation
verwendete VMware Cloud Services hat. Alle Dienstrollen können von einem Benutzer mit Organisations-
besitzerrechten zugewiesen und geändert werden. Deshalb sollten eingeschränkte Rollen wie „Administ-
rator (Löschen eingeschränkt)“ oder „NSX Cloud-Auditor“ gemeinsam mit der Rolle „Organisationsmit-
glied“ zugewiesen werden, um Änderungen zu verhindern.

Wenn einem Organisationsbenutzer mehrere Rollen zugewiesen werden, werden Berechtigungen für die
Rolle mit den weitreichendsten Berechtigungen gewährt. Wenn beispielsweise die Rolle „Administrator
(Löschen eingeschränkt)“ gemeinsam mit der Rolle „Administrator“ ausgewählt wird, kann der Benutzer
SDDCs und Cluster löschen. Um eine ordnungsgemäße Durchsetzung der Rolle sicherzustellen, sollten
Organisationsbesitzer „Administrator (Löschen eingeschränkt)“ nur auswählen, um sicherzustellen, dass
ein Organisationsmitglied kein SDDC bzw. keinen Cluster löschen kann.

Ein Benutzer muss sich abmelden und erneut anmelden, damit eine neue Dienstrolle wirksam wird.

Verfahren

1    Klicken Sie in der Symbolleiste von VMware Cloud Services auf das Symbol VMware Cloud Ser-
     vices und wählen Sie Identitäts- und Zugriffsverwaltung aus.

2    Wählen Sie einen Benutzer aus und klicken Sie auf Rolle bearbeiten.

VMware, Inc.                                                                                                             8
Erste Schritte mit VMware Cloud on AWS

3    Wählen Sie im Dropdown-Steuerelement Organisationsrollen zuweisen einen Rollennamen aus.

     Die folgenden Rollen sind verfügbar:

     Organisationsbesitzer               Diese Rolle verfügt über vollständige Rechte zum Verwalten von Organi-
                                         sationsmitgliedern und -Assets.

     Organisationsmitglied               Diese Rolle verfügt über Rechte für den Zugriff auf Organisations-As-
                                         sets.

4    Wählen Sie unter Dienstrollen zuweisen den Dienstnamen VMware Cloud on AWS aus.

5    Wählen Sie eine VMware Cloud on AWS-Dienstrolle zum Zuweisen aus.

     Die folgenden Rollen sind verfügbar:

     Administrator                       Diese Rolle verfügt über vollständige Cloud-Administratorrechte für alle
                                         Dienstfunktionen in der VMware Cloud on AWS-Konsole.

     Administrator (Lö-                  Diese Rolle verfügt über vollständige Cloud-Administratorrechte für alle
     schen eingeschränkt)                Dienstfunktionen in der VMware Cloud on AWS-Konsole, darf jedoch
                                         SDDCs oder Cluster nicht löschen.

     NSX Cloud-Auditor                   Diese Rolle darf NSX Service-Einstellungen und -Ereignisse anzeigen,
                                         darf jedoch keine Änderungen an dem Dienst vornehmen.

     NSX Cloud-Admin                     Diese Rolle darf alle Aufgaben ausführen, die in Zusammenhang mit der
                                         Bereitstellung und der Administration des NSX Service stehen.

6    Klicken Sie auf SPEICHERN, um Ihre Änderungen zu speichern.

Nächste Schritte

Vergewissern Sie sich, dass alle Benutzer, deren Rollen geändert wurden, sich abmelden und erneut an-
melden, damit die Änderungen wirksam werden.

VMware, Inc.                                                                                                        9
Erstellen eines Abonnements                                                                     2
Mit Abonnements können Sie Geld sparen, indem Sie sich verpflichten, eine bestimmte Kapazität für ei-
nen festgelegten Zeitraum abzunehmen.

Ein Abonnement ist für die Verwendung von VMware Cloud on AWS nicht erforderlich. Jede Nutzung des
Diensts, die nicht durch ein Abonnement abgedeckt ist, wird mit einem bedarfsorientierten Preis berech-
net.

Voraussetzungen

Ihr My VMware-Konto muss mit Zahlungsmitteln verknüpft sein, die für die Bezahlung des Abonnements
verwendet werden können.

Verfahren

1    Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.

2    Klicken Sie auf Abonnements.

3    Klicken Sie auf Abonnement erstellen.

     a    Wählen Sie die Region aus, für die das Abonnement gilt.

     b    Wählen Sie die Anzahl der Hosts aus, die in das Abonnement aufgenommen werden sollen.

          Die Gesamtanzahl der abonnierten Hosts darf die maximal zulässige Anzahl für Ihre Organisation
          nicht überschreiten.

4    Klicken Sie auf WEITER, um die Abonnementbedingungen zu wählen.

     Die VMC Console ruft die aktuell verfügbaren Abonnementbedingungen ab und zeigt sie an. Wählen
     Sie eine Bedingung und klicken Sie auf WEITER, um die Zahlung zu bestätigen.

5    Überprüfen Sie die Übersicht und klicken Sie auf BESTELLUNG AUFGEBEN.

Sie erhalten eine Benachrichtigungs-E-Mail mit dem Hinweis, dass die Abonnementbestellung eingegan-
gen ist. Nach der Verarbeitung der Bestellung erhalten Sie eine zweite E-Mail-Benachrichtigung, in der
Sie darüber informiert werden, dass das Abonnement aktiv oder der Abonnementprozess fehlgeschlagen
ist. Wenn das Abonnement fehlgeschlagen ist, wenden Sie sich an den VMware-Support.

VMware, Inc.                                                                                            10
Bereitstellen und Verwalten
eines SDDC (Software-Defined
Data Center)                                                                                     3
Die Bereitstellung eines SDDC (Software-Defined Data Center) stellt den ersten Schritt zur Verwendung
des VMware Cloud on AWS-Diensts dar. Nach der Bereitstellung des SDDC können Sie zugehörige Infor-
mationen anzeigen und Verwaltungsaufgaben durchführen.

Es gibt eine Reihe von Faktoren, die Sie vor der Bereitstellung Ihres SDDC berücksichtigen sollten.

Die bereitgestellte Standardtopologie wird unten angezeigt.

Verbundenes AWS-Konto
Wenn Sie ein SDDC auf VMware Cloud on AWS bereitstellen, wird dieses innerhalb eines AWS-Kontos
und einer VPC erstellt, die für Ihre Organisation reserviert und von VMware verwaltet wird. Sie müssen
das SDDC auch mit einem AWS-Konto in Ihrem Besitz verbinden, das als AWS-Kundenkonto bezeichnet
wird. Anhand dieser Verbindung kann das SDDC auf AWS-Dienste zugreifen, die zu Ihrem Konto gehö-
ren.

Bei der Bereitstellung eines Einzelhost-SDDC können Sie die Verknüpfung Ihres AWS-Kundenkontos um
bis zu zwei Wochen verzögern. Sie können ein Einzelhost-SDDC erst nach der Verknüpfung eines AWS-
Kontos vertikal auf ein SDDC mit mehreren Hosts hochskalieren. Bei der Bereitstellung eines SDDC mit
mehreren Hosts müssen Sie Ihr AWS-Kundenkonto verknüpfen, wenn Sie das SDDC bereitstellen.

AWS-VPC-Subnetzkonfiguration und
Verfügbarkeitsanforderungen
Die VPC und das Subnetz, die Sie zum Verbinden des SDDC mit Ihrem AWS-Konto verwenden, müssen
mehrere Anforderungen erfüllen:
n    Sie müssen für das SDDC reserviert sein. Keine anderen AWS-Dienste oder -Instanzen dürfen eine
     Verbindung zu diesem Subnetz herstellen.

n    Selbst wenn Sie verschiedene VPC-Subnetze verwenden, dürfen Sie nie mehr als ein SDDC mit ei-
     ner bestimmten VPC verbinden. Es liegt eine 1:1-Beziehung zwischen einem SDDC und einer VPC
     vor.

n    Das bzw. die für das SDDC verwendete(n) Subnetz(e) sowie alle Subnetze, in denen AWS-Dienste
     oder -Instanzen mit dem SDDC kommunizieren, müssen der Hauptroutentabelle der VPC zugeordnet
     sein.

VMware, Inc.                                                                                          11
Erste Schritte mit VMware Cloud on AWS

n    Der IP-Adressbereich des Subnetzes muss innerhalb der Infrastruktur Ihres Unternehmensnetzwerks
     eindeutig sein. Er darf sich mit keinem der IP-Adressbereiche Ihrer lokalen Netzwerke überschnei-
     den.

Wichtig Vergewissern Sie sich, dass Ihre verbundene Amazon-VPC in jeder Verfügbarkeitszone (Avai-
lability Zone, AZ) in der AWS-Region, in der das SDDC erstellt wird, ein Subnetz enthält. Auf diese Weise
können Sie alle AZs identifizieren, in denen ein SDDC bereitgestellt werden kann, und die AZ auswählen,
die Ihren SDDC-Platzierungsbedürfnissen am besten entsprechen. Und dies unabhängig davon, ob Sie
Ihre VMC-Arbeitslasten in der Nähe oder isoliert von Ihren bestehenden AWS-Arbeitslasten, die in einer
bestimmten AZ ausgeführt werden, halten möchten. Informationen zur Verwendungsweise der Amazon-
VPC-Konsole zum Erstellen eines Subnetzes in Ihrer VPC finden Sie unter Erstellen eines Subnetzes in
Ihrer VPC in der AWS-Dokumentation.

Einzelhost-SDDC-Startkonfiguration für
VMware Cloud on AWS
Die Einzelhost-SDDC-Startkonfiguration beschleunigt den Einstieg in die VMware Cloud on AWS-Erfah-
rung. Hierbei handelt es sich um ein zeitlich begrenztes Angebot, das entwickelt wurde, damit Sie den
Nutzen von VMware Cloud on AWS in Ihrer Umgebung testen können. Die Nutzungsdauer einer Einzel-
hostumgebung ist auf Intervalle von 30 Tagen begrenzt. Während der Nutzungsdauer des Einzelhost-
SDDC können Sie dieses jederzeit ohne Datenverluste vertikal auf eine SDDC-Produktionskonfiguration
mit drei oder mehr Hosts vertikal hochskalieren. Wenn Sie das Einzelhost-SDDC vor dem Ende der Nut-
zungsdauer nicht vertikal hochskalieren, wird das SDDC zusammen mit allen enthaltenen Arbeitslasten
und Daten gelöscht.

Ausgeweitete Cluster für VMware Cloud on AWS
Sie können ein SDDC mit einem Cluster erstellen, der sich über zwei Verfügbarkeitszonen erstreckt. Ein
ausgeweiteter vSAN-Cluster wird verwendet, um einen einzelnen Datenspeicher für den Cluster zu erstel-
len und die Daten über beide Verfügbarkeitszonen hinweg zu replizieren. Falls der Dienst in einer Verfüg-
barkeitszone unterbrochen wird, werden in der anderen Verfügbarkeitszone Arbeitslast-VMs gestartet.

Für ausgeweitete Cluster gelten folgende Einschränkungen:

n    Sie können einen ausgeweiteten Cluster nicht in einen Cluster mit nur einer Verfügbarkeitszone kon-
     vertieren (oder umgekehrt).

n    Ein bestimmtes SDDC kann entweder Cluster mit nur einer Verfügbarkeitszone oder ausgeweitete
     Cluster enthalten, nicht jedoch eine Kombination aus beiden.

n    Derzeit kann ein bestimmtes SDDC nur einen ausgeweiteten Cluster enthalten.

Netzwerk
Die bereitgestellte Netzwerk-Standardtopologie wird unten angezeigt.

VMware, Inc.                                                                                           12
Erste Schritte mit VMware Cloud on AWS

Abbildung 3‑1. Standardtopologie eines SDDC

Verwaltungs-Gateway                      Das Verwaltungs-Gateway ist ein NSX Edge Security-Gateway, das Nord-
(MGW)                                    Süd-Netzwerkkonnektivität für den im SDDC ausgeführten vCenter Server
                                         und NSX Manager bereitstellt. Die internetseitige IP-Adresse (öffentliche IP
                                         Nr. 1) wird automatisch aus dem Pool der öffentlichen IP-AWS-Adressen
                                         zugewiesen, wenn das SDDC erstellt wird. Dem im SDDC befindlichen logi-
                                         schen Verwaltungsnetzwerk wird standardmäßig der CIDR-Block
                                         10.0.0.0/16 zugewiesen. Bei der Erstellung des SDDC können Sie einen
                                         anderen Adressblock zuweisen, um Adresskonflikte mit anderen Umgebun-
                                         gen zu vermeiden, die Sie mit dem SDDC verbinden.

Computing-Gateway                        Das Computing-Gateway bietet Nord-Süd-Netzwerkkonnektivität für virtuel-
(CGW)                                    le Maschinen, die im SDDC ausgeführt werden. VMware Cloud on AWS er-
                                         stellt ein logisches Standardnetzwerk, um Netzwerkfunktionen für diese
                                         VMs bereitzustellen. Mit dem vSphere Client können Sie zusätzliche logi-
                                         sche Netzwerke erstellen.

Sie müssen IPsec-VPNs, Firewallregeln und andere Netzwerkelemente konfigurieren, um eine vollständi-
ge Kommunikation zwischen Ihrem lokalen Datencenter und dem Cloud- SDDC zu ermöglichen.

Dieses Kapitel enthält die folgenden Themen:

n    Bereitstellen einer Einzelhost-SDDC-Startkonfiguration

n    Bereitstellen eines SDDC von der VMC-Konsole

n    Anzeigen von SDDC-Informationen und Erhalten von Unterstützung

Bereitstellen einer Einzelhost-SDDC-Startkonfiguration
Mit VMware Cloud on AWS können Sie eine Startkonfiguration mit einem einzelnen Host bereitstellen.

VMware, Inc.                                                                                                        13
Erste Schritte mit VMware Cloud on AWS

Die Einzelhost-SDDC-Startkonfiguration gibt Ihnen die Möglichkeit, mit einer zeitgebundenen 30-Tage-
Einzelhost-Konfiguration in die VMware Cloud on AWS-Hybrid Cloud-Erfahrung einzusteigen. Sie können
diese Konfiguration bei Bedarf auf Stundenbasis mit einer Kreditkarte oder einem Guthaben bei VMware
erwerben.

Die Einzelhost-SDDC-Startkonfiguration ist auf einen Zeitraum von 30 Tagen begrenzt. Vor Ablauf des
30-Tage-Zeitraums haben Sie jederzeit die Möglichkeit einer vertikalen Hochskalierung auf den Mindest-
erwerb von drei Hosts, ohne dass Ihre Daten verloren gehen. Wenn Sie das Einzelhost-SDDC nicht vor
dem Ende der Nutzungsdauer vertikal hochskalieren, wird das SDDC zusammen mit allen enthaltenen
Arbeitslasten und Daten gelöscht.

Die Einzelhost-SDDC-Startkonfiguration eignet sich für Anwendungsfälle wie Tests und die Entwicklung
oder Machbarkeitsnachweise. Führen Sie in einem Einzelhost-SDDC keine Produktionsarbeitslasten aus.
Zum Einstieg können Sie den Nutzen von VMware Cloud on AWS mit den Einzelhost-Funktionen testen,
darunter:

n    Beschleunigtes Onboarding mit Unterstützung von Experten.

n    Migration zwischen der lokalen Umgebung und VMware Cloud on AWS mit VMware Hybrid Cloud Ex-
     tension für eine schnelle umfangreiche Migration und VMware vMotion für die Live- und Cold-Migrati-
     on.

n    Notfallwiederherstellung: Testen Sie VMware Site Recovery, den Cloud-basierten Notfallwiederhers-
     tellungsdienst, der für VMware Cloud on AWS optimiert ist. VMware Site Recovery wird separat als
     Add-on-Dienst pro VM erworben. Verwenden Sie die Einzelhost-Konfiguration nicht für die Notfallwie-
     derherstellung in Produktionsumgebungen, da diese Konfiguration kein SLA aufweist und es bei ei-
     nem Hostausfall zu Datenverlusten kommt.

n    Unterstützung des verknüpften Hybridmodus: Der verknüpfte Hybridmodus bietet eine einzige logi-
     sche Ansicht der lokalen und VMware Cloud on AWS-Ressourcen.

n    All-Flash-vSAN-Speicher: Eine All-Flash-vSAN-Konfiguration, bei der Flash für das Caching und für
     die Kapazität genutzt wird, bietet maximale Speicherleistung.

n    Nahtloser Zugriff mit hoher Bandbreite und niedriger Latenz auf native AWS-Dienste wie EC2 und S3.

Für Einzelhost-SDDCs gelten die folgenden Einschränkungen.

n    Funktionen oder Vorgänge, die die Ausführung mehrerer Hosts in VMware Cloud on AWS erfordern,
     funktionieren mit dem Einzelhost-SDDC nicht. Hierzu zählen unter anderem Hochverfügbarkeit (High
     Availability, HA), mehrere Cluster, über mehrere Verfügbarkeitszonen hinweg ausgeweitete Cluster,
     Migration mit vMotion zwischen VMware Cloud on AWS-Umgebungen und Distributed Resource
     Scheduler (DRS).

n    Das Einzelhost-SDDC weist kein SLA auf.

n    Bei einem Ausfall des einzelnen Hosts gehen die Daten in Ihrem SDDC verloren.

n    Einzelhost-SDDCs werden nicht aktualisiert oder gepatcht.

n    Sie können nur jeweils ein Einzelhost-SDDC bereitstellen.

VMware, Inc.                                                                                             14
Erste Schritte mit VMware Cloud on AWS

Anfordern von Zugriff und Erstellen eines Kontos
Fordern Sie zunächst Zugriff auf ein Einzelhost-Startkonfigurations-SDDC an. Wenn Ihnen der Zugriff ge-
nehmigt wird, erstellen und aktivieren Sie Ihr Konto.

Verfahren

1    Wechseln Sie zu https://cloud.vmware.com/vmc-aws/single-host-access, geben Sie die erforderlichen
     Informationen ein und klicken Sie auf Anfordern.

     Wichtig Die von Ihnen hier angegebene E-Mail-Adresse muss eine geschäftliche E-Mail-Adresse
     sein. Eine E-Mail-Adresse von einem öffentlichen E-Mail-Anbieter wie gmail.com, icloud.com oder an-
     deren darf nicht verwendet werden. Weitere Informationen zum Aktualisieren Ihres My VMware-Pro-
     fils finden Sie unter https://kb.vmware.com/s/article/2086266.

     Wenn derzeit keine Kapazität verfügbar ist, erhalten Sie eine E-Mail mit der Information, dass Sie auf
     der Warteliste stehen. Diese Nachricht enthält Links zu den Ressourcen, die Sie zum Planen Ihrer
     Bereitstellung verwenden können.

     Sobald Kapazität verfügbar ist, erhalten Sie eine E-Mail mit der Information, dass Sie Ihr Abonnement
     aktivieren können.

2    Erstellen Sie das Besitzerkonto Ihrer Organisation.

     n    Wenn Sie bereits über ein My VMware-Konto verfügen, führen Sie die Schritte unter Erstellen ei-
          nes Organisationsbesitzerkontos mit einem My VMware-Konto aus.

     n    Wenn Sie nicht über ein My VMware-Konto verfügen, führen Sie die Schritte unter Erstellen eines
          Organisationsbesitzerkontos ohne ein My VMware-Konto aus.

3    Geben Sie Ihre Organisation an und stimmen Sie den Vertragsbedingungen zu.

4    Geben Sie Kreditkarteninformationen für Ihre Standardzahlungsmethode ein.

5    Klicken Sie auf Karte hinzufügen.

Nächste Schritte

Stellen Sie sicher, dass Sie die Voraussetzungen erfüllen, und befolgen Sie die Schritte unter Kapi-
tel 3Bereitstellen und Verwalten eines SDDC (Software-Defined Data Center). Wählen Sie 1 als die An-
zahl der Hosts im SDDC aus.

Vertikales Hochskalieren einer Einzelhost-SDDC-
Startkonfiguration
Die Nutzungsdauer von Einzelhost-SDDC-Startkonfigurationen bis zu ihrem Ablauf ist begrenzt. Um Ihre
Arbeitslasten und Daten über das Ablaufdatum hinaus beizubehalten, skalieren Sie Ihr SDDC vertikal auf
ein SDDC mit vollem Produktionsumfang hoch.

VMware, Inc.                                                                                              15
Erste Schritte mit VMware Cloud on AWS

Das vertikale Hochskalieren eines Einzelhost-SDDC kann nicht rückgängig gemacht werden. Nach dem
vertikalen Hochskalieren auf ein SDDC mit vier oder mehr Hosts können Sie die Hosts nicht aus dem
SDDC entfernen.

Die Karte für ein Einzelhost-SDDC weist ein Banner auf, das die Anzahl der verbleibenden Tage bis zum
Ablaufdatum anzeigt.

Verfahren

1    Klicken Sie auf dem SDDC-Banner auf Vertikal hochskalieren.

2    Überprüfen Sie die Einstellungen für das vertikal hochskalierte SDDC und klicken Sie auf Jetzt verti-
     kal hochskalieren.

Ihre Einzelhost-SDDC-Startkonfiguration wurde auf ein SDDC mit vollem Produktionsumfang vertikal
hochskaliert und hat kein Ablaufdatum mehr.

Bereitstellen eines SDDC von der VMC-Konsole
Stellen Sie ein SDDC bereit, um Ihre Arbeitslasten in der Cloud zu hosten.

Wählen Sie zum Erstellen eines SDDC einen AWS-Bereich aus, in dem das SDDC gehostet werden soll,
benennen Sie es und geben Sie an, wie viele ESXi-Hosts es enthalten soll. Wenn Sie noch kein AWS-
Konto haben, können Sie ein Startkonfigurations-SDDC erstellen, das einen einzigen ESXi-Host enthält.
Es liegt eine 1:1-Beziehung zwischen SDDCs und AWS-Kundenkonten vor. Sie können ein SDDC mit ei-
nem einzelnen AWS-Kundenkonto und Amazon VPC verbinden.

Verfahren

1    Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.

2    Klicken Sie auf SDDC erstellen.

VMware, Inc.                                                                                             16
Erste Schritte mit VMware Cloud on AWS

3    Konfigurieren Sie SDDC-Eigenschaften.

     a    Wählen Sie den AWS-Bereich aus, in dem das SDDC bereitgestellt werden soll.

          Die folgenden Bereiche sind verfügbar:

          n    USA, Westen (Oregon)

          n    USA, Osten (Nord-Virginia)

          n    Europa (London)

          n    Europa (Frankfurt)

          n    Asien-Pazifik-Raum (Sydney)

          n    Asien-Pazifik-Raum (Tokio)

          n    Europa (Irland)

          n    USA, Westen (Nordkalifornien)

          n    USA, Osten (Ohio)

     b    Wählen Sie Bereitstellungsoptionen aus.

          Option                             Beschreibung

          Einzelhost                         Wählen Sie diese Option aus, um das Einzelhost-Startkonfigurations-SDDC
                                             zu erstellen. Einzelhost-Startkonfigurations-SDDCs laufen nach 30 Tagen ab.
                                             Weitere Informationen finden Sie unter Bereitstellen einer Einzelhost-SDDC-
                                             Startkonfiguration.

          Mehrere Hosts                      Wählen Sie diese Option aus, um ein SDDC mit drei oder mehr Hosts zu er-
                                             stellen.

          Stretched Cluster                  Wenn Sie ein SDDC mit mehreren Hosts erstellen, haben Sie auch die Mög-
                                             lichkeit, einen ausgeweiteten Cluster (Stretched Cluster) zu erstellen, der sich
                                             über zwei Verfügbarkeitszonen erstreckt. Der ausgeweitete Cluster für mehre-
                                             re Verfügbarkeitszonen bietet Fault Tolerance und Verfügbarkeit im Falle eines
                                             Problems mit einer der Verfügbarkeitszonen. Ein ausgeweiteter Cluster muss
                                             mindestens sechs Hosts umfassen, und Sie müssen eine gerade Anzahl von
                                             Hosts bereitstellen.

                                             Hinweis Für die Region USA, Westen (Nordkalifornien) werden ausgeweite-
                                             te Cluster derzeit nicht unterstützt.

     c    Geben Sie einen Namen für Ihr SDDC ein.

     d    Wenn Sie ein SDDC mit mehreren Hosts erstellen, geben Sie die anfängliche Anzahl der Hosts
          an, die im SDDC enthalten sein soll.

          Sie können bei Bedarf zu einem späteren Zeitpunkt Hosts hinzufügen oder entfernen.

          Hinweis Die Anzahl der Hosts im SDDC wirkt sich auf Speicherkapazität, Leistung und Redun-
          danz aus. Weitere Informationen hierzu finden Sie unter Speicherkapazität und Datenredundanz.

          Hostkapazität und Gesamtkapazität werden aktualisiert und spiegeln dann die Anzahl der
          Hosts wider, die Sie angegeben haben.

VMware, Inc.                                                                                                              17
Erste Schritte mit VMware Cloud on AWS

4    Stellen Sie eine Verbindung mit einem AWS-Konto her.

     Option                               Beschreibung

     Vorerst überspringen                 Wenn Sie kein AWS-Konto haben oder derzeit keine Verbindung mit einem beste-
                                          henden Konto herstellen möchten, können Sie diesen Schritt bis zu 14 Tage lang
                                          verschieben. Diese Option ist momentan nur für Einzelhost-SDDCs verfügbar.

     Verwenden eines vorhandenen AWS-     Wählen Sie im Dropdown-Menü AWS-Konto auswählen ein AWS-Konto aus, um
     Kontos                               ein AWS-Konto zu verwenden, das bereits mit einem anderen SDDC verbunden
                                          war. Wenn im Dropdown-Menü keine Konten aufgelistet sind, müssen Sie die Op-
                                          tion Mit einem neuen AWS-Konto verbinden verwenden.

                                          Hinweis Stellen Sie sicher, dass Sie kein Konto auswählen, das derzeit mit ei-
                                          nem aktiven SDDC verbunden ist. Die Verbindung von mehreren SDDCs mit
                                          demselben AWS-Konto wird von VMware Cloud on AWS nicht unterstützt.

     Verbinden mit einem neuen AWS-Kon-   Wählen Sie im Dropdown-Menü AWS-Konto auswählen die Option Mit einem
     to                                   neuen AWS-Konto verbinden aus und folgen Sie den Anweisungen auf der Sei-
                                          te. In der VMC Console wird der Fortschritt der Verbindung angezeigt.

     Wichtige Informationen zu Anforderungen für die von Ihnen in diesem AWS-Konto erstellten Subnet-
     ze finden Sie unter AWS-VPC-Subnetzkonfiguration und Verfügbarkeitsanforderungen.

5    Klicken Sie auf WEITER, um einen Bereich von IP-Adressen für das Verwaltungssubnetz im SDDC
     anzugeben.

     Geben Sie einen IP-Adressbereich für das Verwaltungsnetzwerk als CIDR-Block ein oder lassen Sie
     das Textfeld leer, um die Standardeinstellung zu verwenden (10.2.0.0/16). Nachdem das SDDC er-
     stellt wurde, können Sie die für das Verwaltungsnetzwerk angegebenen Werte nicht mehr ändern.
     Beachten Sie daher beim Angeben dieses Adressbereichs Folgendes:

     n    Wählen Sie einen IP-Adressbereich aus, der nicht mit dem AWS-Subnetz überlappt, mit dem Sie
          eine Verbindung herstellen. Wenn Sie Ihr SDDC mit einem lokalen Datencenter verbinden möch-
          ten, muss der IP-Adressbereich des Subnetzes innerhalb Ihrer Unternehmensnetzwerk-Infra-
          struktur eindeutig sein. Er darf sich mit keinem der IP-Adressbereiche Ihrer lokalen Netzwerke
          überschneiden.

     n    Der IP-Adressbereich 192.168.1.0/24 ist für das logische standardmäßige Computing-Gateway-
          Netzwerk des SDDC reserviert, das Sie bereitstellen. Bei Angabe eines Adressbereichs des Ver-
          waltungsnetzwerks, der sich mit 192.168.1.0/24 überschneidet, darf während der Bereitstellung
          kein standardmäßiges logisches Computing-Gateway-Netzwerk erstellt werden. Das heißt, Sie
          müssen eines manuell erstellen, nachdem das SDDC bereitgestellt wurde.

          Darüber hinaus sind die CIDR-Blöcke 10.0.0.0/15 und 172.31.0.0/16 für die interne Verwendung
          reserviert. Der CIDR-Block des Verwaltungsnetzwerks darf sich mit keinem dieser Bereiche über-
          schneiden.

VMware, Inc.                                                                                                               18
Erste Schritte mit VMware Cloud on AWS

     n    CIDR-Blöcke der Größe 16, 20 oder 23 werden unterstützt. Der primäre Faktor beim Auswählen
          einer Verwaltungs-CIDR-Blockgröße besteht in den voraussichtlichen Skalierbarkeitsanforderun-
          gen des SDDC. Wenn Sie Ihr SDDC auf eine Größe von mehr als vier Hosts skalieren möchten,
          ziehen Sie einen /20-CIDR-Block in Betracht. Für CIDR-Blöcke der Größe 20 oder 16 ist die ma-
          ximale Anzahl an Hosts, die Ihr SDDC enthalten kann, auf 160 beschränkt. Unabhängig von der
          Anzahl der AZs, die es einnimmt, kann ein SDDC über höchstens zehn Cluster mit maximal 16
          Hosts pro Cluster verfügen.

          Ein /23-CIDR-Block ist für Tests oder für SDDCs geeignet, von denen Sie wissen, dass sie keinen
          nennenswerten Kapazitätsanstieg erfordern. Die maximale Anzahl an Hosts, die Ihr SDDC ent-
          halten kann, hängt für CIDR-Blöcke der Größe 23 von der angegebenen CIDR-Blockgröße und
          davon ab, ob das SDDC eine einzelne Verfügbarkeitszone (AZ) oder mehrere AZs einnimmt.

               CIDR-
               Blockgrö-
               ße          Anzahl an Hosts (einzelne AZ)                               Anzahl an Hosts (mehrere AZs)

               23          27                                                          22

               20, 16      160 (10 Cluster mit maximal 16 Hosts pro Cluster, unabhängig von der Anzahl der AZs)

6    Bestätigen Sie, dass Sie die bei der Bereitstellung eines SDDC entstehenden Kosten verstehen und
     übernehmen, und klicken Sie anschließend auf SDDC BEREITSTELLEN, um das SDDC zu erstel-
     len.

     Die Berechnung von Gebühren beginnt, wenn Sie auf SDDC BEREITSTELLEN klicken. Sie können
     den Bereitstellungsvorgang nicht mehr anhalten oder abbrechen, nachdem er gestartet wurde. Sie
     können das SDDC erst verwenden, wenn die Bereitstellung abgeschlossen ist. Die Bereitstellung
     dauert normalerweise ca. zwei Stunden.

Nächste Schritte

Zum Verbinden mit vCenter Server und Verwalten Ihres neuen SDDC müssen Sie entweder eine VPN-
Verbindung mit dem Verwaltungs-Gateway oder eine Firewallregel konfigurieren, um den Zugriff auf
vCenter Server zu ermöglichen.

Anzeigen von SDDC-Informationen und Erhalten von
Unterstützung
Sie können SDDC-Informationen in der VMC Console anzeigen und Support anfordern. Für eine schnelle
Behebung des Problems ist es erforderlich, dass Sie nähere Informationen zu Ihrer Umgebung bereitstel-
len.

Weitere Informationen dazu, wie Sie Hilfe und Support erhalten, finden Sie unter Kapitel 7Anfordern von
Hilfe und Support.

Verfahren

1    Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.

VMware, Inc.                                                                                                           19
Erste Schritte mit VMware Cloud on AWS

2    Klicken Sie auf Details anzeigen und wählen Sie eine Registerkarte aus.

     Registerkarte                       Beschreibung

     Übersicht                           Zeigt Informationen zur Nutzung an. Diese Registerkarte wird nicht immer sofort
                                         aktualisiert.

     Netzwerk                            Ermöglicht Ihnen, Netzwerke für Ihr SDDC anzuzeigen und zu ändern. Siehe Ka-
                                         pitel 4Verwenden des Assistenten zum Konfigurieren von MGW-VPN, um ein Ver-
                                         waltungs-VPN und -Gateway zu konfigurieren.

     Einstellungen                       Verwenden Sie diese Registerkarte wie folgt:
                                         n   Klicken Sie auf den entsprechenden Link, um zum vSphere Client zu gelan-
                                             gen.
                                         n   Wenn Sie sich bei vCenter Server anmelden, klicken Sie auf die Symbole
                                             zum Kopieren neben dem Benutzernamen und dem Kennwort, um diese In-
                                             formationen in die Zwischenablage zu kopieren, und fügen Sie sie dann in
                                             den Anmeldebildschirm ein.

     Support                             Sie verwenden die Informationen auf dieser Registerkarte bei der Zusammenar-
                                         beit mit dem technischen Support von VMware.
                                         a

                                             Klicken Sie auf das Chat-Symbol                 in der unteren rechten Ecke.
                                         b   Stellen Sie den Mitarbeitern von VMware Cloud on AWS die Organisations-
                                             ID, die SDDC-ID und/oder sonstige benötigte Informationen zur Verfügung.

VMware, Inc.                                                                                                            20
Verwenden des Assistenten zum
Konfigurieren von MGW-VPN,
um ein Verwaltungs-VPN und -
Gateway zu konfigurieren                                                                         4
Ein neues SDDC beinhaltet ein logisches Netzwerk (das Verwaltungsnetzwerk) und ein NSX Edge Gate-
way, das den Zugriff auf das Netzwerk steuert. Um eine sichere Kommunikation zwischen diesem Netz-
werk und Ihrem lokalen Verwaltungsnetzwerk zu gewährleisten, erstellen Sie mit dem Assistenten zum
Konfigurieren von MGW-VPN an jedem Standort virtuelle private Netzwerke (VPNs) und konfigurieren Sie
das Verwaltungs-Gateway für deren Verbindung.

Der Assistent führt Sie durch die Schritte, um ein VPN im SDDC zu erstellen, das Verwaltungs-Gateway
mit Firewallregeln zu konfigurieren und DNS-Serveradressen für das Verwaltungsnetzwerk anzugeben.
Ihr Netzwerkteam kann das lokale Ende des Verwaltungs-VPN mithilfe von Informationen konfigurieren,
die Sie aus dem SDDC herunterladen, und es dann über das Verwaltungs-Gateway mit dem SDDC ver-
binden und die Netzwerkkonnektivität testen.

Hinweis Neben einem Verwaltungs-VPN können Sie auch ein Computing-VPN und eine AWS Direct
Connect-Verbindung zwischen Ihrem lokalen Datencenter und AWS-Diensten erstellen. Informationen da-
zu, wie Sie diese Verbindungen herstellen, finden Sie im Netzwerk- und Sicherheitshandbuch.

1    Erstellen eines Verwaltungs-VPN in Ihrem SDDC
     Um das Verwaltungs-VPN zu erstellen, konfigurieren Sie ein IPsec-VPN im SDDC und ein weiteres
     in Ihrem lokalen Datencenter. Das Verwaltungs-Gateway verbindet diese zwei VPNs und stellt einen
     gemeinsamen Satz von Firewallregeln und DNS-Diensten bereit.

2    Erstellen eines lokalen IPsec-VPN
     Die Konfiguration des Gateway-Geräts in Ihrem lokalen Datencenter muss gegebenenfalls von ei-
     nem Mitglied des Netzwerkteams durchgeführt werden. In der Dokumentation für das Gateway- oder
     Firewallgerät finden Sie Informationen dazu, wie Sie das jeweilige Gerät konfigurieren, damit es den
     von Ihnen festgelegten VPN-Einstellungen entspricht.

3    Erstellen von Firewallregeln für das Verwaltungsnetzwerk
     Firewallregeln steuern die Arten von Netzwerkverkehr, die über ein Netzwerk-Gateway gesendet
     und empfangen werden können. Der Assistent zum Konfigurieren von MGW-VPN enthält einen
     Schritt, in dem die Firewallregeln erstellt werden, die in der Regel von der SDDC-Seite des Verwal-
     tungsnetzwerks benötigt werden. Sie müssen einen zusätzlichen Schritt ausführen, um übereinstim-
     mende Firewallregeln in Ihrem lokalen Verwaltungs-Gateway zu erstellen.

VMware, Inc.                                                                                               21
Erste Schritte mit VMware Cloud on AWS

4    Konfigurieren des privaten DNS für das Verwaltungsnetzwerk
     Geben Sie die Adressen Ihrer privaten DNS-Server an, damit das Verwaltungs-Gateway, die ESXi-
     Hosts und Verwaltungs-VMs vollqualifizierte Domänennamen (FQDNs) in IP-Adressen im Verwal-
     tungsnetzwerk auflösen können.

5    Testen der Verwaltungs-VPN-Konnektivität
     Nachdem Sie die Konfiguration des Verwaltungs-VPN abgeschlossen haben, führt der Assistent
     zum Konfigurieren von MGW-VPN mehrere Tests durch, die die Konnektivität des Verwaltungsnet-
     zwerks für allgemeine Anwendungsbeispiele validieren.

Erstellen eines Verwaltungs-VPN in Ihrem SDDC
Um das Verwaltungs-VPN zu erstellen, konfigurieren Sie ein IPsec-VPN im SDDC und ein weiteres in Ih-
rem lokalen Datencenter. Das Verwaltungs-Gateway verbindet diese zwei VPNs und stellt einen gemein-
samen Satz von Firewallregeln und DNS-Diensten bereit.

Verfahren

1    Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.

2    Klicken Sie auf der Registerkarte „Netzwerk“ Ihres SDDC auf AKTIONEN > Verwaltungs-Gateway
     konfigurieren.

3    Schließen Sie die VPN-Konfiguration des Verwaltungs-Gateways ab.

     Parameter                            Beschreibung

     VPN-Name                             Geben Sie einen Namen für das VPN ein.

     Öffentliche IP des Remote-Gateways   Geben Sie die IP-Adresse des lokalen Gateways ein.

     Private IP des Remote-Gateways       Befindet sich das lokale Gateway hinter NAT, stellen Sie die private IP-Adresse
                                          des Gateways bereit.

     Remotenetzwerke                      Geben Sie die Adresse Ihres lokalen Verwaltungsnetzwerks ein.

     IP des lokalen Gateways              Zeigt die öffentliche IP-Adresse des Verwaltungs-Gateways an. Dieses Feld kann
                                          nicht bearbeitet werden.

     Lokales Netzwerk                     Zeigt den CIDR-Block des Verwaltungssubnetzes für das Verwaltungs-Gateway
                                          an. Dieses Feld kann nicht bearbeitet werden.

     Verschlüsselung                      Wählen Sie AES-256 aus.

     Perfect Forward Secrecy              Wählen Sie Aktiviert aus.

     Diffie-Hellman                       Wählen Sie eine Diffie-Hellman Group aus. Stellen Sie sicher, dass Sie eine
                                          Gruppe verwenden, die von Ihrem lokalen VPN-Gateway unterstützt wird.

     Vorinstallierter Schlüssel           Geben Sie einen vorinstallierten Schlüssel ein. Der Schlüssel ist eine Zeichenfol-
                                          ge mit einer Maximallänge von 128 Zeichen, die von den beiden Enden des VPN-
                                          Tunnels zur gegenseitigen Authentifizierung verwendet wird.

     Klicken Sie auf SPEICHERN, um diese Konfiguration zu speichern und das VPN zu erstellen.

     Nachdem das System das VPN im SDDC erstellt hat, können Sie auf AKTIONEN klicken, um das
     VPN zu bearbeiten oder zu deaktivieren. Wenn das VPN den Status Verbunden hat, können Sie auf
     VPN-Statusdetails klicken, um den Tunnelstatus und die Statistik des VPN anzuzeigen.

VMware, Inc.                                                                                                                22
Erste Schritte mit VMware Cloud on AWS

4    Laden Sie die VPN-Konfigurationsinformationen für die SDDC-Verwaltung herunter.

     Klicken Sie unter Remote-VPN-Konfigurationsdatei auf Herunterladen, um eine Konfigurationsda-
     tei herunterzuladen, die Sie bei der Konfiguration der lokalen Seite dieses VPN verwenden können.

Nächste Schritte

Konfigurieren Sie die lokale Seite des Verwaltungs-VPN.

Erstellen eines lokalen IPsec-VPN
Die Konfiguration des Gateway-Geräts in Ihrem lokalen Datencenter muss gegebenenfalls von einem Mit-
glied des Netzwerkteams durchgeführt werden. In der Dokumentation für das Gateway- oder Firewallge-
rät finden Sie Informationen dazu, wie Sie das jeweilige Gerät konfigurieren, damit es den von Ihnen fest-
gelegten VPN-Einstellungen entspricht.

Voraussetzungen

Zum Konfigurieren eines lokalen VPN ist Folgendes erforderlich:

n    Einen lokalen Router oder eine Firewall, die ein IPsec-VPN beenden kann, wie z. B. Cisco ISR, Cisco
     ASA, CheckPoint Firewall, Juniper SRX, NSX Edge oder ein beliebiges anderes IPsec-Tunneling-fä-
     higes Gerät.

     Wichtig Das SDDC eines IPSec-VPN unterstützt nur zeitbasierte Neuzuweisungen. Auf dem loka-
     len Gerät muss die Neuzuweisung von Lifebytes deaktiviert werden.

     Konfigurieren Sie für die lokale Seite des VPN keine Leerlaufzeitüberschreitung (z. B. die NSX-Ein-
     stellung Leerlaufzeitüberschreitung in Sitzung). Lokale Leerlaufzeitüberschreitungen können dazu
     führen, dass das VPN in regelmäßigen Abständen getrennt wird.

n    Wenn sich Ihr lokales Gateway hinter einer anderen Firewall befindet, müssen Sie diese Firewall so
     konfigurieren, dass sie den IPsec-VPN-Protokolldatenverkehr weiterleitet:

     n    Öffnen Sie den UDP-Port 500, damit ISAKMP-Datenverkehr (Security Association and Key Ma-
          nagement Protocol) durch die Firewall weitergeleitet werden kann.

     n    Richten Sie die IP-Protokoll-ID 50 ein, damit IPsec-ESP-Datenverkehr (Encapsulating Security
          Protocol) durch die Firewall weitergeleitet werden kann.

     n    Richten Sie die IP-Protokoll-ID 51 ein, damit AH-Datenverkehr (Authentication Header) durch die
          Firewall weitergeleitet werden kann.

Verfahren

1    Navigieren Sie zur Registerkarte „Netzwerk“ für Ihr SDDC.

2    Klicken Sie unter Verwaltungs-Gateway auf IPsec-VPNs und öffnen Sie das VPN, das Sie in Erstel-
     len eines Verwaltungs-VPN in Ihrem SDDC erstellt haben.

VMware, Inc.                                                                                              23
Erste Schritte mit VMware Cloud on AWS

3       Laden Sie die VPN-Konfigurationsinformationen für die SDDC-Verwaltung herunter.

        Klicken Sie unter Remote-VPN-Konfigurationsdatei auf Herunterladen, um eine Konfigurationsda-
        tei herunterzuladen, in der die Konfigurationsparameter für die SDDC-Seite der Verwaltungs-VPN
        aufgelistet sind.

4       Konfigurieren Sie die lokale Verwaltungs-VPN.

        Verwenden Sie die Informationen in der Datei, die Sie in Schritt 3 heruntergeladen haben. Unter Bei-
        spiel: VPN-Konfigurationsdatei finden Sie ein Beispiel zu den Informationen, die diese Datei enthält.

Beispiel: VPN-Konfigurationsdatei
    #   Configuration for IPsec VPN connection
    #
    #   Peer NSX Edge and IPSec Site configuration details.
    #
    #   IPsec site Id         :     ipsecsite-17
    #   IPsec site name       :     VPN1
    #   IPsec site description:
    #   IPsec site enabled    :     true
    #   IPsec site vpn type   :     Policy based VPN
    #   NSX Edge Id           :     edge-1
    #   Feature version       :     45
    #   Time stamp            :     040618_182347GMT

    #
    # Internet Key Exchange Configuration
    # Phase 1
    # Configure the IKE SA as outlined below
    IKE version                  : ikev1
    Connection initiation mode   : initiator
    Authentication method        : psk
    Pre shared key               : 123456
    Authentication algorithm     : sha1
    Encryption algorithm         : aes256
    SA life time                 : 28800 seconds
    Phase 1 negotiation mode     : main
    DH group                     : DH14

    # IPsec_configuration
    # Phase 2
    # Configure the IPsec SA as outlined below
    Protocol                        : ESP
    Authentication algorithm        : sha1
    Sa life time                    : 3600 seconds
    Encryption algorithm            : aes256
    Encapsulation mode              : Tunnel mode
    Enable perfect forward secrecy : true
    Perfect forward secrecy DH group: DH14

    # Peer configuration
    Peer address    : 34.218.1.5 # Peer gateway public IP.
    Peer id         : 34.218.1.5

VMware, Inc.                                                                                                24
Erste Schritte mit VMware Cloud on AWS

    Peer subnets       : [ 10.2.0.0/16 ]

    # IPsec Dead Peer Detection (DPD) settings
    DPD enabled     : true
    DPD interval    : 30 seconds
    DPD timeout     : 150 seconds

    # Local configuration
    Local address   : 66.70.190.7 # Local gateway public IP.
    Local id        : 66.70.190.7
    Local subnets   : [ 10.101.101.0/24 ]

Nächste Schritte

Konfigurieren Sie Firewallregeln zum Verwalten von Datenverkehr zwischen dem lokalen und dem
SDDC-Ende des Verwaltungs-VPN. Standardmäßig verweigern die Firewallregeln Ihres neuen Verwal-
tungs-Gateways den gesamten Datenverkehr durch die Firewall. Der Firewall Rules Accelerator bietet ei-
ne Reihe vordefinierter Firewallregeln, die für die meisten Neuinstallationen geeignet sein dürften.

Erstellen von Firewallregeln für das Verwaltungsnetzwerk
Firewallregeln steuern die Arten von Netzwerkverkehr, die über ein Netzwerk-Gateway gesendet und
empfangen werden können. Der Assistent zum Konfigurieren von MGW-VPN enthält einen Schritt, in dem
die Firewallregeln erstellt werden, die in der Regel von der SDDC-Seite des Verwaltungsnetzwerks benö-
tigt werden. Sie müssen einen zusätzlichen Schritt ausführen, um übereinstimmende Firewallregeln in Ih-
rem lokalen Verwaltungs-Gateway zu erstellen.

Standardmäßig wird das Verwaltungs-Gateway mit Firewallregeln erstellt, die den gesamten Datenver-
kehr blockieren. Nachdem Sie beide Seiten des Verwaltungs-VPN eingerichtet haben, führen Sie den
Schritt MGW-Firewallregeln des Assistenten zum Konfigurieren von MGW-VPN aus, führen Sie dann
den Firewall Rules Accelerator aus, um schnell Remote-Firewallregeln in Ihrem lokalen Gateway einzu-
richten. Das Festlegen dieser Regeln ist eine Voraussetzung für die Verwendung des verknüpften Hybrid-
modus, die Durchführung von Arbeitslastmigrationen und viele andere Aufgaben.

Verfahren

1     Führen Sie im Assistenten zum Konfigurieren von MGW-VPN die MGW-Firewallregeln aus.

      Klicken Sie nach dem Erstellen der MGW-Firewallregeln auf NÄCHSTER SCHRITT, um die Remote-
      Firewallregeln zu konfigurieren.

2     Navigieren Sie zur Registerkarte „Netzwerk“ für Ihr SDDC.

3     Klicken Sie unter Verwaltungs-Gateway auf IPSec-VPNs.

4     Klicken Sie auf Firewall Rules Accelerator.

      Der Firewall Rules Accelerator wird geöffnet.

VMware, Inc.                                                                                         25
Erste Schritte mit VMware Cloud on AWS

5    Wählen Sie im Dropdown-Menü VPN (Remotenetzwerk) das externe (lokale) Netzwerk aus, für das
     Sie Firewallregeln erstellen möchten.

     Der Firewall Rules Accelerator zeigt die Regeln an, die erstellt werden.

6    Klicken Sie auf Firewallregeln erstellen, um diese Regeln zu erstellen.

     Überprüfen Sie die Liste der Regeln und wählen Sie Ich habe die erforderlichen Firewallregeln er-
     stellt. Klicken Sie dann auf NÄCHSTER SCHRITT.

Konfigurieren des privaten DNS für das
Verwaltungsnetzwerk
Geben Sie die Adressen Ihrer privaten DNS-Server an, damit das Verwaltungs-Gateway, die ESXi-Hosts
und Verwaltungs-VMs vollqualifizierte Domänennamen (FQDNs) in IP-Adressen im Verwaltungsnetzwerk
auflösen können.

Um Funktionen wie die Migration mit vMotion, Cold-Migration oder den verknüpften Hybridmodus zu ver-
wenden, ändern Sie die vCenter Server-Auflösung in eine private IP-Adresse, die über das VPN aufgelöst
werden kann.

Voraussetzungen

Verwenden Sie den Assistenten zum Konfigurieren von MGW-VPN, um das Verwaltungsnetzwerk, die
Gateways und die Firewallregeln zu erstellen.

Verfahren

1    Geben Sie die DNS-Serveradressen an.

     Klicken Sie auf Bearbeiten und geben Sie die IP-Adressen für DNS-Server 1 und optional für DNS-
     Server 2 ein.

2    Wählen Sie einen Geltungsbereich für die DNS-Namensauflösung aus.

     Standardmäßig ist das Verwaltungs-Gateway-DNS so konfiguriert, dass es Namen in Adressen im öf-
     fentlichen Internet auflöst (Option Öffentliche IP auflösbar über Internet). Um den Geltungsbereich
     auf Adressen im Verwaltungs-VPN zu beschränken, gehen Sie wie folgt vor: Wählen Sie Private IP
     auflösbar über VPN. Diese Konfigurationsänderung gilt sowohl für DNS-Server 1 als auch für DNS-
     Server 2.

3    Klicken Sie auf NÄCHSTER SCHRITT, um die DNS-Konfiguration des Verwaltungs-Gateways zu
     speichern und die Verwaltungsnetzwerkkonnektivität zu testen.

Testen der Verwaltungs-VPN-Konnektivität
Nachdem Sie die Konfiguration des Verwaltungs-VPN abgeschlossen haben, führt der Assistent zum
Konfigurieren von MGW-VPN mehrere Tests durch, die die Konnektivität des Verwaltungsnetzwerks für
allgemeine Anwendungsbeispiele validieren.

VMware, Inc.                                                                                           26
Erste Schritte mit VMware Cloud on AWS

Der Validator der Konnektivität des Verwaltungs-VPNs umfasst zahlreiche Tests, die die Konnektivität des
Verwaltungsnetzwerks zwischen Ihrem lokalen Datencenter und Ihrem VMware Cloud on AWS-SDDC va-
lidieren.

Verfahren

u    Klicken Sie auf ALLE TESTS AUSFÜHREN, um alle Tests auszuführen.

     Der Assistent führt die Tests der Reihe nach durch und meldet für jeden Test Erfolg oder Fehlschlag.
     Sie können einzelne Tests oder Testgruppen bei Bedarf erneut ausführen.

Nächste Schritte

Weitere Informationen zur Fehlerbehebung bei Problemen mit VPN-Verbindungen finden Sie unter Feh-
lerbehebung für virtuelle private Netzwerke (VPN) in der NSX for vSphere--Dokumentation.

VMware, Inc.                                                                                            27
Mit vCenter Server verbinden                                                                                     5
Klicken Sie auf die Schaltfläche VCENTER ÖFFNEN, um den vSphere Client zu öffnen und sich bei
vCenter anzumelden.

Neben der Schaltfläche VCENTER ÖFFNEN bietet die Registerkarte Einstellungen Ihres SDDC Verbin-
dungs- und Authentifizierungsdetails für die Verbindung zu vCenter Server mit dem API-Explorer und
PowerCLI.

Verfahren

u    Öffnen Sie die Registerkarte Einstellungen und wählen Sie eine Methode zum Herstellen einer Ver-
     bindung mit vCenter Server.

     Option                                  Beschreibung

     Verbindung mithilfe des                 Klicken Sie auf den Link unter vSphere Client (HTML5). Diese Verbindungsme-
     vSphere Clients herstellen              thode entspricht der Schaltfläche VCENTER ÖFFNEN.

     Verbindung zum API-Explorer herstel-    Klicken Sie auf den Link unter API-Explorer für vCenter Server.
     len

     Verbindung mithilfe von PowerCLI her-   Das Cmdlet zur Herstellung einer Verbindung wird unter PowerCLI Connect an-
     stellen
                                             gezeigt. Klicken Sie auf   , um das Cmdlet in die Zwischenablage zu kopieren.

     Die Standardanmeldedaten für alle Verbindungsmethoden werden unter Authentifizierung ange-

     zeigt. Klicken Sie auf       , um einen Benutzernamen oder ein Kennwort in die Zwischenablage zu ko-
     pieren.

VMware, Inc.                                                                                                             28
Erstellen von virtuellen
Maschinen                                                                                       6
Nachdem Sie nun ein Verwaltungsnetzwerk erstellt und eine Verbindung mit vCenter Server hergestellt
haben, können Sie in Ihrem VMware Cloud on AWS-SDDC virtuelle Maschinen erstellen.

VMware Cloud on AWS bietet Ihnen mehrere Möglichkeiten, virtuelle Maschinen in Ihrem SDDC zu er-
stellen. Eine der einfachsten Möglichkeiten besteht darin, den lokalen vSphere Content Onboarding-As-
sistenten zu verwenden, um Vorlagen für virtuelle Maschinen an Ihr SDDC zu übertragen und die impor-
tierte Vorlage anschließend als VM bereitzustellen. Nach dem Erstellen einer virtuellen Maschine können
Sie Konfigurationsaufgaben durchführen, wie z. B. das Einrichten einer öffentlichen IP-Adresse oder das
Aktivieren von Zugriff auf eine Remote-VM-Konsole.

Im Betriebshandbuch sind weitere Möglichkeiten beschrieben, Ihr SDDC mit VM-Vorlagen und ISO-Ima-
ges bereitzustellen, die Sie zum Erstellen von Arbeitslast-VMs verwenden können. Weitere Informationen
zum Konfigurieren und Verwalten von Arbeitslast-VMs finden Sie unter Verwalten von virtuellen Maschi-
nen in VMware Cloud on AWS.

Dieses Kapitel enthält die folgenden Themen:

n    Verwenden Sie den Content Onboarding Assistant, um Inhalte in Ihr SDDC zu übertragen.

n    Bereitstellen einer virtuellen Maschine anhand einer VMTX-Vorlage

n    Zuweisen einer öffentlichen IP-Adresse zu einer virtuellen Maschine

n    Aktivieren des Zugriffs auf die Remote-Konsole für die virtuelle Maschine

Verwenden Sie den Content Onboarding Assistant , um
Inhalte in Ihr SDDC zu übertragen.
Der Content Onboarding Assistant automatisiert die Übertragung von .vmtx-Vorlagen, ISO-Images,
Skripts und anderen Dateien in Ihr Cloud-SDDC.

Es gibt zwei Möglichkeiten, mit dem Content Onboarding Assistant .vmtx -Vorlagen in Ihr SDDC zu über-
tragen.
n    Konvertieren Sie diese Vorlagen in OVF-Vorlagen in der SDDC-Inhaltsbibliothek. Diese Option benö-
     tigt weniger Zeit.

n    Übertragen Sie diese Vorlagen als .vmtx -Vorlagen in die Bestandsliste von vCenter Server. In die-
     sem Fall werden die Vorlagen temporär in OVF- und dann wieder in .vmtxVorlagen konvertiert.

VMware, Inc.                                                                                              29
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren