Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Arquitectura de redes
de tenant con VMware
NSX® en VMware
vCloud Director®
Versión 2.8
Agosto de 2017
Steve Dockar
Arquitectura de redes de tenant con VMware NSX en VMware vCloud Director
© 2017 VMware, Inc. Todos los derechos reservados. Este producto está protegido por las leyes de
propiedad intelectual y de copyright internacionales y de los Estados Unidos. Este producto está cubierto
por una o varias de las patentes que se detallan en http://www.vmware.com/download/patents.html.
VMware es una marca registrada o una marca comercial de VMware, Inc. en los Estados Unidos u otras
jurisdicciones. Todos los demás nombres y marcas mencionados aquípodrían ser marcas comerciales
de sus respectivas compañías.
VMware, Inc.
3401 Hillview Ave
Palo Alto, CA 94304
www.vmware.com
Contenido
1 Introducción ......................................................................................... 6
1.1 Descripción general ............................................................................................................ 6
1.2 Objetivo y alcance del documento ...................................................................................... 6
1.3 Definiciones, acrónimos y abreviaturas .............................................................................. 7
7 Referencias ....................................................................................... 47
Apéndice A: Aprovisionamiento de una red externa en vCloud Director ... 48
Lista de tablas
Tabla 1. Términos de jerarquía de VMware vCloud Director ...................................................................... 17
Tabla 2. Jerarquía y elementos de red de NSX y vSphere en vCloud Director ......................................... 29
Tabla 3. Apéndice A: Parámetros de configuración ................................................................................... 49
Lista de figuras
Figura 1. Ejemplo de topología de cliente de servicios administrados ....................................................... 11
Figura 2. Topología de cliente de proveedor de servicios de nube básica ................................................ 13
Figura 3. Microsegmentación con Distributed Firewall ............................................................................... 14
Figura 4. Topología básica de cliente con NSX Distributed Firewall .......................................................... 15
Figura 5. Ejemplo de topología de centro de datos de estructura jerárquica de servicios administrados ........ 16
Figura 6. Transición de software en capas de MSP a CSP en el programa VMware Cloud Provider ....... 17
Figura 7. Grupos de recursos y clústeres de vSphere del centro de datos del proveedor de servicios .... 18
Figura 8. Asignación de VDC de proveedor a recursos de vSphere .......................................................... 19
Figura 9. Topología de cliente básica de vCloud Director .......................................................................... 20
Figura 10. Administración de puertas de enlace Edge y redes de VDC de organización en vCloud
Director ...................................................................................................................................... 21
Figura 11. Administración de NSX Distributed Firewall en vCloud Director ............................................... 21
Figura 12. Ejemplo de topología de centro de datos de estructura jerárquica de un proveedor
servicios de nube ....................................................................................................................... 22
Figura 13. Redes de tenants de proveedor de servicios de nube .............................................................. 24
Figura 14. Redes de tenants de proveedor de servicios de nube .............................................................. 25
Figura 15. Redes de estructura jerárquica de proveedor de servicios de nube de vSphere ..................... 26
Figura 16. Configuración de un enlace troncal de VLAN para un grupo de puertos de vínculo
superior de dvSwitch ................................................................................................................. 27
Figura 17. Conexión con enlace troncal de varias redes externas a un entorno de vCloud Director ........ 28
Figura 18. NAT en la puerta de enlace de servicios Edge de VDC de organización ................................. 32
Figura 19. Mensaje de error provocado por aprovisionar un rango de direcciones superpuestas ............ 33
Figura 20. Asignación de direcciones de grupos de direcciones IP estáticas ............................................ 33
Figura 21. Configuración de grupo de direcciones IP estáticas de red de VDC de organización .............. 34
Figura 22. Habilitación del flujo de trabajo de redes mejorado................................................................... 34
Figura 23. Asignación estática-manual de direcciones .............................................................................. 34
Figura 24. Asignación de direcciones DHCP .............................................................................................. 35
Figura 25. Red externa de Internet de vCloud Director .............................................................................. 36
Figura 26. Traducción de direcciones salientes (SNA/PAT)....................................................................... 38
Figura 27. Asignación de direcciones IP de red externa ............................................................................ 39
Figura 28. Subasignación de direcciones de red externa........................................................................... 39
1 Introducción
1.1 Descripción general
El programa VMware Cloud Provider es un ecosistema de más de 4.000 proveedores de servicios en
más de 100 países que ofrecen servicios de nube basados en VMware. Los proveedores locales protegen
la soberanía de los datos y proporcionan una amplia gama de servicios de nube y experiencia en el
mercado vertical con conformidad y certificaciones especializadas.
Los proveedores de VMware Cloud tienen una capacidad única para prestar servicios en el mercado y
representan una extensión perfecta de los centros de datos en las instalaciones de los clientes empresariales
de VMware. Los proveedores de servicios administrados tradicionalmente operan centros de datos que
alojan varios tenants y desarrollan modelos de topología de referencia que ofrecen separación de
tenants y permiten al proveedor ofrecer servicios de valor agregado que requieren acceso a cada
entorno de tenant desde plataformas de administración comunes.
Una de las inquietudes iniciales al ofrecer una plataforma de estructura jerárquica mediante una solución
de administración superpuesta orientada al cliente, como VMware vCloud Director®, es comprender las
capacidades y restricciones de las soluciones del cliente que se pueden entregar y de la infraestructura
del proveedor de servicios que admitirá estas soluciones. Con la inclusión de VMware NSX® en versiones
posteriores de vCloud Director, aumentó la capacidad para crear topologías de cliente complejas, pero
también aumentaron las inquietudes que pueden surgir de manera justificable en torno a la implementación
de ambos productos en términos técnicos y operativos.
Cliente Cliente del proveedor de servicios; la organización que paga por el servicio y los
usuarios que utilizan el servicio.
Tenant Parte de la infraestructura que el cliente utiliza y de la cual obtiene servicios.
Red externa Una red que conecta al tenant de vCloud Director a la infraestructura de red del
centro de datos.
NAT La traducción de direcciones de red (Network Address Translation, NAT) es una técnica en la
que se cambian las direcciones de origen y destino en el encabezado de un paquete IP para
ocultar la dirección real de un servicio. Se usa, por ejemplo, cuando se conectan dispositivos
en una red privada a la red pública de Internet.
NIC La tarjeta de interfaz de red (Network Interface Card, NIC) es el adaptador de red que conecta
los hosts ESX a la infraestructura de red externa.
OS El sistema operativo (OS) es la capa de software que se implementa en la capa de hardware
de un equipo físico o virtual. En las soluciones basadas en VMware ESXi™, el hardware físico
utiliza VMware ESXi como sistema operativo, y las máquinas virtuales que ESXi admite
ejecutan una variante de Microsoft Windows de una distribución Linux como el “sistema
operativo invitado”.
PE Edge de proveedor (enrutador) (Provider Edge, PE) es el término utilizado para describir la
función de un enrutador de proveedor de servicios que conecta varios enrutadores Edge del
cliente (CE) a los enrutadores clave del proveedor (o “P”). En algunas plataformas de
proveedor, se virtualiza la función del enrutador CE, de modo que este se conecta físicamente
a la infraestructura de forma directa, lo que permite admitir las soluciones del cliente en lugar
de conectarse a través de un enrutador CE por tenant.
SDN Las redes definidas por software (Software-defined networking, SDN) constituyen una
tecnología que crea elementos de red de usuario final definidos en software que,
posteriormente, se implementan en una red física “subyacente”.
VCDNI El aislamiento de red de vCloud Director (vCloud Director Network Isolation, VCDNI) es una
encapsulación de propiedad “MAC en MAC” utilizada en versiones anteriores de vCloud
Director que permitía conectar en “túnel” varias redes de cliente aisladas entre hosts por medio
de una red única.
vDC El centro de datos virtual (Virtual data center, VDC) es una recopilación de recursos administrados
por vCloud Director. Consulte Tabla 1 para obtener más información.
VIP IP virtual (Virtual IP, VIP) es un término que hace referencia a una dirección IP adicional que
proporciona acceso a uno o más dispositivos sin que se asigne de forma permanente a
ninguno de ellos. Se encuentra en soluciones donde dos o más dispositivos proporcionan alta
disponibilidad mediante la presentación de una única dirección IP para que los clientes se
conecten, sin necesidad de saber qué dispositivo procesará su solicitud.
VLAN LAN virtual es un protocolo de red que permite transportar varias redes de Capa 2 distintas en
el mismo medio físico (Capa 1).
VPN La red privada virtual es una técnica para separar el tráfico en una infraestructura compartida.
Se suele usar cuando se agrega una superposición cifrada a una red compartida no segura,
como Internet, o cuando se proporciona la separación de clientes por medio de un proveedor
de servicios WAN.
VRF El enrutamiento y reenvío virtual (Virtual routing and forwarding, VRF) es una técnica en la que
un dispositivo de red único puede administrar varias tablas de enrutamiento independientes a la
vez y aplicar las reglas de reenvío resultantes al tráfico asociado con una instancia específica.
VXLAN La red de área local virtual extensible es un protocolo de encapsulación que permite transportar
varias redes distintas de Capa 2 por medio de una red de Capa 3 común.
WAN Una red de área extensa es una red de telecomunicaciones que abarca un área geográfica
amplia.
cuidadosamente para que los equipos de operaciones y de soporte puedan comprender una solución
cuando se les solicite trabajar en ella, o bien para los equipos de infraestructura cuando sea necesario
trabajar en los sistemas de refrigeración o de alimentación del centro de datos. En el lado comercial de la
empresa, las tarifas y los sistemas de facturación deben poder hacer frente a la configuración individual
de cada cliente y a las complejidades que supone llevar a cabo los cambios reflejados en todos los
gastos asociados.
La estandarización de las topologías de red sin dejar de ofrecer la flexibilidad suficiente a los clientes es
un factor clave para aumentar la velocidad y la eficiencia en la prestación de servicios. Por naturaleza, la
introducción de una plataforma de administración de la nube (Cloud Management Platform, CMP) abstrae
a los usuarios, tanto el proveedor de servicios como el cliente, de las interfaces de la infraestructura
subyacente. Al hacerlo, restringe en alguna medida el rango de funciones que expone desde esa
infraestructura subyacente. Sin embargo, al agregar capacidades de nube, un proveedor de servicios
administrados puede empezar a ver estas mejoras en velocidad y eficiencia que proporciona la
“estandarización” aplicada de la CMP.
En la figura, se separa la conexión WAN del enrutador central con un firewall. Según el nivel de
confianza que garantice la WAN y la carga de trabajo, asícomo el nivel de riesgo que el cliente esté
dispuesto a asumir, esto puede no ser necesario. Cuando no hay ningún firewall, una sola red (por lo
general, una VLAN) conecta el enrutador central del tenant directamente a la presentación de WAN, por
lo general, en forma de un enrutador Edge del cliente (CE) por tenant físico y dedicado. Este modelo
simplificado se utilizará como base para las ilustraciones en este documento, aunque se reconoce que
este enfoque de topología no es el único que podría implementarse.
1
Consulte el artículo sobre optimización de la incorporación del cliente con servicios VPN de 2 capas de NSX en la
sección de referencias para obtener más información.
Con la introducción de NSX, las funciones del enrutador físico central de tenant y del firewall interno se
reemplazan por la puerta de enlace de servicios Edge. Debido a que este dispositivo proporciona
capacidades de firewall norte/sur, también puede eliminar la necesidad de un firewall WAN dedicado, lo
que permite ahorrar el coste y la complejidad de un proveedor de servicios. De esta manera, se contribuye
a la reducción de gastos operativos y de capital. Aunque la topología parece casi idéntica a la mostrada
anteriormente, lo que no se ve en la figura es la habilidad del cliente para implementar servicios informáticos y
de red de la puerta de enlace de servicios Edge en dirección sur a través del portal de vCloud Director.
Esto soluciona las dos dificultades identificadas con los servicios MSP, es decir, la habilidad del cliente
para realizar cambios en su propio entorno, asícomo la velocidad y confiabilidad con las que se pueden
implementar los cambios.
Las políticas de DFW que controlan el flujo de paquetes hacia y desde las VNIC de cada máquina virtual
se configuran de forma centralizada mediante la nueva interfaz de administración de firewall basada en
HTML5 de vCloud Director y, posteriormente, se distribuyen al host ESXi que se implementará en la máquina
virtual en ejecución. En caso de que deba moverse la máquina virtual, la política se vuelve a aplicar en el host
de destino. En la siguiente figura, se muestra esta administración distribuida de políticas con implementación
según vNIC cuando se aplica en toda la topología de la red.
En la ilustración, cada vNIC está eficazmente separada de la red mediante un firewall. Esto permite
controlar el tráfico entre las máquinas virtuales de la misma red mediante una política de firewall, algo
que no resulta práctico con la infraestructura de redes tradicional. Consulte la sección 7, Referencias
para obtener más información sobre los beneficios de la microsegmentación. Tanto la política norte/sur
en la puerta de enlace de servicios Edge como la política de Distributed Firewall en sípueden administrarse
desde la interfaz de usuario de vCloud Director; lo puede hacer el proveedor de servicios o el cliente
mismo, en caso de que el proveedor de servicios eligiera ofrecer las instalaciones.
Debido a que la puerta de enlace de servicios Edge ofrece servicios de VPN y firewall, los clientes
pueden cuestionar la presencia de dos firewalls en la conectividad a Internet, especialmente a medida
que se aceptan los beneficios de la microsegmentación. En este punto, el proveedor de servicios puede
reducir aún más el coste y la complejidad. Para hacerlo, debe quitar el firewall de Internet físico y mover
sus funciones a la puerta de enlace de servicios Edge. Este nivel de aceptación de riesgos suele ser
diferente para cada cliente, y es posible que los proveedores de servicios elijan ofrecer soluciones con y
sin el firewall de Internet físico.
se coordinan las capas de una solución vCloud Director y cómo se llevan a cabo las acciones de una
capa en las otras capas.
Si bien el modelo de centro de datos definido por software (software-defined data center, SDDC) de
VMware incluye virtualización del almacenamiento, en la siguiente figura, se presentan las capas clave
que muestran la migración del proveedor de servicios administrados al proveedor de servicios de nube
consideradas en este documento.
Figura 6. Transición de software en capas de MSP a CSP en el programa VMware Cloud Provider
Término Descripción
En la Figura 7, el centro de datos tiene dos nodos de vCenter Server, y cada uno de ellos administra dos
clústeres. En vCenter-01, los dos clústeres contienen diferentes tipos de hosts. Cluster-01 incluye hosts
con mayores velocidades de reloj de CPU para cargas de trabajo de uso intensivo de CPU, mientras que
Cluster-02 tiene hosts con memoria adicional para hosts con mayores exigencias de memoria. Por otro
lado, vCenter-02 contiene dos clústeres con el mismo tipo de hosts, cada uno con un equilibrio de
velocidad de reloj y memoria diseñado para cargas de trabajo generales. Dado que no es posible colocar
un grupo de recursos en otro lugar que no sea en todos los hosts de un clúster, y como vCloud Director
ubica las cargas de trabajo dentro de un grupo de recursos, todos los hosts de un único grupo de
recursos y, por lo tanto, el clúster, deben ser del mismo tipo para garantizar la coherencia en el
rendimiento.
Debido a que un VDC de proveedor (PVDC) está conectado a una sola instancia de vCenter Server, el
ejemplo de vCloud Director de la Figura 7 debe tener al menos dos nodos de vCenter Server. Sin embargo,
para permitir la colocación de cargas de trabajo en hosts con alto consumo de memoria o CPU, los
recursos en vCenter-01 deben dividirse en dos VDC de proveedor, cada uno asignado a un grupo de
recursos en uno de los clústeres. Debido a que un VDC de proveedor puede tener asignados varios
grupos de recursos de la instancia de vCenter Server, los recursos de vCenter-02 podrían presentarse
como dos VDC de proveedor distintos, o bien, como se muestra en la Figura 8, como un PVDC con
varios grupos de recursos.
El PVDC presenta recursos que pueden consumir las organizaciones que se suscriben al servicio de
nube del proveedor. A fin de presentar los recursos a esas organizaciones, vCloud Director utiliza un
VDC de organización (u OVDC) para representar un subconjunto de un VDC de proveedor. Un cliente,
representado por una organización de vCloud Director, puede acceder a varios VDC de organización. En
el ejemplo ilustrado en la Figura 8, un cliente puede requerir algunas cargas de trabajo de memoria alta y
algunas estándar, en cuyo caso tienen dos OVDC, uno en PVDC2 y otro en PVDC3. Un cliente que solo
requiere cargas de trabajo estándar puede tener un único OVDC, o bien puede optar por tener dos para
aplicar diferentes índices de exceso de suscripciones o colocaciones de cargas de trabajo para cargas
de trabajo de desarrollo y producción.
Al acceder a vCloud Director, los usuarios de una organización con privilegios de acceso adecuados ven
todos sus OVDC enumerados.
El VDC de organización contiene las cargas de trabajo del cliente que se conocen como vApps en vCloud
Director, tanto si están en una sola máquina virtual en una red o en varias máquinas virtuales en
diferentes redes. Debido a que vCloud Director no administra todos los recursos del cliente, esos
recursos que se encuentran afuera en el centro de datos físico deben ser administrados por el proveedor
de servicios o a través de un portal distinto orientado al cliente. Las redes que conectan los VDC de
organización a recursos del centro de datos externo se describen en vCloud Director como “redes
externas”. Terminan en una puerta de enlace de servicios Edge de VDC de organización para proporcionar
acceso enrutado, de traducción de direcciones de red (NAT) o de conexión directa hacia y desde las
cargas de trabajo incluidas en el VDC de organización. Las redes que se limitan al entorno de vCloud
Director se conocen como “redes de VDC de organización”.
Tanto las puertas de enlace de servicios Edge de una organización como las redes de VDC de
organización pueden administrarse desde la página de administración de VDC de organización de
vCloud Director tal como se muestra en la siguiente figura.
Figura 10. Administración de puertas de enlace Edge y redes de VDC de organización en vCloud
Director
En la versión actual de vCloud Director, NSX Distributed Firewall utiliza la nueva interfaz HTML5 que se
inicia desde el menú Acciones del VDC de la organización, como se muestra en la siguiente figura.
Figura 11. Administración de NSX Distributed Firewall en vCloud Director
Redes administradas desde vCloud Director: las redes externas que se crean inicialmente en la
instancia de vCenter Server del VDC de proveedor relevante, pero que, a continuación, se “agregan”
a vCloud Director y posteriormente se pueden administrar en la API o la interfaz de usuario de
vCloud Director.
Estos tres tipos de redes se muestran en la siguiente figura. El diagrama muestra las redes por tenant
necesarias para conectar el acceso a WAN de cada cliente a su VDC de organización de vCloud Director.
Figura 12. Ejemplo de topología de centro de datos de estructura jerárquica de un proveedor
servicios de nube
En este gráfico, las redes de la distribución de Internet y de los enrutadores WAN se administran dentro
de la infraestructura de red del centro de datos, por lo general, en la incorporación de clientes. Las redes
“web”, “de aplicaciones” y “de base de datos” del VDC de organización de cada tenant se crean y se
administran desde vCloud Director, ya sea por el cliente o por el proveedor de servicios. Las redes de los
firewall de Internet (si existen) y de los enrutadores de WAN, una vez configuradas, se muestran en
vCloud Director como redes externas y, posteriormente, se administran desde la interfaz de usuario de
vCloud Director. Consulte Apéndice A: Aprovisionamiento de una red externa en vCloud Director para ver
más detalles.
La conectividad externa del centro de datos en un entorno de proveedor de servicios de nube sigue los
mismos modelos en la infraestructura física que seguiría en un entorno de proveedor de servicios
administrados.
Se utilizan redes por tenant donde se requiere la separación de capa 2 en toda la infraestructura
compartida del centro de datos. Esto ocurre, por ejemplo, en casos donde hay superposición de
direcciones de clientes o se necesita administrar flujos de tráfico sin recurrir al enrutamiento de capa
3. Algunos ejemplos del uso de redes por tenant son el acceso de clientes desde su WAN a entornos
de vCloud Director o el acceso desde servicios con ubicación conjunta dentro del centro de datos de
proveedor físico.
Las redes compartidas pueden utilizarse cuando no hay ningún riesgo de superposición de direcciones
(por ejemplo, el acceso a la red pública de Internet) y donde el enrutamiento de capa 3 puede servir
para dirigir el tráfico al destino correcto.
Al compartir redes entre varios clientes dentro de un solo dominio de difusión de capa 2, se corre el
riesgo de experimentar un problema de red que afecte a varios clientes. Para mitigar esta situación, los
proveedores de VMware Cloud pueden elegir un enfoque híbrido en el que se cierran las redes en
común (nuevamente, como el acceso a Internet) en los dispositivos de capa 3 de alto rendimiento que
reenvían el tráfico a varias redes posteriores más pequeñas. Estas redes ofrecen dominios de difusión
independientes, por lo que reducen el efecto que un cliente puede producir en otros.
La siguiente figura representa la misma topología de tenants que aparece en las capas de NSX y
vSphere.
Figura 14. Redes de tenants de proveedor de servicios de nube
La conexión 1 se realiza en la infraestructura de red del centro de datos físico y no alcanza a las
capas de NSX o vSphere de la solución.
La conexión 2 se compone de dos partes: por un lado, una conexión física entre el firewall de
Internet del cliente “dentro” de la interfaz, que se presenta ante un puerto en el grupo de puertos de
Internet respaldado por VLAN en el dvSwitch de vSphere y, por el otro lado, la conexión de interfaz
de Internet de la puerta de enlace de servicios Edge con un segundo puerto en el mismo grupo de
puertos.
La conexión 3 también está formada por dos partes: una conexión física entre la interfaz “LAN” del
enrutador WAN del cliente, que se presenta ante un puerto en el grupo de puertos WAN respaldado
por VLAN en el dvSwitch de vSphere, y una conexión de interfaz WAN de la puerta de enlace de
servicios Edge con un segundo puerto en el mismo grupo de puertos.
Las conexiones 4 y 5 presentan las máquinas virtuales web ante los puertos en el grupo de puertos
web que, debido a que la red web es una red de VDC de organización de vCloud Director, se crea en
NSX como una “conexión virtual”. Por lo tanto, el grupo aparece en el dvSwitch como un grupo de
puertos respaldado por VXLAN.
La conexión 6 presenta la interfaz web de la puerta de enlace de servicios Edge ante el grupo de
puertos web.
Las conexiones 7 a 9 siguen el mismo patrón que 4, 5 y 6, excepto por el grupo de puertos y la red
de aplicaciones.
Las conexiones 10 a 12 siguen el mismo patrón que 4, 5 y 6, pero esta vez para el grupo de puertos
de la base de datos.
También se muestra la posición lógica de NSX Distributed Firewall en cada interfaz de máquina
virtual para representar el punto en el que se aplica una política de DFW para el flujo de tráfico
entrante o saliente de una vNIC en una máquina virtual.
El acceso a Internet que se muestra en este gráfico se comparte entre todos los tenants que no
requieren un firewall físico. La conexión de acceso compartido a Internet se presenta como un puerto
en un grupo de puertos respaldado por VLAN en el dvSwitch de vSphere. Cada tenant de vCloud
Director tiene una conexión de red externa entre un puerto en este grupo y la interfaz de Internet de
la puerta de enlace de servicios Edge en su VDC de organización.
El tenant 4 decidió conservar un firewall de Internet físico. En su caso, dentro de la infraestructura del
centro de datos físico, el acceso compartido a Internet se presenta al “exterior” del firewall, en tanto
que una red VLAN independiente conecta el “interior” del firewall a un grupo de puertos separado
respaldado por VLAN en el dvSwitch de vSphere. Una red externa conecta un segundo puerto de
este grupo de puertos a la interfaz de Internet de la puerta de enlace de servicios Edge en su VDC
de organización.
Cada cliente tiene un enrutador CE de WAN independiente. Debido a que, por lo tanto, la conexión
con los entornos de tenants puede tener superposición de direcciones (desde el interior de su
organización de vCloud Director o desde su WAN), cada una debe estar separada mediante el centro
de datos y en el entorno administrado de vCloud Director. Por lo general, esto significa que la conexión
WAN de cada tenant se presenta como una red externa independiente con un identificador de VLAN
independiente; por lo tanto, requiere un grupo de puertos independiente respaldado por VLAN en el
dvSwitch de vSphere para conectarse a la interfaz WAN de sus respectivas puertas de enlace de
servicios Edge.
Las redes de VDC de organización de cada tenant aparecen como un grupo de puertos respaldados
por VXLAN en el dvSwitch, con los puertos para la interfaz de puerta de enlace de servicios Edge y
las máquinas virtuales de vApp conectados a esa red. En este gráfico, las redes aparecen simplificadas
por motivos de clarificación, en la misma forma que las interfaces de puerta de enlace de servicios
Edge y las interfaces de máquina virtual en la Figura 14.
Aunque este ejemplo ilustra la separación de las redes VLAN detrás del acceso a WAN por tenant, en un
centro de datos del proveedor de servicios es probable que, en algún punto de la infraestructura, varias
VLAN de un mismo tipo y nivel de seguridad se enlacen de manera “troncal” en un solo vínculo. En ese
caso, no es necesaria la presentación por VLAN entre la capa de redes de vSphere (debajo del VDC del
proveedor) y la infraestructura del centro de datos que se muestra en la Figura 15. De manera similar a
un conmutador físico, un puerto de vínculo superior de dvSwitch puede transportar varias VLAN encapsuladas
en el único vínculo conectado mediante IEEE 802.1q. Para ello, cuando se está creando un grupo de
puertos de vínculo superior de dvSwitch, su tipo de VLAN se establece en “enlace troncal de VLAN”
como se muestra en la siguiente figura. Aquítambién puede configurarse el rango de VLAN permitido en
el enlace troncal.
Figura 16. Configuración de un enlace troncal de VLAN para un grupo de puertos de vínculo
superior de dvSwitch
En la siguiente figura, se muestra un ejemplo de dónde puede aplicarse esta configuración. En este
ejemplo, el proveedor de servicios presenta el acceso a WAN conectando el enrutador en el servidor
Edge del proveedor (Provider Edge, PE) de MPLS a la plataforma de vCloud Director. El enrutador de PE
presenta el VRF de VPN WAN de cada cliente ante una subinterfaz en una conexión troncal, cuyo otro
extremo se conecta al tenant de vCloud Director del cliente y, así, cierra su puerta de enlace de servicios
Edge. De forma similar, se pueden cerrar varias conexiones del enrutador de CE de WAN del cliente en
los puertos de acceso etiquetados con VLAN de un conmutador de “agrupación”, cuyo vínculo superior
luego envía las conexiones troncales a la puerta de enlace de servicios Edge de cada tenant.
Figura 17. Conexión con enlace troncal de varias redes externas a un entorno de vCloud Director
Esta técnica también puede aplicarse a varias redes de Internet VLAN independientes donde cada una
se presenta ante un firewall de cliente independiente en el centro de datos, o bien donde los servicios
con ubicación conjunta de varios clientes se enlazan de manera “troncal” en el entorno de vCloud
Director mediante conexiones compartidas de ancho de banda alto.
La cantidad de dvSwitches utilizados para enviar estos grupos de puertos respaldados por VLAN
depende de una serie de consideraciones de diseño, entre ellas, la cantidad de adaptadores de red física
en el host ESXi. En los hosts con un solo par de adaptadores, todas las VLAN deben enlazarse de
manera troncal con el mismo grupo de puertos de vínculo superior (como se muestra en el rango de la
Figura 16 ). En el caso de un host con varios adaptadores o con adaptadores que pueden simular varios
adaptadores a vSphere (por ejemplo, algunos servidores blade), pueden crearse dvSwitches para
separar, por ejemplo, el tráfico de administración, de Internet y de WAN. Para facilitar la configuración
cuando sea posible, puede preasignarse un rango de identificadores de VLAN para “vínculos superiores
de WAN” y, a medida que se incorpora cada tenant, se les asigna el siguiente identificador del rango. El
grupo de puertos de vínculo superior se crea con el rango específico configurado y el grupo de puertos
para cada “red externa” del nuevo tenant configurado con el identificador de VLAN específico del rango.
Cuando no se produce una cobertura ubicua de capa 2 a través del arrendamiento informático completo,
la ubicación de puertas de enlace de servicios Edge del tenant en los recursos informáticos con acceso a
la conectividad externa requerida se convierte en un desafío. vCloud Director ofrece cierta asistencia, ya
que su motor de ubicación implementa máquinas virtuales Edge en clústeres según la conectividad
VLAN. La presentación de las VLAN directamente en un subconjunto de bastidores (por lo general, al
menos dos para resistencia) garantiza que las puertas de enlace de servicios Edge solo se implementen
en esos clústeres debido a su disponibilidad de VLAN. Sin embargo, vCloud Director también podrá
aprovisionar cargas de trabajo normales a esos mismos clústeres debido a la disponibilidad de las redes
de tenants requeridas para la conectividad en dirección sur de las mismas puertas de enlace de servicios
Edge. Por este motivo, los clústeres con conectividad externa en este modelo se conocen como
clústeres Edge/informáticos combinados.
Hay una serie de modelos alternativos para ubicar las puertas de enlace de servicios Edge en “clústeres
de Edge” independientes sin cargas de trabajo de tenants, cada una de las cuales conlleva su propia
complejidad y sobrecarga operativa. Aún rigen los principios descritos anteriormente en esta sección,
pero deben aplicarse sobre la opción del clúster Edge elegida por el proveedor. Las opciones se
describen más detalladamente en Arquitectura de la solución VMware vCloud Director para proveedores
de nube de VMware (sección 6.3.2). Consulte la sección 7, Referencias para obtener más información.
A las interfaces de la puerta de enlace de servicios Edge y los dispositivos ascendentes se les asignan
direcciones desde la subred asignada a la red externa; el resto queda disponible para usarlas con las
direcciones NAT de entrada o salida asignadas a las máquinas virtuales dentro del VDC de organización
del cliente. Este proceso se examina en detalle en la sección 5.4, Subasignación de direcciones de red
externa.
Aunque este modelo simplifica la configuración de red del proveedor de servicios, puede presentar
problemas para el cliente, dado que algunas aplicaciones no pueden tolerar la NAT y o bien no funcionan,
o bien se requieren pasos adicionales para solucionar los problemas provocados por NAT. Debido a que
los rangos asignados a las redes de VDC de organización están ocultos detrás de las direcciones NAT,
las direcciones reales de las máquinas virtuales y los IP virtuales (VIP) no necesitan intercambiarse con
los dispositivos WAN ascendentes. Las direcciones que se utilizan para NAT proceden de los rangos
asignados a las redes que conectan directamente los dispositivos WAN a la puerta de enlace de servicios
Edge. Por lo tanto, los dispositivos WAN aprenderán los rangos de NAT como redes “conectadas” y, a
continuación, pueden distribuir esas direcciones a sus conexiones ascendentes según sea necesario.
En estos casos, incluso si el cliente proporciona tanto las direcciones de red de VDC de organización
como el rango NAT, su configuración es efectivamente idéntica a la que se describe en la sección 5.1.1,
Direcciones administradas por el proveedor de servicios, salvo que es posible que se superpongan con
direcciones utilizadas por otro tenant o el entorno de administración del proveedor.
Los flujos de trabajo que, ya sea en la incorporación de tenants o como una acción de “Día 2”, crean
nuevas redes de VDC de organización deben asignar nuevas subredes de direcciones a esas redes.
Para ello, el cliente requiere un esquema de direcciones IP a partir del cual se asignarán direcciones
para su uso dentro de las redes administradas en vCloud Director. Como se muestra en la siguiente
figura, vCloud Director genera un mensaje de error si se solicita una red con un rango de direcciones que
se superponen. El cliente o el proveedor que crea la red debe tener acceso a una asignación de subred
adecuada para solucionar el mensaje de error.
Figura 19. Mensaje de error provocado por aprovisionar un rango de direcciones superpuestas
Existe una serie de técnicas para asignar direcciones a partir de un esquema más grande. En algunos
casos, cada subred de la red debe solicitarse al propietario del esquema en el lugar de aprovisionamiento. En
otros casos, el propietario del esquema del cliente asigna un rango mayor de “superredes” de direcciones
para su uso en el entorno del proveedor. Esto permite delegar la administración al proveedor de servicios
si se proporciona un servicio de administración o al propietario de la solución del cliente responsable de
las cargas de trabajo en los VDC de organización de vCloud Director.
En esta figura, se muestra el aprovisionamiento de una nueva máquina virtual “VM6” en una red llamada
“172.18.2.0_24”. Debido a que se está aplicando el método predeterminado de selección y asignación de
direcciones “Grupo de direcciones IP estáticas”, se elegirá una dirección de un grupo asignado a la red
(consulte la siguiente figura).
Figura 21. Configuración de grupo de direcciones IP estáticas de red de VDC de organización
A menos que esté habilitado el flujo de trabajo de redes mejorado en la página “Configurar redes” del
cuadro de diálogo de aprovisionamiento de vApp (consulte la siguiente figura), Grupo de direcciones IP
estáticas es la única opción disponible en la pestaña Especificaciones de red de la configuración de la
máquina virtual que se muestra en la Figura 21.
Figura 22. Habilitación del flujo de trabajo de redes mejorado
Hay una serie de puntos para tener en cuenta sobre la asignación manual de direcciones, incluidas las
siguientes:
La dirección introducida manualmente se valida con la subred de la red y si la dirección está fuera de
la red asignada a la red, se produce un error.
Una dirección introducida manualmente no se valida con otras asignaciones de direcciones que ya
se encuentran en la red, pero síse le realiza un seguimiento. En el cuadro de diálogo Asignaciones
de IP, se muestra cuáles de las máquinas virtuales se configuraron con las mismas direcciones,
siempre que se hayan configurado a través de vCloud Director, ya sea mediante la interfaz de
usuario o la API. Sin embargo, también debe tenerse en cuenta que vCloud Director no encenderá
una máquina virtual con una dirección IP duplicada mientras que esté haciendo el seguimiento (o
esté al tanto de él) de ambas asignaciones de la dirección.
Si la dirección asignada proviene de un rango que ya tiene asignado un grupo de direcciones IP en la
red, se guarda la asignación y el uso del espacio de direcciones de red se actualiza para reflejar la
dirección recién asignada.
Si la dirección se asigna desde la subred configurada en una red, pero no desde un grupo de
direcciones IP de esa red, se guarda la asignación, aunque no se calcula el porcentaje de uso para
esa red.
Una vez que hay direcciones con seguimiento en uso en una red, no es posible asignar un grupo de
direcciones IP que contiene esas direcciones. No obstante, es posible crear varios grupos “en torno”
y “entre” ellas, pero los porcentajes de uso solo se calculan para los grupos de direcciones IP y no
para la subred completa.
La asignación manual de direcciones IP a las máquinas virtuales dentro de vCloud Director también
permite completar la flexibilidad, pero da por sentado que un usuario (o una llamada API) que elige la
asignación manual tiene una razón para hacerlo y es consciente de las consecuencias. Con la
personalización de invitado habilitada, la máquina virtual se configurará con la dirección IP especificada
que, si es incorrecta, podría causar problemas de servicio. La asignación manual de direcciones IP es útil,
por ejemplo, cuando la máquina virtual debe tener su dirección IP establecida sin la ayuda de la
personalización de invitado, pero el administrador desea realizar un seguimiento de la dirección utilizada
dentro de vCloud Director. Una asignación manual estática proporciona que se actualice la base de
datos de vCloud Director incluso si la dirección de la máquina virtual luego se debe establecer
directamente mediante el SO invitado.
Cuando una máquina virtual está configurada para usar DHCP a fin de obtener una dirección IP, se
requiere un servidor DHCP en la red a la que está conectado, o bien un “asistente” o “proxy” DHCP en la
red, que pueda enviar la solicitud de la máquina virtual para una asignación de direcciones a una entidad
en un red remota. vCloud Director no puede hacer el seguimiento del uso de la dirección cuando se
utiliza DHCP, pero es posible asignar parte del espacio de direcciones de una red de VDC de organización
a un grupo de direcciones IP (al que se le realizará el seguimiento) y parte a un ámbito DHCP (sin
seguimiento). Esto puede resultar útil en situaciones donde, por ejemplo, una parte de una pila de
aplicaciones es relativamente estática y el resto se amplía dinámicamente según sea necesario. La parte
estática debería utilizar un grupo de direcciones IP y las direcciones específicas asignadas a las cargas
de trabajo temporales deberían usar DHCP, debido a que no son significativas.
servicios Edge del tenant están conectadas directamente a la red y tienen sus direcciones de interfaz
asignadas de .201 en adelante. Esto permite que se les asigne aproximadamente a 50 tenants una
dirección de puerta de enlace de servicios Edge del resto de las direcciones superiores en la subred.
Con 50 tenants y la puerta de enlace de salto siguiente asignada desde las direcciones de la subred /24,
la red “roja” aún tiene todas las direcciones de .1 a .200 disponibles para que los clientes utilicen los
servicios que desean que sean accesibles desde Internet. Estas direcciones pueden asignarse a los
clientes en rangos de cualquier tamaño determinado mediante un método denominado “subasignación”.
Consulte la sección 5.4, Subasignación de direcciones de red externa para obtener más información
sobre el proceso de subasignación. Cada tenant también debe tener la dirección de la interfaz de su
puerta de enlace de servicios Edge que le fue subasignada para que también se utilice para servicios de
tenant. Consulte la sección 5.3.3, Acceso saliente a Internet para obtener información sobre el uso de la
dirección de la interfaz para acceso saliente a Internet.
número de “puerto” de UDP cambian a un número seleccionado de forma aleatoria cuyo valor se rastrea
en una tabla de conexión para permitir que el dispositivo envíe la mitad entrante de la conexión al host
de origen correcto. Dado que cambian tanto la dirección IP de origen como la dirección del puerto del
protocolo de capa siguiente, esta versión de NAT se suele conocer como “puerto NAT” (Port NAT, PNAT)
o, más habitualmente, como “traducción de direcciones de puerto” (Port Address Translation, PAT).
En la siguiente figura, se vuelve a mostrar el diagrama de NAT de la Figura 18, pero esta vez se analizan
las conexiones salientes.
Figura 26. Traducción de direcciones salientes (SNA/PAT)
Como se indica en la sección 5.3.1, Red externa compartida de estructura jerárquica, la puerta de enlace
de servicios Edge debe tener su dirección de interfaz subasignada a símisma para que pueda usarse la
dirección para la PAT saliente.
vCloud Director presenta el concepto de “subasignación de direcciones”. Para que una puerta de enlace
de servicios Edge pueda consumir direcciones en una red externa (que no sean su dirección de interfaz
asignada), primero se le debe subasignar un rango de direcciones. Este es un proceso de dos etapas.
En primer lugar, la asignación de la subred de la red externa se realiza en el cuadro de diálogo de
propiedades Redes externas, como se muestra en la siguiente figura.
Figura 27. Asignación de direcciones IP de red externa
Luego, una vez que la red externa tiene al menos un grupo de direcciones IP asignado, el grupo puede
ser subasignado a las puertas de enlace de servicios Edge conectadas. La subasignación se realiza en
la configuración de la puerta de enlace de servicios Edge como se muestra en la siguiente figura.
Figura 28. Subasignación de direcciones de red externa
El primer intercambio de enrutamiento en esta figura es el anuncio de la subred interna F/W del tenant 4
a la puerta de enlace de salto siguiente de la red externa de Internet compartida. Esto es necesario
debido a que la red interna F/W no está conectada directamente a la red compartida de Internet y, de lo
contrario, sería inaccesible. La elección del protocolo de enrutamiento utilizado entre el firewall dedicado
y el enrutador ascendente depende de varios factores, aunque, por lo general, sigue la norma establecida
del proveedor de servicios. Algunos proveedores de servicios no ejecutan protocolos de enrutamiento
dinámico en firewalls físicos como medida de seguridad. Si este fuera el caso aquí, debería configurarse
una ruta estática en el enrutador de Internet compartido que dirija el tráfico a la subred interna F/W a
través de la dirección “.204” en la red conectada y compartida. De forma similar, el firewall dedicado
necesitará que su puerta de enlace predeterminada esté configurada en la dirección “.254” del enrutador
ascendente.
El segundo intercambio de enrutamiento sería el anuncio de la subred de Internet compartida (en este
ejemplo, 100.64.67.0/24) al enrutador de Internet de salto siguiente o ascendente del centro de datos del
proveedor. Por lo general, esto se lleva a cabo mediante el protocolo de puerta de enlace de borde (BGP)
y el sistema autónomo (AS) relativo dentro del cual los dos enrutadores determinarán si se trataría de un
BGP interno (iBGP) o un BGP externo (eBGP). Una vez que el enrutador de Internet compartido establece
una relación de emparejamiento con su vecino ascendente (2), anuncia la disponibilidad de la subred
conectada de Internet compartida y la subred interna F/W, que conoce a través del proceso de enrutamiento
dinámico o estático en (1).
Aunque no se señaló de forma explícita anteriormente, es posible que un cliente utilice direcciones de
Internet registradas en una red de VDC de organización. Estas pueden ser un rango asignado por su
proveedor de servicios o un rango de direcciones independientes de proveedor (Provider Independent
Address, PIA) que el cliente ya posee. Para ilustrar esto, la red web habitual en el VDC de organización
del tenant 1 en la siguiente figura se reemplazó por una red enrutada de “DMZ”. Aunque no aparece, la
red consistiría de direcciones de un rango de direcciones de red pública de Internet, con la interfaz de la
puerta de enlace de servicios Edge que consume una dirección y las direcciones utilizables restantes
asignadas a un grupo de direcciones IP para la asignación a vApps conectadas a la red.
Figura 30. Red de VDC de organización de la DMZ enrutada
proveedor, es probable que, en entornos WAN de clientes, las direcciones se superpongan entre los
clientes. Por este motivo, incluso cuando el proveedor garantiza que las direcciones en el centro de
datos son únicas, la necesidad de enrutar de forma exclusiva el tráfico hacia y desde las direcciones
WAN no exclusivas significa que deben mantenerse tablas de enrutamiento independientes para cada
tenant.
Uno de los casos donde esto no es necesario es cuando el proveedor utiliza direcciones registradas de
la red pública de Internet en la capa NAT de la red externa, que oculta completamente las direcciones de
red de VDC de organización del tenant y solo proporciona acceso externo a través de la red pública de
Internet. En este caso, tanto las direcciones (NAT) del tenant como las direcciones de conexión remota
son globalmente exclusivas, y se pueden compartir un enrutamiento único y una tabla de reenvío entre
todos los clientes utilizando los mismos mecanismos que se describen en la sección anterior.
Las direcciones del cliente que se superponen están separadas por las redes de VDC de organización
cuyo respaldo por VXLAN crea la misma separación de capa 2 que las redes tradicionales respaldadas
por VLAN. Las direcciones que se superponen pueden, por lo tanto, entrar en conflicto si las redes
separadas se conectaran luego a dispositivos compartidos de enrutamiento. En los ejemplos que se
utilizan en este documento, cada VDC de organización del tenant tiene una puerta de enlace de servicios
Edge dedicada y está conectada a la WAN del cliente respectivo a través de una red externa discreta de
vCloud Director. Por lo general, esta red respaldada por VLAN finaliza en un enrutador dedicado de CE
de WAN por tenant o un enrutador compartido de PE de estructura jerárquica en los que cada VLAN se
asigna internamente a un VRF por tenant (como se describe en la sección 4.2, Redes del centro de
datos de estructura jerárquica de vCloud Director en vSphere). La puerta de enlace de servicios Edge, el
enrutador de CE o el VRF de PE mantienen tablas de enrutamiento independientes, lo que permite que
cada cliente use direcciones idénticas dentro de sus organizaciones de tenants sin afectar a otros
tenants.
Figura 31. Emparejamiento del enrutador WAN por tenant
En esta figura, se muestra el emparejamiento entre cada puerta de enlace Edge de VDC de organización
del tenant y el enrutador de acceso WAN del cliente. La puerta de enlace de servicios Edge anuncia al
enrutador de acceso WAN las redes de VDC de organización a las que está conectada directamente, y
desde allílas anuncia al resto de la WAN del cliente. También se anuncian a su WAN las nuevas redes
de VDC de organización creadas por el proveedor de servicios o el cliente y que estén conectadas a su
puerta de enlace de servicios Edge correspondiente. Debido a que la puerta de enlace de servicios Edge,
por lo general, usa la ruta predeterminada hacia Internet, debe obtener los rangos de direcciones en uso
en la WAN para llegar a esos destinos. Para hacerlo, sea emplea el mismo protocolo de enrutamiento
que se utiliza para anunciar las redes de VDC de organización a la WAN, pero en la dirección opuesta.
La puerta de enlace de servicios Edge admite los protocolos de enrutamiento OSPF y BGP, que se
pueden utilizar para sistemas del mismo nivel con un enrutador de acceso WAN.
6 Consideraciones comerciales
6.1 Autoservicio o servicio administrado
Los proveedores de servicios administrados de VMware han sido responsables de gran parte de la
configuración y la administración continua de las soluciones de sus clientes. Las oportunidades de
servicios de valor agregado durante el ciclo de vida de una solución han permitido que los proveedores
diferencien sus ofertas en función de sus áreas de experiencia. En algunos casos, los servicios de nube
con niveles más altos de automatización y estandarización pueden restringir oportunidades de
diferenciación.
Utilizar vCloud Director para ofrecer acceso directo a los clientes con el fin de administrar su configuración
de tenant no excluye que un proveedor de VMware Cloud pueda ofrecer servicios adicionales para
proporcionar diferenciación. Aunque esté fuera del alcance de este documento, el control de acceso
basado en funciones (Role-Based Access Control, RBAC) dentro de vCloud Director permite el control
detallado del acceso a muchas de las capacidades dentro de la interfaz de usuario de vCloud Director2.
Sin embargo, como se mencionó anteriormente, restringir la capacidad de los clientes de administrar los
cambios por cuenta propia puede verse como una limitación de la plataforma. Para maximizar los
beneficios de los clientes sin perder la capacidad de los proveedores de diferenciarse, vCloud Director
permite que tanto el proveedor como el cliente accedan a la solución a través de la misma interfaz.
Gracias a esto, los cambios realizados por cualquiera de las partes se aplican de forma coherente y se
reduce el riesgo de que el cliente afecte negativamente una solución que es responsabilidad del
proveedor dentro de un acuerdo de nivel de servicio.
La capacidad tanto para el proveedor como para el cliente de administrar la misma solución es
particularmente útil dentro de la parte de servicios de redes de un servicio de proveedor. Allí, los clientes
pueden tener habilidades internas para administrar las aplicaciones de negocios que residen en la
plataforma del proveedor, pero pueden no tener habilidades de seguridad o redes para configurar una
política de firewall de microsegmentación distribuida compleja. De forma similar, si el cliente desea
aprovechar el equilibrio de carga de NSX Edge, aunque comprenda los requisitos de equilibrio de carga
de sus aplicaciones, puede preferir que el proveedor de servicios sea responsable de adquirir, instalar y
administrar los certificados SSL para los mismos servicios.
Figura 32. Administrar certificados en la puerta de enlace de servicios Edge
El cuadro de diálogo de administración de certificados de vCloud Director puede ser bastante sencillo
para los ingenieros de entrega de contenido que comprenden las solicitudes de firma y las listas de
revocación, pero los clientes pueden estar dispuestos a pagar por esa experiencia de parte de su
proveedor de VMware Cloud.
2
La mayoría de los permisos de usuario se administran a través de la interfaz de usuario de vCloud Director, pero
algunos, especialmente los relacionados con las redes avanzadas y el firewall distribuido, deben administrarse
mediante la API de vCloud Director. Consulte la sección Referencias para obtener más información.
Si bien es solo un ejemplo, la administración de certificados SSL muestra que, con el simple hecho de
proporcionar acceso de cliente para administrar una parte de su servicio, el proveedor no descarta la
oferta de administrar los mismos servicios para su cliente. Incluso si un cliente intenta y no logra
configurar un elemento de su servicio por cuenta propia, el proveedor sabe que podrá acceder a la
configuración fallida a través de la misma interfaz que el cliente utiliza, ayudar al cliente a corregir el error
o asumir todo el control y completar la implementación en nombre del cliente. En cualquier caso, se
garantiza la satisfacción del cliente mediante la oferta de autoservicio, servicio de soporte o servicio
administrado, según sea necesario.
3
Comparación de paquetes de productos mediante la guía de uso de productos VMware vCloud Air Network de T2
CY2017
Figura 33. Centro de datos de proveedores de servicios de nube con opciones de licencias por
tenant
En esta ilustración, el tenant 1 y el tenant 3 utilizan la puerta de enlace de servicios Edge en el modo
VMware vCloud Networking and Security™ y las redes lógicas VXLAN. Estas funciones, junto con
vCloud Director, se encuentran disponibles en el paquete de 7 puntos “Advanced”. El tenant 2 utiliza la
función de firewall distribuido que requiere NSX-SP Advanced, para el cual, a su vez, se requiere el
paquete de 9 puntos “Advanced with Networking”. Por otro lado (aunque no se muestra en el diagrama),
el tenant 4 utiliza funciones para las que se requiere NSX-SP Enterprise y el paquete de 12 puntos
“Advanced with Networking and Management”.
Es importante tener en cuenta que no se consumen puntos adicionales cuando el proveedor de servicios
pone a disposición las funciones en una ubicación determinada. El aumento en el consumo de puntos
solo se produce cuando el cliente de un proveedor de servicios adquiere servicios adicionales, lo que
también implica un aumento de los ingresos del proveedor de servicios.
7 Referencias
En la siguiente tabla, se detalla información adicional relacionada con este documento y sus temas.
En esta figura, se muestra la capa de vSphere en el análisis de redes de tenant de la sección 4.1, Redes
de tenant con la red externa de vCloud Director resaltada. En este ejemplo, se creará una nueva conexión
WAN entre el entorno de vSphere detrás del centro VDC de proveedor en el que se configuraron el centro
VDC de la organización de tenant y su puerta de enlace de servicios Edge. En la siguiente tabla, se
enumeran los detalles de la red nueva.
Pasos de la configuración
1. Cree el nuevo grupo de puertos distribuido respaldado por VLAN en la instancia de vCenter Server
del PVDC para conectar la red VLAN de acceso WAN (ya configurada dentro de la infraestructura de
red del centro de datos) con el conmutador vSphere dvSwitch.
3. Una vez que el nuevo grupo de puertos de DV se encuentre disponible en vCenter Server, se podrá
agregar como una red externa nueva dentro de vCloud Director. En la vista Redes externas de la
pestaña Administrar y supervisar de vCloud Director, haga clic en el icono verde con el signo “más”
para abrir el cuadro de diálogo Agregar red.
4. En el cuadro de diálogo Agregar red, seleccione la instancia de vCenter Server para mostrar las
redes de vSphere disponibles y seleccione la nueva red ACME_1_WAN con la red VLAN correcta a
su lado.
5. Cuando la red se muestre en la tabla inferior, haga clic en Siguiente para continuar.
6. A continuación, configure los detalles de direccionamiento IP de la nueva red. Gracias a esto, vCloud
Director puede conocer la dirección de puerta de enlace en el enrutador de CE WAN y el rango de
direcciones en la red nueva que puede asignar.
En este ejemplo, el grupo de direcciones que vCloud Director puede asignar se limita a las direcciones
entre 172.16.11.1 (que se utilizará para la dirección de la interfaz de Edge en un paso posterior) y
172.16.11.199. Es posible agregar al rango direcciones de 172.16.11.200 a 253, pero se retienen
para que el proveedor pueda liberar el resto y ofrecer asistencia en la expansión si el cliente se
queda sin direcciones.
7. Otorgue un nombre y una descripción a la red externa y haga clic hasta completar el cuadro de
diálogo para terminar de agregar la nueva red externa.
8. Las redes externas no se confinan a una sola organización dentro del VDC de proveedor con la instancia
de vCenter Server donde se configuraron. El proveedor de servicios debe, entonces, tener cuidado con el
siguiente paso para presentar la nueva red externa a la puerta de enlace de servicios Edge requerida. En
el menú Acciones de la puerta de enlace de servicios Edge, seleccione Propiedades.
9. En la pestaña Configurar redes externas del cuadro de diálogo Propiedades de la puerta de enlace
de servicios Edge, seleccione la nueva red externa de la lista en la tabla superior de redes
candidatas y haga clic en Agregar para copiar la red en la tabla inferior de redes conectadas.
10. En la pestaña Configurar valores de IP, seleccione el enlace Cambiar asignación de IP en la fila
de la red externa nueva para asignar manualmente la dirección.
12. Si la nueva red será la ruta predeterminada de la puerta de enlace de servicios Edge, se debe
seleccionar la red externa en la pestaña Configurar puerta de enlace predeterminada. Debido a
que la red queda seleccionada, la puerta de enlace predeterminada configurada en el paso 6 debe
aparecer en la columna derecha. Tras finalizar los cambios, haga clic en Aceptar para cerrar el
cuadro de diálogo.
13. Una vez completada la configuración de la infraestructura, la puerta de enlace de servicios Edge
puede requerir cambios adicionales para agregar rutas estáticas adicionales y configurar el
emparejamiento a través de la nueva red, las reglas de firewall o las entradas NAT. Estos cambios
de configuración se realizan mediante la opción Servicios de puerta de enlace Edge del menú
Acciones de la puerta de enlace.
14. A continuación, se configuran las opciones en una pestaña nueva mediante la interfaz HTML5.