ВДЦ и сети - Руководство администратора PDF

Облако De Novo: виртуальные датацентры, сети
и сетевые сервисы
Руководство администратора (TS 8.2)
Редакция: 10 ноября 2017 г. 14:06
 De Novo 2017
Облако De Novo: виртуальные датацентры, сети и сетевые сервисы
 De Novo 2012-2017
Распространение данного документа или его части в любой форме и любым способом
без письменного разрешения компании De Novo не допускается
Содержание
Содержание ....................................................................................................................... 3
1. Термины и определения............................................................................................ 5
2. Обзорная информация .............................................................................................. 7
3. Виртуальный датацентр: базовые процедуры администрирования................. 8
3.1. Начальная настройка Organization .................................................................... 9
3.2. Параметры и степень утилизации vDC ........................................................... 10
3.3. Администрирование vApp ................................................................................ 11
3.3.1. Создание vApp ...................................................................................... 12
3.3.2. Настройка и реконфигурация vApp ...................................................... 17
3.3.3. Управление состоянием vApp .............................................................. 18
3.3.4. Копирование и перемещение vApp ...................................................... 19
3.3.5. Управление мгновенным снимком (snapshot) vApp............................. 19
3.3.6. Удаление vApp ...................................................................................... 21
3.4. Администрирование виртуальных машин (VM) .............................................. 21
3.4.1. Создание и конфигурирование VM ...................................................... 21
3.4.2. Параметризация гостевой ОС .............................................................. 28
3.4.3. Управление состоянием VM ................................................................. 29
3.4.4. Подключение образов CD/DVD к VM ................................................... 30
3.4.5. Доступ к локальной консоли VM........................................................... 31
3.4.6. Подключение VM к сетям ..................................................................... 31
3.4.7. Копирование и перемещение VM......................................................... 32
3.4.8. Увеличение размера дисков и смена профиля хранения................... 32
3.4.9. Управление мгновенным снимком (snapshot) VM ............................... 33
3.4.10. Affinity и Anti-Affinity правила ................................................................ 36
3.4.11. Удаление VM ......................................................................................... 37
3.5. Класс обслуживания Platinum: расширенные возможности........................... 38
3.5.1. Аппаратная поддержка вложенных гипервизоров (nested
virtualization)........................................................................................... 38
3.5.2. Услуга Platinum-Host ............................................................................. 40
3.6. Класс обслуживания Turbo: назначение и ограничения................................. 41
3.7. Расширенные возможности ............................................................................. 41
3.7.1. Пользователи и роли ............................................................................ 41
3.7.2. Лимиты и квоты ..................................................................................... 42
3.7.3. Каталоги ................................................................................................ 42
3.7.4. Создание шаблонов vApp ..................................................................... 43
4. Виртуальный датацентр: управление сетями и сетевыми устройствами ...... 44
4.1. Концепция сетей Облака ................................................................................. 44
4.2. Базовая сетевая инфраструктура ................................................................... 46
4.3. Сети OrgNet ...................................................................................................... 46
4.4. Сетевое устройство Edge Gateway ................................................................. 48
4.4.1. DHCP-сервер......................................................................................... 49
4.4.2. Трансляция IP-адресов (NAT) .............................................................. 50
4.4.3. Межсетевой экран (firewall) .................................................................. 52

4.4.4. Статическая маршрутизация (Static Routing) ...................................... 53
4.4.5. Site-2-Site VPN....................................................................................... 54
4.4.6. Балансировщик нагрузки (Load Balancer) ............................................ 57
4.5. Сетевое устройство Edge Gateway - расширенный режим ............................ 61
4.5.1. Общие настройки Edge Gateway Advanced ......................................... 62
4.5.2. Межсетевой экран ................................................................................. 63
4.5.3. DHCP сервер. ........................................................................................ 68
4.5.4. Трансляция IP адресов (NAT). ............................................................. 73
4.5.5. Статическая маршрутизация (Static Routing). ..................................... 77
4.5.6. Наборы объектов (Grouping objects) .................................................... 79
4.5.7. Site-2-Site VPN....................................................................................... 81
4.5.8. Балансировщик нагрузки (Load Balancer) ............................................ 84
4.5.9. Клиентский SSL-VPN ............................................................................ 91
4.5.10. Управление SSL-сертификатами ....................................................... 106
4.6. Сети vAppNet .................................................................................................. 107
4.6.1. Создание и настройка......................................................................... 107
4.6.2. Подключение к OrgNet ........................................................................ 108
4.6.3. Настройка сервисов vShield Edge ...................................................... 109
4.6.4. Удаление ............................................................................................. 111
4.7. Презентация виртуальных машин в сеть Интернет ..................................... 111
4.7.1. Использование Edge Gateway как граничного сетевого устройства 111
4.7.2. Использование выделенной VM как граничного сетевого
устройства ........................................................................................... 111
4.7.3. Методы эффективного использования внешних IP-адресов при
использовании Edge Gateway. ........................................................... 112
4.8. Virtual Cisco ASA ............................................................................................. 113
5. Порядок обращения в службу технической поддержки ................................... 115
1. Термины и определения
Облако De Novo (H/G-Cloud) – программно-аппаратный комплекс, в

основе которого лежат технологии виртуализации и автоматизации.
Основным продуктом Облака являются облачные датацентры
(виртуальные частные облака).
CloudAdmin – сотрудник De Novo, выполняющий функции

администратора Облака.
Organization – логический контейнер, объединяющий выделенные

Заказчику облачные датацентры, учетные записи, шаблоны vApp и
другие объекты облачной инфраструктуры. Organization можно
рассматривать как виртуальное частное облако.
OrgAdmin – сотрудник Заказчика, ответственный за системное

администрирование Organization и облачных датацентров.
Пользователь (user) – администратор приложения, развёрнутого в

облачном датацентре. Является членом одной из групп.
Виртуальный датацентр (vDC) – это набор ресурсов определенного

типа, выделенный Заказчику и пригодный для создания различных
прикладных ландшафтов в виде множества виртуальных машин (VM),
объединенных в требуемую логическую архитектуру.
CloudNet – это внутренняя служебная сеть Облака. OrgAdmin может

использовать ее для следующих целей:
§ Создание IPSec VPN-туннеля между собственным ЦОД и vDC с использованием

Интернет как транспортной среды.
§ Подключение vDC к системным и прикладным сервисам Облака (KMS-активация
продуктов Microsoft, объектное хранилище S3/swift и подобным).
vApp – логический контейнер, содержащий одну или нескольких VM,

которые обрабатываются как одна логическая единица в процедурах
старта, остановки, копирования/перемещения и других. Основным
назначением создания vApp является группировка VM, совместно
поддерживающих какой-либо ИТ-сервис.
OrgNet – сеть, используемая для взаимодействия VM и vApp в

пределах Organization и/или для доступа к внешним сетям. OrgNet
создается и конфигурируется OrgAdmin. Organization может содержать
множество OrgNet.
vAppNet – сеть, используемая для взаимодействия VM в пределах

vApp. vAppNet создается и конфигурируется OrgAdmin. vAppNet может
Термины и определения 5 из 116

быть изолированной и/или подключаться к OrgNet. vApp может

содержать множество vAppNet.
Edge Gateway – универсальное сетевое устройство , выполняющее

функции маршрутизатора, NAT-транслятора, VPN-терминатора,
межсетевого экрана (statefull firewall), DHCP-сервера, DNS-
ретратслятора и балансировщика нагрузки.
vApp Template (шаблон vApp) – предварительно настроенные vApp,

которые могут быть развёрнуты в vDC. При разворачивании vApp из
шаблона может быть выполнена его параметризация (customization).
Каталог (catalog) – библиотека шаблонов vApp и инсталляционных ISO

образов.
Термины и определения 6 из 116

2. Обзорная информация
Данный документ относится к технологическому стеку версии 8.2

(TS 8.2).
Детальная информация о характеристиках, моделях использования и

процедурах администрирования облачных сервисов De Novo
представлена в следующем наборе документов:
§ "Облако De Novo - Технико-коммерческое описание" - обзорное

техническое описание сервисного каталога, коммерческих условий
и моделей использования облачных сервисов.
§ "Облако De Novo - ВДЦ и сети - Руководство администратора" -
процедуры администрирования виртуальных датацентров и
сетевой инфраструктуры.
§ "Облако De Novo - СХД и СРК - Руководство администратора" -
процедуры администрирования облачных хранилищ данных,
сервисов резервного копирования (Backup) и послеаварийного
восстановления (Disaster Recovery).
§ "Облако De Novo - Техническая спецификация" - техническая
спецификация сервисов, условия использования и ограничения.
§ "Облако De Novo - Часто задаваемые вопросы" - часто
задаваемые вопросы по различным аспектам администрирования
и использования облачных сервисов.
Актуальные версии всех документов доступны на портале

пользовательской документации http://doc.cloud.de-novo.biz/ либо из
интерфейса управления vCloud Director Help → Support.
Обзорная информация 7 из 116

3. Виртуальный датацентр: базовые

процедуры администрирования
В целом, интерфейс vCloud Director является интуитивно понятным. На

большинстве экранов приведено описание используемых параметров и
рекомендации по их применению. Большинство интерфейсных
элементов имеют контекстное меню, доступ к которому осуществляется
правой кнопкой мыши.
Рис. 3.1.1 Контекстное меню vDC.
Рис. 3.1.2 Контекстное меню виртуальной машины.
Виртуальный датацентр: базовые процедуры администрирования 8 из 116

В данном и последующих разделах маршруты доступа к управляющим

экранам приводятся в виде "Вкладка → Пункт меню области
навигации → Интерфейсный элемент" (область навигации находится
в левой части экрана).
3.1. Начальная настройка Organization

Первоначальная настройка является необязательной процедурой. Для
ее выполнения необходимо проследовать по ссылке "Home → Set up
this organization".
Все параметры, которые устанавливаются в процессе начальной

настройки, можно в любой момент просмотреть и/или изменить в
закладке "Administration".
ШАГ 1. Полное название и описание Organization

Полное название Organization отображается на экране входа в vCloud
Director. Данный параметр задается H-Cloud Admin при создании
Organization и при необходимости может быть изменен OrgAdmin.
Описание является необязательным параметром и не влияет на

функциональность облачного датацентра.
ШАГ 2. Импорт пользователей и групп из внешнего

каталога
OrgAdmin может импортировать базу пользователей из существующего
LDAP-каталога, используемого в организации Заказчика. При
первоначальной настройке данный шаг рекомендуется пропустить.
Детальное описание процедур управления пользователями и группами
приведено в Разделе 3.7.1.
ШАГ 3. Создание локальных пользователей

При первоначальной настройке данный шаг рекомендуется пропустить.
Детальное описание процедур управления пользователями и группами
приведено в Разделе 3.7.1.
ШАГ 4. Настройки предпочтений SMTP-сервера и

оповещений
При первоначальной настройке рекомендуется оставить значения по
умолчанию.
ШАГ 5. Настройка системных политик

Системные политики включаются в себя параметры лизинга, квоты,
лимиты и политики паролей. При первоначальной настройке
рекомендуется оставить значения по умолчанию. Детальное описание
процедур управления системными политиками приведено в Разделе
3.7.2.

3.2. Параметры и степень утилизации vDC

Для просмотра свойств существующих vDC следует использовать путь
"Administration → Virtual Datacenters". При нажатии на кнопку "Monitor"
отображается текущий уровень использования выделенных ресурсных
пулов. При подведении курсора к графическому элементу отображается
дополнительная информация.
Рис. 3.2.1 Мониторинг использования ресурсов vDC.
ВАЖНО: Индикатор "Processor" отражает не текущее (мгновенное)

использование процессорных ресурсов, а минимальные ресурсы,
зарезервированные для работающих vCPU (см. ниже описание
параметра vCPU Speed). Реальное мгновенное потребление
процессорной мощности может колебаться от нуля и вплоть до лимита,
назначенного данному vDC. Практическая интерпретация показаний
индикатора "Processor" следующая:
§ менее 50% – все активные vCPU могут работать на максимальной

частоте одновременно, борьба за ресурсы отсутствует;
§ более 50% – в vDC может иметь место борьба за процессорные
циклы между vCPU;
§ около 100% – достигнуто максимальное количество активных
vCPU; запуск новых vCPU требует увеличения назначенного vDC
лимита процессорной мощности.
Доступ к окну свойств осуществляется из контекстного меню

интересующего vDC. На Рис. 3.2.2 приведен пример окна свойств vDC.

Рис. 3.2.2 Свойства vDC.
Отображаемые параметры имеют следующий смысл.
§ Allocation Model – модель выделения и резервирования ресурсов

для данного vDC; для классов обслуживания Silver/Gold
используется модель "Allocation Pool", для Platinum – "Reservation
Pool";
§ vCPU Speed – минимальная частота, резервируемая для каждого
работающего vCPU в условиях борьбы за процессорные ресурсы
внутри vDC; максимальная частота vCPU соответствует частоте
физического ядра и приведена в документе "Техническая
спецификация".
ВАЖНО: приведенное на вкладке описание "This value defines
what a VM with one vCPU will consume at maximum…" не
соответствует действительности – это не максимум, а минимум
частоты, которая резервируется для одного vCPU.
§ Storage Profiles – доступные для данного vDC типы дисков (Tier
A/B/C).
§ VM Quota – максимальное количество VM в данном vDC.
§ Network Quota – максимальное суммарное количество OrgNet и
vAppNet в данном vDC (сеть BaseNet в квоте не учитывается).
3.3. Администрирование vApp

vApp – логический контейнер, содержащий одну или нескольких VM,
которые обрабатываются как одна логическая единица в процедурах
старта, остановки, копирования/перемещения, создания snapshot и
других. Основным назначением создания vApp является группировка
VM, совместно поддерживающих какой-либо ИТ-сервис.

vApp состоит из одной или нескольких VM и набора параметров и

политик, управляющих поведением и жизненным циклом vApp, а также
его внутренних сетей (vAppNet).
Сети vAppNet создаются и конфигурируется OrgAdmin и используются

для взаимодействия VM в пределах vApp. vAppNet может быть
изолированной и/или подключаться к OrgNet. Использования vAppNet
не является обязательным – VM могут быть непосредственно
подключены к OrgNet.
3.3.1. Создание vApp

Для создания vApp следует использовать один из описанных ниже
методов.
Метод 1. Использование шаблона vApp из каталога

1. Перейти во вкладку "Catalogs" главного меню и выбрать
"Public Catalogs" либо "My Organization's Catalog" в области
навигации.
2. Перейти во вкладку "vApp Templates" и из контекстного меню

желаемого шаблона выбрать пункт "Add to MyCloud".

3. Указать желаемое название vApp. Рекомендуется использовать

название, отражающее назначение создаваемого vApp.
4. Выбрать vDC, в котором будет помещен vApp, указать имя для

каждой из VM, а также тип используемых дисков (Storage Profile).
ВАЖНО: имя VM является идентификатором VM только в
интерфейсе vCloud Director; hostname и/или windows name
указываются в параметрах VM и могут отличаться от имени VM.
ВАЖНО: тип дисков VM может быть изменен в последствии без
пересоздания и без остановки VM.

5. Указать сети, к которым следует подключить VM, а также hostname

(Computer Name).
ВАЖНО: конфигурирование или реконфигурирование сетевых
настроек можно будет выполнить позднее из экрана управления
свойствами vApp.
ВАЖНО: Computer Name (hostname) должно удовлетворять
ограничениям гостевой ОС.
6. После разворачивания vApp при необходимости можно указать

дополнительные настройки сети

§ Fence vApp – использовать L3-подключение с NAT целью

исключить конфликты IP-адресов с другими экземплярами данного
vApp; как правило, нет необходимости включать данную функцию;
§ Retain IP/MAC Resources – резервировать IP/MAC адрес
внутреннего интерфейса Edge Gateway, ассоциированного с
данной vAppNet, на все время существовать vApp (не имеет
смысла для типа подключения Direct).
Созданный vApp можно увидеть во вкладке "MyCloud" главного меню –

необходимо немного подождать, пока шаблон разворачивается.
Метод 2. Сборка vApp из отдельных VM

1. Использовать путь "My Cloud → vApps → Build new vApp".
2. Указать желаемое название для vApp. Рекомендуется

использовать название, отражающее назначение создаваемого
vApp.

3. Добавить одну или более VM из присутствующих в каталоге

шаблонов либо создав новые VM "с нуля" (подробнее см. раздел
3.4.1).
После создания необходимого количества VM необходимо нажать

кнопку Next, после чего можно будет указать vDC, в который будет
помещен vApp, а также тип дисков (Storage Profile) для каждой VM.

Дальнейшая настройка vApp такая же, как и при создании vApp из

шаблона, описанная в предыдущем разделе.
3.3.2. Настройка и реконфигурация vApp

Реконфигурация vApp требует его предварительной остановки. Данная
операция может быть выполнена из контекстного меню.
Основные параметры vApp можно просмотреть и изменить выбрав в

контекстном меню пункт "Properties".

§ Order – для vApp с несколькими виртуальными машинами

возможно настроить порядок старта VM. Остановка VM
производится в обратном порядке.
§ Start action – метод запуска виртуальных машин. По умолчанию
используется "Power On".
§ Boot Delay – задержка между запуском виртуальных машин.
§ Stop Action – метод остановки виртуальных машин. По умолчанию
используется "Power Off" ("аппаратное" выключение VM). При
выборе метода "Shutdown" перед выключением будет произведен
корректный останов гостевой ОС (требует наличие в гостевой ОС
VMware Tools).
§ Stop Delay – задержка между остановкой виртуальных машин.
Добавление и удаление VM, а также подключение их к сетям описано в

разделе 3.4.
3.3.3. Управление состоянием vApp

Пользователи могут запускать, останавливать, ставить на паузу и
сбрасывать vApp или отдельные виртуальные машины внутри vApp.
Все операции выполняются в контекстном меню требуемого vApp или
виртуальной машины. Все доступные vApp и VM находятся в панели
"My Cloud" в категориях "vApps" и "VM" соответственно.
§ Start – запускает все виртуальные машины в vApp. В случае если

некоторые VM были выключены после предыдущего запуска,
повторная инициация команды включает выключенные VM.
§ Stop – останавливает все виртуальные машины в vApp.
§ Suspend – сохраняет на диск текущее состояние памяти всех
виртуальных машин vApp и приостанавливает их работу.
§ Discard Suspended State – сбросить (инвалидировать) сохраненное
состояние памяти всех VM, которое было создано при постановке
vApp на паузу командой Suspend. Возобновление работы VM
(выход из состояния паузы) при этом становится невозможным.
§ Reset – "аппаратный" сброс всех VM в vApp.

3.3.4. Копирование и перемещение vApp

В панели "My Cloud" в меню "vApps" необходимо в контекстном меню
требуемого vApp выбрать команду "Move" или "Copy". В появившемся
окне необходимо выбрать из выпадающих списков целевой Virtual
Datacenter и, для каждой VM в vApp, целевой тип дисков (Storage
Profile).
3.3.5. Управление мгновенным снимком

(snapshot) vApp
Мгновенный снимок vApp позволяет сохранить состояние всех VM,
входящих в данный vApp, на текущий момент времени с возможностью
возврата vApp к этому состоянию в будущем.
ВАЖНО: vApp может иметь только один snapshot. Создание нового

snapshot уничтожит предыдущий.
Для создания мгновенного снимка необходимо в контекстном меню

требуемого vApp выбрать команду "Create Snapshot".
§ Snapshot the memory of virtual machine – при создании снимка

сохраняется также состояние памяти VM. При возврате к такому
snapshot VM будет восстановлена во включенном состоянии, при
этом сохранится вся информация, находившаяся в оперативной
памяти (например, файлы, которые еще не были сохранены на
диск).
ВАЖНО: При выборе данной опции может наблюдаться
приостановка работы VM на время до нескольких десятков секунд
(зависит от объема vRAM).
§ Quiesce guest file system – перед созданием снимка будет
инициирован сброс буферов файловых систем на диск.
приостановка работы VM на время до нескольких секунд (зависит
от текущей дисковой активности).

ВАЖНО: Создание мгновенной копии требует наличия свободного

пространства в дисковом ресурсном пуле в размере суммарного
объема дисков VM. Опция "Snapshot the memory of the virtual machine"
требует дополнительного дискового пространства в размере vRAM.
Для отображения наличия у vApp мгновенного снимка следует выбрать

опцию "Snapshot" в меню настройки столбцов в списке vApp.
Для восстановления из мгновенного снимка следует использовать

команду "Revert to Snapshot" из контекстного меню vApp. Все VM,
входящие в vApp, будут восстановлены к состоянию на момент
создания снимка. Если использовалась опция "Snapshot the memory of
the virtual machine" VM будут восстановлены в состоянии "Power on", в
противном случае – в состоянии "Power off".

Удалить ненужный snapshot можно командой "Remove snapshot" в

контекстном меню vApp. Кроме того, создание нового снимка
автоматически удаляет предыдущий.
3.3.6. Удаление vApp

Для удаления vApp необходимо:
1. Остановить vApp.
2. В контекстном меню vApp выбрать пункт "Delete".
3.4. Администрирование виртуальных машин

(VM)
Виртуальная машина – виртуальный сервер с установленной
операционной системой и требуемыми приложениями.
ВАЖНО: Ограничения на конфигурацию VM и список поддерживаемых

операционных систем приведен в документе "Техническая
спецификация".
3.4.1. Создание и конфигурирование VM

Виртуальная машина всегда является частью vApp (при этом vApp
может содержать одну или более VM). Для добавления VM в vApp
следует перейти во вкладку "My Cloud", далее выбрать необходимый
vApp, перейти в нем во вкладку "vApp Digram" и использовать кнопку
"Add VM".
Наиболее простой и удобный способ создания VM – использование

одного из шаблонов из локального или публичного каталога.

Тем не менее, можно создать виртуальную машину "с нуля" (кнопка

"New Virtual Machine").

§ Virtual Machine name – имя VM, которое будет отображаться в

интерфейсе vCloud Director.
§ Computer name – имя VM на уровне гостевой ОС (hostname,
netbios name).
§ Description – необязательное описание.
§ Virtual hardware version – версия аппаратного обеспечения VM.
Для ОС последних поколений рекомендуется указывать
последнюю доступную версию.
§ Operating System Family – семейство операционных систем.
§ Operating System – операционная система.
§ Number of CPU – количество виртуальных процессоров;
максимальное количество vCPU определяется классом
обслуживания (см. документ "Техническая спецификация").

§ Expose hardware-assisted CPU virtualization to guest OS – включить

поддержку вложенной виртуализации (возможность запуска
гипервизора) для данной VM (поддерживается только для
Platinum).
§ Memory – объем vRAM; максимальное количество vRAM
определяется классом обслуживания (см. документ "Техническая
спецификация").
ВАЖНО: желаемый объем vRAM можно выбрать из выпадающего
списка или ввести вручную. При указании объема обратите
внимание на используемые единицы измерения (MB/GB).
§ Hard disk size – объем первого (системного) диска.
ВАЖНО: желаемый объем диска можно выбрать из выпадающего
ВАЖНО: имеется возможность увеличения объема дисков VM в
будущем без пересоздания и выключения VM (при поддержке
данной возможности в гостевой ОС).
§ Bus type – тип контроллера диска.
ВАЖНО: рекомендуется использовать адаптер "Paravirtual SCSI"
(он обеспечивает повышенную производительность).
Использование данного адаптера требует наличия VMWare Tools.
§ Number of NICs – количество сетевых карт (дополнительные
сетевые карты могут быть добавлены по мере необходимости
позже).
Все общие настройки доступны во вкладке "General" виртуальной

машины в меню "VMs" панели "My Cloud".

§ Virtual Machine name – имя VM, которое будет отображаться в

интерфейсе vCloud Director.
§ Computer name – имя VM на уровне гостевой ОС (hostname,
netbios name).
§ Operating System Family – семейство операционных систем.
§ Operating System – операционная система.
§ VMware Tools – Версия VMware Tools
§ Virtual hardware version – версия аппаратного обеспечения VM.
Рекомендуется использовать последнюю доступную версию.

§ Virtual CPU hot add – включение возможности добавления

процессоров в VM без её выключения (требует поддержки
гостевой ОС).
§ Memory hot add – включение возможности добавления памяти в
VM без её выключения (требует поддержки гостевой ОС).
§ Synchronize time – синхронизировать время VM с системным
временем Облака.
§ Boot Delay – задержка перед началом загрузки ОС.
§ Enter BIOS Setup – перед загрузкой ОС войти в настройки BIOS.
§ Storage Profile – тип дисков по умолчанию, используемых данной
VM (Tier A/B/C).
ВАЖНО: тип дисков может быть изменен в любой момент без
пересоздания или выключения VM – операционная система
Облака автоматически переместит VM на хранилище
соответствующего типа. Данная операция потребует некоторого
времени, которое зависит от текущего и целевого типа дисков.
Типичная скорость миграции - 3-5 GB/min.
Если виртуальная машина разворачивается из OVF-файла, который

содержит предварительно настроенные параметры для VM, они будут
перечислены на вкладке "Guest Properties".
Все настройки оборудования VM доступны во вкладке "Hardware"

виртуальной машины.

§ Number of CPU – количество виртуальных процессоров.

ВАЖНО: максимальное количество vCPU определяется классом
Технически можно указать количество vCPU, превышающее
указанное в спецификации значение. Однако такая конфигурация
VM является неподдерживаемой и ее работоспособность не
гарантируется.
§ Cores per socket – количество ядер в каждом виртуальном
процессоре.
ВАЖНО: не рекомендуется изменять значение по умолчанию ("1")
так как это может привести к снижению производительности VM.
Данный параметр предназначен для преодоления лицензионных
ограничений (например, запуск Windows 2008 Enterprise на VM с
более чем 8-ю ядрами) и его следует использовать только с этой
целью.
§ Expose hardware-assisted CPU virtualization to guest OS – включить
поддержку вложенной виртуализации (возможность запуска
гипервизора) для данной VM (поддерживается только для
Platinum).
§ Total memory – объем vRAM.
ВАЖНО: желаемый объем vRAM можно выбрать из выпадающего
ВАЖНО: максимальное количество vRAM определяется классом
§ Hard disks – диски VM.
ВАЖНО: для каждого диска можно установить тип (Tier A/B/C)
индивидуально; тип диска может быть изменен в любой момент
без пересоздания или выключения VM – операционная система
Облака автоматически переместит VM на хранилище
соответствующего типа.
ВАЖНО: имеется возможность увеличения объема дисков VM без
пересоздания и выключения VM (требует поддержки гостевой ОС).
§ NICs – сетевые адаптеры VM. Для просмотра или установки типа
адаптера необходимо отметить опцию "Show network adapter type".
Рекомендуется использовать паравиртуальный адаптер VMXNET3
(он обладает повышенной производительностью).
ВАЖНО: По причине наличия проблем с совместимостью не
рекомендуется использовать адаптер E1000 в Windows Server
2012 (R2).

3.4.2. Параметризация гостевой ОС

Функция параметризации (customization) гостевой ОС позволяет
непосредственно из интерфейса vCloud Director:
§ Вносить изменения в сетевые настройки ОС (адрес, маска, имя,

шлюз по умолчанию).
§ Генерировать новый SID при разворачивании Windows VM из
шаблона.
§ Устанавливать пароль администратора.
§ Вводить гостевую ОС в домен.
§ Выполнять сценарии настройки гостевой ОС (customization scripts).
§ Enable guest customization – активирует возможность

автонастройки VM.
ВАЖНО: Если вы задаете сетевые параметры через интерфейс
vCloud Director, данная галочка должна быть отмечена перед
стартом VM.

§ Change SID – используется для генерации нового SID.

ВАЖНО: Генерация нового SID в уже настроенной VM приведет к
отключению VM от домена и может привести к нарушению
работоспособности сервисов.
§ Password Reset – позволяет сбросить (установить новый) пароль
локального администратора. Пароль может быть сгенерирован
автоматически (посмотреть его можно будет на этой же вкладке
после старта VM) или указан вручную.
§ Join Domain – используется для ввода VM в домен. Для того чтоб
появилось возможность ввести VM в домен необходимо
сгенерировать новый SID.
§ Customization Script – Данная вкладка позволяет указать
произвольный сценарий (script), который будет выполнен при
старте VM
ВАЖНО: Действия "Change SID", "Password Reset" "Join Domain" и

"Customization Script" выполняются только при первом старте VM или
при использовании команды "Power on and force recustomization" из
контекстного меню VM.
Если команда "Power on and force recustomization" отсутствует в меню

пройдите к VM по пути "MyCloud → vApps → выбрать нужный
vApp → вкладка Virtual Machines".
3.4.3. Управление состоянием VM

Пользователи могут запускать, останавливать, ставить на паузу и
сбрасывать виртуальные машины. Все операции выполняются в
контекстном меню требуемой виртуальной машины или из панели
инструментов, расположенной в верхней части экрана.

§ Power on – включает виртуальную машину (аналогично включению

питания аппаратного сервера).
§ Power off – выключает виртуальную машину (аналогично
выключению питания аппаратного сервера).
§ Suspend – сохраняет на диск текущее состояние памяти
виртуальной машины и приостанавливает её работу (постановка
на паузу).
§ Discard Suspended State – сбросить (инвалидировать) сохраненное
состояние памяти VM, которое было создано при постановке ее на
паузу командой Suspend. Возобновление работы VM (выход из
состояния паузы) при этом становится невозможным.
§ Reset – сброс работающей виртуальной машины (аналогично
нажатию на кнопку "reset" аппаратного сервера).
3.4.4. Подключение образов CD/DVD к VM

Для установки ПО или драйверов в VM пользователю может
понадобиться монтировать к виртуальной машине ISO образ диска или
дискеты. Для выполнения этой операции из контекстного меню VM
следует выбрать пункт "Insert CD/DVD from Catalog", затем выбрать в
каталоге требуемый образ и нажать кнопку "Insert".
ВАЖНО: образ должен находиться в локальном каталоге vDC, которому

принадлежит данная VM. Если он находится в публичном каталоге или
каталоге другого vDC его необходимо предварительно скопировать в
локальный каталог.
ВАЖНО: настоятельно рекомендуется выполнить команду "Eject

CD/DVD " после завершения установки ПО. VM с примонтированными
CD/DVD препятствуют проведению регламентных работ в ресурсном
кластере Облака, а также могут автоматически не перезапуститься в
случае отказа одного из хостов ресурсного кластера.

3.4.5. Доступ к локальной консоли VM

В случаях если доступ по RDP, VNC, SSH или другими подобными
способами невозможен (например, в результате сетевой
недоступности), можно получить доступ к VM с помощью веб-консоли
(VMRC).
Для доступа к локальной консоли VM необходимо в контекстном меню

требуемой виртуальной машины выбрать пункт "Popout Console".
ВАЖНО: при первом открытии консоли может быть предложено

загрузить и установить VMware Remote Console Plug-In, который
обеспечивает функциональность VMRC-консоли. Для управления
облачными ресурсами рекомендуется использовать Mozilla Firefox.
3.4.6. Подключение VM к сетям

Для подключения сетевого адаптера виртуальной машины к сети
необходимо:
1. Перейти во вкладку "Virtual Machines" выбранной vApp и

выключить виртуальную машину.
2. Из контекстного меню VM выбрать пункт "Properties" и перейти во
вкладку "Hardware".
3. В разделе NICs сетевого адаптера в секции "Network" выбрать
необходимую сеть, к которой следует подключить VM, затем
нажать кнопку ОК.
Для просмотра или установки типа адаптера необходимо отметить

опцию "Show network adapter type". Рекомендуется использовать
паравиртуальный адаптер VMXNET3 (он обладает повышенной
производительностью).
ВАЖНО: По причине наличия проблем с совместимостью не

рекомендуется использовать адаптер E1000 в Windows Server 2012
(R2).
Управлению сетями детально описано в разделе 4.

3.4.7. Копирование и перемещение VM

В панели "My Cloud" в меню "VMs" необходимо в контекстном меню
требуемой VM выбрать команду "Move" или "Copy".
В появившемся окне необходимо выбрать из выпадающих списков

целевой vApp и Storage Profile, а также подключить VM к желаемой
сети.
3.4.8. Увеличение размера дисков и смена

профиля хранения
Пользователи могут динамически добавлять к существующей VM новые
диски, расширять существующие диски (требуется поддержка со
стороны гостевой ОС). Все настройки жесткого диска VM доступны во
вкладке "Hardware" виртуальной машины.

списка или ввести вручную. При указании объема обратите внимание на
используемые единицы измерения (MB/GB).
Также имеется возможность динамически изменять тип дисков (Storage

Profile) без остановки VM (если в OrgVDC существует несколько Storage
Profile).
Если необходимо изменить тип конкретного диска используйте

настройки нужного диска во вкладке "Hardware"
Для изменения типа диска по умолчанию используйте параметр Storage

Profile во вкладке "General" виртуальной машины.

Данная настройка будет применена ко всем существующим дискам с

типом "Use VM default", а также ко всем новым дискам.
3.4.9. Управление мгновенным снимком

(snapshot) VM
Мгновенный снимок VM позволяет сохранить ее состояние на текущий
момент времени с возможностью возврата к этому состоянию в
будущем.
ВАЖНО: для создания синхронных (на один и тот же момент времени)
снимков нескольких входящих в один vApp виртуальных машин
(например, сервера БД и сервера приложений) рекомендуется
использовать функцию создания мгновенного снимка vApp (подробнее
см. раздел 3.3.5).
ВАЖНО: VM может иметь только один snapshot. Создание нового
snapshot уничтожит предыдущий.
Для создания мгновенного снимка необходимо в контекстном меню

требуемой VM выбрать команду "Create Snapshot".
§ Snapshot the memory of virtual machine – при создании снимка

сохраняется также состояние памяти VM. При возврате к такому
snapshot VM будет восстановлена во включенном состоянии, при
этом сохранится вся информация, находившаяся в оперативной
памяти (например, файлы, которые еще не были сохранены на
диск).
приостановка работы VM на время до нескольких десятков секунд
(зависит от объема vRAM).

§ Quiesce guest file system – перед созданием снимка будет

инициирован сброс буферов файловых систем на диск.
приостановка работы VM на время до нескольких секунд (зависит
от текущей дисковой активности).
ВАЖНО: Создание мгновенной копии требует наличия свободного

пространства в дисковом ресурсном пуле в размере суммарного
объема дисков VM. Опция "Snapshot the memory of the virtual machine"
требует дополнительного дискового пространства в размере vRAM.
Для отображения наличия у VM мгновенного снимка следует выбрать

опцию "Snapshot" в меню настройки столбцов в списке VM.
Дату создания snapshot можно посмотреть в свойствах VM на вкладке

"General".

Для восстановления из мгновенного снимка следует использовать

команду "Revert to Snapshot" из контекстного меню VM. Если
использовалась опция "Snapshot the memory of the virtual machine" VM
будет восстановлена в состоянии "Power on", в противном случае – в
состоянии "Power off".

Удалить ненужный snapshot можно командой "Remove snapshot" в

контекстном меню vApp. Кроме того, создание нового снимка
автоматически удаляет предыдущий.
ВАЖНО: Не рекомендуется сохранять мгновенные снимки долгое

время (более нескольких дней) - это может снизить производительность
VM.
3.4.10. Affinity и Anti-Affinity правила

(Anti)-Affinity правила позволяют управлять размещением групп VM на
физических хостах.
Affinity правило инструктирует операционную систему Облака

разместить все перечисленные VM на одном физическом хосте. Это
может быть полезно, например, для минимизации сетевой латентности
между элементами прикладного ландшафта (например, сервер
приложений и сервер БД).
Anti-Affinity правило инструктирует операционную систему Облака

разместить все указанные VM на разных физических хостах. Это может
быть полезно если прикладной ландшафт имеет взаимно дублирующие
элементы (например, серверы баз данных почтовых ящиков MS
Exchange или пул серверов приложений). При этом отказ одного из
физических хостов не приведет даже к кратковременной остановке
сервиса.
В (Anti)-Affinity правило могут быть включены VM принадлежащие

одному vDC. Для управления (Anti)-Affinity правилами следует перейти
во вкладку My Cloud → VMs → Affinity Rules.

Затем необходимо выбрать желаемый vDC и создать (изменить,

удалить) нужное правило.
ВАЖНО: (Anti)-Affinity носят рекомендательный характер и

операционная система Облака следует им только при наличии
физической возможности.
3.4.11. Удаление VM
Для удаления VM необходимо:
1. Остановить виртуальную машину путем выбора пункта "Power off"

из контекстного меню.
2. Выбрать пункт "Delete" из контекстного меню.

3.5. Класс обслуживания Platinum:

расширенные возможности
Данный класс обслуживания обладает следующими отличительными
характеристиками:
§ 100% резервирование выделенной процессорной мощности и

оперативной памяти. Это означает, что выделенные ресурсы
гарантированно доступны в любой момент времени вне
зависимости от уровня загрузки ресурсного кластера.
§ Имеется возможность запуска вложенных гипервизоров (nested
virtualization) за счет трансляции аппаратной поддержки
виртуализации на уровень клиентского vDC.
§ Более высокие лимиты на максимальную конфигурацию VM по
сравнению с Gold/Platinum (актуальные лимиты приведены в
документе "Техническая спецификация").
3.5.1. Аппаратная поддержка вложенных

гипервизоров (nested virtualization)
На VM в облачном датацентре типа Platinum возможен запуск
различных x86-гипервизоров (например, Hyper-V, ESXi, Xen и других).
Для включения аппаратной поддержки вложенных гипервизоров
необходимо:

1. Во вкладке "General" свойств виртуальной машины убедиться, что

выделенная для запуска гипервизора VM использует Virtual
Hardware Version 9 или выше. При необходимости – произвести
обновление до последней доступной версии.
2. Во вкладке "Hardware" включить опцию "Expose hardware-assisted

CPU virtualization to guest OS".

3.5.2. Услуга Platinum-Host

По совокупности характеристик данная услуга относится к классу
облуживания Platinum (включая эксклюзивный доступ к ресурсам и
возможность запуска вложенных гипервизоров), но имеет и важное
отличие. Для vDC Platinum-Host эксклюзивно выделяется отдельный
хост в инфраструктуре Облака, поэтому его объем является
фиксированным – 32 физических процессорных ядра, 480 GB vRAM.
Platinum-Host позволяет создавать VM вплоть до 64 vCPU 480 GB

vRAM, которые могут быть использованы для in-memory DB или особо
требовательных к объему памяти аналитических систем.
ВАЖНО: Если производитель прикладного ПО рекомендует отключать

функцию hyper-threading следует создавать в vDC Platinum-Host VM не
более чем с 32 vCPU. В этом случае каждому vCPU будет
гарантированно выделено отдельное физическое ядро процессора.
В то же время, Platinum-Host имеет важное преимущество по сравнению

с арендой физического оборудования – он является отказоустойчивым,
т.е. в случае отказа хоста VM будет автоматически перезапущена на
резервном.
ВАЖНО: Класс обслуживания Platinum-Host не включен в конфигуратор

и предоставляется по индивидуальному запросу при наличии
технической возможности. Также на Platinum-Host распространяются
специальные ценовые условия.

3.6. Класс обслуживания Turbo: назначение и

ограничения
Ресурсный пул Turbo оптимизирован для развертывания
унаследованных приложений, содержащих однопоточный код (1С и
другие). Использование процессоров с частотой 3.5 GHz и оперативной
памяти с низкой латентностью позволяет значительно ускорить
выполнение пакетных операций (генерация отчетов, перепроводки и
т.п.).
В классе обслуживания Turbo доступны диски всех типов (A/B/C), что

позволяет, в случае необходимости, развёртывать в vDC класса Turbo
не только сервера приложений, но и СУБД. В то же время следует
отметить, что размещение сервера приложений и СУБД в одном vDC
или классе обслуживания не является обязательным - сетевая
связность обеспечивается для всех VM в пределах Organization вне
зависимости от их принадлежности к конкретному vDC.
Следует учитывать, что для класса обслуживания Turbo действуют

более жестки ограничения на конфигурацию VM (количество vCPU и
объем vRAM). Действующие ограничения приведены в документе
"Техническая спецификация".
3.7. Расширенные возможности
3.7.1. Пользователи и роли

Добавление, импорт или редактирования пользователей доступно
только пользователям с ролевой функцией Organization Administrator.
Добавление или модификация пользователей производится из вкладки
"Administration → Users".
Стандартный список ролей и их прав приведен в Табл. 3.1.
Табл. 3.1. Группы пользователей и их полномочия.
Роль Полномочия
Organization Administrator Администратор облачного датацентра. Полные права.
Catalog Author Создание и публикация новых каталогов.
vApp Author Создание новых vApp и использование каталогов

только для чтения.
vApp User Работа с существующими vApp.
Console Access Only Работа с VM, доступ к их состоянию и свойствам.

Роль Полномочия
Read Only Только просмотр свойств объектов.
3.7.2. Лимиты и квоты

Лимиты и квоты для Organization могут быть установлены во вкладке
"Administration → Policies".
Лизинг (leases) – время, после истечения которого развёрнутый vApp

признаётся недействительным и к нему применяется действие в
зависимости от настроек – перемещение в папку Expired или полное
удаление. Существует лизинг двух типов:
§ Лизинг вычислительных ресурсов (runtime lease) – ограничивает длительность

работы запущенного vApp. После истечения данного срока vApp выключается.
Считается с момента запуска vApp.
§ Лизинг хранилища (storage lease) – ограничивает время хранения выключенного
vApp или шаблона vApp. После истечения срока лизинга vApp удаляется или
помещается в контейнер Expired Items. Считается с момента копирования,
перемещения, загрузки или добавления vApp в vDC.
Квоты (quotas) – ограничение на максимальное количество

виртуальных машин, которое может быть запущено или сохранено
одним пользователем.
Лимиты (limits) – ограничение максимального количества

ресурсоёмких операций типа копирования или перемещения VM,
которые выполняются одновременно.
3.7.3. Каталоги
Каталоги – хранилища шаблонов vApp-ов и ISO-образов CD/floppy.
Управление доступно из вкладки "Catalogs" главного меню интерфейса

vCloud Director.
My Organization Catalogs – каталоги, которые относятся к текущей

организации. Объем этих каталогов учитывается в квоте диского
пространства, выделенного для Organization.
Public Catalogs – публичных каталоги с ISO-образами и шаблонами

vApp. Публичные каталоги не занимают дискового пространства в
Organization.
Создавать и управлять каталогами (вкладка "Catalogs")могут

пользователи, входящие в группу Organization Administrators или Catalog
Authors. При публикации каталога его содержимое можно сделать

доступным либо всем пользователям Organization, либо только

избранным пользователям.
Добавление нового каталога производится из "Catalogs → My

Organization's Catalogs" кнопкой "Add Catalog" на панели инструментов
или в контекстном меню рабочей области.
По умолчанию создаваемый каталог доступен всем пользователям

Organization. Список пользователей можно изменить, нажав кнопку "Add
members", и выбрав требуемых пользователей, а также предоставив им
требуемый уровень доступа на запись или чтение данных каталога.
Пользователи с правами Catalog Author могут добавлять файлы в

каталог. Загрузка производится при помощи кнопки "Upload" во
вкладках "vApp Templates" и "Media". Перед загрузкой необходимо
указать vDC и каталог, в который будет загружен файл, а также Storage
Profile (тип диска), на котором он будет храниться.
ВАЖНО: Для загрузки файлов в браузере должен быть установлен

плагин Java Plug-in 1.6.0_10, или более новой версии.
Если Organization содержит несколько vDC, то имеется возможность

копировать или перемещать файлы из одного каталога в другой.
Для этого необходимо в контекстном меню требуемого файла выбрать
пункт "Copy to Catalog" или "Move to Catalog".
Для удаления файла из каталога необходимо использовать команду

"Delete". Перед удалением ISO-образы должны быть отмонтированы от
VM (команды "Eject CD/DVD" или "Eject Floppy" в контекстном меню VM).
Для удаления каталога необходимо использовать команду "Delete" в

его контекстном меню. Перед удалением каталог должен быть очищен
от содержимого.
3.7.4. Создание шаблонов vApp

Шаблон vApp (vApp Template) может быть создан двумя способами:
путем загрузки в каталог OVF-файла или сохранением существующего
vApp в качестве шаблона.
Информация по созданию OVF файла доступна в OVF Tool User Guide

(http://www.vmware.com/support/developer/ovf/) и VMware vCenter
Converter 4.0.1 User's Guide
(http://www.vmware.com/pdf/convsa_61_guide.pdf).
ВАЖНО: Загружаемый OVF файл не должен быть создан с

использованием компрессии.
Для сохранения существующего vApp в качестве шаблона необходимо

использовать команду "Add to Catalog" из его контекстного меню.

4. Виртуальный датацентр: управление

сетями и сетевыми устройствами
Функциональность Облака позволяет OrgAdmin не только управлять

прикладным ландшафтом, но и самостоятельно создавать и
контролировать требуемую сетевую топологию виртуального
датацентра управляя такими объектами как сети и сетевые устройства
Edge Gateway.
4.1. Концепция сетей Облака

В Облаке сеть как логический объект представляет собой L2-домен,
создаваемый при помощи технологий сетевой изоляции VLAN или
VxLAN. Существуют несколько типов сетей, видимых OrgAdmin.
OrgNet – общие сети Organization

OrgNet – сеть, используемая для взаимодействия VM или vApp в
пределах Organization и/или для доступа к внешним сетям. Organization
может содержать множество OrgNet.
IP-адресация и способ подключения OrgNet к внешним сетям

определяется в момент ее создания и не может быть изменен
впоследствии. Возможны следующие способы подключения OrgNet к
внешним сетям:
1. Internal – отсутствует подключение к внешним сетям, OrgNet

используется исключительно для взаимодействия VM внутри
Organization.
2. Routed – OrgNet подключена к внешней сети через
маршрутизатор (L3-подключение), роль которого выполняет Edge
Gateway.
3. Direct – OrgNet образует с внешней сетью единый L2-домен и
наследует IP-адресацию внешней сети.
OrgNet типов Internal и Routed создаются и управляется OrgAdmin, типа

Direct – H-Cloud Admin. Каждая OrgNet ассоциируется (принадлежит)
конкретному vDC, но при этом может быть доступной для других vDC в
пределах Organization.
vAppNet – выделенная сеть vApp

vAppNet – сеть, используемая для взаимодействия VM в пределах vApp.
Она может быть изолированной или подключаться к OrgNet через
собственный экземпляр в режиме L3 (подключение через
Виртуальный датацентр: управление сетями и сетевыми устройствами 44 из 116

маршрутизатор). Подключение или отключение vAppNet к OrgNet может

быть выполнено динамически, без пересоздания vAppNet.
vAppNet создается и конфигурируется OrgAdmin.
Внешние сети (external networks)

Внешний по отношению к Organization мир представлен набором
внешних сетей, к которым могут быть подключены в режиме L2 или L3
внутренние сети OrgNet. Внешние сети ассоциируются с различными
сетевыми сущностями, например:
§ выделенные каналы точка-точка между Облаком и собственной

сеть Заказчика;
§ служебные сети Облака, используемые для предоставления
сервисов общего пользования;
§ сеть Интернет.
Одной из часто используемых внешних сетей является CloudNet,

которая может применяться для следующих целей:
§ создание IPSec VPN-туннеля между собственным ЦОД и

облачным датацентром с использованием Интернет как
транспортной среды;
§ подключение к системным и прикладным сервисам Облака
(порталу управления vCloud Director, сервер активации ПО
Microsoft, антивирусная защита, фильтрация контента и
подобным).
Универсальное сетевое устройство Edge Gateway

Взаимодействие между внешними и внутренними сетями типа Routed
обеспечивается универсальным сетевым устройством Edge Gateway.
Он выполняет функции маршрутизатора, межсетевого экрана (firewall),
NAT, DHCP, DNS-relay, VPN и Load Balancer.
Существует три версии Edge Gateway – Basic, Compact и Full. Они

различаются количеством и пропускной способностью внешних
интерфейсов, наличием поддержки VPN и кластерного режима.
Детальные спецификации Edge Gateway приведены в документе
"Техническая спецификация".
Экземпляры Edge Gateway создаются H-Cloud Admin. Каждый

экземпляр ассоциирован (принадлежит) конкретному vDC, но при этом
может использован другими vDC в пределах Organization.

4.2. Базовая сетевая инфраструктура

В состав каждой Organization входит базовая сетевая инфраструктура:
сеть BaseNet типа Routed, подключенная к Edge Gateway Basic.
Внешний интерфейс Edge Gateway подключен к сети общего
пользования CloudNet.
Базовая сетевая инфраструктура является обязательным элементом

Organization, оплата за нее не взимается. Ее основным назначением
является обеспечение сетевого взаимодействия VM и vApp в пределах
Organization, а также доступ к сервисам CloudNet.
ВАЖНО: с целью упрощения настройки маршрутизации большинство

сервисов CloudNet (vCloud Director, KMS, vCloud Connector multitenant)
презентуется непосредственно на внутреннем интерфейсе Edge
Gateway, которому присвоен первый IP-адрес в сети BaseNet. Для
доступа к этим сервисам CloudNet можно использовать адрес x.x.x.1,
где x.x.x – адрес сети BaseNet.
Реализация более сложных сетевых топологий требует заказа

дополнительных сетей (OrgNet или vAppNet) и/или экземпляров Edge
Gateway Compact/Full. При заказе первого экземпляра Edge Gateway
Compact/Full производится upgrade версии Basic до Compact/Full.
4.3. Сети OrgNet

IP-адресация и тип OrgNet (Routed/Isolated/Direct) задается в момент ее
создания и не могут быть изменены. В то же время, OrgAdmin может
управлять подключением vApp и VM к OrgNet и настраивать сетевые
сервисы, предоставляемые подключенным к OrgNet универсальным
сетевым устройством Edge Gateway.
Перечень OrgNet можно перейдя к списку vDC "Administration → Virtual

Datacenters", войти в желаемый vDC (имя vDC представляет собой
гиперссылку) и перейти во вкладку "Org VDC Networks". Просмотреть
свойства сети можно выбрав соответствующие пункты из ее
контекстного меню.

Списки использованных IP-адресов и подключенных к данной сети vApp

доступны через пункты "IP Allocations" и "Connected vApps". Пункт
"Configure Services" ведет в интерфейс настройки сервисов Edge
Gateway, к которому подключена данная OrgNet. Для просмотра
текущей конфигурации сети следует использовать пункт "Properties".
§ Network Name – имя сети в интерфейсе vCloud Director.

§ Share this network with other VDCs – при выборе этого параметра
сеть будет доступна для всех vDC в пределах Organization.

В верхней секции вкладки "Network Specification" отображаются базовые

сетевые параметры, часть из которых недоступна для изменения.
§ Gateway address – для сетей Routed соответствует внутреннему

адресу устройства Edge Gateway, к которому подключена данная
OrgNet.
§ Static IP pool – диапазон IP-адресов, которые vCloud Director
использует для статического присвоения сетевым интерфейсам
VM при их подключении к данной сети (аналог статических
привязок в DHCP).
4.4. Сетевое устройство Edge Gateway

Перечень Edge Gateway можно перейдя к списку vDC
"Administration → Virtual Datacenters", войти в желаемый vDC (имя vDC
представляет собой гиперссылку) и перейти во вкладку "Edge
Gateways". Просмотреть свойства Edge Gateway можно выбрав
соответствующие пункты из его контекстного меню.
§ Properties → General → Edge Gateway configuration – версия

устройства (Basic/Compact/Full).
ВАЖНО: версия Basic отображается как Compact. Ее можно
идентифицировать по наличию слова Basic в поле Description.
§ Properties → General → Enable High Availability – отражает
состояние кластерного режима (включен/выключен). Кластерный
режим может быть включен только для версии Full.
§ Properties → Configure IP Setting – перечень внешних сетей, к
которым подключен Edge Gateway, и IP-адреса его внешних
интерфейсов в каждой из этих сетей. Данные настройки могут
быть изменены только H-Cloud Admin.
§ Properties → Sub-Allocate IP Pools – дополнительные IP-адреса,
ассоциированные с Edge Gateway во внешних сетях (например,

Virtual IP, используемые для балансировки нагрузки). Данные

настройки могут быть изменены только H-Cloud Admin.
§ Properties → Configure Rate Limits – пропускная способность
внешних интерфейсов. Данные настройки могут быть изменены
только H-Cloud Admin.
§ External IP Allocation – список IP-адресов, ассоциированных с Edge
Gateway во внешних сетях.
Пункты меню "Re-Apply Service Configuration" и "Re-Deploy"

используются для повторного применения действующей конфигурации
или полного пересоздания Edge Gateway (с сохранением
конфигурации). Не рекомендуется выполнять данные действия без
реальной необходимости.
Перечень предоставляемых Edge Gateway сервисов зависит от наличия

подключения Edge Gateway к сетям и способа такого подключения.
Настройка сервисов доступна через пункт "Edge Gateway Services"
4.4.1. DHCP-сервер
Возможно создать отдельный экземпляр DHCP-сервера для каждой
подключенной к Edge Gateway сети.
DHCP-сервер выдает виртуально машине адрес из назначенного

диапазона ("IP range"), сообщает внутренний IP-адрес Edge Gateway в
качестве шлюза по умолчанию (default gateway), а также адреса
первичного и вторичного DNS-серверов если они указаны в свойствах.

ВАЖНО: диапазон IP адресов, выдаваемый DHCP сервером ("IP

range"), не должен пересекаться с пулом статических адресов,
указанным в свойствах обслуживаемой сети.
4.4.2. Трансляция IP-адресов (NAT)

Возможна настройка двух разновидностей NAT:
Source NAT (SNAT) – подмена адреса источника на внешний адрес

Edge Gateway (IP-masquerading), используется для доступа VM во
внешнюю сеть. Правило следует применять на внешней сети Edge
Gateway.
§ Applied on – для какой внешней сети создается правло.

§ Original (Internal) source IP/range – диапазон внутренних IP-
адресов, для которых производится трансляция. Можно указать
IP-адрес (x.x.x.x), диапазон адресов (x.x.x.x-y.y.y.y) или сеть в
формате CIDR (x.x.x.x/z).
§ Translated (External) source IP/range – IP-адрес Edge Gateway во
внешней сети, для которой создается правило.

Destination NAT (DNAT) – подмена адреса получателя на один из

адресов внутренней сети ("проброс портов", статический NAT),
используется для публикации внутренних сервисов на внешнем адресе
Edge Gateway. Правило следует применять на внешней сети Edge
Gateway.

§ Original (External) IP/range – внешний IP-адрес Edge Gateway, на
котором публикуется сервис(ы). Можно указать IP-адрес (x.x.x.x),
диапазон адресов (x.x.x.x-y.y.y.y) или сеть в формате CIDR
(x.x.x.x/z).
ВАЖНО: все указанные адреса должны быть ассоциированы с
внешним интерфейсом Edge Gateway.
§ Protocol – можно ограничить применение правила только к
определенным протоколам и портам.
ВАЖНО: порт можно выбрать из списка или ввести в поле
вручную.
§ Translated (Internal) IP/range – IP-адрес внутреннего сервера,
предоставляющего публикуемый сервис. Можно указать IP-адрес

(x.x.x.x), диапазон адресов (x.x.x.x-y.y.y.y) или сеть в формате

CIDR (x.x.x.x/z).
ВАЖНО: при указании более одного адреса количество translated
адресов должно совпадать с количеством original.
§ Translated port – порт внутреннего сервера, на котором
предоставляющего публикуемый сервис.
вручную.
ВАЖНО: правила трансляции применяются в порядке их следования в

списке. Для изменения порядка правила можно перетягивать внутри
списка.
ВАЖНО: В конфигурации NAT присутствуют несколько

предопределенных правил, добавленных H-Cloud Admin при создании
Edge Gateway. Эти правила обеспечивают возможность
взаимодействия с CloudNet (SNAT IP-masquerading) и публикацию
сервисов CloudNet (KMS, in-band control interface, multitenant vCloud
Connector) в адресное пространство BaseNet (DNAT правила). Не
рекомендуется изменять или удалять эти правила.
4.4.3. Межсетевой экран (firewall)

Межсетевой экран vShield Edge относится к классу "statefull packet
filtering", т.е. учитывает контекст сессии.

Параметры при добавлении правила:
§ Name – произвольное наименование правила.

§ Source – адрес источника IP-пакета. Можно указать IP-адрес
(x.x.x.x), диапазон адресов (x.x.x.x-y.y.y.y), сеть в формате CIDR
(x.x.x.x/z), все адреса (any), пакеты, поступающие с внешнего
интерфейса Edge Gateway (external), пакеты, поступающие с
внутреннего интерфейса Edge Gateway (internal).
§ Source port – порт источника IP-пакета.
§ Destination – адрес назначения IP-пакета. Можно указать IP-адрес
(x.x.x.x), диапазон адресов (x.x.x.x-y.y.y.y), сеть в формате CIDR
(x.x.x.x/z), все адреса (any), пакеты, поступающие на внешний
интерфейс Edge Gateway (external), пакеты, поступающие на
внутренний интерфейс Edge Gateway (internal).
§ Destination port – порт назначения IP-пакета.
вручную.
§ Log network traffic for firewall rule – использовать syslog для записи
информации о срабатывании данного правила. Использовать не
рекомендуется.
ВАЖНО: правила фильтрации применяются в порядке их следования в

списка.
ВАЖНО: правила фильтрации также применяются к

входящему/исходящему в VPN-туннель трафику.
4.4.4. Статическая маршрутизация (Static

Routing)
Использование маршрутизации позволяет создавать сложные сетевые
топологии.

Параметры при добавлении маршрута:
§ Applied on – интерфейс, на котором применять маршрут.

§ Name – произвольное наименование маршрута.
§ Network – сеть назначения в формате CIDR (x.x.x.x/z).
§ Next Hop IP – адрес маршрутизатора, через который доступна сеть
назначения.
ВАЖНО: при настройке статической маршрутизации необходимо

учитывать конфигурацию IP-пространства Organization и подключенных
к ней внешних сетей, а также действующие правила NAT и межсетевого
экрана на всех Edge Gateway на маршруте.
4.4.5. Site-2-Site VPN

Edge Gateway может быть использован для создания VPN-туннелей с
использованием протокола IPSec (Site-2-Site VPN).

Configure Public IPs – указание маршрутизируемого в Интернет IP-

адреса VPN-терминатора со стороны Облака.
ВАЖНО: Не рекомендуется изменять значение по умолчанию.
Для добавления туннеля следует использовать кнопку "Add".

§ Name – имя туннеля.

§ Establish VPN to – расположение конечной точки туннеля (внутри
этой же Organization, другая Organization, за пределами Облака –
Remote Network). Обычно используется Remote Network.
§ Local Networks – какие сети OrgNet включать в туннель.
ВАЖНО: для выбора нескольких сетей необходимо удерживать
клавишу CTRL).
§ Peer Networks – какие сети включать в туннель с удаленной
стороны. Адреса сетей необходимо указывать в формате CIDR
(x.x.x.x/z).
ВАЖНО: Можно через запятую указать несколько сетей.
§ Local Endpoint – внешняя сеть, которую туннель будет
использовать в качестве транспортной (например, CloudNet).
§ Local ID – идентификатор туннеля со стороны облака. В качестве
данного параметра рекомендуется указывать внешний
маршрутизируемый адрес VPN-терминатора со стороны облака,
который можно посмотреть по кнопке "VPN → Configure Public
IPs". Если внешний адрес не сконфигурирован следует указать
адрес внешнего интерфейса Edge Gateway в транспортной сети
(его можно посмотреть по той же кнопке).
§ Peer ID – идентификатор туннеля с удаленной стороны. Если
удаленный терминатор находится за NAT необходимо указать его
внутренний адрес (реальный адрес интерфейса, на котором
терминируется туннель), если NAT не используется – то же адрес,
что и для "Peer IP".
§ Peer IP – внешний (доступный из Интернет) адрес удаленного
VPN-терминатора.
§ Encryption protocol – протокол шифрования. Этот параметр должен
совпадать на обоих концах туннеля.
§ Shared Secret – ключ. Для просмотра ключа необходимо отметить
"Show key". Ключ генерируется автоматически, но, при
необходимости, может быть указан (скопирован) вручную. Этот
параметр должен совпадать на обоих концах туннеля.
§ MTU – максимальный размер IP-пакета. Рекомендуется
использовать значение по умолчанию. Этот параметр должен
Ниже перечислены некоторые параметры обязательные для установки

со стороны клиентского ландшафта:
§ Dead Peer Detection: Enabled

§ NAT Traversal: Enabled (если Вы строите туннель VPN over
CloudNet)
§ DH Group: 2

§ PFS DH Group: 2
§ Hash: SHA1
§ IKE Lifetime: 28800
§ IPSec lifetime: 3600
ВАЖНО: Детально параметры описаны в VMware Knowledge Base

"Configuring IPsec VPN within VMware vCloud"
(https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&
cmd=displayKC&externalId=2051370). Типовые конфигурации VPN-
терминаторов со строны клиента приведены в документе "Часто
задаваемые вопросы".
ВАЖНО: Для корректного функционирования VPN на всех межсетевых

экранах по маршруту туннеля необходимо разрешить использование
следующих портов и протоколов:
§ IP Protocol ID 50 (ESP);
§ IP Protocol ID 51 (AH);
§ UDP Port 500 (IKE);
§ UDP Port 4500.
Трафик, проходящий через VPN туннель, попадает под действие
правил межсетевого экрана. Также не забудьте проходящий через VPN
туннель трафик исключить из правил NAT трансляций.
4.4.6. Балансировщик нагрузки (Load Balancer)

Edge Gateway позволяет балансировать TCP, HTTP или HTTPS-трафик.
Механизм балансировки следующий: создается виртуальный сервер на
одном из интерфейсов Edge Gateway, который принимает входящие
соединения. Затем эти соединения распределяются по пулу
виртуальных машин, находящихся за внутренним интерфейсом Edge
Gateway. Поддерживается не только балансировка, но и
автоматическое исключение из пула неработоспособных виртуальных
машин.
ШАГ 1. Создание пула серверов.

Для этого необходимо перейди на вкладку "Load Balancer" сервисов
Edge Gateway, выбрать переключатель "Pool Servers" и нажать кнопку
"Add"

§ Name – имя сервиса.

§ Description – произвольное описание.
Затем необходимо выбрать сервисы для балансировки и алгоритм

балансировки:
§ Enable – разрешить работу сервиса.

§ Service – тип сервиса.
§ Balancing Method – метод балансировки:
§ IP-Hash – выбирает сервер, основываясь на хеше адреса
источника и отправителя каждого пакета
§ Round-robin – серверы выбираются по очереди с учетом
назначенных им веса. Веса обычно используются для
отражения различной производительности серверов.
§ URI – данный метод рекомендуется использовать, когда
необходимо, чтоб URI был обработан конкретным сервером,
пока он работоспособен.
§ Least Connected – перенаправляет запрос серверу, на который
произведено менее всего подключений

§ Port – порт, на котором находится сервис
Затем необходимо настроить параметры проверки доступности сервиса

(работоспособности серверов).

§ Port – порт, на котом сервер ожидает входящих соединений.
§ Monitor Port – порт, на который необходимо подключаться для
проверки работоспособности сервера. Если не указано, то Monitor
Port будет равен Port.
§ Mode – режим проверки: HTTP – проверка статуса HTTP, SSL –
проверка рукопожатия SSL, TCP – установка TCP-сессии на
целевой порт.
§ Interval – с какой частотой проверять доступность.
§ Timeout – интервал времени, по истечению которого сервер
считается недоступным.
§ Health threshold – количество успешных проверок
неработоспособного сервера, по достижению которого сервер
считается работоспособным и включается в пул.
§ Unhealth treshold – количество неуспешных проверок, по
достижению которого сервер считается неработоспособным и
исключается из пула.
§ URI for HTTP service – целевой URI при проверке методом HTTP.
Затем необходимо добавить собственно серверы в пул:

§ IP Address – IP-адрес целевого сервера.

§ Ratio weight – отражает производительность сервера. Имеет
значение только относительная величина данного параметра (по
отношению к другим серверам). Для "прозрачного" вывода
сервера из пула следует указать "0".
§ Port – порт сервиса.
§ Monitor port – порт для мониторинга сервиса.
ШАГ 2. Создание виртуального сервера (виртуального IP-

адреса) для презентации сервиса клиентам.
Edge Gateway, выбрать переключатель "Virtual Server" и нажать кнопку
"Add".


§ Applied on – на каком интерфейсе принимать подключения.
§ IP address – виртуальный IP-адрес сервиса, по которому к нему
будут обращаться клиенты.
§ Pool – пул серверов, который будет обслуживать данный сервис
(был создан на ШАГЕ 1).
§ Services – типы сервисов для данного виртуального IP-адреса.
§ Persistence Method – механизм привязки клиентской сессии (может
состоять из многих последовательных или параллельных TCP-
соединений) к конкретному серверу.
4.5. Сетевое устройство Edge Gateway -

расширенный режим
В версии технологического стека 8.2 сетевое устройство Edge Gateway
может быть конвертировано для работы в расширенном режиме, в
котором доступна дополнительная функциональность:
§ клиентский SSL-VPN;
§ возможность установки SSL-сертификатов в балансировщик
нагрузки;
§ просмотр статистики и настройка Syslog сервера для сбора
журналов с Edge Gateway.

Для перевода Edge Gateway в расширенный режим необходимо из

контекстного меню нужного Edge Gateway выбрать пункт Convert to
advanced gateway:
После завершения этой операции станет доступна расширенная

функциональность Edge Gateway. Процесс конвертации не оказывает
влияния на работу сетевых сервисов и не приводит к прерыванию
трафика.
4.5.1. Общие настройки Edge Gateway Advanced
В данном меню можно указать Syslog сервер, на который будут

отправляться журналы (кнопка Edit Syslog Server) Edge Gateway, а

также активировать доступ к Edge Gateway по протоколу SSH. Для этого

необходимо установить опцию SSH Status enabled во включённое
состояние, указать имя учётной записи администратора Edge Gateway
(Username), пароль (Password) минимум 12 символов, и подтвердить
его. Остальные поля являются не обязательными:
§ Password expiry – срок жизни пароля в днях до его принудительной

замены.
§ Login banner – сообщение для успешно вошедшего пользователя.
ВАЖНО: для нормальной работы SSH-подключения к Edge Gateway

Advanced необходимо создать разрешающее правило межсетевого
экрана вручную, указав IP адрес Edge Gateway, к которому необходимо
разрешить подключение, а также порт (TCP 22).
4.5.2. Межсетевой экран

При конвертации Edge Gateway в расширенный режим меняется
интерфейс управления межсетевым экраном (Firewall).
Главное меню управления межсетевым экраном выгладит так:
Все правила межсетевого экрана редактируются непосредственно в

этом меню.

§ Enabled – указывает на общее состояние межсетевого экрана:

включён или выключен.
§ Show only user-defined rules – при включении этой опции из списка
правил скрываются правила, созданные системой автоматически
при включении некоторых функций (SSL-VPN, L2 VPN).
ВАЖНО: изменять системные правила возможности нет. Так же нет

возможности устанавливать их очерёдность в списке правил
межсетевого экрана. Возможно менять только поле Action последнего в
списке правила default rule for ingress traffic, которое определяет
действие по умолчанию для того трафика, который не попал ни в одно
из правил выше по списку.
Процедура добавления/редактирования правила Firewall:
1. После нажатия кнопки добавления нового правила, новое правило

появляется предпоследним в списке правил Firewall. Имя правила
редактируется в ячейке столбца Name:
2. Далее необходимо задать параметры трафика:

В качестве исходящего и водящего трафика в полях адреса можно

указать как IP-адрес (Кнопка IP):
Так и объект (Кнопка со знаком плюс «+»):

Объектом может выступать: OrgNet вашего vDC, интерфейс Edge

Gateway, виртуальные машины, а также IP Sets – составные наборы IP-
адресов и IP-сетей, которые конфигурируются в разделе Grouping
Objects.
Так же есть возможность в правиле указать исключения, в качестве

которого также может выступать как объект, так и IP-адрес (левая синяя
кнопка в ячейке добавления адреса источника или получателя):
3. Далее необходимо указать порты источника и назначения, а также

тип траффика. Делается это в ячейке столбца Service строки
необходимого правила:

§ Protocol: – протоколы транспортного уровня (TCP или UDP),

протокол ICMP или любой из вышеперечисленных одновременно
(Any).
§ Source Port и Destination Port – порты источника и назначения. Для
того чтоб задать в условии любой порт (ANY) нужно оставить это
поле пустым. Так же данные опции активны только в том случае,
если выбран один из протоколов транспортного уровня (TCP или
UDP).
4. Далее необходимо задать действие для выбранной записи

Firewall:

После завершения добавления/редактирования правила необходимо

применить сделанные изменения:
§ Save changes для сохранения изменений,

§ Discard changes для сброса сделанных изменений.
Так же есть возможность включать и выключать действие

существующего правила.
Это действие выполняется путём нажатия на номер правила в столбце

"No.". Характерный символ сообщит вам, о том, что правило выключено
или включено.
4.5.3. DHCP сервер.

В расширенном режиме работы Edge Gateway есть возможность
настроить DHCP сервер для вашего vDC. По сравнению с обычным
режимом в расширенном режиме добавилась возможность статической
привязки выдаваемых адресов к MAC-адресам виртуальных машин.

Добавление, редактирование и удаление диапазонов, выдаваемых

DHCP сервером адресов, происходит в главном меню, вкладка DHCP.
§ DHCP Service status – определяет состояние сервиса DHCP в

целом – включён или выключен.
Меню Pools - добавления/редактирования диапазонов выдачи IP

адресов:
§ IP Range - диапазон выдаваемых IP адресов.

§ Domain Name - доменное имя, выдаваемое клиенту.

§ Auto Configure DNS - позволяет выдавать клиентам в качестве IP-

адреса DNS сервера IP-адрес Edge Gateway, который настроен в
качестве шлюза по умолчанию. В таком случае этот адрес будет
использоваться DHCP клиентами в качестве DNS сервера, а Edge
Gateway в свою очередь, будет пересылать DNS запросы
клиентов на те внешние DNS серверы, которые прописаны у него
в конфигурации (режим DNS-relay).
§ Primary и Secondary Name Server - первичный и вторичный DNS
сервер, выдаваемый клиентам (Неактивны, если выбрана опция
Auto Configure DNS).
§ Dafault Gateway - шлюз по умолчанию.
§ Subnet mask - маска подсети.
§ Lease Never Expires - не ограничивает срок аренды IP адреса
клиентом.
§ Lease Time (Seconds) - время аренды адреса.
Меню Bindings:
Данное меню позволяет создать статическую привязку MAC адреса

виртуальной машины к выдаваемому в аренду IP адресу.
Добавление, редактирование и удаление привязки осуществляется

кнопками меню.

Данное меню по виду почти не отличается от меню добавления IP

диапазона выдачи адресов, кроме того, что появляются поля MAC
Address (в формате ХХ:ХХ:ХХ:ХХ:ХХ:ХХ), Host Name и IP-Address,
которые и отвечают за статическую привязку MAC адреса виртуальной
машины к выдаваемому IP-адресу.
Меню Relay:
В данном меню можно сконфигурировать возможность пересылки DHCP

запросов клиентских виртуальных машин на определённые DHCP
серверы. Главное условие — целевой DHCP сервер должен
находиться в одном из ваших OrgNet. Пересылка на DHCP серверы,
которые находятся за внешними сетями, невозможна.
Для успешной работы сервиса пересылки DHCP запросов необходимо

обязательно указать сервер пересылки, а также указать DHCP Relay
Agents.

Адреса серверов для пересылки можно указать в поле IP Addresses

и/или в поле Domain Names и/или в меню IP Sets. Указывать данные
серверы можно любыми из доступных в данном меню способов и в
любых комбинациях. Серверов для пересылки может быть несколько.
IP Sets это сборные объекты, состоящие из IP адресов узлов и сетей,

которые сперва должны быть сконфигурированы в разделе Grouping
Objects в меню IP Sets.

Необходимо выбрать нужный набор и применить параметры.
Необходимо указать с какого интерфейса (vNIC#) и, IP адреса к нему

привязанного (Gateway IP Address), пересылать запросы
непосредственно к DHCP серверу.
4.5.4. Трансляция IP адресов (NAT).

В Edge Gateway работающем в Advanced режиме возможно настроить
трансляцию сетевых адресов (NAT).

Добавление, редактирование и удаление правил осуществляется во

вкладке NAT.
Возможна настройка двух разновидностей NAT:
Source NAT (SNAT) – подмена адреса источника на внешний адрес

Edge Gateway (IP-masquerading), используется для доступа VM во
внешнюю сеть. Правило следует применять на внешней сети Edge
Gateway.

§ Applied on – для какой внешней сети создается правило.

§ Original source IP/range – диапазон внутренних IP-адресов, для
которых производится трансляция. Можно указать IP-адрес
CIDR (x.x.x.x/z).
§ Translated (External) source IP/range – IP-адрес Edge Gateway во
внешней сети, для которой создается правило.
§ Description – краткое описание правила.
§ Enabled – определяет состояние данного правила (Включено или
выключено).
§ Enable Logging – опция включает и выключает журналирование
работы данного правила.
Destination NAT (DNAT) – подмена адреса получателя на один из

адресов внутренней сети ("проброс портов", статический NAT),
используется для публикации внутренних сервисов на внешнем адресе
Edge Gateway. Правило следует применять на внешней сети Edge
Gateway.


§ Original IP/range – внешний IP-адрес Edge Gateway, на котором
публикуется сервис(ы). Можно указать IP-адрес (x.x.x.x), диапазон
адресов (x.x.x.x-y.y.y.y) или сеть в формате CIDR (x.x.x.x/z).
ВАЖНО: все указанные адреса должны быть ассоциированы с
внешним интерфейсом Edge Gateway.
вручную.
§ Original Port – порт инициатора соединения (исходящий порт).
§ ICMP Type – если в пункте Protocol выбран ICMP, можно указать
тип ICMP сообщения.
§ Translated IP/range – IP-адрес внутреннего сервера,
предоставляющего публикуемый сервис. Можно указать IP-адрес
CIDR (x.x.x.x/z).
ВАЖНО: при указании более одного адреса количество translated
адресов должно совпадать с количеством original.
§ Translated port – порт внутреннего сервера, на котором
предоставляющего публикуемый сервис.
вручную.
§ Description – краткое описание правила.
§ Enabled – определяет состояние данного правила (Включено или
выключено).
§ Enable Logging – опция включает и выключает логирование
работы данного правила.
ВАЖНО: правила трансляции применяются в порядке их следования в

списка.
ВАЖНО: В конфигурации NAT присутствуют несколько

предопределенных правил, добавленных H-Cloud Admin при создании
Edge Gateway. Эти правила обеспечивают возможность
взаимодействия с CloudNet (SNAT правило) и публикацию сервисов
CloudNet (KMS, in-band control interface, multitenant vCloud Connector) в
адресное пространство BaseNet (DNAT правила). Не рекомендуется
изменять или удалять эти правила.

4.5.5. Статическая маршрутизация (Static

Routing).
При создании сложных сетевых топологий в Edge Gateway Advanced
есть возможность задать статические маршруты.
§ ECMP – компонент динамической маршрутизации. В данный

момент не используется.
ВАЖНО: Указанный параметр должен быть выключен. При
попытке включения и сохранения параметров выдаст ошибку.
Static routing default gateway – блок настроек шлюза по умолчанию

для Edge Gateway.
§ Applied on – указывает, на каком интерфейсе применять маршрут.

Интерфейс должен находиться в той же IP подсети, что и шлюз
для конфигурируемого маршрута.
§ Gateway IP – шлюз для сети назначения.
§ MTU – Maximum transfer unit для этого маршрута. Не может быть
больше, чем установленный на интерфейсе Edge Gateway.
§ Description – краткое описание маршрута.

Меню Static Routes
Добавление/удаление статического маршрута:
§ Network – сеть назначения.

§ Next Hop – шлюз для указанной сети назначения.
§ MTU - Maximum transfer unit для данного маршрута.

§ Interface – указывает, на каком интерфейсе применять маршрут.

Интерфейс должен находиться в той же IP подсети, что и шлюз
для конфигурируемого маршрута.
§ Description – краткое описание маршрута
4.5.6. Наборы объектов (Grouping objects)

Edge Gateway в расширенном режиме позволяет создавать наборы
объектов для упрощения работы. На данном этапе поддерживает
создание наборов из IP-адресов (как сетей, так и узлов) и MAC-адресов.
Такие наборы можно использовать в качестве объектов правил
межсетевого экрана
Добавление или редактирование записей осуществляется кнопками

меню.
Добавление/редактирование IP Sets:

§ Name - название набора.

§ Description – краткое описание набора.
§ IP Address – адреса сетей и/или узлов, которые должны
присутствовать в наборе.
Меню MAC Sets:
Добавление или редактирование записей осуществляется кнопками

меню.
§ Name - название набора.

§ Description – краткое описание набора.
§ MAC Addresses – список MAC адресов, которые должны
присутствовать в наборе.

4.5.7. Site-2-Site VPN

Edge Gateway может быть использован для создания VPN-туннелей с
использованием протокола IPSec (Site-2-Site VPN).
IPsec VPN Service Status - Показывает текущее состояние сервиса
Глобальные настройки:
§ Change Shared Key - разрешить ввод/изменение ключа.

Глобальный ключ для всех туннелей. Можно сменить в настройках
туннеля индивидуально
§ Pre-Shared Key – поле ввода ключа
§ Display Shared Key – показать вводимый ключ (ключ введенный
ранее увидеть нельзя)
§ Enable Certificate Authentication – аутентификация с помощью
сертификатов CA, CRLs ( предварительно необходимо загрузить
сертификат используя меню Global Configuration - Certificates

§ Logging Settings - Необходима предварительная настройка Syslog

Server. Меню Edge Settings-Syslog Server Settings
Интерфейс настройки IPsec VPN Sites:
§ Name - Имя VPN тунеля

§ Local ID – идентификатор туннеля со стороны облака. В качестве
данного параметра необходимо указать интерфейса, через
который строится туннель (адрес можно посмотреть в контекстном
меню Edge выбрать пункт Properties - Configure IP Setting)
§ Local Endpoint - адрес интерфейса, через который строится
туннель (адрес можно посмотреть в контекстном меню Edge
выбрать пункт Properties - Configure IP Setting)
§ Local Subnets - какие сети OrgNet включать в тунель
§ Peer ID – идентификатор туннеля с удаленной стороны. Если
удаленный терминатор находится за NAT необходимо указать его
внутренний адрес (реальный адрес интерфейса, на котором
терминируется туннель), если NAT не используется – то же адрес,
что и для "Peer Endpoint".

§ Peer Endpoint – внешний (доступный из Интернет) адрес

удаленного VPN-терминатора.
§ Peer Subnets- какие сети включать в тунель c удаленной стороны
§ Encryption Algorithm – протокол шифрования. Этот параметр
должен совпадать на обоих концах туннеля.
§ Authentication – метод аутентификации. Этот параметр должен
§ Pre-Shared Key – ключ. Для просмотра ключа необходимо
отметить " Display Shared Key". Этот параметр должен совпадать
на обоих концах туннеля.
§ Diffie-Hellman Group – криптографический протокол, позволяющий
двум и более сторонам получить общий секретный ключ,
используя незащищенный от прослушивания канал связи. Этот
параметр должен совпадать на обоих концах туннеля.
Ниже перечислены некоторые параметры обязательные для установки

со стороны клиентского ландшафта:
§ Dead Peer Detection: Enabled

§ NAT Traversal: Enabled (если Вы строите туннель VPN over
CloudNet)

§ Hash: SHA1
§ IKE Lifetime: 28800
§ IPSec lifetime: 3600
ВАЖНО: Детально параметры описаны в VMware Knowledge Base

"Configuring IPsec VPN within VMware vCloud"1). Типовые конфигурации
VPN-терминаторов со стороны клиента приведены в документе "Часто
задаваемые вопросы".
ВАЖНО: Для корректного функционирования VPN на всех межсетевых

экранах по маршруту туннеля необходимо разрешить использование
следующих портов и протоколов:
§ IP Protocol ID 50 (ESP);
§ IP Protocol ID 51 (AH);
§ UDP Port 500 (IKE);
§ UDP Port 4500.
Трафик, проходящий через VPN туннель, попадает под действие

правил межсетевого экрана. Также не забудьте проходящий через VPN
туннель трафик исключить из правил NAT трансляций.
4.5.8. Балансировщик нагрузки (Load Balancer)

Edge Gateway позволяет балансировать TCP, HTTP или HTTPS-трафик.
Механизм балансировки следующий: создается виртуальный сервер на
одном из интерфейсов Edge Gateway, который принимает входящие
соединения. Затем эти соединения распределяются по пулу
виртуальных машин, находящихся за внутренним интерфейсом Edge
Gateway. Поддерживается не только балансировка, но и
автоматическое исключение из пула неработоспособных виртуальных
машин.
ШАГ 1. Создание пула серверов.

Edge Gateway, выбрать переключатель "Pools" и нажать кнопку
“Добавить” в главном меню
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=di
splayKC&externalId=2051370

Меню добавления Server Pools:


§ Description – краткое описание описание.
§ Algorithm – метод балансировки:
§ IP-Hash – выбирает сервер, основываясь на хеше адреса
источника и отправителя каждого пакета
§ Round-robin – серверы выбираются по очереди с учетом
назначенных им веса. Веса обычно используются для
отражения различной производительности серверов.
§ URI – данный метод рекомендуется использовать, когда
необходимо, чтоб URI был обработан конкретным сервером,
пока он работоспособен.
§ Least Connected – перенаправляет запрос серверу, на который
произведено менее всего подключений
§ HTTPHEADER - ,балансирует на основании содержания поля
Header HTTP заголовка. Если заголовка нет или он пустой, то
применяется метод Round-robin
§ Algorithm parameters– Специфические параметры для методов
URL, URI и HTTPHEADER.
§ Monitors – выбрать монитор сервисов (можно оставить
пустым)
§ Transparent – Если не включено (по умолчанию), то конечный
сервер видит источником реальный источник траффика, а не IP
балансировщика.
Далее необходимо добавить серверы в пул:

§ Enabled – определяет включен или выключен сервер в группе

§ Name – имя сервера
§ IP Address – IP-адрес целевого сервера.
§ Port – порт сервиса.
§ Monitor port – порт для мониторинга сервиса.
§ Weight – отражает производительность сервера. Имеет значение
только относительная величина данного параметра (по
отношению к другим серверам). Для "прозрачного" вывода
сервера из пула следует указать "0".
§ Max Connections – максимальное количество одновременных
соединений, которое принимает сервер.
§ Min Connections – минимальное количество одновременных
соединений, которое при любых условиях принимает сервер.
Затем необходимо настроить параметры проверки доступности сервиса

(работоспособности серверов) в меню Service Monitoring.
Добавить или редактировать Service Monitor можно при помощи кнопок

меню.

§ Name – Имя Service Monitor.

§ Interval – с какой частотой проверять доступность.
§ Timeout – интервал времени, по истечению которого сервер
считается недоступным.
§ Max Retries – максимальное количество подряд попыток, которые
были неудачными, прежде чем сервер отмечается как
недоступный.
§ Type – тип (протокол).запроса состояния.
§ Далее идут специфические значения для запросов и ответов на
запросы специфических протоколов таких, как HTTP, HTTPS и
UDP.

ШАГ 2. Создание виртуального сервера (виртуального IP-

адреса) для презентации сервиса клиентам.
Для этого необходимо перейди на вкладку "Load Balancer", выбрать

меню "Virtual Servers" и нажать кнопку "Добавить" в главном меню:

§ Enable Virtual Server – включает или выключает выбранный

виртуальный сервер.
§ Enable Acceleration – включает или отключает акселерацию.
§ IP address – кнопкой Select нужно выбрать виртуальный IP-адрес и
интерфейс Edge Gateway для сервиса, по которому к нему будут
обращаться клиенты.
§ Protocol – выберите необходимый протокол для работы сервиса.
§ Port – укажите порт для входящих подключений.
§ Default Pool – пул серверов, который ранее был создан, который
будет обслуживать данный сервис.
§ Connection Limit – ограничивает максимальное для данного
виртуального IP-адреса количество одновременных подключений.
§ Connection Rate Limit (CSP) – ограничивает максимальное для
данного виртуального IP-адреса количество одновременных новых
запросов на подключение.в секунду.
§ В закладке Advanced есть возможность прикрепить правило
приложения (Application Rule). Данная функция рассмотрена
ниже.
В версии Edge Gateway Advanced есть возможность создавать правила

балансировки на прикладном уровне.
Профили приложений (Application Profiles) определяют, как именно

будет балансирован тот или иной траффик. Далее вы прикрепляете
данное правило в настройках виртуального сервера (Virtual Server) и он
начинает балансировать траффик согласно тем правилам и значениям,
которые определены в правиле.
При создании правила для HTTPS траффика существуют следующие

схемы балансировки:
§ Client -> HTTPS -> LB (terminate SSL) -> HTTP -> servers
§ Client -> HTTPS -> LB (terminate SSL) -> HTTPS -> servers
§ Client -> HTTPS-> LB (SSL passthrough) -> HTTPS -> servers
§ Client -> HTTP-> LB -> HTTP -> servers
Для терминирования SSL-сессии на виртуальном сервере на Edge

Gateway должны присутствовать ранее загруженные необходимые
сертификаты. Сертификат возможно добавить в меню Certificates.

Отображаться они будут в том числе и в меню Load Balancer в разделе

Application Profiles.
Более подробную информацию вы можете получить в документации

производителя:
§ Создание Application Profile1

§ Создание Application Rule2
4.5.9. Клиентский SSL-VPN

Новая версия технологического стека позволяет использовать Edge
Gateway в качестве терминатора клиентских подключений SSL-VPN.
Меню настройки SSL-VPN сервера доступно в разделе управления

виртуальным датацентром, в котором находится ваш Edge Gateway, в
закладке Edge Gateways из контекстного меню, пункт Configure Edge
Gateway Services. После открытия дополнительного окна браузера
выполнить переход на закладку SSL VPN-Plus
General Settings:
1
http://pubs.vmware.com/vcd-820/index.jsp%20-
%20com.vmware.vcloud.tenantportal.doc/GUID-A8E70787-093E-46D2-8045-
381F12BCCDF8.html
2
http://pubs.vmware.com/vcd-
820/index.jsp#com.vmware.vcloud.tenantportal.doc/GUID-AFF9F70F-85C9-4053-
BA69-F2B062F34C7F.html

§ Prevent multiple logon using same username – предотвращает

установку двух и более сессий с использованием одних и тех же
учётных данных
§ Compression – позволяет использовать сжатие траффика в
туннеле.
§ Enable Logging – включает логирование траффика, который
проходит через SSL-VPN сервер.

§ Force virtual keyboard – принудительно включает экранную

клавиатуру для ввода логина и пароля пользователем
§ Randomize keys of virtual keyboard – устанавливает клавиши
экранной клавиатуры в случайном порядке
§ Session idle timeout – время в минутах неактивности сессии
пользователя, после истечения которого выполняется
принудительное закрытие подключения. По умолчанию 10 минут.
Данный параметр обязательный.
§ User notification – сообщение, которое будет показано
пользователю после выполнения успешного входа.
§ Enable public URL access – разрешает доступ к сайтам, которые
небыли явно настроены для удалённого доступа пользователей.
Эта опция включает сайт, где пользователи могут скачать
клиентское программное обеспечение для SSL VPN.
§ Enable forced timeout – принудительное закрытие подключения
пользователя по истечению указанного количества времени.
Меню Client Configuration:
§ Tunneling mode – на выбор Split или Full. Это режим работы SSL-
VPN подключения клиента. В режиме Split в туннель будет
направляться только тот траффик, удалённых сетей, которые

доступны через VPN соединение. В режиме Full весь траффик

направляется в VPN туннель.
§ Exclude local subnets – для режима туннелирования Full,
исключает из туннеля траффик локальнй сети пользователя.
§ Default gateway – для режима туннелирования Full, задаёт IP
адрес шлюза по умолчанию для клиентского подключения.
§ Enable auto reconnect – позволяет автоматически
переустанавливать соединение в случае его обрыва. Данный
параметр включён по умолчанию.
§ Client upgrade notification – сообщает пользователю о том, что
доступна новая версия SSL-VPN клиента и предлагает обновить
его.
Для работы клиентского SSL-VPN необходимо сконфигурировать хотя

бы одну учётную запись пользователя. Сделать это можно в меню
Users.
Добавление, редактирование и удаление пользовательских учётных

записей осуществляется соответствующими кнопками интерфейса.

§ User ID – Имя пользователя (Не активно при редактировании

существующего пользователя).
§ Change password – в режиме редактирования пользователя
позволяет сменить пароль пользователя.
§ Password – пароль пользователя.
§ Retype password – повторный ввод пароля пользователя.
§ Далее идут опциональные поля First name, Last name и Description
– имя, фамилия и кратное описание.
§ Enabled – включает и выключает учётную запись пользователя.
§ Password newer expires – срок действия пароля не ограничен, если
опция включена.
§ Allow change password – разрешает пользователю самостоятельно
менять пароль, если опция включена.

§ Change password on next login – требует от пользователя сменить

пароль при следующем успешном входе, если опция включена.
В разделе IP Pools можно настроить диапазоны адресов, которые будут

выдаваться пользователям SSL-VPN
Добавление и редактирование диапазонов IP адресов осуществляется

соответствующими кнопками интерфейса.

§ IP Range – диапазон IP адресов, которые будут выдаваться

клиентам при подключении. Запись должна иметь следующий вид:
X.X.X.X-X.X.X.Y.
ВАЖНО: Диапазонов IP адресов может быть несколько.
§ Netmask – маска подсети для выделенного диапазона.
§ Gateway – шлюз для выделенного диапазона. Не должен входить
в выделенный диапазон, но при этом должен быть в той же IP сети
с ним.
§ Description – краткое описание.
§ Status – параметр отвечает за то, включён или выключен данный
диапазон IP адресов.
§ Primary DNS, Secondary DNS и Domain name suffix – параметры
отвечают за настройку DNS клиента.
§ Wins Server – задаёт Wins Server для клиентского подключения.

Для того, чтобы пользователь имел возможность подключиться к VPN,

ему необходимо установить клиентское программное обеспечение.
Настроить возможность для пользователя скачать и установить
клиентское ПО можно в разделе Installation Packages:
Добавление и редактирование пакетов установки осуществляется

соответствующими кнопками интерфейса:

§ Profile name – Имя профиля инсталляционного пакета.

§ Gateway и Port – адрес (IP или FQDN) и порт терминатора
клиентских SSL подключений.
§ ВАЖНО: шлюзов может быть несколько (Если, например, у Edge
Gateway несколько аплинков). Их можно добавлять и удалять.
§ Create installation package for – для каких операционных систем
делать инсталляционный пакет. Можно выбрать одновременно
все три (Windows, Linux, Mac).
§ Description – краткое описание инсталляционного пакета.
§ Enabled – определяет, включен ли данный инсталляционный пакет

для показа в интерфейсе пользователя.

Installation parameters for Windows – параметры инсталляции пакета для

Windows:
§ Start client at logon – запускать клиент при успешном входе

пользователя
§ Allow remembered password – позволяет запоминать пароль
пользователя последнего удачного входа
§ Enable silent mode installation – позволяет не показывать процесс
инсталляции для удалённых пользователей
§ Hide SSL client network adapter – скрывает сетевой адаптер
клиентского SSL-VPN подключения.
ВАЖНО: данный параметр должен быть выключен для
корректного прохождения процесса инсталляции в Windows
версии 8 и выше.
§ Hide client system tray icon – скрывает значок клиентского
подключения из области уведомлений.
§ Create desktop icon – указывает, создавать ли ярлык подключения
на рабочем столе пользователя.
§ Enable silent mode operation – позволят не показывать
пользователю сообщение о том, что установка выполнена
успешно.
§ Server security certificate validation – проверяет валидность
сертификата SSL-VPN сервера до установки защищённого
соединения.
В разделе Private Network определяются сети, которые доступны через

SSL-VPN подключение.
Добавлять и редактировать существующие сети можно

соответствующими кнопками интерфейса.
ВАЖНО: доступ пользователя к сетям SSL-VPN осуществляется из
данного списка сверху вниз. То есть у вас может быть одна и та же сеть

назначения сконфигурирована с разными параметрами транспорта

(параметры будут описаны ниже). Применение этих параметров к
проходящему трафику происходит по списку сверху вниз до первого
совпадения.
§ Network – адрес сети или хоста в CIDR формате.

§ Description – краткое описание.
§ Send traffic – определяет, в каком режиме отправлять траффик
клиента. Over Tunnel – траффик отправляется через Edge
Gateway. Bypass Tunnel – траффик отправляется минуя Edge
Gateway напрямую к узлу назначения в сети, которая доступна
через SSL-VPN
§ Enable TCP optimization – оптимизирует прохождение TCP
траффика в туннеле SSL-VPN. Так же убирается проблема TCP
over TCP meltdown на нестабильных интернет соединениях.
ВАЖНО: включение опции TCP optimization может привести к
неработоспособности некоторых сетевых протоколов таких, как
FTP в активном режиме. Для сервисов, работающих по таким
протоколам необходимо, либо выключать данную опцию для всей
сети назначения, либо создавать отдельное правило для хостов с

такими протоколами с выключенной опцией TCP optimization и

помещать его выше общего правила сети назначения.
§ Ports – когда выбрана опция отправки траффика Over Tunnel,
можно указать какие именно номера и/или диапазоны портов
необходимо разрешить сети или узлу назначения, который
находится за SSL-VPN сервером. Для того, чтоб разрешить все
порты, данное полу необходимо оставить пустым.
§ Status – опция разрешает или запрещает выбранную сеть.
Раздел Server Settings позволяет выполнить общие настройки SSL-

VPN сервера.
§ Enabled – включает или выключает SSL-VPN сервер.

§ Ipv4 Address – адрес Edge Gateway, который будет работать в
качестве SSL-VPN терминатора.
§ Port – указывает порт, к которому будут подключаться удалённые
пользователи.
ВАЖНО: настройка порта включается в конфигурацию
инсталляционного пакета клиентского ПО. По умолчанию порт
указан 443, который является стандартным для всех SSL
соединений, но вы можете выбрать любой другой порт.
ВАЖНО: если вы указали порт, отличный от стандартного (443) и

при этом включили Enable public URL access в общих настройках

(General Settings), то вам будет необходимо добавить
разрешающее правило для порта 443 на межсетевом экране, так
как в этом случае система не создаёт разрешающее правило
автоматически, и пользователи не могут получить доступ к сайту
для скачивания клиентского программного обеспечения.
§ Cipher List – указывает, какой алгоритм шифрования использовать
в SSL-VPN подключении. Возможно выбрать AES128-SHA и/или
AES256-SHA. DES-CBC3-SHA, несмотря на то, что присутствует в
списке, не может использоваться, так как считается устаревшим в
новых версиях Edge Gateway.
§ Logging Policy – определяет политику журналирования событий
SSL-VPN сервера. Можно включить и отключить журналирование
событий, а также определить уровень журналирования.
§ Change Server Certificate – по умолчанию SSL-VPN сервер
использует самоподписаный сертификат для аутентификации.
Несли у вас есть необходимость использовать свой сертификат,
его можно установить, нажав соответствующую кнопку и выбрав
доступные сертификаты из списка. Работа с сертификатами
описана в соответствующем разделе документации.
Раздел Authentication позволяет настроить серверы для

аутентификации удалённых пользователей.
Добавлять, редактировать и удалять серверы аутентификации можно

используя соответствующие кнопки интерфейса.

ВАЖНО: один SSL-VPN сервер может иметь только один сервер

аутентификации. Кроме этого, такой сервер аутентификации может
быть только локальным. При добавлении в конфигурацию второго
сервера аутентификации на этапе сохранении параметров вы получите
ошибку и параметры второго сервера аутентификации сохранены не
будут.
Password Policy – раздел определяет политику паролей

пользователей.
§ Enable password policy – опция включает или выключает политику

паролей.
§ Password length – определяет минимальную и максимальную
длину паролей пользователей.
§ Minimum no. of alphabets – определяет минимальное количество
букв в пароле пользователя.
§ Minimum no. of digits – определяет минимальное количество цифр
в пароле пользователя.
§ Minimum no. of special characters – определяет минимальное
количество специальных символов (# $ % & и так далее) в пароле
пользователя.

§ Password should not contain user ID – если включена, опция

указывает на то, что логин и пароль пользователя не могут
совпадать
§ Password expires in – указывает срок действия пароля
пользователя.
§ Expiry notification in – указывает за сколько дней предупреждать
пользователя о том, что срок действия его пароля истекает, и
необходимо заменить.
Account Lockout Policy – раздел определяет политику блокирования

учётных записей пользователей.

§ Enable account lockout policy – опция включает или выключает

политику блокирования учётных записей.
§ Retry Count – опция указывает, сколько максимально возможно
выполнить неуспешных входов прежде, чем учётная запись
пользователя будет заблокирована.
§ Retry Duration – указывает, за какой максимальный период
времени в минутах возможно исчерпание количества попыток
неуспешных аутентификаций прежде, чем пользователь будет
блокирован. К примеру, если параметр Retry Count имеет
значение равное пяти, а параметр Retry Duration имеет значение
1, то это значит, что пользователь будет заблокирован, если он
выполнит 5 неуспешных попыток входа на протяжении одной
минуты.
§ Lockout Duration – опция указывает, на какой промежуток времени
блокировать пользователя, который превысил порог неуспешных
попыток входа.
§ Status – определяет, включён или выключен данный сервер
аутентификации.
§ Use this server for secondary authentication – указывет на то, что
данный сервер аутентификации используется как вторичный.
§ Terminate Session if authentication fails – если включена, то данная
опция указывает на то, что, если пользователь не проходит
аутентификацию
4.5.10. Управление SSL-сертификатами

В версии Edge Gateway Advanced появилась возможность работы с
различного рода сертификатами, которые могут быть использованы как
для SSL-VPN, так и для организации балансировщика нагрузки для SSL
траффика.
Есть возможность как добавлять сертификаты в текстовом виде, так и в

виде файлов, а так же, генерировать запрос к стороннему центу
сертификации.

Более подробную информацию о работе с сертификатами вы можете

узнать на сайте производителя1.
4.6. Сети vAppNet

vAppNet представляет собой выделенную сеть, предназначенную для
взаимодействия VM внутри vApp. Она создается и конфигурируется
OrgAdmin. Использование vAppNet не является обязательным – VM
могут непосредственно подключаться к OrgNet.
4.6.1. Создание и настройка

Для создания vAppNet необходимо перейти во вкладку "Netwoking"
желаемого vApp и использовать кнопку "Add Network".
Далее необходимо следовать предложенному пошаговому алгоритму.
1. Выбрать тип добавляемой в vApp сети – "vApp Network".

ВАЖНО: выбор "Organization vDC Network" делает доступным для
vApp уже существующие сети OrgNet, новые сети при этом не
создаются.
2. В разделе "Network Specification" указать необходимые сетевые
параметры:
§ Network mask – маска подсети данной vAppNet.
§ Default gateway – IP-адрес внутреннего интерфейса
маршрутизатора vShield Edge, который будет создан для
1
http://pubs.vmware.com/vcd-
820/index.jsp#com.vmware.vcloud.tenantportal.doc/GUID-D6827737-DF9F-4E88-
8D1B-3EB775172937.html

данной vAppNet. Обычно указывается первый адрес сети

(x.x.x.1).
§ Static IP pool – диапазон IP-адресов, которые vCloud Director
использует для статического присвоения сетевым интерфейсам
VM при их подключении к данной сети (аналог статических
привязок в DHCP).
§ Также можно указать настройки DNS, которые будет
использовать DHCP-сервер в данной сети.
3. Указать желаемое имя vAppNet и нажать кнопку "Finish".
Просмотреть и/или изменить настройки vAppNet можно в любой момент

во вкладке "Networking" vApp с помощью команд из контекстного меню.
С помощью пункта контекстного меню vAppNet "Reset Network"

выполняется "холодный" перезапуск ассоциированного с ней "теневого"
Edge. Данную функцию можно использовать, например, для очистки
таблицы трансляции NAT, перезапуска некорректно работающих
сервисов. Сброс занимает 2-3 минуты, все настройки при этом
сохраняются.
4.6.2. Подключение к OrgNet

vAppNet может быть либо изолированной, либо подключаться к
существующей OrgNet. Подключение можно выполнить во вкладке
"Networking" vApp.
Подключение к OrgNet осуществляется только в L3-режиме (через

"теневой" маршрутизатор Edge).

4.6.3. Настройка сервисов vShield Edge

При подключении сети vAppNet к OrgNet создается отдельный
экземпляр Edge Gateway с ограниченной функциональность (vShield
Edge). Настройка сервисов доступна через пункт "Configure Services"
Большинство настроек интуитивно понятны и не требуют

дополнительного описания.
ВАЖНО: функциональность ассоциированного с vAppNet "теневого"

Edge отличается от Edge Gateway:
§ отсутствует функциональность VPN;

§ NAT может работать только в одном из двух режимов: либо
"IP Translation" (Static NAT) либо "Port Forwarding" (IP Masquerade +
Port Forwarding).
DHCP-сервер
В ответ на запрос VM DHCP-сервер выдает ей адрес из назначенного
диапазона ("IP range"), сообщает внутренний IP-адрес Edge Gateway в
качестве шлюза по умолчанию ("default gateway"), а также адреса
первичного и вторичного DNS-серверов если они указаны в свойствах
vAppNet.
ВАЖНО: диапазон IP адресов, выдаваемый DHCP сервером ("IP

range"), не должен пересекаться с пулом статических адресов.
Выбор режима NAT

Выбор режима работы NAT производится во вкладке "NAT". Доступны
следующие режимы:

§ "IP Translation" – функциональность Static NAT;

§ "Port Forwarding" – функциональность IP Masquerade + Port
Forwarding.
Переключение между режимами приводит к потере всех

сконфигурированных правил трансляции.
Маскирование IP адреса (IP Masquerade)

При включении данной функции во вкладе "NAT" IP-адрес VM при
взаимодействии с внешними сетями будет заменяться на внешний IP-
адрес Edge Gateway.
ВАЖНО: данная функциональность доступна только если NAT работает

в режиме "Port Forwarding".
Переадресация портов (Port Forwarding)

Переадресация портов позволяет пересылать весь трафик с
определённого порта дополнительного внешнего IP-адреса Edge
Gateway на порт VM, работающей в данном vApp.
Для настройки данной функции следует использовать кнопку

"NAT → Add".
ВАЖНО: правила переадресации применяются в порядке их

следования в списке. Для изменения порядка правила можно
перетягивать внутри списка.
Статическая трансляция IP-адресов (Static NAT)

Данная функция доступна во вкладке "NAT – External IPs" и позволяет
настроить статическую трансляцию "1:1" между каким-либо внутренним
IP-адресом OrgNet и одним из дополнительных внешних адресов Edge
Gateway. Трансляция работает в обе стороны вне зависимости от
инициатора сессии.
ВАЖНО: использование статической трансляции требует наличия как

минимум одного дополнительного внешнего адреса Edge Gateway. Этот
адрес можно указать при конфигурировании правила трансляции.
Межсетевой экран (firewall)

Межсетевой экран Edge Gateway относится к классу "statefull packet
filtering", т.е. учитывает контекст сессии.
ВАЖНО: правила фильтрации применяются в порядке их следования в

списка.

Статическая маршрутизация (Static Routing)

ВАЖНО: при настройке статической маршрутизации необходимо
учитывать конфигурацию IP-пространства Organization и подключенных
к ней внешних сетей, а также действующие правила NAT и межсетевого
экрана на всех Edge Gateway на маршруте.
4.6.4. Удаление
Перед удалением vAppNet необходимо отключить от нее все VM.
Текущую сетевую топологию vApp удобно просматривать на вкладке
"vApp Diagram".
Для удаления vAppNet необходимо использовать команду "Delete" из

4.7. Презентация виртуальных машин в сеть

Интернет
Для обеспечения доступа VM к сети Интернет необходимо приобрести
один из стандартных Интернет-пакетов и, при необходимости, пул
дополнительных маршрутизируемых IP-адресов (один IP-адрес входит
в состав всех Интернет-пакетов).
В облачном датацентре можно использовать несколько способов для

презентации виртуальных машин в Интернет.
4.7.1. Использование Edge Gateway как

граничного сетевого устройства
Edge Gateway в качестве пограничного устройства может предоставить
следующие сервисы: NAT, статическая маршрутизация, межсетевой
экран, Site-to-Site IPSec VPN. Один из интерфейсов подключается к
BaseNet, второй к Интернет, последующие – к сетям OrgNet. Адресация
этих OrgNet может быть как внутренней (при этом на Edge Gateway
необходимо использовать NAT), либо внешней (требуется заказ
дополнительных внешних IP-адресов).
Интернет будет представлен как External-сеть. Предоставленный в

рамках пакета внешний IP-адрес будет присвоен сетевому интерфейсу
Edge Gateway, подключенному к данной сети.
4.7.2. Использование выделенной VM как

граничного сетевого устройства
В данном сценарии в качестве граничного сетевого устройства
(маршрутизатора, межсетевого экрана, NAT, VPN) используется
выделенная VM, один из интерфейсов которой подключен к Интернет, а
последующие – к сетям OrgNet. Адресация этих OrgNet может быть как

внутренней (при этом на граничной VM необходимо использовать NAT),

либо внешней (требуется заказ дополнительных внешних IP-адресов).
Интернет будет представлен как Direct-сеть (L2-подключение).

Предоставленный в рамках пакета внешний IP-адрес должен быть
присвоен сетевому интерфейсу VM, подключенному к данной сети. В
качестве шлюза по умолчанию для этой VM должен быть указан IP-
адрес, сообщенный службой поддержки.
В качестве граничной VM может быть использована vyatta, шаблон

которой находится в публичном каталоге.
4.7.3. Методы эффективного использования

внешних IP-адресов при использовании
Edge Gateway.
Включенный в Интернет-пакет IP-адрес может использоваться для:
§ Доступа виртуальных машин из облака в сеть Интернет (настройка

SNAT "OrgNet в Internet").
§ Публикации сервисов, размещенных на виртуальных машинах в
сеть Интернет (настройка DNAT на Internet-интерфейсе)
Дополнительное адресное пространство может быть заказано в виде

как одиночных дополнительных IP-адресов, так и IP-подсетей.
Одиночные адреса могут использоваться исключительно как

дополнительные адреса на Internet-интерфейсе граничного устройства
(например, Edge Gateway). Использоваться они могут как и основные
(SNAT/DNAT/IPSec/). Эти адреса не могут быть установлены
непосредственно на виртуальные машины.
Подсети могут использоваться как дополнительные адреса на Internet-

интерфейсе граничного устройства (всего будет доступно Х-3 адреса,
где Х-количество адресов в подсети) или присваиваться
непосредственно виртуальным машинах.
ВАЖНО: для одной подсети доступен только один из вариантов

использования, но при заказе нескольких подсетей их можно
использовать различными вариантами.
Установка адресов на виртуальной машине может осуществляться

двумя путями:
1. Используя дополнительную сеть OrgNet (всего будет доступно Х-3

адреса, где Х-количество адресов в подсети).

2. Используя статические маршруты и одну из существующих сетей

OrgNet (всего будет доступно Х адресов, где Х-количество
адресов в подсети).
При использовании первого способа создается новая сеть OrgNet, при

создании указывается адресация заказанной дополнительной IP-
подсети. Адреса назначаются виртуальным машинам, которые
подключаются к данной сети.
При использовании первого способа виртуальная машина подключена к

одной из сетей OrgNet (или BaseNet). Создается статический маршрут
вида:
В поле "Network" указывается IP-адрес в CIDR-формате из диапазона

заказанной подсети, а в поле "Next Hop IP" указывается IP-адрес VM из
подключенной сети OrgNet (BaseNet). В гостевой ОС VM необходимо
настроить внешний адрес как alias на сетевом интерфейсе.
4.8. Virtual Cisco ASA

В состав Облака входит active-active кластер из двух Cisco ASA 5540 с
активированной функцией "security context". Эта функция позволяет
создавать виртуальные экземпляры Cisco ASA, полностью
наследующие функциональность и отказоустойчивость аппаратного
кластера и доступные Заказчикам в виде услуги Virtual Cisco ASA.
При заказе услуги Virtual Cisco ASA OrgAdmin получает

административный доступ к интерфейсу управления виртуального
экземпляра Cisco ASA и может использовать всю функциональность
режима multiple security context. Документация доступна
непосредственно с сайта Cisco (Firmware Version 9.x).
Virtual Cisco ASA может быть использована для защиты как интернет-
подключения, так и выделенных каналов или отдельных сегментов
локальной сети, при этом все настройки межсетевого экрана

контролируются OrgAdmin. Также доступны функции Site-2-Site VPN и

динамической маршрутизации. Фактически, с точки зрения сетевого
администратора, Virtual Cisco ASA практически неотличима от
аппаратной ASA в кластерной конфигурации.

5. Порядок обращения в службу

технической поддержки
Техническая поддержка распространяется на все предоставляемые

облачные услуги и предоставляется в форме обработки (решения)
запросов, которые направляются авторизованными сотрудниками
Заказчика.
Порядок получения технической поддержки облачных услуг приведен

ниже:
1. Служба технической поддержки является единой точкой приема

запросов на обслуживание от Заказчика.
2. При обнаружении сбоев в функционировании услуг,
необходимости проведения изменений, выходящий за рамки
ответственности Заказчика, а также для получения технической
консультации по вопросам эксплуатации услуг, Заказчик
обращается в Службу технической поддержки и размещает запрос
на обслуживание, одним из следующих способов:
§ по электронной почте по адресу: h-cloud-support@de-novo.biz.
§ по телефону по номеру: +38 044 200 22 45;
3. Запросы на обслуживание в Службу технической поддержки
имеют право подавать только сотрудники Заказчика,
авторизованные на это действие соответствующим запросом на
авторизацию, оформленным в порядке, предусмотренном
Договором на оказание облачных услуг.
4. При размещении запроса на обслуживание авторизованному
сотруднику Заказчика (Инициатору заявки) необходимо указать
следующие данные:
§ наименование Заказчика;
§ ФИО Инициатора и контактный телефон Инициатора для
обратной связи;
§ краткое описание сути заявки, включая скриншоты,
описывающие проблему;
5. Начальную классификацию запроса выполняет Заказчик в момент
предоставления запроса, конечную и окончательную
классификацию выполняет Служба технической поддержки.
6. В случаи, если Службе технической поддержки будет необходима
дополнительная диагностическая информация, Заказчик помогает
провести диагностику, выполняет рекомендации представителя
Службы технической поддержки и сообщает ему результат.
Порядок обращения в службу технической поддержки 115 из 116

7. После выполнения всех работ по запросу Служба технической

поддержки информирует Заказчика о выполнении запроса и
закрывает запрос после получения от Заказчика подтверждения о
решении запроса. В случаи, если Заказчик в течение 3 (трех)
рабочих дней не прислал подтверждения о выполнении запроса,
запрос считается выполненным в полном объеме и закрывается
автоматически.
8. Заказчик в рамках соответствующих часов обслуживания может
обратиться в Службу технической поддержки, чтобы узнать статус
работ по запросу, позвонив по указанным выше телефонам и
сообщив номер запроса, или написав на электронный адрес,
указанный выше.
Детальная информация о классификации запросов и классе

обслуживания, включая определение целевых временных интервалов
обслуживания и решения запросов, определяется и согласовывается с
Заказчиком в соответствующем соглашении об уровне услуг SLA.
ВАЖНО: в режиме тестирования по программе Try&Buy техническая

поддержка осуществляется без регламентирования уровня.
Порядок обращения в службу технической поддержки 116 из 116

ВДЦ и сети - Руководство администратора PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ВДЦ и сети - Руководство администратора PDF

Оригинальное название:

Загружено:

Авторское право:

Доступные форматы

Облако De Novo: виртуальные датацентры, сети

4.4.3. Межсетевой экран (firewall) .................................................................. 52

Облако De Novo (H/G-Cloud) – программно-аппаратный комплекс, в

CloudAdmin – сотрудник De Novo, выполняющий функции

Organization – логический контейнер, объединяющий выделенные

OrgAdmin – сотрудник Заказчика, ответственный за системное

Пользователь (user) – администратор приложения, развёрнутого в

Виртуальный датацентр (vDC) – это набор ресурсов определенного

CloudNet – это внутренняя служебная сеть Облака. OrgAdmin может

§ Создание IPSec VPN-туннеля между собственным ЦОД и vDC с использованием

vApp – логический контейнер, содержащий одну или нескольких VM,

OrgNet – сеть, используемая для взаимодействия VM и vApp в

vAppNet – сеть, используемая для взаимодействия VM в пределах

Термины и определения 5 из 116

быть изолированной и/или подключаться к OrgNet. vApp может

Edge Gateway – универсальное сетевое устройство , выполняющее

vApp Template (шаблон vApp) – предварительно настроенные vApp,

Каталог (catalog) – библиотека шаблонов vApp и инсталляционных ISO

Термины и определения 6 из 116

Данный документ относится к технологическому стеку версии 8.2

Детальная информация о характеристиках, моделях использования и

§ "Облако De Novo - Технико-коммерческое описание" - обзорное

Актуальные версии всех документов доступны на портале

Обзорная информация 7 из 116

3. Виртуальный датацентр: базовые

В целом, интерфейс vCloud Director является интуитивно понятным. На

Рис. 3.1.1 Контекстное меню vDC.

Рис. 3.1.2 Контекстное меню виртуальной машины.

Виртуальный датацентр: базовые процедуры администрирования 8 из 116

В данном и последующих разделах маршруты доступа к управляющим

3.1. Начальная настройка Organization

Все параметры, которые устанавливаются в процессе начальной

ШАГ 1. Полное название и описание Organization

Описание является необязательным параметром и не влияет на

ШАГ 2. Импорт пользователей и групп из внешнего

ШАГ 3. Создание локальных пользователей

ШАГ 4. Настройки предпочтений SMTP-сервера и

ШАГ 5. Настройка системных политик

Виртуальный датацентр: базовые процедуры администрирования 9 из 116

3.2. Параметры и степень утилизации vDC

Рис. 3.2.1 Мониторинг использования ресурсов vDC.

ВАЖНО: Индикатор "Processor" отражает не текущее (мгновенное)

§ менее 50% – все активные vCPU могут работать на максимальной

Доступ к окну свойств осуществляется из контекстного меню

Виртуальный датацентр: базовые процедуры администрирования 10 из 116

Рис. 3.2.2 Свойства vDC.

Отображаемые параметры имеют следующий смысл.

§ Allocation Model – модель выделения и резервирования ресурсов

3.3. Администрирование vApp

Виртуальный датацентр: базовые процедуры администрирования 11 из 116

vApp состоит из одной или нескольких VM и набора параметров и

Сети vAppNet создаются и конфигурируется OrgAdmin и используются

3.3.1. Создание vApp

Метод 1. Использование шаблона vApp из каталога

2. Перейти во вкладку "vApp Templates" и из контекстного меню

Виртуальный датацентр: базовые процедуры администрирования 12 из 116

3. Указать желаемое название vApp. Рекомендуется использовать

4. Выбрать vDC, в котором будет помещен vApp, указать имя для

Виртуальный датацентр: базовые процедуры администрирования 13 из 116

5. Указать сети, к которым следует подключить VM, а также hostname

6. После разворачивания vApp при необходимости можно указать

Виртуальный датацентр: базовые процедуры администрирования 14 из 116