Erste Schritte mit Virtual Datacenter

Die Arbeit mit Virtual Datacenter (VDC) ist intuitiv und weitgehend selbsterklärend. Trotzdem lohnt es sich, einige Basics und Best-Practice-Ansätze kennenzulernen, welche der nachfolgende Artikel erklären soll.

Einleitung

Virtual Datacenter ermöglicht Ihnen als IaaS-Lösung den unkomplizierten Betrieb von VMs. Sie können beliebige Windows- und Linux-Betriebssysteme einsetzen und die VMs sind beliebig skalierbar, sogar während dem Betrieb. Virtual Datacenter besteht im Wesentlichen aus den folgenden Komponenten:

• Virtualisierungsplattform für VMs
• Virtuelle Netzwerke
• Edge Gateway Firewall mit integriertem Load Balancer
• Managed Backup Self-Service Portal auf Basis von Veeam (Im Test-Account nur auf Anfrage verfügbar)

Die gesamte Lösung verwalten Sie über ein zentrales webbasiertes Portal, den VMware vCloud Director.

Organisation Ihres VDC

Die sinnvolle Organisation von VMs ist wesentlich für eine einfache Verwaltung und hohe Sicherheit innerhalb des VDCs. Um die Struktur und die Abhängigkeiten innerhalb von VDC zu verstehen, sollten Sie zuerst die wichtigsten Begriffe kennenlernen.

VDC: Ein VDC ist die oberste Hierarchieebene in Ihrem Tenant. Standardmässig haben Sie ein VDC, welches eine isolierte Einheit bildet, in dem Sie alle Ihre VMs betreiben. Für eine strikte Trennung, beispielsweise für Testumgebungen, weitere Datacenterstandorte (Multi-Site) oder VMs mit besonders hohen Sicherheitsanforderungen können Sie optional weitere VDCs bestellen.

vApps: Innerhalb des VDCs erstellen Sie mehrere vApps. Das sind logische Container für die Organisation Ihrer VMs nach Services, Abteilungen, Verantwortlichkeiten oder Endkunden, je nach Grösse Ihrer Umgebung und dem gewünschten Einsatzszenario. Innerhalb von vApps legen Sie für die enthaltenen VMs Start- und Stoppreihenfolgen fest, erstellen isolierte vApp-Netzwerke und berechtigen Benutzer, die nur auf einzelne vApps Zugriff erhalten sollen. Bevor ein OrgVDC Network innerhalb einer vApp zur Verfügung steht, müssen Sie dieses ihr zuordnen.
Tipp: Erstellen Sie zuerst die vApps, weisen Sie die nötigen OrgVDC Networks zu und erstellen dann die VMs

Virtual Machine (VM): VMs sind frei konfigurierbar mit Ressourcen und OrgVDC Networks und erlauben Guest OS Customization, um bereits bei der Bereitstellung der VM ein Admin-Passwort zu setzen oder einer Domäne beizutreten. Für die VMs können Sie je einen Snapshot erstellen und über die webbasierte Konsole oder VMware Remote Console zugreifen.

OrgVDC Network: In VDC erstellen Sie beliebige OrgVDC Networks. Diese können isoliert oder über den Edge Gateway gerouted sein. Wie viele OrgVDC Networks Sie einsetzen, hängt sehr von Ihrem Einsatzszenario und Ihren Sicherheitsanforderungen zusammen. Einige Kunden betreiben alle VMs in einem OrgVDC Network und isolieren Sie optional mit der Distributed Firewall, andere betreiben pro Abteilung oder Endkunde ein eigenes OrgVDC Network und wieder andere segmentieren ihre dem Internet ausgesetzten VMs in einem DMZ OrgVDC Network.

vApp Network: Ein vApp Network ist ein auf eine vApp begrenztes Netzwerk und steht nur VMs innerhalb dieser vApp zur Verfügung. Es ist besonders für die Segmentierung von grösseren Umgebungen geeignet. Ein vApp Network kann isoliert sein, zu einem OrgVDC Network geroutet oder über NAT mit einem OrgVDC Network werden. Zwischen vApp Network und OrgVDC Network definieren Sie Firewall- und NAT-Rules.

Edge Gateway: Der Edge Gateway ist der Knotenpunkt zwischen Ihren OrgVDC Networks und dem Internet. Er fungiert als Router und bietet gängige Firewall-Funktionalität wie Firewall- und NAT-Rules, IPSec und SSL VPN, DHCP sowie einen integrierten Load Balancer. Er ist optional in HA-Ausführung (High Availability) erhältlich und es ist möglich zusätzliche Edge Gateways zu bestellen, beispielsweise für Testumgebungen. Damit können die meisten Bedürfnisse abgedeckt werden. Falls nicht, können Sie alternativ den Edge Gateway durch eine beliebige virtuelle Firewall Appliance ersetzen.

Netzwerke konfigurieren

Als ersten sollten Sie die OrgVDC Networks konfigurieren. Ihr neues VDC hat bereits ein über den Edge Gateway geroutetes OrgVDC Network vorkonfiguriert. Sie können dieses mit der vordefinierten Netzwerkkonfiguration verwenden oder zusätzliche eigene Netzwerke erstellen und die Netzwerkadresse frei definieren. Sie können je nach Einsatzzweck isolierte oder über den Edge Gateway geroutete OrgVDC Networks erstellen.

Arbeiten mit vApps

Sind die Netzwerke definiert, sollten Sie als Nächstes eine leere vApp erstellen. Die VMs werden erst später erstellt und hinzugefügt. Wie Sie Ihre vApps strukturieren ist Ihnen überlassen. Je nach Einsatzzweck wird üblicherweise nach Services, Abteilungen, Verantwortlichkeiten oder Endkunden segmentiert. In den Einstellungen der vApp können Sie später die Start- und Stoppreihenfolge für die hinzugefügten VMs festlegen und Benutzer für die Verwaltung der vApp berechtigen. Wichtig ist es aber zuerst, in den vApp-Einstellungen unter Networks die nötigen OrgVDC Networks hinzuzufügen, damit diese später den VMs zugewiesen werden können. Alternativ haben Sie die Möglichkeit vApp Networks zu erstellen, welches nur innerhalb der vApp verfügbar sind. Diese können isoliert sein, zu einem OrgVDC Network geroutet oder über NAT mit einem OrgVDC Network werden.

vApp Templates

Mit vApp Templates erstellen Sie in wenigen Minuten komplette IT-Umgebungen. Wir stellen Ihnen beispielsweise ein RDS-Template zur Verfügung, welche eine Remote Desktop Services Basisumgebung beinhaltet, die sie nach Ihren Wünschen anpassen und erweitern können. Das Template besteht aus einem kombinierten Active Directory und File Server sowie einem RDS Session Host. So sparen Sie wertvolle Zeit bei der Bereitstellung von Standardumgebungen. Darüber hinaus können Sie auch eigene vApp Templates erstellen.

Arbeiten mit VMs

Innerhalb der vApp erstellen Sie schliesslich Ihre VMs. Wir stellen Ihnen dafür verschiedene vorinstallierte Templates zur Verfügung mit Windows Server, Linux und Firewall Appliances, damit Sie die Bereitstellungszeit verringern können. Sie haben auch jederzeit die Möglichkeit eigene ISOs hochzuladen und in die VM einzubinden, um ihr eigenes Betriebssystem zu installieren.

Bei den durch uns zur Verfügung gestellten Templates lautet das Passwort jeweils „Aw3s0me!".

Für die Erstellung einer neuen VM definieren Sie einen Namen und wählen Sie das gewünschte Template. Sie sollten die VM noch nicht starten, sondern zuerst das Netzwerk verbinden und die Ressourcen konfigurieren. Die VM wird mit der empfohlenen Ressourcenkonfiguration bereitgestellt und Sie haben anschliessen die Möglichkeit, diese anzupassen. Der Bereitstellungsvorgang dauert einige Minuten.

Konfigurieren Sie die VMs entsprechend Ihren Anforderungen. Wählen Sie das Betriebssystem aus und definieren Sie vCPU, RAM und virtuelle Festplatten. Die Optionen Memory Hot Add und Virtual CPU Hot Add erlauben die Veränderung der Ressourcen im laufenden Betrieb mit einer geringfügigen Leistungseinbusse. Sie können nur bei ausgeschalter VM aktiviert oder deaktiviert werden. In dem Sie für die vCPUs die Anzahl Cores pro Socket festlegen, können Sie die Lizenzierung von bestimmten Softwareprodukten beeinflussen.

Die Storage Policy legt fest, ob Ihre VM auf SSD- oder HDD-Storage gespeichert wird. Die Storage Policy unter General für die VM selbst wirkt sich nur auf das Config-File der VM aus. Die Storage Policy der Festplatten müssen Sie für jede virtuelle Festplatte selbst festlegen. Ein Wechsel der Storage Policy ist jederzeit und im laufenden Betrieb möglich.

Unter NICs fügen Sie einen oder mehrere Netzwerkadapter hinzu, verbinden diese mit dem gewünschten OrgVDC oder vApp Network und definieren die IP-Adresse. Die IP-Adresse wird nur beim erstmaligen Start einer von einem Template erstellen VM (Guest OS Customization) in das Betriebssystem übernommen. Ansonsten ist dort eine manuelle Konfiguration erforderlich.

Verwendung eigener ISOs

Für den Upload von eigenen ISOs müssen Sie zuerst einen Catalog erstellen. Auf diesen haben nur Sie und keine anderen Kunden Zugriff. Laden Sie anschliessend das ISO in den Katalog hoch, damit Sie es in der neu erstellten VM einbinden und booten können.

Zugriff auf VMs

Am komfortabelsten ist der Zugriff auf Ihre VMs via RDP oder SSH. Dazu erstellen Sie entweder entsprechende Firewall-Regeln, die den direkten Zugriff von Ihrer WAN-IP her erlauben. Oder Sie greifen über SSL VPN oder IPSec VPN darauf zu.

Für kleinere Arbeiten oder die Installation von Betriebssystemen steht eine Konsole zur Verfügung. Auf diese können Sie entweder webbasiert oder noch besser über die VMware Remote Console für Windows und Mac zugreifen.

Firewall und NAT konfigurieren

Der Edge Gateway hat standardmässig eine Firewall-Regel konfiguriert, die den gesamten ausgehenden Traffic von Standard OrgVDC Network her erlaubt. Die dazugehörende Source-NAT-Regel sorgt für die entsprechende Adressübersetzung. Haben Sie weitere OrgVDC Networks konfiguriert, müssen Sie diese Standardregeln entsprechend ergänzen.

Weitere Firewall- und NAT-Regeln für mehr Sicherheit und den Betrieb von extern erreichbaren Services erstellen Sie nach demselben Prinzip wie bei anderen Firewalls. Firewall-Regeln werden immer zuerst angewendet und erst dann NAT-Regeln. Sollten Sie eine Destination-NAT-Regel einsetzen für einen von extern zu erreichenden Service, müssen Sie in der Firewall-Regel die entsprechende WAN-IP als Destination eintragen und nicht die interne LAN-IP.

SSL VPN einrichten

Für den sicheren administrativen Zugriff auf Ihr VDC und den externen Client-Zugriff auf die von Ihnen bereitgestellten Services steht Ihnen SSL VPN zur Verfügung. SSL VPN wird im Edge Gateway konfiguriert und es stehen Clients für Windows, Mac und Linux zur Verfügung. Den SSL VPN Plus Client können Sie im VPN Portal herunterladen, nachdem Sie ein Installation Package konfiguriert haben. Für Mac OS Catalina wird der 64-Bit Client benötigt, den Sie hier herunterladen können. Derzeit gibt es für SSL VPN einige Einschränkungen:

• Es wird nur der SSL VPN-Plus Client von VMware unterstützt und keine alternativen VPN-Clients
• Die Authentifizierung ist nur über die lokale Benutzerdatenbank möglich und nicht über LDAP
• Es ist nur möglich globale Firewall-Regeln für alle Benutzer zu konfigurieren und keine benutzerabhängigen

Nachdem Sie die grundlegenden Einstellungen, die Server-IP und den Server-Port konfiguriert haben, müssen Sie ein Installation Package erstellen. Darin legen Sie fest, für welche Betriebssysteme der Client zur Verfügung stehen und mit welchen Einstellungen er installiert werden soll. Vergessen Sie hier nicht, den korrekten Server-Port und die korrekte Server-IP oder einen Domain Name zu hinterlegen.

Fügen Sie alle über SSL VPN zu erreichenden Netzwerke unter Private Networks hinzu, damit auf den Clients die entsprechenden Routen konfiguriert werden. Damit die Zugriffe effektiv funktionieren, müssen Sie die Firewall-Regeln entsprechend konfigurieren.

Für erweiterte Bedürfnisse können Sie für den Client statt Split-Tunneling auch Full-Tunneling verwenden, bei dem aller Traffic inkl. Internet-Traffic über das SSL VPN geleitet wird.

IPSec VPN einrichten

Mittels IPSec VPN werden Ihre Aussenstandorte ins VDC eingebunden. Sie benötigen im Remote-Netzwerk eine Firewall, welche IPSec VPN unterstützt. Die Konfiguration von IPSec VPN folgt dem von anderen Firewalls bekannten Vorgehen. Fügen Sie für jeden Aussenstandort eine IPSec VPN Site hinzu und konfigurieren Sie die Sicherheitseinstellungen auf beiden beteiligten Firewalls genau gleich. Als Local ID und Local Endpoint definieren Sie die gewünschte WAN-IP des Edge Gateways und als Peer ID und Peer Endpoint die WAN-IP der Firewall des Aussenstandorts. Ein starker und ausreichend langer Pre-Shared Key (PSK) dürfte selbstverständlich sein. Alternativ können Sie auch Zertifikate verwenden.

VMs absichern mit der Distributed Firewall

Die Distributed Firewall ist ein optionales Feature und muss zuerst in Ihrem VDC aktiviert werden. Sie ermöglicht es Ihnen, Firewall-Regeln auf Netzwerkadapterebene einer VM zu definieren. So entfällt die Konfiguration der Software-Firewall innerhalb der VMs und die Verwaltung von grösseren Umgebungen wird deutlich vereinfacht. Die Distributed Firewall wird oft eingesetzt, um die Server mehrerer Endkunden im selben OrgVDC Network zu betreiben aber dennoch gegeneinander abzusichern.

Managed Backup einrichten

Das Managed Backup Self-Service Portal basiert auf Veeam Software und ermöglicht Ihnen das Backup und den Restore von einzelnen VMs, vApps und des gesamten VDCs. Backup-Jobs richten Sie intuitiv über einen Assistenten ein. Sie definieren frei, wie viele Backup-Versionen aufbewahrt werden und wie oft ein Backup erstellt wird. Ihre Backups werden automatisch in ein zweites Datacenter übertragen und dort sicher gespeichert. Mit den E-Mail-Benachrichtigungen werden Sie stets über erfolgreiche und fehlgeschlagene Backups informiert.

Backups wiederherstellen

Die Wiederherstellung von VMs und vApps geschieht mit wenigen Klicks. Sie können dabei die bestehenden Objekte überschreiben oder die Wiederherstellung als Kopie durchführen. So sind beispielsweise auch Restore-Tests einfach und schnell durchführbar.

Backups löschen

Für einen noch besseren Ransomware Schutz, verwenden wir die Immutable Backups Funktion von Veeam. Hierbei sind die Backupdateien 7 Tage vor jeder Löschung und Änderung geschützt. Falls Sie einen Job nicht mehr benötigen, können die Restore Points deshalb nicht sofort gelöschtg werden. Falls Sie einen Job löschen möchten, gehen Sie wie folgt vor:

1. Deaktiveren Sie den Job.
2. Warten Sie 7 Tage.
3. Löschen Sie den Job.

Benutzer- und Rollenverwaltung

In der Benutzerverwaltung erstellen Sie beliebige Benutzer und Rollen für die Verwaltung Ihres VDCs mit vCloud Director. Geben Sie beispielsweise Endkunden oder Applikationsverantwortlichen Zugriff auf einzelne vApps oder einem Auditor Lesezugriff auf Ihr VDC.

Arbeiten mit der vCloud Director API

Über die in vCloud Director integrierte REST API können Sie Ihre VDC-Umgebung automatisiert verwalten. Die API-URL ist abhängig vom Datacenter, in dem Ihr VDC liegt und lautet folgendermassen:

• CHZHC1 (Rümlang): https://zrh1.vdc.hostedsolution.ch/api/
• CHAGC1 (Lupfig): https://lpg1.vdc.hostedsolution.ch/api/

Um mit der API zu interagieren, gehen Sie wie folgt vor (im Beispiel wird das Datacenter Rümlang verwendet):

• Senden Sie einen GET-Request an https://zrh1.vdc.hostedsolution.ch/api/versions, damit Sie eine XML-Liste der unterstützten API-Versionen erhalten.

• Senden Sie nun einen POST-Request an die bei der gewünschten Version aufgeführten Login-URL (z.B. https://zrh1.vdc.hostedsolution.ch/api/sessions). Geben Sie dabei die folgenden Header-Informationen mit:

1. Key Accept mit Value „application/*+xml;version=36.3″, wobei mit „+xml“ das Antwortformat definiert wird und „36.3“ für die API-Version steht, die ggf. angepasst werden muss.
2. Key Authorization mit dem entsprechenden String für die Basic Authentication mit Ihrem VDC-Login im Format benutzername@organizationname sowie Ihrem Kennwort.

• In der Antwort des POST-Requests finden Sie im Header mit dem Key X-VMWARE-VCLOUD-ACCESS-TOKEN einen Bearer-Token. Verwenden Sie diesen von nun an in allen API-Requests im Header mit dem Key Authorization und dem Value „Bearer [Bearer -Token]„
• Mit der API-Version und dem Bearer-Token im Header können Sie nun einen GET-Request an https://zrh1.vdc.hostedsolution.ch/api/org senden und von dort aus mit den zurückgegebenen API-URLs weiter in Ihre VDC-Struktur einzutauchen und Informationen abzurufen oder Operationen auszuführen.

Folgendes Beispiel zeigt die Authentifizierung und Interaktion mit der API mit Hilfe von Postman. Weitere Informationen zur API finden Sie in den weiterführenden Links.

Weiterführende Links

Weiterführende Informationen zu Virtual Datacenter finden Sie in unserer Knowledge Base oder direkt bei VMware.

VMware vCloud Director 10.3 Dokumentation
https://docs.vmware.com/en/VMware-Cloud-Director/10.3/VMware-Cloud-Director-Tenant-Portal-Guide/GUID-74C9E10D-9197-43B0-B469-126FFBCB5121.html

VMware vCloud Director API 36.3 Dokumentation
https://developer.vmware.com/apis/1245/vmware-cloud-director