在默认配置中,SDDC 网络具有一个 Edge (T0) 路由器,所有南北向流量都流经该路由器。此 Edge 支持默认流量组,该流量组不可配置。如果您需要额外带宽将此流量的一部分路由到 SDDC 组成员、已连接到 SDDC 组的 Direct Connect 网关、VMware HCX Service Mesh 或已连接的 VPC,可以通过创建流量组将 SDDC 重新配置为多 Edge,每个流量组会创建一个额外的 T0 路由器。

流量组使用关联映射将 CIDR 块的前缀列表关联到 SDDC 中支持非默认流量组的一个 T0 网关。前缀列表独立于网关,由源 IP 地址组成。来自这些地址的流量将路由到支持关联流量组的 T0 Edge。您可以随时创建和更新前缀列表,但如果前缀列表包含在关联映射中,则无法将其移除。关联前缀列表与流量组,可以通过为流量组创建的 T0 路由器路由来自列表中 CIDR 块的所有流量。

注:

VPN 流量以及发送到专用 VIF 的 DX 流量必须在默认 T0 上通过,并且无法路由到非默认流量组。此外,因为 NAT 规则始终在默认 T0 路由器上运行,所以其他 T0 路由器无法处理受 SNAT 或 DNAT 规则影响的流量。这包括与 SDDC 本机 Internet 连接之间的流量。它还包含到达 Amazon S3 服务的流量,该服务使用 NAT 规则,必须通过默认 T0。创建前缀列表时,请注意这些限制。

前提条件

  • 必须先使用 VMware Transit Connect™ 将 SDDC 连接到 VMware 受管传输网关 (VTGW),才能创建流量组。请参见创建和管理 SDDC 部署组

  • 只能在具有大型管理设备和至少四个主机的 SDDC 中创建流量组。有关将 SDDC 的管理设备大小从中型更改为大型的信息,请参见《VMware Cloud on AWS 操作指南》中的升迁 SDDC 管理设备。有关将主机添加到 SDDC 的信息,请参见添加主机

  • 除了两个默认 Edge 虚拟机外,每个流量组还部署两个 Edge 虚拟机。由于 Edge 虚拟机无法共享同一主机并满足性能要求,因此,每个流量组至少需要两个主机,管理集群 (Cluster-1) 中的默认流量组需要另外两个主机。一个 SDDC 可以支持的流量组数取决于管理主机的数量,可以使用如下公式表示: 
    TG=(mgmt-hosts - 2)|MAX
    其中, TG 表示 SDDC 可支持的最大流量组数, mgmt-hosts 是 SDDC 管理集群中的主机数。无论计算出的 TG 值为何,SDDC 流量组支持的上限都为 VMware 最高配置中所示的每个 SDDC 的最大多 Edge SDDC 流量组数 ( MAX)。

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理
    也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。
  4. 创建流量组。在流量组页面的流量组选项卡上,单击添加流量组,为新的流量组指定名称,然后单击保存以创建流量组以及该流量组的额外 T0 路由器。
    正在创建新的 T0 Edge 时,流量组的 状态将转换为 正在进行中。此过程可能需要长达 30 分钟才能完成。完成后,流量组的 状态将转换为 成功,您可以为其创建关联映射。
  5. 创建前缀列表。
    由于多 Edge SDDC 在其流量组中使用基于源的路由,因此前缀列表必须包含源地址,而不是目标地址。
    1. 流量组页面的 IP 前缀列表选项卡上,单击添加 IP 前缀列表,然后为新前缀列表提供名称和可选描述
    2. 单击设置以显示设置前缀窗口,然后单击添加前缀并填写 SDDC 网络分段的 CIDR 块,其中该网络分段包含要包含在流量组中(且通过该额外 Edge 路由)其流量的工作负载虚拟机的源地址。
      重要说明: 不能在此处使用 SDDC 管理 CIDR 块或提供 VPN 的本地 IP 地址的分段的 CIDR 块。如果将其中的任何 CIDR 添加到前缀列表,将无法在关联映射中使用该列表。
      单击 添加,以将指定的前缀添加到列表。要添加前缀或编辑列表中已有的前缀,请单击 操作菜单 以打开前缀编辑器。
    3. 单击应用以将更改应用于前缀列表。
    4. 添加或编辑前缀后,单击保存以保存或创建前缀列表。
  6. 将前缀列表与网关相关联。在流量组页面的流量组选项卡上,找到要使用的流量组,然后单击 操作菜单,并选择编辑
    单击 关联映射区域中的加号图标 圈圈内加号,为映射提供 名称,然后从 前缀下拉列表中选择一个现有前缀列表。从 网关下拉列表中选择一个网关,然后单击 保存以创建关联映射。
  7. (可选) 要移除流量组,必须先移除其关联映射。
    1. 流量组页面中找到该流量组。单击其 操作菜单 按钮,然后选择编辑
    2. 单击关联映射状态标签右侧的减号图标 圆圈内减号,选择要删除的映射,然后单击保存以删除该映射。
    3. 单击关闭编辑,然后返回到流量组页面上的该流量组。单击其省略号按钮,然后选择删除
    移除流量组可能需要长达 30 分钟的时间。移除流量组将移除为支持该流量组而创建的 T0 路由器。HCX(如果使用)会创建自己的关联映射,可以查看但无法修改。要移除 HCX 创建的关联映射,必须卸载 HCX。请参见 《VMware HCX 用户指南》中的 卸载 VMware HCX

示例: 添加流量组后路由表有所更改

此简化示例展示了创建流量组并将其与只包含两个主机路由 (/32) 的前缀列表关联的效果。

初始配置
在添加第一个流量组(它会创建另外一个 T0 路由器)之前,假设默认流量组和计算网关 (CGW) 中的路由表条目具有以下值。
表 1. 默认路由
子网 下一跃点
0.0.0.0/0 Internet 网关
192.168.150.51/24 CGW
192.168.151.0/24 CGW
VTGW、DXGW 子网 VTGW、DXGW 连接
管理 CIDR MGW
表 2. 使用默认流量组的 CGW 路由
子网 下一跃点
0.0.0.0/0 默认 T0
192.168.150.0/24 默认 T0
192.168.151.0/24 默认 T0
多 Edge 配置
创建第一个流量组之后,将在默认 T0 上添加新路由。假设与该流量组关联的前缀列表具有以下条目: 
192.168.150.100/32
192.168.151.51/32
默认 T0、新 T0 和 CGW 的路由表最终如下所示。
表 3. 添加流量组后的默认 T0 路由
子网 下一跃点
0.0.0.0/0 Internet 网关
192.168.150.0/24 CGW
192.168.150.100/32 新 T0
192.168.151.0/24 CGW
192.168.151.51/32 新 T0
VTGW、DXGW 子网 VTGW、DXGW 连接
管理 CIDR MGW
新路由(示例表中的 192.168.150.100/32 和 192.168.151.51/32)使用新 T0 作为其下一跃点,且新 T0 使用最长前缀匹配将流量路由到 CGW。
表 4. 新流量组上的路由
子网 下一跃点
0.0.0.0/0 默认 T0
192.168.150.100/32 CGW
192.168.151.51/32 CGW
VTGW、DXGW 子网 VTGW、DXGW 连接
管理 CIDR MGW
CGW 路由表进行了更新,通过将新 T0 路由器指定为新路由的下一跃点,创建流量组。
表 5. 使用额外流量组的 CGW 路由
子网 下一跃点
0.0.0.0/0 默认 T0
192.168.150.0/24 默认 T0
192.168.150.100/32 新 T0
192.168.151.0/24 默认 T0
192.168.151.51/32 新 T0