按照此工作流在 SDDC 中配置 NSX 网络与安全。 后续主题 向组织成员分配 NSX 服务角色可以向组织中的用户授予 NSX 服务角色,以便他们能够在 SDDC 中查看或配置 NSX 功能。 使用 NSX Manager 管理 SDDC 网络可以使用 NSX Web UI 或 VMware Cloud 控制台中的网络与安全选项卡管理 SDDC 网络。 在 SDDC 和内部部署数据中心之间配置 AWS Direct Connect使用 AWS Direct Connect 是可选方案。如果内部部署网络与 SDDC 工作负载之间的流量需要比通过公用 Internet 连接的速度更快、延迟更低,请将 VMware Cloud on AWS 配置为使用 AWS Direct Connect。 在 SDDC 和内部部署数据中心之间配置 VPN 连接可以配置 VPN,以通过公用 Internet 或 AWS Direct Connect 与 SDDC 建立安全连接。支持基于路由和基于策略的 IPsec VPN。这两种类型的 VPN 均可通过 Internet 连接到 SDDC。基于路由的 VPN 还可以通过 AWS Direct Connect 连接到 SDDC。 配置管理网关的网络与安全管理网络和管理网关在 SDDC 中进行了大量的预配置,但您仍需要配置对管理网络服务(如 vCenter 和 HCX)的访问权限,并创建管理网关防火墙规则,以允许管理网络和其他网络之间的流量,包括内部部署网络和其他 SDDC 网络。 配置计算网关的网络与安全计算网关网络中包括一个计算网络,该计算网络中具有一个或多个分段、DNS 和 DHCP,以及用于管理工作负载虚拟机的网络流量的安全配置(网关防火墙和分布式防火墙)。它还可以包括第 2 层 VPN 和扩展网络,该网络可提供一个跨内部部署网络和 SDDC 工作负载网络的广播域。 将自定义 Tier-1 网关添加到 VMware Cloud on AWS SDDC每个新的 VMware Cloud on AWS SDDC 都包含一个名为 计算网关 (CGW) 的默认 Tier-1 网关。如果需要,您可以创建和配置其他自定义 Tier-1 网关。每个 Tier-1 网关位于 SDDC Tier-0 网关和任意数量的计算网络分段之间。 在 SDDC 网络中启用和使用 IPv6从 SDDC 版本 1.22 开始,可以在新的 SDDC 中启用双堆栈(IPv4 和 IPv6)网络。 通过流量组配置多 Edge SDDC在默认配置中,SDDC 网络具有一个 Edge (T0) 路由器,所有南北向流量都流经该路由器。此 Edge 支持默认流量组,该流量组不可配置。如果您需要额外带宽将此流量的一部分路由到 SDDC 组成员、已连接到 SDDC 组的 Direct Connect 网关、VMware HCX Service Mesh 或已连接的 VPC,可以通过创建流量组将 SDDC 重新配置为多 Edge,每个流量组会创建一个额外的 T0 路由器。 为已连接 Amazon VPC 启用 AWS 受管前缀列表模式AWS 受管前缀列表模式可以简化多 Edge SDDC 中的路由表管理,并在任何 SDDC 中支持自定义路由表和路由聚合。 聚合和筛选到上行链路的路由可以使用路由聚合和输出筛选控制向 SDDC 网络上行链路(例如 Direct Connect、VMware Transit Connect 和已连接 VPC)通告的路由集。如果您必须减少 VPC 路由表中的条目数或限制向上行链路通告的路由集,则需要使用此功能。 使用清单组VMware Cloud on AWS 网络管理员可以使用 NSX 清单对象定义要在防火墙规则中使用的服务、组、上下文配置文件和虚拟机的集合。 管理工作负载连接默认情况下,路由分段或启用了 MON 的 HCX 扩展网络上的工作负载虚拟机可以连接到 Internet。NAT 规则、计算网关防火墙规则和分布式防火墙规则以及 VPN、DX 或 VTGW 连接通告的默认路由均可让您对 Internet 访问进行精细控制。
