要开始使用 VMware Cloud on AWS 在 SDDC 中运行工作负载,需要设置一个将内部部署数据中心连接到 SDDC 的网络。该网络可以包含通过 AWS Direct Connect 和/或 IPsec VPN 建立的专用连接。

虽然通过 Direct Connect 路由 IPsec VPN 流量可以以更低的成本提供更好的性能,但是您可以先设置通过 Internet 连接到 SDDC 的 IPsec VPN,然后重新配置该 VPN 以在以后使用 Direct Connect。

打开新 SDDC 的网络与安全选项卡时,可以运行设置网络与安全向导来指导您完成配置 Direct Connect 和 VPN、访问 SDDC 中的 vCenter 以及更改默认 DNS 服务器(如果需要)所需的步骤。

如果只想设置通过 Internet 将内部部署数据中心连接到 SDDC 的基于路由的 VPN,请执行以下步骤。

前提条件

您必须具有 NSX 管理员服务角色才能在网络与安全选项卡上查看和配置功能。请参见《VMware Cloud on AWS 网络和安全性》指南中的将 NSX 服务角色分配给组织成员

过程

  1. 在 SDDC 中创建基于路由的 VPN。
    基于路由的 VPN 会创建 IPsec 隧道接口,并按照 SDDC 路由表的指示将流量路由通过该接口。通过基于路由的 VPN,可以有弹性地安全访问多个子网。使用基于路由的 VPN 时,在创建新网络时会自动添加新的路由。 请参见《VMware Cloud on AWS 网络和安全性》指南中的创建基于路由的 VPN
  2. 配置内部部署 IPsec VPN。
    您可以使用 NSX 或任何其他可以终止 IPsec VPN 的设备。
    重要说明:

    IPsec VPN 的 SDDC 端仅支持基于时间的重新加密。您的内部部署设备必须禁用有效字节重新加密。

    请勿将 VPN 的内部部署端配置为具有空闲超时(例如,NSX 会话空闲超时设置)。内部部署空闲超时可能会导致 VPN 变得定期断开连接。

    1. 如果内部部署 VPN 网关位于另一个防火墙之后,则必须将该防火墙配置为转发 IPsec 协议流量:
      • 打开 UDP 端口 500,以允许通过该防火墙转发 Internet 安全关联和密钥管理协议 (ISAKMP) 流量。
      • 设置 IP 协议 ID 50,以允许通过该防火墙转发 IPsec 封装安全协议 (ESP) 流量。
      • 设置 IP 协议 ID 51,以允许通过该防火墙转发身份验证头 (AH) 流量。
    2. 下载 SDDC IPsec VPN 配置详细信息。
      有关此文件中的内容以及如何使用该文件来帮助配置内部部署 VPN 端点的详细信息, 请参见《VMware Cloud on AWS 网络和安全性》指南中的 IPsec VPN 设置参考
  3. (可选) 创建网络分段。
    单主机起步 SDDC 创建时具有一个名为 sddc-cgw-network-1 的单个路由网络分段。多主机 SDDC 在创建时不具有默认网络分段,因此您必须为工作负载虚拟机至少创建一个网络分段。 请参见《VMware Cloud on AWS 网络和安全性》指南中的创建网络分段
  4. 在管理网关上创建一些基本防火墙规则。
    默认情况下,管理网关会阻止从所有源到所有目标的流量。可以根据需要添加管理网关防火墙规则以允许流量出入。 请参见《VMware Cloud on AWS 网络和安全性》指南中的添加或修改管理网关防火墙规则
  5. 配置管理网络专用 DNS。
    指定专用 DNS 服务器的地址,以便管理网关、ESXi 主机和管理虚拟机将完全限定域名 (FQDN) 解析为管理网络上的 IP 地址。要使用“通过 vMotion 迁移”、“冷迁移” 或“混合链接模式”等功能,请将 vCenter Server 解析切换到可从 VPN 解析的专用 IP 地址。 请参见《VMware Cloud on AWS 网络和安全性》指南中的设置 HCX FQDN 解析地址