可以在您的 DX 上创建专用 VIF,以使用其专用 IP 在内部部署网络和 SDDC 的工作负载、ESXi 管理以及管理设备之间提供直接连接。

为要连接到 SDDC 的每个 Direct Connect (DX) 线路创建一个专用虚拟接口 (VIF)。每个专用 VIF 建立一个单独的 BGP 会话,可以用于主动/备用或主动/主动(包括 ECMP)设计,也可以用于专用网络分段。如果需要 DX 冗余,请将在不同 DX 电路上置备的单独专用 VIF 连接到 SDDC。

将各个不同 DX 电路上的多个专用 VIF 连接到一个 SDDC 以实现高可用性时,所有 DX 电路都必须在同一个 AWS 帐户中创建,并交付到不同的 AWS Direct Connect 位置。执行此操作时,AWS 会尝试利用单独的内部网络路径进行 DX 连接,以提供更好的冗余。请参见 AWS 文档中的高弹性AWS Direct Connect 中的主动/主动和主动/被动配置。有关通告到所有专用 VIF 的网络分段数限制,请参见 VMware 最高配置。支持路由聚合以提供更大的灵活性,但所有 VIF 都将具有 SDDC 通告的相同网络。

重要说明:

将 DX 专用虚拟接口或 SDDC 组连接到 SDDC 时,从 ESXi 主机到 SDDC 网络外目标的所有出站流量都将通过该接口路由,而不管 SDDC 中的其他路由配置如何。这包括 vMotion 和 vSphere 复制流量。您必须确保 ESXi 主机的入站流量也通过同一路径路由,以使入站和出站流量路径对称。有关 VMware Transit ConnectVMware 受管传输网关 (VTGW) 的更多信息,请参见 《VMware Cloud on AWS 操作指南》 中的使用 VMware Transit Connect 创建和管理 SDDC 部署组

虽然从基于路由的 VPN 发现的路由通过 BGP 通告到其他基于路由的 VPN,但 SDDC 仅将自己的网络通告到 SDDC 组。它不通告从 VPN 发现的路由。有关 AWS 对 Direct Connect 所施加的限制(包括通过 BGP 通告和发现的路由限制)的详细信息,请参见 AWS《Direct Connect 用户指南》中的 AWS Direct Connect 配额

以这种方式创建专用 VIF 时,可以将其连接到创建 VIF 的区域中的任何组织 SDDC。专用 VIF 必须在与 DX 电路相同的区域中创建,并连接到该同一区域中的 SDDC。将 VIF 连接到 SDDC 后,无法将其分离或重新分配给其他 SDDC。相反,必须将其删除并创建新的 VIF。删除 SDDC 将删除任何连接的 VIF。

前提条件

  • 确保满足虚拟接口必备条件中所述的虚拟接口必备条件。
  • 如果要使用基于路由的 VPN 作为 Direct Connect 的备份,还需要将使用 VPN 作为 Direct Connect 的备份开关设置为已启用,如步骤 6 中所示。基于策略的 VPN 不能用于备份其他连接。

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理
    也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。
  4. 登录到 AWS 控制台,完成创建托管虚拟接口下的创建托管专用虚拟接口过程。
    如果使用的是托管 VIF,请与 AWS Direct Connect 合作伙伴一起,在 Direct Connect 页面的 AWS 帐户 ID 字段显示的帐户中创建 VIF,然后跳至此过程的 步骤 5。如果使用专用连接或托管连接,请首先执行以下步骤。
    1. 对于虚拟接口类型,选择专用,然后创建虚拟接口名称
    2. 对于虚拟接口所有者字段,选择另一个 AWS 帐户,然后使用 NSX Direct Connect 页面中的 AWS 帐户 ID
    3. 对于 VLAN,请使用 AWS Direct Connect 合作伙伴提供的值。
    4. 对于 BGP ASN,请使用此连接终止的内部部署路由器的 ASN。
      此值不得与 NSX Direct Connect 页面上显示的 BGP 本地 ASN 相同。
    5. 展开其他设置,然后进行以下选择:
      地址簇 选择 IPV4
      路由器对等 IP 指定此连接的内部部署端(路由器)的 IP 地址,或留空让 AWS 自动分配需要在路由器中配置的地址。
      Amazon 路由器对等 IP 指定此连接的 AWS 端的 IP 地址,或留空让 AWS 自动分配需要在路由器中配置的地址。
      BGP 身份验证密钥 指定一个值,或留空让 AWS 生成密钥,您需要在路由器中配置该密钥。
      巨型 MTU(MTU 大小 9001) 所有 SDDC 网络的默认 MTU 均为 1500 字节。要允许传输至此专用 VIF 的 DX 流量使用更大的 MTU,请选择巨型 MTU (MTU 大小 9001)下的启用。创建 VIF 后,还需要打开 NSX 全局配置页面,并在 Intranet 上行链路下设置更高的 MTU 值,如指定 Direct Connect MTU 中所述。在连接属性中启用此功能,即使您不打算立即使用它,也可以在需要时更轻松地利用 SDDC 网络中的巨型帧。
    创建接口后,AWS 控制台将报告其已准备好接受该接口。
  5. 打开 NSX Manager 或 VMC 控制台的网络与安全选项卡。单击 Direct Connect,然后单击连接,接受该虚拟接口。
    在接受该接口之前,组织中的所有 SDDC 中都会显示新的 VIF。接受 VIF 后,将不再显示在任何其他 SDDC 中。
    BGP 会话最多可能需要 10 分钟才会激活。连接就绪后, 状态将显示为 已连接,并且 BGP 状态将显示为 运行正常
  6. (可选) 配置基于路由的 VPN 作为 Direct Connect 的备份
    在默认配置中,由 DX 和基于路由的 VPN 通过 BGP 通告的任何路由上的流量在默认情况下均使用 VPN。要使 DX 和 VPN 通告的路由默认使用 DX 并在 DX 不可用时故障切换到 VPN,请单击 Direct Connect,并将 使用 VPN 作为 DX 的备份开关设置为 已启用
    注: 此配置需要基于路由的 VPN。不能使用基于策略的 VPN 作为 Direct Connect 的备份。在 SDDC 组成员 SDDC 中,通过 DX 专用 VIF 和组的 VMware 受管传输网关 ( VTGW) 通告的路由传输的流量将通过 VTGW 路由。
    系统需要一分钟左右的时间来更新路由首选项。操作完成后,DX 和 VPN 通告的路由默认为 DX 连接,只在 DX 不可用时使用 VPN。DX 和 VPN 通告的等效路由优先处理 VPN 连接。

结果

发现和通告路由时,将显示 已通告的 BGP 路由已发现的 BGP 路由列表。单击“刷新”图标可刷新这些列表。除了此部分管理网络子网外,SDDC 中的所有路由子网都将通告为 BGP 路由:
  • 子网 1 包含 ESXi 主机 vmks 和路由器接口使用的路由。
  • 子网 2 包含用于多 AZ 支持和 AWS 集成的路由。
  • 子网 3 包含管理虚拟机。
已断开连接的网络和扩展网络不会通告。不通告连接到自定义 T1 的网络。如果启用了路由筛选,则也不会通告连接到默认 CGW 的网络。

定义并应用于 DX 的任何路由聚合都将按定义进行通告。(请参见聚合和筛选到上行链路的路由)。

实际通告到专用 VIF 的 CIDR 块取决于管理子网 CIDR 块。下表列出了某 SDDC 中这些路由的 CIDR 块,该 SDDC 使用默认管理网络 CIDR 10.2.0.0,且块大小为 /16、/20 和 /22。

表 1. 10.2.0.0 默认 MGW CIDR 的通告路由
MGW CIDR 子网 1 子网 2 子网 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

下一步做什么

确保内部部署 vMotion 接口配置为使用 Direct Connect。请参见配置 vMotion 接口以使用 Direct Connect