VMware Cloud on AWS 使用 NSX 创建和管理 SDDC 网络。NSX 提供了一个敏捷式软件定义基础架构,助力用户构建云原生应用环境。

《VMware Cloud on AWS 网络和安全性》指南介绍了如何使用 VMware Cloud 控制台中的网络与安全选项卡管理 SDDC 网络。另外,还可以使用 NSX Manager Web UI 管理这些网络,从 SDDC 版本 1.22 开始,可以尝试使用“网络与安全”仪表板,其中提供了简化的 SDDC 网络视图以及指向相关 NSX Manager 功能的链接。

NSX Manager 支持在网络与安全选项卡上找到的功能超集。有关如何使用 NSX Manager 的信息,请参见NSX Data Center 管理指南》中的 NSX Manager。可以通过可连接到 Internet 的任何浏览器可访问的公用 IP 地址访问 VMware Cloud on AWS SDDC 中的 NSX Manager。此外,还可以通过 VPN 或 AWS Direct Connect 从内部网络进行访问。有关详细信息,请参见《打开 NSX Manager》。

NSX Manager Web UI 中的用户界面布局和导航与 VMware Cloud 控制台中的网络与安全选项卡类似,您可以使用任一工具完成本文中的大部分过程。网络与安全选项卡将 NSX 网络功能(如 VPN、NAT 和 DHCP)与NSX安全功能(如防火墙)结合在了一起。当某个过程要求使用 NSX Manager 时,该过程的必备条件中会加以说明。

SDDC 网络拓扑

创建 SDDC 时,它包括管理网络。 单主机试用版 SDDC 还包括小型计算网络。创建 SDDC 时,需要指定管理网络 CIDR 块。SDDC 创建后将无法更改。 有关详细信息,请参见从 VMC 控制台部署 SDDC管理网络具有两个子网:
设备子网
此子网由 SDDC 中的 vCenter ServerNSX HCX 设备使用。将基于设备的服务(如 SRM)添加到 SDDC 时,它们也会连接到该子网。
基础架构子网
此子网由 SDDC 中的 ESXi 主机使用。

计算网络为工作负载虚拟机包含任意数量的逻辑分段。有关逻辑分段的当前限制,请参见 VMware 最高配置在单主机 SDDC 起步配置中,将创建包含一个路由分段的计算网络。在具有更多主机的 SDDC 配置中,必须根据您的需求创建计算网络分段。有关适用限制,请参见 VMware 最高配置

SDDC 网络具有两个概念层:
  • Tier 0 处理南北向流量(进出 SDDC 的流量,或管理网关和计算网关之间的流量)。在默认配置中,每个 SDDC 都有一个 Tier-0 路由器。如果 SDDC 是 SDDC 组的成员,则可以重新配置该 SDDC 以添加处理 SDDC 组流量的 Tier-0 路由器。请参见通过流量组配置多 Edge SDDC
  • Tier 1 处理东西向流量(SDDC 内路由网络分段之间的流量)。在默认配置中,每个 SDDC 都有一个 Tier-1 路由器。可以根据需要创建和配置其他 Tier-1 网关。请参见将自定义 Tier-1 网关添加到 VMware Cloud on AWS SDDC
图 1. SDDC 网络拓扑
通过 VPN 和 AWS Direct Connect 连接到内部部署网络的 SDDC 网络的图。
NSX Edge Appliance

默认 NSX Edge 设备以主动/备用模式下运行的虚拟机对的形式实现。此设备提供运行默认 Tier 0 和 Tier 1 路由器的平台,以及 IPsec VPN 连接及其 BGP 路由机制。所有南北向流量均通过默认 Tier 0 路由器。为避免发送通过设备的东西向流量,每个 Tier 1 路由器都有一个组件在每个 ESXi 主机上运行,用于处理 SDDC 中目标的路由。

如果您需要额外带宽将此流量的一部分路由到 SDDC 组成员、已连接到 SDDC 组的 Direct Connect 网关、HCX Service Mesh 或已连接的 VPC,可以通过创建流量组将 SDDC 重新配置为多 Edge,每个流量组会创建一个额外的 T0 路由器。有关详细信息,请参见《通过流量组配置多 Edge SDDC》。

注:

VPN 流量以及发送到专用 VIF 的 DX 流量必须经过默认 T0,并且无法路由到非默认流量组。此外,因为 NAT 规则始终在默认 T0 路由器上运行,所以其他 T0 路由器无法处理受 NAT 规则控制的流量。这包括与 SDDC 本机 Internet 连接之间的流量。它还包含到达 Amazon S3 服务的流量,该服务使用 NAT 规则,必须通过默认 T0。

管理网关 (MGW)
MGW 是 Tier 1 路由器,用于处理 vCenter Server 和 SDDC 中运行的其他管理设备的路由和防火墙。管理网关防火墙规则在 MGW 中运行,控制对管理虚拟机的访问。在新的 SDDC 中,Internet 连接 概览选项卡中标记为未连接,并且在创建允许从受信任源进行访问的管理网关防火墙规则之前一直处于阻止状态。请参见 添加或修改管理网关防火墙规则
计算网关 (CGW)
CGW 是 Tier 1 路由器,用于处理连接到路由计算网络分段的工作负载虚拟机的网络流量。计算网关防火墙规则以及 NAT 规则在 Tier 0 路由器中运行。在默认配置中,这些规则阻止所有与计算网络分段之间的流量(请参见 配置计算网关的网络与安全)。

在 SDDC 与已连接的 VPC 之间路由

创建 SDDC 时,将在您创建 SDDC 时指定的 AWS 帐户所拥有的选定 VPC 中预分配 17 个 AWS 弹性网络接口 (ENI)。我们将为每个 ENI 分配创建 SDDC 时指定的子网中的 IP 地址,然后将 SDDC 集群 Cluster-1 中的每个主机台连接到其中一个 ENI。此外,还将向正在运行活动 NSX Edge 设备的 ENI 分配另一个 IP 地址。

此配置(称为“已连接 VPC”)支持 SDDC 中的虚拟机与地址包含在已连接 VPC 的主 CIDR 块中的本机 AWS 实例和服务之间的网络流量。创建或删除连接到默认 CGW 的路由网络分段时,主路由表将自动更新。为已连接 VPC 启用受管前缀列表模式时,主路由表以及已将受管前缀列表添加到的任何自定义路由表也会更新。

已连接 VPC(或 SERVICES)接口用于传输流向已连接 VPC 的主 CIDR 中目标的所有流量。使用默认配置时,与 SDDC 通信的 AWS 服务或实例必须位于与已连接 VPC 的主路由表关联的子网中。如果启用了 AWS 受管前缀列表模式(请参见为已连接 Amazon VPC 启用 AWS 受管前缀列表模式),则当您希望使用已连接 VPC 中任何自定义路由表的 AWS 服务和实例通过 SERVICES 接口与 SDDC 工作负载进行通信时,可以手动将受管前缀列表添加到这些自定义路由表。

将 SDDC 中的 NSX Edge 设备移至另一主机时(无论是为了从故障中恢复还是在 SDDC 维护期间),分配给该设备的 IP 地址将移至新的 ENI(位于新主机上),并且主路由表以及使用受管前缀列表的任何自定义路由表会更新以反映更改。如果已替换主路由表或使用自定义路由表但未启用受管前缀列表模式,则更新将失败,并且网络流量无法再在 SDDC 网络和已连接 VPC 之间路由。有关如何使用 VMware Cloud 控制台查看已连接 VPC 的详细信息,请参见查看已连接 VPC 信息并对已连接 VPC 的问题进行故障排除

VMware Cloud on AWS 提供了多种工具,可帮助您聚合到已连接 VPC、其他 VPC 和 VMware 受管传输网关 的路由。请参见为已连接 Amazon VPC 启用 AWS 受管前缀列表模式

有关 SDDC 网络架构和支持该架构的 AWS 网络对象的深入讨论,请阅读 VMware Cloud 技术区文章 VMware Cloud on AWS:SDDC 网络架构

预留的网络地址

某些 IPv4 地址范围不适用于 SDDC 计算网络。SDDC 网络组件内部使用了若干个地址。大多数地址则按约定预留在其他网络中。
表 1. SDDC 网络中的预留地址范围
  • 10.0.0.0/15
  • 172.31.0.0/16
这些范围预留在 SDDC 管理子网中,但可以在内部部署网络或 SDDC 计算网络分段中使用。
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
 根据 RFC 3927,所有 169.254.0.0/16 都是链路本地范围,无法路由到单个子网之外。但是,除了这些 CIDR 块,您可以对虚拟隧道接口使用 169.254.0.0/16 地址。请参见创建基于路由的 VPN
192.168.1.0/24 这是单主机起步 SDDC 的默认计算分段 CIDR,不会在其他配置中预留。
注: SDDC 版本 1.20 及更低版本还根据 RFC 6598 为运营商级 NAT 预留 100.64.0.0/16。避免在低于 1.22 的 SDDC 版本中使用此范围内的地址。有关低版本 SDDC 网络如何使用 100.64.0.0/16 地址范围的详细细目,请参见 VMware 知识库文章 76022;有关 SDDC 版本 1.22 中预留地址范围更改的详细信息,请参见 VMware 知识库文章 92322
SDDC 网络还遵循 RFC 3330 中枚举的特殊用途 IPv4 地址范围的约定。

SDDC 网络中的多播支持

在 SDDC 网络中,第 2 层多播流量视为生成流量的网络分段上的广播流量。不会在该分段之外路由。不支持第 2 层多播流量优化功能,如 IGMP 侦听。VMware Cloud on AWS 中不支持第 3 层多播(例如,协议无关多播)。

将内部部署 SDDC 连接到云 SDDC

要将内部部署数据中心连接到 VMware Cloud on AWS SDDC,可以创建一个使用公用 Internet 的 VPN 、使用 AWS Direct Connect 的 VPN,也可以仅使用 AWS Direct Connect。此外,还可以利用 SDDC 组来使用 VMware Transit Connect 和 AWS Direct Connect 网关在一组 VMware Cloud on AWS SDDC 与内部部署 SDDC 之间建立集中式连接。请参见创建和管理 SDDC 部署组
图 2. SDDC 到内部部署数据中心的连接
该图显示了 SDDC 网络如何通过 VPN、HCX 和 AWS Direct Connect 连接到内部部署网络。
第 3 层 (L3) VPN
第 3 层 VPN 通过公用 Internet 或 AWS Direct Connect 在内部部署数据中心与 VMware Cloud on AWS SDDC 之间建立安全连接。这些 IPsec VPN 可以基于路由,也可以基于策略。 对于内部部署端点,可以使用支持 IPsec VPN 设置参考中所列设置的任何设备。
第 2 层 (L2) VPN
第 2 层 VPN 提供扩展网络或延伸网络,具有跨内部部署数据中心和 SDDC 的单个 IP 地址空间,并可将内部部署工作负载热迁移或冷迁移到 SDDC。在任何 SDDC 中都只能创建单个 L2 VPN 隧道。隧道的内部部署端需要 NSX。如果您的内部部署数据中心尚未使用 NSX,则可以下载独立的 NSX Edge 设备以提供所需的功能。L2 VPN 可以通过公用 Internet 或 AWS Direct Connect将内部部署数据中心连接到 SDDC。
AWS Direct Connect (DX)
AWS Direct Connect 是 AWS 提供的一项服务,可以在内部部署数据中心与 AWS 服务之间建立高速且低延迟的连接。配置 AWS Direct Connect 时,VPN 可以通过 DX 而不是公用 Internet 路由流量。由于 DX 实施边界网关协议 (BGP) 路由,因此在配置 DX 时,可以选择性地对管理网络使用 L3VPN。DX 流量未加密。如果要加密该流量,请配置使用 DX 和专用 IP 地址的 IPsec VPN。
VMware HCX
VMware HCX 是一个多云应用程序移动解决方案,免费供所有 SDDC 使用,并可帮助在内部部署数据中心与 SDDC 之间迁移工作负载虚拟机。有关安装、配置和使用 HCX 的详细信息,请参见 使用 HCX 进行混合迁移检查表

内部和外部流量的 MTU 注意事项

SDDC 的内部网络流量(包括进出已连接 VPC 的流量)最大支持 8900 字节的 MTU。流向 MGW 的流量通常限制为 1500 字节,因为管理设备接口使用的 MTU 为 1500。其他 MTU 默认值在 VMware 最高配置中列出。以下准则适用于整个 SDDC 网络的 MTU 值:
  • SDDC 组和 DX 共用同一个接口,因此,同时使用这两个连接时,必须使用较低的 MTU 值(8500 字节)。
  • 同一分段上的所有虚拟机网卡和接口需要具有相同的 MTU。
  • 只要端点支持 PMTUD 且路径中的任何防火墙都允许 ICMP 流量,分段之间的 MTU 可以不同。
  • 第 3 层 (IP) MTU 必须小于或等于底层第 2 层连接支持的最大数据包大小 (MTU) 减去任何协议开销。在 VMware Cloud on AWS 中,这是 NSX 分段,支持 MTU 最大为 8900 字节的第 3 层数据包。

了解 SDDC 网络性能

有关 SDDC 网络性能的详细讨论,请阅读 VMware Cloud 技术区 Designlet 了解 VMware Cloud on AWS 网络性能