VMware Cloud on AWS 使用 NSX-T 创建和管理内部 SDDC 网络,并为内部部署网络基础架构中的 VPN 连接提供端点。

SDDC 网络拓扑

创建 SDDC 时,将包括管理网络和计算网络。管理网络 CIDR 块必须在创建 SDDC 时指定并且无法更改。有关详细信息,请参见 从 VMC 控制台部署 SDDC。管理网络具有两个子网:
设备子网
创建 SDDC 时为管理子网指定的 CIDR 范围的子网。此子网由 SDDC 中的 vCenter、NSX 和 HCX 设备使用。将基于设备的服务(如 SRM)添加到 SDDC 时,它们也会连接到该子网。
基础架构子网
创建 SDDC 时为管理子网指定的 CIDR 范围的子网。此子网由 SDDC 中的 ESXi 主机使用。

计算网络为工作负载虚拟机包含任意数量的逻辑分段。在单主机 SDDC 起步配置中,将创建包含一个路由分段的计算网络。在具有更多主机的 SDDC 配置中,必须根据您的需求创建计算网络分段。有关适用的限制,请参见 VMware 最高配置

SDDC 网络具有两个概念层:
  • 第 0 层由一个 NSX Edge 设备提供服务。
  • 第 1 层由两个 NSX Edge 防火墙(管理网关和计算网关)提供服务。
图 1. SDDC 网络拓扑
NSX Edge 设备(Tier 0 路由器)
在默认的 SDDC 网络配置中,内部部署网络与 SDDC 网络之间的所有流量都通过此设备。计算网关防火墙规则(用于控制对工作负载虚拟机的访问)在其上行链路接口上应用。如果此流量的一部分不通过 VPN 传输或不采用任何其他路由流入或流出 Internet,则需要为这部分流量增加带宽时,可以通过创建流量组将 SDDC 重新配置为多 Edge,每个流量组会创建一个额外的 Edge 设备路由器。有关详细信息,请参见《 通过流量组配置多 Edge SDDC》。
管理网关 (MGW)
MGW 是为在 SDDC 中运行的 vCenter Server 和其他管理设备提供南北向网络连接的 NSX Edge 防火墙。创建 SDDC 时,会自动从 AWS 公用 IP 地址池为 MGW 分配面向 Internet 的 IP 地址。有关指定此地址范围的详细信息,请参见 从 VMC 控制台部署 SDDC
计算网关 (CGW)
CGW 是为连接到 SDDC 计算网络的工作负载虚拟机提供南北部网络连接的 NSX Edge 防火墙。

在 SDDC 与已连接的 VPC 之间路由

重要事项:

所有 SDDC 子网以及 AWS 服务或实例与 SDDC 进行通信所使用的任何 VPC 子网都必须与已连接 VPC 的主路由表相关联。不支持使用自定义路由表或替换主路由表。

创建 SDDC 时,我们会将指定 AWS 帐户所拥有的 VPC 的 ENI 连接到 SDDC 中的 NSX Edge 设备。该 VPC 将成为已连接的 VPC,并且该连接支持 SDDC 虚拟机与 AWS 实例之间的网络流量以及已连接 VPC 中的本机服务。已连接 VPC 的主路由表包括 VPC 中的所有子网以及所有 SDDC(NSX-T 网络分段)子网。在工作负载网络上创建或删除路由网络分段时,主路由表将自动更新。无论是为了从故障中恢复还是在 SDDC 维护期间,将 SDDC 中的 NSX Edge 设备移至另一个主机时,主路由表都会更新以反映新 NSX Edge 主机使用的 ENI。如果替换了主路由表或使用自定义路由表,则更新将失败,且网络流量无法再在 SDDC 网络与已连接的 VPC 之间路由。

有关详细信息,请参见查看已连接 VPC 的信息

预留的网络地址

VMware Cloud on AWS 预留以下地址范围,以供内部使用。
  • 10.0.0.0/15
  • 169.254.0.0/19
  • 169.254.101.0/30
  • 172.31.0.0/16
  • 192.168.1.0/24(这是单主机起步 SDDC 的默认管理 CIDR。未在其他配置中预留。)
我们还会预留 100.64.0.0/16(依照 RFC 6598 为运营商级 NAT 预留的部分范围),以及 RFC 3330 中枚举的特殊用途 IPv4 地址空间。

SDDC 工作负载无法访问 CIDR 块与这些范围重叠的任何远程(内部部署)网络。无法将与这些范围重叠的地址分配给 SDDC 网络中的工作负载虚拟机。

SDDC 网络中的多播支持

在 SDDC 网络中,第 2 层多播流量视为生成流量的网络分段上的广播流量。不会在该分段之外路由。不支持第 2 层多播流量优化功能,如 IGMP 侦听。VMware Cloud on AWS 中不支持第 3 层多播(例如,协议无关多播)。

将内部部署 SDDC 连接到云 SDDC

要将内部部署数据中心连接到 VMware Cloud on AWS SDDC,可以创建一个使用公用 Internet 的 VPN 或使用 AWS Direct Connect 的 VPN,也可以单独使用 AWS Direct Connect。此外,还可以利用 SDDC 组来使用 VMware Transit Connect™ 和 AWS Direct Connect 网关在一组 VMware Cloud on AWS SDDC 与内部部署 SDDC 之间建立集中式连接。请参见 《VMware Cloud on AWS 操作指南》中的 创建和管理 SDDC 部署组
图 2. SDDC 到内部部署数据中心的连接
第 3 层 (L3) VPN
第 3 层 VPN 通过公用 Internet 或 AWS Direct Connect 在内部部署数据中心与 VMware Cloud on AWS SDDC 之间建立安全连接。这些 IPsec VPN 可以基于路由,也可以基于策略。每种类型最多可以创建 16 个 VPN,可以使用支持 IPsec VPN 设置参考 中列为内部部署端点的设置的内部部署路由器。
第 2 层 (L2) VPN
第 2 层 VPN 提供扩展网络或延伸网络,具有跨内部部署数据中心和 SDDC 的单个 IP 地址空间,并可将内部部署工作负载热迁移或冷迁移到 SDDC。在任何 SDDC 中都只能创建单个 L2 VPN 隧道。隧道的内部部署端需要 NSX。如果您的内部部署数据中心尚未使用 NSX,则可以下载独立的 NSX Edge 设备以提供所需的功能。L2 VPN 可以通过公用 Internet 或通过 AWS Direct Connect 将内部部署数据中心连接到 SDDC。
AWS Direct Connect (DX)
AWS Direct Connect 是 AWS 提供的一项服务,可以在内部部署数据中心与 AWS 服务之间建立高速且低延迟的连接。配置 AWS Direct Connect 时,VPN 可以使用它,而不是通过公用 Internet 路由流量。由于 Direct Connect 实施边界网关协议 (BGP) 路由,因此在配置 Direct Connect 时,可以选择性地对管理网络使用 L3VPN。通过 Direct Connect 的流量未加密。如果要对该流量进行加密,请配置 L3 VPN 以使用 Direct Connect。
VMware HCX
VMware HCX 是一个多云应用程序移动解决方案,免费供所有 SDDC 使用,并可帮助在内部部署数据中心与 SDDC 之间迁移工作负载虚拟机。有关安装、配置和使用 HCX 的详细信息,请参见 使用 HCX 进行混合迁移检查表