Jedes neue VMware Cloud on AWS-SDDC enthält ein standardmäßiges Tier-1-Gateway, das als Computing-Gateway (CGW) bezeichnet wird. Sie können bei Bedarf zusätzliche benutzerdefinierte Tier-1-Gateways erstellen und konfigurieren. Jedes Tier-1-Gateway befindet sich zwischen dem SDDC-Tier-0-Gateway und einer beliebigen Anzahl von Computing-Netzwerksegmenten.

Über zusätzliche Tier-1-Gateways kann ein SDDC-Netzwerkadministrator Kapazitäten des Arbeitslastnetzwerks bestimmten Projekten, Mandanten oder anderen Verwaltungseinheiten innerhalb einer VMware Cloud on AWS-Organisation zuweisen.

Weitere Informationen zu SDDC-Netzwerkkonfigurationen, die benutzerdefinierte Tier-1-Gateways enthalten, erfahren Sie im VMware Cloud Tech Zone Designlet VMware Cloud on AWS Static Routing on Multiple CGWs (T1s).

Prozedur

  1. Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
  2. Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
  3. Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der SDDC-Seite Einstellungen angezeigt wird. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
    Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden.
  4. Klicken Sie auf Tier-1-Gateways > TIER-1-GATEWAY HINZUFÜGEN und legen Sie dann für das neue Gateway einen Namen und eine optionale Beschreibung fest.
  5. Geben Sie den Typ des Gateways an.
    Typ Datenverkehrsmuster
    Geroutet Segmentdatenverkehr wird über das neue Gateway weitergeleitet.
    Isoliert Segmentdatenverkehr kann das neue Gateway nicht durchlaufen. Lokale Segmente können miteinander verbunden werden. Segmente werden der Routing-Tabelle nicht hinzugefügt
    Verbunden über NAT Segmentdatenverkehr kann das neue Gateway erst durchlaufen, nachdem Sie NAT-Regeln für ihn erstellt haben (siehe Erstellen oder Ändern von NAT-Regeln). Lokale Segmente können miteinander verbunden werden. Segmente werden der Routing-Tabelle nicht hinzugefügt
  6. (Optional) Versehen Sie das neue Gateway mit einem Tag.

    Weitere Informationen zum Taggen von NSX-Objekten finden Sie unter Hinzufügen von Tags zu einem Objekt im Administratorhandbuch für NSX Data Center.

  7. Klicken Sie auf SPEICHERN, um das benutzerdefinierte Tier-1-Gateway zu erstellen oder zu konfigurieren.
  8. (Optional) Fügen Sie eine Computing-Gateway-Firewallregel hinzu, wenn Sie DNS-Dienste für das benutzerdefinierte Tier-1-Gateway konfiguriert haben und diese von verbundenen Arbeitslasten verwendet werden sollen.

    Sie können diesen Schritt überspringen, wenn Arbeitslasten, die an das benutzerdefinierte Tier-1-Gateway angehängt sind, die standardmäßige Computing-Gateway-DNS-Weiterleitung verwenden sollen.

    Im Gegensatz zum Computing-Gateway verfügen benutzerdefinierte Tier-1-Gateways nicht über eine Standard-Firewallregel, die DNS-Zugriff von verbundenen Arbeitslasten zulässt. Sie benötigen eine Regel wie diese nur dann, wenn Sie einen DNS-Dienst für das Gateway erstellt haben und Arbeitslasten, die an das Gateway angehängt sind, diese anstelle der standardmäßigen Computing-Gateway-DNS-Weiterleitung verwenden sollen.

    Name Quellen Ziele Dienste Angewendet auf Aktion
    Gateway-DNS-Weiterleitung Die auf der Registerkarte DNS-Dienste angezeigte DNS-Dienst-IP Alle DNS-UDP Dies ist unabhängig davon, welche Schnittstelle die Standardroute des SDDC-Netzwerks ankündigt. In der Regel eine der folgenden:
    • Internetschnittstelle
    • Intranetschnittstelle
    • VPN-Tunnelschnittstelle
    		 Zulassen
  9. (Optional) Konfigurieren Sie den DHCP-Dienst für das Gateway.

    Sie können diesen Schritt überspringen, wenn Sie die DHCP-Adresszuweisung für Arbeitslasten auf dem benutzerdefinierten Tier-1-Gateway nicht aktivieren müssen.

    Klicken Sie auf DHCP-Konfiguration festlegen, um die Seite „DHCP-Konfiguration“ zu öffnen. Der standardmäßige Typ der DHCP-Konfiguration für ein neues Gateway ist Keine Zuteilung dynamischer IP-Adressen. In dieser Konfiguration stellt das Gateway keine DHCP-Dienste bereit. Wenn das Gateway DHCP-Dienste bereitstellen soll, wählen Sie einen Typ des DHCP-Servers aus und geben Sie ein DHCP-Serverprofil an. Sie können ein neues Profil erstellen oder ein vorhandenes verwenden. Weitere Informationen hierzu finden Sie unter Konfigurieren von DHCP-Eigenschaften für Segmente.

  10. (Optional) Konfigurieren Sie den Datenverkehrs-QoS für das Gateway.

    Sie können diesen Schritt überspringen, wenn Sie keine QoS-Statistiken für den über dieses benutzerdefinierte Tier-1-Gateway geleiteten Datenverkehr abrufen müssen.

    Klicken Sie auf Zusätzliche Einstellungen und wählen Sie dann ein Ingress-QoS-Profil und ein Egress-QoS-Profil für Datenverkehrsbeschränkungen aus. Diese Profile werden verwendet, um die Informationsgeschwindigkeit und Burstgröße für den zulässigen Datenverkehr festzulegen. Weitere Informationen zum Erstellen von QoS-Profilen finden Sie unter Hinzufügen eines Gateway-QoS-Profils.Da VMware Cloud on AWS keine Unterstützung für IPv6 bietet, finden die Optionen ND-Profil und DAD-Profil keine Anwendung.

  11. (Optional) Konfigurieren Sie statische Routen für das Gateway.

    Diese Option ist auf der VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit nicht verfügbar.

    Sie können für jeden Typ eines benutzerdefinierten Tier-1-Gateways eine nicht standardmäßige Route konfigurieren. Eine statische Standardroute (0.0.0.0/0) kann nur für ein isoliertes Gateway konfiguriert werden. Klicken Sie auf der Registerkarte NSX Manager Netzwerk auf Tier-1-Gateways. Wenn Sie ein Tier-1-Gateway erstellen oder bearbeiten, klicken Sie auf STATISCHE ROUTEN, um statische Routen und nächste Hops für das Gateway zu erstellen oder zu ändern.

  12. (Optional) Erstellen Sie Routenaggregationen, wenn Sie möchten, dass auf das neue Gateway über die verbundene VPC oder innerhalb einer SDDC-Gruppe zugegriffen werden kann. (Gilt nicht für isolierte Gateways.)
    Netzwerke, die mit einem gerouteten oder per NAT übersetzten benutzerdefinierten Tier-1-Gateway verbunden sind, sind von der verbundenen VPC aus nicht erreichbar, es sei denn, Sie definieren eine Routenaggregation, die die per NAT übersetzten oder gerouteten IPs für die benutzerdefinierten T1-Netzwerke in der Aggregations-Präfixliste enthält, und wenden diese Aggregation auf den Konnektivitäts-Endpoint DIENSTE an.
    Hinweis: Bei einer Routenaggregation für ein per NAT übersetztes T1-Gateway muss die übersetzte (SNAT)-IP verwendet werden.
    Wenn dieses SDDC Mitglied einer SDDC-Gruppe ist, sollten Sie außerdem eine ähnliche Routenaggregation definieren und diese Aggregation auf den Konnektivitäts-Endpoint INTRANET anwenden. Routenaggregationen erfordern den Modus für verwaltete Präfixe und können nicht mit der Standardkonfiguration für die verbundene VPC verwendet werden. Weitere Informationen hierzu finden Sie unter Aggregieren und Filtern von Routen zu Uplinks.