Erstellen Sie eine private VIF über DX, um eine direkte Konnektivität zwischen Ihrem lokalen Netzwerk und den Arbeitslasten des SDDC, ESXi Management- und Verwaltungs-Appliances mithilfe ihrer privaten IPs bereitzustellen.

Erstellen Sie eine private virtuelle Schnittstelle (VIF) für jede Direct Connect (DX)-Schaltung, die Sie mit Ihrem SDDC verbinden möchten. Jede private VIF richtet eine separate BGP-Sitzung ein, die in Aktiv/Standby- oder Aktiv/Aktiv-Konzepten (einschließlich ECMP) oder für private Netzwerksegmente verwendet werden kann. Wenn Sie DX-Redundanz wünschen, verbinden Sie separate private VIFs, die auf verschiedenen DX-Schaltungen bereitgestellt werden, mit dem SDDC.

Wenn Sie mehrere private VIFs über separate DX-Schaltungen mit einem SDDC verbinden, um Hochverfügbarkeit zu erreichen, müssen alle DX-Schaltungen im selben AWS-Konto erstellt und an verschiedene AWS Direct Connect-Standorte geliefert werden. In diesem Fall versucht AWS, separate interne Netzwerkpfade für die DX-Konnektivität zu nutzen, um eine bessere Redundanz zu ermöglichen. Weitere Informationen finden Sie unter Hohe Resilienz und Aktiv/Aktiv- und Aktiv/Passiv-Konfigurationen in AWS Direct Connect in der AWS-Dokumentation. Weitere Informationen zu Grenzwerten für die Anzahl der Netzwerksegmente, die für alle privaten VIFs angekündigt sind, finden Sie unter Maximalwerte für die Konfiguration von VMware. Die Routenaggregation wird unterstützt, um mehr Flexibilität zu bieten, aber alle VIFs verfügen über dieselben Netzwerke, die vom SDDC angekündigt werden.

Wichtig:

Wenn Sie eine private virtuelle DX-Schnittstelle oder eine SDDC-Gruppe mit einem SDDC verbinden, wird der gesamte ausgehende Datenverkehr von ESXi-Hosts an Ziele außerhalb des SDDC-Netzwerks ungeachtet anderer Routing-Konfigurationen im SDDC über diese Schnittstelle weitergeleitet. Dies umfasst unter anderem den Datenverkehr von vMotion und vSphere Replication. Sie müssen sicherstellen, dass der eingehende Datenverkehr auf ESXi-Hosts ebenfalls über denselben Pfad weitergeleitet wird, sodass die Pfade für ein- und ausgehenden Datenverkehr symmetrisch sind. Unter Erstellen und Verwalten von-SDDC-Bereitstellungsgruppen mit VMware Transit Connect im VMware Cloud on AWS Operations Guide finden Sie weitere Informationen zu VMware Transit Connect und dem VMware Managed Transit Gateway (VTGW).

Obwohl die einem routenbasierten VPN entnommenen Routen über BGP anderen routenbasierten VPNs angekündigt werden, kündigt ein SDDC nur seine eigenen Netzwerke einer SDDC-Gruppe an. Von VPNs erlernte Routen werden nicht angekündigt. Detaillierte Informationen zu den von AWS on Direct Connect festgelegten Einschränkungen, einschließlich der Einschränkungen bei über BGP angekündigten und erlernten Routen finden Sie unter Kontingente bei AWS Direct Connect im Direct Connect-Benutzerhandbuch.

Wenn Sie auf diese Weise eine private VIF erstellen, können Sie sie an alle SDDCs Ihrer Organisation in der Region anhängen, in der Sie die VIF erstellt haben. Die private VIF muss in derselben Region wie der DX-Schaltkreis erstellt und an ein SDDC in derselben Region angehängt werden. Nach dem Anhängen an ein SDDC kann die VIF nicht getrennt oder einem anderen SDDC neu zugewiesen werden. Stattdessen muss sie gelöscht und eine neue VIF muss erstellt werden. Beim Löschen eines SDDC werden alle angehängten VIFs gelöscht.

Voraussetzungen

  • Stellen Sie sicher, dass Sie die Voraussetzungen für virtuelle Schnittstellen erfüllen, wie unter Voraussetzungen für virtuelle Schnittstellen beschrieben.
  • Wenn Sie ein routenbasiertes VPN als Backup für Direct Connect verwenden möchten, müssen Sie auch den Schalter VPN als Backup für Direct Connect verwenden auf Aktiviert setzen, wie in Schritt 6 gezeigt. Richtlinienbasierte VPNs können nicht zum Sichern einer anderen Verbindung verwendet werden.

Prozedur

  1. Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
  2. Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
  3. Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der SDDC-Seite Einstellungen angezeigt wird. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
    Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden.
  4. Melden Sie sich bei der AWS-Konsole an und schließen Sie das Verfahren zur Erstellung einer gehosteten privaten virtuellen Schnittstelle unter Erstellen einer gehosteten virtuellen Schnittstelle ab.
    Wenn Sie eine gehostete VIF verwenden, erstellen Sie mit Ihrem AWS Direct Connect-Partner die VIF in dem Konto, das im Feld AWS-Konto-ID der Seite Direct Connect angezeigt wird, und fahren Sie dann mit Schritt 5 dieser Vorgehensweise fort. Wenn Sie eine dedizierte oder gehostete Verbindung verwenden, führen Sie zuerst diese Schritte aus.
    1. Wählen Sie für den Typ der virtuellen Schnittstelle die Option Privat und erstellen Sie einen Namen der virtuellen Schnittstelle.
    2. Wählen Sie im Feld Besitzer der virtuellen Schnittstelle die Option Anderes AWS-Konto aus und verwenden Sie die AWS-Konto-ID auf der NSX-Seite Direct Connect.
    3. Verwenden Sie für VLAN den von Ihrem AWS Direct Connect-Partner bereitgestellten Wert.
    4. Für BGP-ASN verwenden Sie die ASN des lokalen Routers, auf dem diese Verbindung beendet wird.
      Dieser Wert darf nicht mit der lokalen BGP-ASN identisch sein, die auf der NSX-Seite Direct Connect angezeigt wird.
    5. Erweitern Sie Zusätzliche Einstellungen und treffen Sie die folgende Auswahl:
      Adressfamilie Wählen Sie IPv4
      Ihre Router-Peer-IP Geben Sie die IP-Adresse des lokalen Endes dieser Verbindung (Router) an oder lassen Sie das Feld leer, damit AWS automatisch eine Adresse zuweisen soll, die Sie in Ihrem Router konfigurieren müssen.
      Peer-IP des Amazon-Routers Geben Sie die IP-Adresse des AWS-Endes dieser Verbindung an oder lassen Sie das Feld leer, damit AWS automatisch eine Adresse zuweisen kann, die Sie in Ihrem Router konfigurieren müssen.
      BGP-Authentifizierungsschlüssel Geben Sie einen Wert an oder lassen Sie dieses Feld leer, damit AWS einen Schlüssel generiert, den Sie in Ihrem Router konfigurieren müssen.
      Jumbo MTU (MTU-Größe 9001) Die Standard-MTU für alle SDDC-Netzwerke beträgt 1500 Byte. Um den DX-Datenverkehr zu dieser privaten VIF für die Verwendung einer größeren MTU zu aktivieren, wählen Sie unter Jumbo-MTU (MTU-Größe 9001) den Eintrag Aktivieren aus. Nachdem die VIF erstellt wurde, müssen Sie auch die NSX-Seite Globale Konfiguration öffnen und unter Intranet-Uplink einen höheren MTU-Wert festlegen, wie in Angeben der MTU für Direct Connect beschrieben. Wenn Sie dies in den Verbindungseigenschaften aktivieren, ist es auch dann einfacher, Jumbo-Frames in SDDC-Netzwerken zu nutzen, wenn Sie sie brauchen.
    Wenn die Schnittstelle erstellt wurde, meldet die AWS-Konsole, dass sie zur Annahme bereit ist.
  5. Öffnen Sie NSX Manager oder die Registerkarte Netzwerk und Sicherheit in der VMC-Konsole. Klicken Sie auf Direct Connect und akzeptieren Sie die virtuelle Schnittstelle, indem Sie auf ANHÄNGEN klicken.
    Bevor sie akzeptiert wird, wird eine neue VIF in allen SDDCs in Ihrer Organisation angezeigt. Nachdem Sie die VIF akzeptiert haben, ist sie in keinem anderen SDDC mehr sichtbar.
    Es kann bis zu 10 Minuten dauern, bis die BGP-Sitzung aktiv wird. Wenn die Verbindung bereit ist, wird als Status Angehängt und als BGP-Status Aktiv angezeigt.
  6. (Optional) Konfigurieren Sie ein routenbasiertes VPN als Backup für Direct Connect.
    In der Standardkonfiguration verwendet der Datenverkehr auf jeder Route, die über BGP sowohl von DX als auch von routenbasierten VPN angekündigt wird, standardmäßig das VPN. Damit eine Route, die sowohl von DX als auch von VPN angekündigt ist, standardmäßig DX und Failover auf das VPN bei Ausfall von DX verwendet, klicken Sie auf Direct Connect und legen Sie die Option VPN als Backup für Direct Connect verwenden auf Aktiviert fest.
    Hinweis: Für diese Konfiguration ist ein routenbasiertes VPN erforderlich. Sie können kein richtlinienbasiertes VPN als Backup für Direct Connect verwenden. In einem SDDC, das Mitglied einer SDDC-Gruppe ist, wird der Datenverkehr über eine Route, die sowohl von der privaten DX-VIF als auch vom VMware Managed Transit Gateway ( VTGW) der Gruppe angekündigt wird, über die VTGW weitergeleitet.
    Das System benötigt ca. eine Minute, um Ihre Routing-Voreinstellungen zu aktualisieren. Wenn der Vorgang abgeschlossen ist, werden sowohl von DX als auch von VPN angekündigte Routen standardmäßig zur DX-Verbindung verwendet, wobei das VPN nur verwendet wird, wenn DX nicht verfügbar ist. Äquivalente Routen, die von DX und VPN angekündigt werden, priorisieren die VPN-Verbindung.

Ergebnisse

Eine Liste der angekündigten BGP-Routen und erlernten BGP-Routen wird angezeigt, wenn die Routen erlernt und angekündigt werden. Klicken Sie auf das Aktualisierungssymbol, um diese Listen zu aktualisieren. Alle gerouteten Subnetze im SDDC werden zusammen mit dieser Teilmenge von Verwaltungsnetzwerk-Subnetzen als BGP-Routen angekündigt:
  • Subnetz 1 enthält Routen, die von ESXi-Host-vmks und Routerschnittstellen verwendet werden.
  • Subnetz 2 enthält Routen, die für Multi-AZ-Unterstützung und AWS-Integration verwendet werden.
  • Subnetz 3 enthält Verwaltungs-VMs.
Getrennte und erweiterte Netzwerke werden nicht angekündigt. An benutzerdefinierte T1s angehängte Netzwerke werden nicht angekündigt. Wenn die Routenfilterung aktiviert ist, werden an das Standard-CGW angehängte Netzwerke ebenfalls nicht angekündigt.

Alle definierten und auf das DX angewendeten Routenaggregationen werden wie definiert angekündigt. (Weitere Informationen finden Sie unter Aggregieren und Filtern von Routen zu Uplinks).

Die tatsächlichen CIDR-Blöcke, die den privaten VIFs angekündigt werden, hängen vom CIDR-Block des Verwaltungssubnetzes ab. Die folgende Tabelle enthält die CIDR-Blöcke für diese Routen in einem SDDC, das das Standard-Verwaltungsnetzwerk CIDR von 10.2.0.0 in den Blockgrößen /16, /20 und /22 verwendet.

Tabelle 1. Angekündigte Routen für 10.2.0.0 Standard-MGW CIDR
MGW-CIDR Subnetz 1 Subnetz 2 Subnetz 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

Nächste Maßnahme

Stellen Sie sicher, dass die lokalen vMotion-Schnittstellen für die Verwendung von Direct Connect konfiguriert sind. Weitere Informationen hierzu finden Sie unter Konfigurieren von vMotion-Schnittstellen für die Verwendung mit Direct Connect.