Um mit der Verwendung von VMware Cloud on AWS zum Ausführen von Arbeitslasten in Ihrem SDDC zu beginnen, müssen Sie ein Netzwerk einrichten, das Ihr lokales Datencenter mit dem SDDC verbindet. Dieses Netzwerk kann eine dedizierte Verbindung über AWS Direct Connect, ein IPsec-VPN oder beides umfassen.
Während das Routen von IPsec-VPN-Datenverkehr über Direct Connect bessere Leistung zu geringeren Kosten bieten kann, können Sie zunächst ein IPsec-VPN einrichten, das mit Ihrem SDDC über das Internet verbunden ist, und dieses VPN dann zu einem späteren Zeitpunkt so neu konfigurieren, dass es Direct Connect verwendet.
Wenn Sie die Registerkarte Netzwerk und Sicherheit eines neuen SDDC öffnen, können Sie den Assistenten Einrichten von Netzwerk und Sicherheit ausführen, der Sie bei Bedarf durch die erforderlichen Schritte für die Konfiguration von Direct Connect und einem VPN, für den Zugriff auf das vCenter in Ihrem SDDC und für das Ändern des Standard-DNS-Servers führt.
Wenn Sie nur ein routenbasiertes VPN einrichten möchten, das Ihr lokales Datencenter über das Internet mit Ihrem SDDC verbindet, folgen Sie den folgenden Schritten.
Voraussetzungen
Sie müssen über die NSX Admin-Dienstrolle verfügen, damit Sie Funktionen auf der Registerkarte Netzwerk und Sicherheit anzeigen und konfigurieren können. Weitere Informationen finden Sie unter Zuweisen von NSX Service-Rollen an Organisationsmitglieder im HandbuchVMware Cloud on AWS – Netzwerk und Sicherheit.
Prozedur
- Erstellen Sie ein routenbasiertes VPN im SDDC.
Ein routenbasiertes VPN erstellt eine IPSec-Tunnelschnittstelle und leitet den Datenverkehr entsprechend der SDDC-Routing-Tabelle weiter. Ein routenbasiertes VPN bietet zuverlässigen und sicheren Zugriff auf mehrere Subnetze. Wenn Sie ein routenbasiertes VPN verwenden, werden neue Routen automatisch hinzugefügt, wenn neue Netzwerke erstellt werden.
Weitere Informationen finden Sie unter Erstellen eines routenbasierten VPN im Handbuch VMware Cloud on AWS – Netzwerk und Sicherheit.
- Konfigurieren Sie ein lokales IPsec-VPN.
Sie können NSX oder ein beliebiges anderes Gerät verwenden, das ein IPSec-VPN beenden kann.
Wichtig:
Das SDDC eines IPsec-VPN unterstützt nur zeitbasierte Neuzuweisungen. Ihr lokales Gerät muss die erneute Lifebytes-Schlüsselerstellung deaktivieren.
Konfigurieren Sie die lokale Seite des VPN nicht für eine Leerlauf-Zeitüberschreitung (z. B. die NSX-Einstellung Sitzungszeitüberschreitung bei Leerlauf). Lokale Leerlauf-Zeitüberschreitungen können dazu führen, dass das VPN in regelmäßigen Abständen getrennt wird.
- Wenn sich Ihr lokales VPN-Gateway hinter einer Firewall befindet, müssen Sie diese Firewall so konfigurieren, dass sie den IPsec-Protokolldatenverkehr weiterleitet:
- Öffnen Sie den UDP-Port 500, damit ISAKMP-Datenverkehr (Security Association and Key Management Protocol) durch die Firewall weitergeleitet werden kann.
- Richten Sie die IP-Protokoll-ID 50 ein, damit IPsec-ESP-Datenverkehr (Encapsulating Security Protocol) durch die Firewall weitergeleitet werden kann.
- Richten Sie die IP-Protokoll-ID 51 ein, damit AH-Datenverkehr (Authentication Header) durch die Firewall weitergeleitet werden kann.
- Laden Sie die IPsec-VPN-Konfigurationsdatei für das SDDC herunter.
Weitere Informationen zu den Inhalten dieser Datei sowie dazu, wie Sie damit Ihren lokalen VPN-Endpoint konfigurieren,
finden Sie unter IPsec-VPN-Einstellungen - Referenz im Handbuch VMware Cloud on AWS – Netzwerk und Sicherheit.
- (Optional) Erstellen Sie ein Netzwerksegment.
Ein Einzelhost-Starter-SDDC wird mit einem einzelnen gerouteten Netzwerksegment mit dem Namen sddc-cgw-network-1 erstellt. SDDCs mit mehreren Hosts werden ohne Standardnetzwerksegment erstellt, daher müssen Sie mindestens eines für Ihre Arbeitslast-VMs erstellen.
Weitere Informationen finden Sie unter Erstellen eines Netzwerksegments im Handbuch VMware Cloud on AWS – Netzwerk und Sicherheit.
- Erstellen Sie auf dem Verwaltungs-Gateway einige grundlegende Firewallregeln.
Standardmäßig blockiert das Verwaltungs-Gateway den Datenverkehr zu allen Zielen aus allen Quellen. Fügen Sie Verwaltungs-Gateway-Firewallregeln hinzu, um Datenverkehr nach Bedarf zuzulassen.
Weitere Informationen finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Verwaltungs-Gateway im VMware Cloud on AWS – Netzwerk und Sicherheit-Handbuch.
- Konfigurieren Sie den privaten DNS für das Verwaltungsnetzwerk.
Geben Sie die Adressen Ihrer privaten DNS-Server an, damit das Verwaltungs-Gateway, die ESXi-Hosts und Verwaltungs-VMs vollqualifizierte Domänennamen (FQDNs) in IP-Adressen im Verwaltungsnetzwerk auflösen können. Um Funktionen wie die Migration mit vMotion, Cold-Migration
oder den Hybrid Linked Mode zu verwenden, ändern Sie die vCenter Server-Auflösung in eine private IP-Adresse, die über das VPN aufgelöst werden kann.
Weitere Informationen finden Sie unter Festlegen der HCX-FQDN-Auflösungsadresse im Handbuch VMware Cloud on AWS – Netzwerk und Sicherheit.