VMware Cloud on AWS verwendet NSX-T, um interne SDDC-Netzwerke zu erstellen und zu verwalten und Endpoints für VPN-Verbindungen von Ihrer lokalen Netzwerkinfrastruktur bereitzustellen.

SDDC-Netzwerktopologie

Wenn Sie ein SDDC erstellen, umfasst dieses ein Verwaltungsnetzwerk und ein Computing-Netzwerk. Der CIDR-Block des Verwaltungsnetzwerks muss beim Erstellen des SDDC angegeben werden und kann nicht geändert werden. Weitere Informationen finden Sie unter Bereitstellen eines SDDC von der VMC-Konsole. Das Verwaltungsnetzwerk verfügt über zwei Subnetze:
Appliance-Subnetz
Ein Subnetz des CIDR-Bereichs, den Sie beim Erstellen des SDDC für das Verwaltungssubnetz angegeben haben. Dieses Subnetz wird von den vCenter-, NSX- und HCX-Appliances im SDDC verwendet. Wenn Sie Appliance-basierte Dienste wie SRM zum SDDC hinzufügen, stellen diese ebenfalls eine Verbindung mit diesem Subnetz her.
Infrastruktur-Subnetz
Ein Subnetz des CIDR-Bereichs, den Sie beim Erstellen des SDDC für das Verwaltungssubnetz angegeben haben. Dieses Subnetz wird von den ESXi-Hosts im SDDC verwendet.

Das Computing-Netzwerk enthält eine beliebige Anzahl logischer Segmente für Ihre Arbeitslast-VMs. In einer Einzelhost-SDDC-Startkonfiguration erstellen Sie ein Computing-Netzwerk mit einem einzelnen gerouteten Segment. In SDDC-Konfigurationen mit mehreren Hosts müssen Sie Computing-Netzwerksegmente entsprechend Ihren Anforderungen erstellen. Die entsprechenden Grenzwerte finden Sie im Tool für die Maximalwerte für die VMware-Konfiguration.

Ein SDDC-Netzwerk verfügt über zwei abstrakte Ebenen:
  • Ebene 0 wird von einer NSX Edge-Appliance versorgt.
  • Ebene 1 wird von zwei NSX Edge-Firewalls (das Verwaltungs-Gateway und das Computing-Gateway) versorgt.
Abbildung 1. SDDC-Netzwerktopologie
NSX Edge-Appliance (Router der Ebene 0)
In der standardmäßigen Netzwerkkonfiguration des SDDC läuft der gesamte Datenverkehr zwischen Ihren lokalen Netzwerken und Ihren-SDDC-Netzwerken über diese Appliance. Computing-Gateway-Firewallregeln, die den Zugriff auf Arbeitslast-VMs steuern, werden auf die Uplink-Schnittstellen angewendet. Wenn Sie zusätzliche Bandbreite für die Teilmenge dieses Datenverkehrs benötigen, der nicht über eine VPN geführt wird oder eine andere Strecke zum oder vom Internet nimmt, können Sie Ihr SDDC neu als Multi-Edge-SDDC konfigurieren, indem Sie Datenverkehrsgruppen erstellen, von denen jede einen zusätzlichen Edge-Appliance-Router erstellt. Weitere Informationen dazu finden Sie unter Konfigurieren eines Multi-Edge-SDDC mit Datenverkehrsgruppen.
Verwaltungs-Gateway (MGW)
Das MGW ist eine NSX Edge-Firewall, die Nord-Süd-Netzwerkkonnektivität für den im SDDC ausgeführten vCenter Server und andere Verwaltungs-Appliances bereitstellt. Die internetseitige IP-Adresse des MGW wird automatisch aus dem Pool der öffentlichen IP-Adressen von AWS zugewiesen, wenn das SDDC erstellt wird. Weitere Informationen zur Angabe dieses Adressbereichs finden Sie unter Bereitstellen eines SDDC über die VMC-Konsole.
Computing-Gateway (CGW)
Beim CGW handelt es sich um eine NSX Edge-Firewall, die vertikale Netzwerkkonnektivität für Arbeitslast-VMs bereitstellt, die mit dem SDDC-Computing-Netzwerk verbunden sind.

Routing zwischen Ihrem SDDC und der verbundenen VPC

Wichtig:

Alle SDDC-Subnetze und VPC-Subnetze, auf denen AWS-Dienste oder -Instanzen mit dem SDDC kommunizieren, müssen der Hauptroutentabelle der verbundenen VPC zugeordnet werden. Die Verwendung einer benutzerdefinierten Routentabelle oder der Austausch der Hauptroutentabelle wird nicht unterstützt.

Wenn Sie ein SDDC erstellen, verbinden wir die elastische Netzwerkschnittstelle (ENI) der VPC, die sich im Besitz des AWS-Kontos befindet, das Sie in der NSX Edge-Appliance im SDDC angeben. Die VPC wird zur verbundenen VPC, und die Verbindung unterstützt den Netzwerkdatenverkehr zwischen SDDC-VMs und AWS-Instanzen und nativen Diensten in der verbundenen VPC. Die Hauptroutentabelle der verbundenen VPC enthält alle Subnetze in der VPC sowie alle SDDC-Subnetze (NSX-T-Netzwerksegment). Beim Erstellen oder Löschen von gerouteten Netzwerksegmenten auf dem Arbeitslast-Netzwerk wird die Hauptroutentabelle automatisch aktualisiert. Wenn die NSX Edge-Appliance in Ihrem SDDC zur Fehlerbehebung oder während der SDDC-Wartung auf einen anderen Host verschoben wird, wird die Hauptroutentabelle aktualisiert, um der vom neuen NSX Edge-Host verwendeten ENI Rechnung zu tragen. Wenn Sie die Hauptroutentabelle ausgetauscht haben oder eine benutzerdefinierte Routentabelle verwenden, schlägt diese Aktualisierung fehl, und der Netzwerkdatenverkehr kann nicht mehr zwischen SDDC-Netzwerken und dem verbundenen VPC umgeleitet werden.

Weitere Informationen finden Sie unter Anzeigen der Informationen zur verbundenen VPC.

Reservierte Netzwerkadressen

VMware Cloud on AWS reserviert die folgenden Adressbereiche für die interne Verwendung.
  • 10.0.0.0/15
  • 169.254.0.0/19
  • 169.254.101.0/30
  • 172.31.0.0/16
  • 192.168.1.0/24 (Dies ist das standardmäßige Management-CIDR für ein Starter-SDDC mit einem Host. Nicht in anderen Konfigurationen reserviert.)
Wir reservieren auch 100.64.0.0/16 (eine Teilmenge des Bereichs, der für Carrier-Grade-NAT gemäß RFC 6598 reserviert ist), und die unter RFC 3330 aufgeführten IPv4-Adressbereiche für Sonderzwecke.

SDDC-Arbeitslasten können nicht auf Remotenetzwerke (lokale Netzwerke) mit CIDR-Blöcken zugreifen, die sich mit diesen Bereichen überschneiden. Sie können keine Adressen, die sich mit diesen Bereichen überschneiden, Arbeitslast-VMs in SDDC-Netzwerken zuweisen.

Multicast-Unterstützung in SDDC-Netzwerken

In SDDC-Netzwerken wird Multicast-Datenverkehr der Ebene 2 als Broadcast-Datenverkehr im Netzwerksegment behandelt, in dem der Datenverkehr seinen Ursprung hat. Er wird nicht über dieses Segment hinaus geroutet. Optimierungsfunktionen für Multicast-Datenverkehr der Ebene 2, wie zum Beispiel IGMP-Snooping, werden nicht unterstützt. Multicast der Ebene 3 (wie zum Beispiel protokollunabhängiger Multicast) wird in VMware Cloud on AWS nicht unterstützt.

Verbinden Ihres lokalen SDDCs mit Ihrem Cloud-SDDC

Um Ihr lokales Datencenter mit Ihrem VMware Cloud on AWS-SDDC zu verbinden, können Sie ein VPN erstellen, das das öffentliche Internet verwendet, ein VPN, das AWS Direct Connect verwendet, oder nur AWS Direct Connect allein verwenden. Sie können SDDC-Gruppen auch nutzen, um mit VMware Transit Connect™ und einem AWS Direct Connect-Gateway eine zentralisierte Konnektivität zwischen einer Gruppe von VMware Cloud on AWS-SDDCs und einem lokalen SDDC bereitzustellen. Weitere Informationen finden Sie unter Erstellen und Verwalten von SDDC-Bereitstellungsgruppen im VMware Cloud on AWS Operations Guide.
Abbildung 2. SDDC-Verbindungen zu Ihrem lokalen Datencenter
Layer-3(L3)-VPN
Ein Layer 3-VPN bietet eine sichere Verbindung zwischen Ihrem lokalen Datencenter und Ihrem VMware Cloud on AWS-SDDC über das öffentliche Internet oder AWS Direct Connect. Diese IPSec-VPNs können entweder routenbasiert oder richtlinienbasiert sein. Sie können bis zu sechzehn VPNs jedes Typs erstellen, indem Sie einen beliebigen lokalen Router verwenden, der die in IPsec-VPN-Einstellungen - Referenz als lokale Endpoints aufgeführten Einstellungen unterstützt.
Layer-2-VPN (L2)
Ein Layer-2-VPN ist ein erweitertes oder ausgedehntes Netzwerk mit einem einzelnen IP-Adressbereich, der sich über Ihr lokales Datencenter und Ihr SDDC erstreckt und eine Hot- oder Cold-Migration von lokalen Arbeitslasten zum SDDC ermöglicht. Sie können in jedem SDDC nur einen einzelnen L2VPN-Tunnel erstellen. Das lokale Ende des Tunnels erfordert NSX. Wenn Sie NSX nicht bereits in Ihrem lokalen Datencenter verwenden, können Sie eine eigenständige NSX Edge-Appliance herunterladen, um die erforderlichen Funktionen bereitzustellen. Ein L2-VPN kann über das öffentliche Internet oder über AWS Direct Connect eine Verbindung Ihres lokalen Datencenters mit dem SDDC herstellen.
AWS Direct Connect (DX)
AWS Direct Connect ist ein von AWS bereitgestellter Dienst, der es Ihnen ermöglicht, eine Hochgeschwindigkeitsverbindung mit geringer Latenz zwischen Ihrem lokalen Datencenter und den AWS-Diensten zu erstellen. Wenn Sie AWS Direct Connect konfigurieren, können VPNs es verwenden, anstatt den Datenverkehr über das öffentliche Internet zu leiten. Da Direct Connect das BGP-Routing (Border Gateway Protocol) implementiert, ist beim Konfigurieren von Direct Connect die Verwendung eines L3VPN für das Verwaltungsnetzwerk optional. Der Datenverkehr über Direct Connect ist nicht verschlüsselt. Wenn Sie diesen Datenverkehr verschlüsseln möchten, konfigurieren Sie Ihr L3-VPN für die Verwendung von Direct Connect.
VMware HCX
VMware HCX, eine Multi-Cloud-App-Mobilitätslösung, wird allen SDDCs kostenlos zur Verfügung gestellt und erleichtert die Migration von Arbeitslast-VMs zu und von Ihrem lokalen Datencenter zu Ihrem SDDC. Weitere Informationen zum Installieren, Konfigurieren und Verwenden von HCX finden Sie unter Checkliste für Hybrid-Migration mit HCX.