Cree una VIF privada a través de DX para proporcionar conectividad directa entre la red local y las cargas de trabajo del SDDC, la administración de ESXi y los dispositivos de administración mediante sus direcciones IP privadas.

Cree una interfaz virtual privada (VIF) para cada circuito de Direct Connect (DX) que desee asociar con su SDDC. Cada VIF privada establece una sesión de BGP independiente, que se puede utilizar en diseños activo/en espera o activo/activo (incluido ECMP) o puede usarse para segmentos de red privada. Si desea disponer de redundancia de DX, asocie VIF privadas independientes aprovisionadas en diferentes circuitos de DX al SDDC.

Al conectar varias VIF privadas a través de circuitos de DX independientes a un SDDC para obtener alta disponibilidad, todos los circuitos de DX deben crearse en la misma cuenta de AWS y distribuirse a diferentes ubicaciones de AWS Direct Connect. Al hacerlo así, AWS intenta aprovechar rutas de acceso de red internas independientes para que la conectividad de DX proporcione una mejor redundancia. Consulte Alta resiliencia y Configuraciones activas/activas y activas/pasivas en AWS Direct Connect en la documentación de AWS. Consulte Valores máximos de configuración de VMware para conocer los límites del número de segmentos de red anunciados a todas las VIF privadas. Se admite la agregación de rutas para proporcionar más flexibilidad, pero todas las VIF tendrán las mismas redes anunciadas por el SDDC.

Importante:

Cuando se conecta una interfaz virtual privada DX o un grupo de SDDC a un SDDC, se enruta todo el tráfico saliente de los hosts ESXi a destinos fuera de la red de SDDC a través de esa interfaz, independientemente de otras configuraciones de enrutamiento en el SDDC. Esto incluye el tráfico de replicación de vMotion y de vSphere. Debe asegurarse de que el tráfico entrante a los hosts ESXi también se enrute a través de la misma ruta para que las rutas de tráfico entrante y saliente sean simétricas. Consulte Crear y administrar grupos de implementación de SDDC con VMware Transit Connect en Guía de operaciones de VMware Cloud on AWS para obtener más información sobre VMware Transit Connect y la Puerta de enlace de tránsito administrada por VMware (VTGW).

A pesar de que las rutas conocidas de una VPN basada en rutas se anuncian a través de BGP a otras VPN basadas en rutas, un SDDC solo anuncia sus propias redes a un grupo de SDDC. No anuncia las rutas aprendidas de las VPN. Consulte Cuotas de AWS Direct Connect en la Guía del usuario de AWS Direct Connect para obtener información detallada sobre los límites impuestos por AWS en Direct Connect, incluidos los límites de las rutas anunciadas y conocidas en BGP.

Cuando se crea una VIF privada de esta manera, se puede asociar a cualquiera de los SDDC de la organización en la región en la que se creó la VIF. La VIF privada debe crearse en la misma región que el circuito de DX y asociarse a un SDDC en esa misma región. Después de asociarla a un SDDC, la VIF no se puede desasociar ni reasignar a otro SDDC. En su lugar, es necesario eliminarla y crear una nueva VIF. Al eliminar un SDDC, se eliminan todas las VIF asociadas.

Requisitos previos

  • Asegúrese de cumplir con los requisitos previos para las interfaces virtuales que se describen en Requisitos previos para interfaces virtuales.
  • Si desea utilizar una VPN basada en rutas como sistema de respaldo de Direct Connect, también deberá establecer la opción Usar VPN como sistema de respaldo de Direct Connect en Habilitado como se muestra en el paso 6. Las VPN basadas en directivas no pueden utilizarse como sistema de respaldo de otra conexión.

Procedimiento

  1. Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
  3. Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
    También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo.
  4. Inicie sesión en la consola de AWS y complete el procedimiento de creación de una interfaz virtual privada alojada en Crear una interfaz virtual alojada.
    Si utiliza una VIF alojada, trabaje con su socio de AWS Direct Connect para crear la VIF en la cuenta que se muestra en el campo Identificador de cuenta de AWS de la página Direct Connect y después vaya al Paso 5 de este procedimiento. Si utiliza una conexión dedicada o alojada, realice estos pasos primero.
    1. En Tipo de interfaz virtual, seleccione Privada y cree un Nombre de interfaz virtual.
    2. En el campo Propietario de interfaz virtual, seleccione Otra cuenta de AWS y utilice el Identificador de cuenta de AWS de la página Direct Connect de NSX.
    3. En VLAN, utilice el valor proporcionado por su socio de AWS Direct Connect.
    4. En ASN de BGP, utilice el ASN del enrutador local donde finaliza esta conexión.
      Este valor no debe ser el mismo que el ASN local de BGP que se muestra en la página Direct Connect de NSX.
    5. Expanda Ajustes adicionales y seleccione las opciones siguientes:
      Familia de direcciones IPV4 seleccionada
      IP del mismo nivel del enrutador Especifique la dirección IP del extremo local de esta conexión (su enrutador) o deje el campo en blanco para que AWS asigne automáticamente una dirección que deberá configurar en el enrutador.
      IP del mismo nivel del enrutador de Amazon Especifique la dirección IP del extremo de AWS de esta conexión o deje el campo en blanco para que AWS asigne automáticamente una dirección que deberá configurar en el enrutador.
      Clave de autenticación de BGP Especifique un valor o déjelo en blanco para que AWS genere una clave, que deberá configurar en el enrutador.
      MTU gigante (tamaño de MTU 9001) La MTU predeterminada para todas las redes del SDDC es de 1500 bytes. Para habilitar el tráfico de DX a esta VIF privada y poder utilizar una MTU mayor, seleccione Habilitar en MTU gigante (tamaño de MTU 9001). Una vez que se haya creado la VIF, también tendrá que abrir la página Configuración global de NSX y establecer un valor mayor para MTU en Vínculo superior de la intranet, como se describe en Especificar la MTU de Direct Connect. Si lo habilita en las propiedades de conexión, aunque no tenga intención de utilizarla inmediatamente, será más fácil aprovechar las tramas gigantes en las redes de SDDC cuando las necesite.
    Cuando la interfaz se cree, la consola de AWS informa de que está lista para su aceptación.
  5. Abra NSX Manager o la pestaña Redes y seguridad de la consola de VMC. Haga clic en Direct Connect y haga clic en ADJUNTAR para aceptar la interfaz virtual.
    Antes de que se acepte, se puede ver una nueva VIF en todos los SDDC de la organización. Después de aceptar la VIF, esta ya no podrá verse en cualquier otro SDDC.
    La sesión de BGP pueden tardar hasta 10 minutos en activarse. Cuando la conexión esté lista, el campo Estado se muestra como Asociado y Estado de BGP como Activo.
  6. (opcional) Configurar una VPN basada en rutas como la copia de seguridad para Direct Connect.
    En la configuración predeterminada, el tráfico en cualquier ruta anunciada a través de BGP por DX y VPN y una VPN basada en rutas utiliza la VPN de forma predeterminada. Para que una ruta anunciada por VPN y DX utilice DX de forma predeterminada y conmutación por error a la VPN cuando DX no esté disponible, haga clic en Direct Connect y establezca el conmutador Usar VPN como copia de seguridad para Direct Connect como Habilitado.
    Nota: Esta configuración requiere una VPN basada en rutas. No se puede usar una VPN basada en directivas como copia de seguridad para Direct Connect. En un SDDC que es miembro de un grupo de SDDC, el tráfico a través de una ruta anunciada por la VIF privada de DX y la instancia de Puerta de enlace de tránsito administrada por VMware ( VTGW) del grupo se enruta a través de la VTGW.
    El sistema requiere un minuto aproximadamente para actualizar la preferencia de enrutamiento. Cuando la operación se completa, las rutas anunciadas por DX y VPN se establecen de forma predeterminada en la conexión de DX, usando la VPN solamente cuando DX no está disponible. Las rutas equivalentes anunciadas por DX y VPN priorizan la conexión VPN.

Resultados

Se muestra una lista de Rutas de BGP anunciadas y Rutas de BGP conocidas a medida que las rutas se anuncian y se conocen. Haga clic en el icono de actualización para actualizar estas listas. Todas las subredes enrutadas del SDDC se anuncian como rutas BGP, junto con este subconjunto de subredes de red de administración:
  • La subred 1 incluye las rutas utilizadas por las interfaces de enrutador y los archivos VMK de host ESXi.
  • La subred 2 incluye las rutas utilizadas en la compatibilidad con múltiples zonas de disponibilidad y en la integración de AWS.
  • La subred 3 incluye las máquinas virtuales de administración.
Las redes ampliadas y desconectadas no se anuncian. Las redes asociadas a T1 personalizados no se anuncian. Si el filtrado de rutas está habilitado, tampoco se anuncian las redes asociadas a la CGW predeterminada.

Todas las agregaciones de rutas definidas y aplicadas a DX se anunciarán según lo definido. (Consulte Agregar y filtrar rutas a vínculos superiores).

Los bloques CIDR reales anunciados a las VIF privadas dependen del bloque CIDR de la subred de administración. En la siguiente tabla, se muestran los bloques CIDR de estas rutas en un SDDC que utiliza el CIDR de red de administración predeterminado de 10.2.0.0 en tamaños de bloque de /16, /20 y /22.

Tabla 1. Rutas anunciadas para un CIDR de MGW predeterminada de 10.2.0.0
CIDR de MGW Subred 1 Subred 2 Subred 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

Qué hacer a continuación

Asegúrese de que las interfaces locales de vMotion estén configuradas para utilizar Direct Connect. Consulte Configurar las interfaces de vMotion para su uso con Direct Connect.