La conexión de DX requiere una interfaz virtual privada para permitir que la usen vMotion, la administración de ESXi, el dispositivo de administración y el tráfico de carga de trabajo.

Cree una interfaz virtual privada (VIF) para cada vínculo de Direct Connect que desee establecer con el SDDC. Por ejemplo, si desea crear dos vínculos de Direct Connect con fines de redundancia, cree dos VIF privadas en la cuenta de AWS vinculada al SDDC. Consulte Valores máximos de configuración de VMware para conocer los límites sobre la cantidad de segmentos que admite cada VIF privada.

Cuando se crea una VIF privada en el Identificador de cuenta de AWS que aparece en la página Direct Connect de la pestaña Redes y seguridad, se puede asociar a cualquiera de los SDDC de la organización en la región en la que creó la VIF. Después de asociarla a un SDDC, la VIF no se puede desasociar ni reasignar a otro SDDC. En su lugar, es necesario eliminarla y crear una nueva VIF. Al eliminar un SDDC, se eliminan todas las VIF asociadas.

Importante:

Cuando se conecta una interfaz virtual privada DX o una VTGW a un SDDC, se enruta todo el tráfico saliente de los hosts ESXi a destinos fuera de la red de SDDC a través de esa interfaz, independientemente de otras configuraciones de enrutamiento en el SDDC. Esto incluye el tráfico de replicación de vMotion y de vSphere. Debe asegurarse de que el tráfico entrante a los hosts ESXi también se enrute a través de la interfaz de DX para que las rutas de tráfico entrante y saliente sean simétricas. Consulte Crear y administrar grupos de implementación de SDDC con VMware Transit Connect en Guía de operaciones de VMware Cloud on AWS para obtener más información sobre VMware Transit Connect y la Puerta de enlace de tránsito administrada por VMware (VTGW).

A pesar de que las rutas conocidas de una VPN basada en rutas se anuncian a través de BGP a otras VPN basadas en rutas, un SDDC solo anuncia sus propias redes a través de DX, y no anuncia ninguna de las rutas conocidas de VPN. Consulte Cuotas de AWS Direct Connect en la Guía del usuario de AWS Direct Connect para obtener información detallada sobre los límites impuestos por AWS en Direct Connect, incluidos los límites de las rutas anunciadas y conocidas en BGP.

Requisitos previos

Procedimiento

  1. Inicie sesión en la consola de AWS y complete el procedimiento de creación de una interfaz virtual privada alojada en Crear una interfaz virtual alojada.
    Si utiliza una VIF alojada, trabaje con su socio de AWS Direct Connect para crear la VIF en la cuenta que se muestra en el campo ID de cuenta de AWS de la página Direct Connect de la pestaña Redes y seguridad; a continuación, vaya al Paso 2 de este procedimiento. Si utiliza una conexión dedicada o alojada, realice estos pasos primero.
    1. En Tipo de interfaz virtual, seleccione Privada y cree un Nombre de interfaz virtual.
    2. En el campo Propietario de interfaz virtual, seleccione Otra cuenta de AWS y utilice el ID de cuenta AWS de la página Direct Connect de la pestaña Redes y seguridad.
    3. En VLAN, utilice el valor proporcionado por su socio de AWS Direct Connect.
    4. En ASN de BGP, utilice el ASN del enrutador local donde finaliza esta conexión.
      Este valor no debe ser el mismo que el ASN local de BGP que se muestra en la página Direct Connect de la pestaña Redes y seguridad.
    5. Expanda Ajustes adicionales y seleccione las opciones siguientes:
      Familia de direcciones IPV4 seleccionada
      IP del mismo nivel del enrutador Especifique la dirección IP del extremo local de esta conexión (su enrutador) o deje el campo en blanco para que AWS asigne automáticamente una dirección que deberá configurar en el enrutador.
      IP del mismo nivel del enrutador de Amazon Especifique la dirección IP del extremo de AWS de esta conexión o deje el campo en blanco para que AWS asigne automáticamente una dirección que deberá configurar en el enrutador.
      Clave de autenticación de BGP Especifique un valor o déjelo en blanco para que AWS genere una clave, que deberá configurar en el enrutador.
      MTU gigante (tamaño de MTU 9001) La MTU predeterminada para todas las redes del SDDC es de 1500 bytes. Para habilitar el tráfico de DX a esta VIF privada y poder utilizar una MTU mayor, seleccione Habilitar en MTU gigante (tamaño de MTU 9001). Una vez que se haya creado la VIF, también tendrá que abrir la página Configuración global de la pestaña Redes y seguridad y establecer un valor mayor para MTU en Vínculo superior de la intranet, como se describe en Especificar la MTU de Direct Connect. Si lo habilita en las propiedades de conexión, aunque no tenga intención de utilizarla inmediatamente, será más fácil aprovechar las tramas gigantes en las redes de SDDC cuando las necesite.
    Cuando la interfaz se cree, la consola de AWS informa de que está lista para su aceptación.
  2. En Consola de VMC, seleccione Redes y seguridad > Direct Connect y acepte la interfaz virtual haciendo clic en ASOCIAR.
    Antes de que se acepte, se puede ver una nueva VIF en todos los SDDC de la organización. Después de aceptar la VIF, esta ya no podrá verse en cualquier otro SDDC.
    La sesión de BGP pueden tardar hasta 10 minutos en activarse. Cuando la conexión esté lista, el campo Estado se muestra como Asociado y Estado de BGP como Activo.
  3. (opcional) Configurar una VPN basada en rutas como la copia de seguridad para Direct Connect.
    En la configuración predeterminada, el tráfico en cualquier ruta anunciada a través de BGP por DX y VPN y una VPN basada en rutas utiliza la VPN de forma predeterminada. Para que una ruta anunciada por VPN y DX utilice DX de forma predeterminada y conmutación por error a la VPN cuando DX no esté disponible, seleccione Redes y seguridad > Direct Connect y establezca el conmutador Usar VPN como copia de seguridad para Direct Connect como Habilitado.
    Nota: Esta configuración requiere una VPN basada en rutas. No se puede usar una VPN basada en directivas como copia de seguridad para Direct Connect. En un SDDC que es miembro de un grupo de SDDC, el tráfico a través de una ruta anunciada por la VIF privada de DX y la instancia de Puerta de enlace de tránsito administrada por VMware ( VTGW) del grupo se enruta a través de la VTGW.
    El sistema requiere un minuto aproximadamente para actualizar la preferencia de enrutamiento. Cuando la operación se completa, las rutas anunciadas por DX y VPN se establecen de forma predeterminada en la conexión de DX, usando la VPN solamente cuando DX no está disponible. Las rutas equivalentes anunciadas por DX y VPN priorizan la conexión VPN.

Resultados

Se muestra una lista de Rutas de BGP anunciadas y Rutas de BGP conocidas a medida que las rutas se anuncian y se conocen. Haga clic en el icono de actualización para actualizar estas listas. Todas las subredes enrutadas del SDDC se anuncian como rutas BGP, junto con este subconjunto de subredes de red de administración:
  • La subred 1 incluye las rutas utilizadas por las interfaces de enrutador y los archivos VMK de host ESXi.
  • La subred 2 incluye las rutas utilizadas en la compatibilidad con múltiples zonas de disponibilidad y en la integración de AWS.
  • La subred 3 incluye las máquinas virtuales de administración.
Las redes ampliadas y desconectadas no se anuncian.

Los bloques CIDR reales anunciados dependen del bloque CIDR de la subred de administración. En la siguiente tabla, se muestran los bloques CIDR de estas rutas en un SDDC que utiliza el CIDR de red de administración predeterminado de 10.2.0.0 en tamaños de bloque de /16, /20 y /22.

Tabla 1. Rutas anunciadas para un CIDR de MGW predeterminada de 10.2.0.0
CIDR de MGW Subred 1 Subred 2 Subred 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

Qué hacer a continuación

Asegúrese de que las interfaces de vMotion estén configuradas para utilizar Direct Connect. Consulte Configurar las interfaces de vMotion para su uso con Direct Connect.