VMware Cloud on AWS utiliza NSX para crear y administrar redes de SDDC. NSX proporciona una infraestructura ágil y definida por software para compilar entornos de aplicaciones nativas de la cloud.

En la Redes y seguridad de VMware Cloud on AWSGuía de se explica cómo utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para administrar las redes de SDDC. También puede utilizar la interfaz de usuario web de NSX Manager para administrar estas redes y, a partir de la versión 1.22 del SDDC, puede probar Usar el panel de control Redes y seguridad, que proporciona una vista simplificada de las redes del SDDC junto con enlaces a las funciones relevantes de NSX Manager.

NSX Manager admite un superconjunto de las funciones que se encuentran en la pestaña Redes y seguridad. Para obtener más información sobre cómo utilizar NSX Manager, consulte NSX Manager en la Guía de administración de NSX Data Center. Cualquier explorador que pueda conectarse a Internet puede acceder a la instancia de NSX Manager del SDDC de VMware Cloud on AWS en una dirección IP pública. También puede acceder a ella desde la red interna a través de una VPN o AWS Direct Connect. Consulte Abrir NSX Manager para obtener detalles.

El diseño y la navegación de la interfaz de usuario en la interfaz de usuario web de NSX Manager son similares a los de la pestaña Redes y seguridad de la Consola de VMware Cloud, y puede usar cualquiera de las herramientas para completar la mayoría de los procedimientos de este documento. La pestaña Redes y seguridad combina las funciones de Redes de NSX, como VPN, NAT y DHCP, con funciones de Seguridad de NSX, como los firewalls. Cuando un procedimiento requiere que utilice NSX Manager, se indica en los requisitos previos del procedimiento.

Topología de la red de SDDC

Al crear un SDDC, este incluye una red de administración. Los SDDC de prueba de host único también incluyen una pequeña red de cálculo. El bloque CIDR de la red de administración se especifica cuando se crea el SDDC. No se puede cambiar después de crear el SDDC. Consulte Implementar un SDDC desde la consola de VMC para obtener más información. La red de administración tiene dos subredes:
Subred del dispositivo
Los dispositivos vCenter Server, NSX , y HCX utilizan esta subred en el SDDC. Cuando se agregan servicios basados en dispositivos, como SRM, al SDDC, también se conectan a esta subred.
Subred de infraestructura
Los hosts ESXi utilizan esta subred en el SDDC.

La red de recursos informáticos incluye un número arbitrario de segmentos lógicos para las máquinas virtuales de carga de trabajo. Consulte Valores máximos de configuración de VMware para conocer los límites actuales de los segmentos lógicos. En una configuración de inicio de un SDDC de host único, se crea una red de cómputo con un solo segmento enrutado. En las configuraciones de SDDC que tengan más hosts, deberá crear segmentos de red de cómputo para satisfacer sus necesidades. Consulte Valores máximos de configuración de VMware para conocer los límites aplicables.

Una red de SDDC tiene dos niveles teóricos:
  • El nivel 0 controla el tráfico de norte a sur (tráfico que sale o entra al SDDC, o entre las puertas de enlace de administración y de cómputo). En la configuración predeterminada, cada SDDC tiene un solo enrutador de nivel 0. Si un SDDC es miembro de un grupo de SDDC, puede volver a configurar el SDDC para agregar enrutadores de nivel 0 que controlen el tráfico del grupo de SDDC. Consulte Configurar un SDDC de varias instancias de Edge con grupos de tráfico.
  • El nivel 1 controla el tráfico de este a oeste (tráfico entre segmentos de red enrutados dentro del SDDC). En la configuración predeterminada, cada SDDC tiene un solo enrutador de nivel 1. Puede crear y configurar puertas de enlace de nivel 1 adicionales si las necesita. Consulte Agregar una puerta de enlace de nivel 1 personalizada a un SDDC de VMware Cloud on AWS.
Figura 1. Topología de la red de SDDC
Diagrama de una red de SDDC conectada a una red local a través de una VPN y AWS Direct Connect.
Dispositivo NSX Edge

El dispositivo de NSX Edge predeterminado se implementa como un par de máquinas virtuales que se ejecutan en modo activo/en espera. Este dispositivo proporciona la plataforma en la que se ejecutan los enrutadores de nivel 0 y 1 predeterminados, junto con las conexiones VPN de IPsec y su sistema de enrutamiento BGP. Todo el tráfico de norte a sur pasa por el enrutador de nivel 0 predeterminado. Para evitar el envío de tráfico de este a oeste a través del dispositivo, se ejecuta un componente de cada enrutador de nivel 1 en cada host ESXi que controla el enrutamiento de destinos dentro del SDDC.

Si necesita ancho de banda adicional para el subconjunto de este tráfico que se enruta a los miembros del grupo de SDDC, una puerta de enlace de Direct Connect adjunta a un grupo de SDDC, una malla de servicio de HCX o la VPC conectada, puede volver a configurar el SDDC para que tenga varias instancias de Edge mediante la creación de grupos de tráfico, cada uno de los cuales crea un enrutador de nivel 0 adicional. Consulte Configurar un SDDC de varias instancias de Edge con grupos de tráfico para obtener detalles.

Nota:

El tráfico de VPN, así como el tráfico de DX a una VIF privada, debe pasar por en el nivel 0 predeterminado y no se puede enrutar a un grupo de tráfico no predeterminado. Además, debido a que las reglas NAT siempre se ejecutan en el enrutador de nivel 0 predeterminado, los enrutadores de nivel 0 adicionales no pueden controlar el tráfico sujeto a reglas NAT. Esto incluye el tráfico hacia la conexión a Internet nativa del SDDC y desde esta. También incluye el tráfico al servicio Amazon S3, que utiliza una regla NAT y debe pasar por el nivel 0 predeterminado.

Puerta de enlace de administración (Management Gateway, MGW)
El MGW es un enrutador de nivel 1 que gestiona el enrutamiento y el firewall para vCenter Server y otros dispositivos de administración que se ejecutan en el SDDC. Las reglas de firewall de puerta de enlace de administración se ejecutan en la MGW y controlan el acceso a las máquinas virtuales de administración. En un nuevo SDDC, la conexión a Internet se etiqueta No conectado en la pestaña Descripción general y permanece bloqueada hasta que se crea una regla de firewall de puerta de enlace de administración que permita el acceso desde un origen de confianza. Consulte Agregar o modificar reglas de firewall de puerta de enlace de administración.
Puerta de enlace de cómputo (Compute Gateway, CGW)
CGW es un enrutador de nivel 1 que controla el tráfico de red de las máquinas virtuales de carga de trabajo conectadas a segmentos de red de cómputo enrutadas. Las reglas de firewall de puerta de enlace de cómputo, junto con las reglas NAT, se ejecutan en el enrutador de nivel 0. En la configuración predeterminada, estas reglas bloquean todo el tráfico hacia los segmentos de red de cómputo y desde estos (consulte Configurar redes y seguridad de puerta de enlace de cómputo).

Enrutamiento entre el SDDC y la instancia de VPC conectada

Al crear un SDDC, se preasignarán 17 interfaces de red elásticas (ELASTIC Network Interface, ENI) de AWS en la VPC seleccionada que pertenece a la cuenta de AWS que especificó en la creación del SDDC. Se asigna una dirección IP a cada una de estas ENI desde la subred que se especifica al crear el SDDC y, a continuación, se asocia cada uno de los hosts del clúster Cluster-1 del SDDC a una de estas ENI. Se asigna una dirección IP adicional a la ENI en la que se ejecuta el dispositivo de NSX Edge.

Esta configuración, conocida como VPC conectada, admite el tráfico de red entre máquinas virtuales en las instancias de SDDC y nativas de AWS y los servicios con direcciones en el bloque CIDR primario de la VPC conectada. Cuando se crean o se eliminan segmentos de red enrutada conectados a la CGW predeterminada, la tabla de rutas principal se actualiza automáticamente. Cuando el modo Lista de prefijos administrados está habilitado para la VPC conectada, también se actualizan la tabla de rutas principal y todas las tablas de rutas personalizadas a las cuales haya agregado la lista de prefijos administrados.

La interfaz de VPC conectada (o SERVICES) se utiliza para todo el tráfico a destinos dentro del CIDR principal de la VPC conectada. Los servicios o las instancias de AWS que se comunican con el SDDC deben estar en subredes asociadas con la tabla de rutas principal de la VPC conectada cuando se utiliza la configuración predeterminada. Si el modo de lista de prefijos administrados de AWS está habilitado (consulte Habilitar el modo de lista de prefijos administrados de AWS para la instancia de Amazon VPC conectada), puede agregar manualmente la lista de prefijos administrados a cualquier tabla de rutas personalizada dentro de la VPC conectada cuando desee que las instancias y los servicios de AWS utilicen esas tablas de rutas personalizadas para comunicarse con las cargas de trabajo del SDDC a través de la interfaz de SERVICES.

Cuando se mueve el dispositivo de NSX Edge del SDDC a otro host, ya sea para recuperarse de un error o durante el mantenimiento del SDDC, la dirección IP asignada al dispositivo se mueve a la nueva ENI (en el nuevo host) y la tabla de rutas principal, junto con tablas de rutas personalizadas que usen una lista de prefijos administrados, se actualiza para reflejar el cambio. Si reemplazó la tabla de rutas principal o utiliza una tabla de rutas personalizada pero no ha habilitado el modo de lista de prefijos administrados, se producirá un error en la actualización y ya no podrá enrutarse el tráfico de red entre las redes del SDDC y la instancia de VPC conectada. Consulte Ver información de la VPC conectada y solucionar problemas con la VPC conectada para obtener más información sobre cómo utilizar Consola de VMware Cloud para obtener más detalles sobre la VPC conectada.

VMware Cloud on AWS proporciona varias funciones para ayudarle a agregar rutas a la VPC conectada, a otras VPC y a sus Puerta de enlace de tránsito administrada por VMware. Consulte Habilitar el modo de lista de prefijos administrados de AWS para la instancia de Amazon VPC conectada.

Para ver un análisis en profundidad sobre la arquitectura de red del SDDC y los objetos de red de AWS que la admiten, lea el artículo de VMware Cloud Tech Zone VMware Cloud on AWS: arquitectura de la red del SDDC.

Direcciones de red reservadas

Algunos rangos de direcciones IPv4 no están disponibles para su uso en redes de cálculo del SDDC. Varios son utilizados internamente por los componentes de red del SDDC. La mayoría también están reservados por convención en otras redes.
Tabla 1. Rangos de direcciones reservados en redes del SDDC
  • 10.0.0.0/15
  • 172.31.0.0/16
Estos rangos están reservados dentro de la subred de administración del SDDC, pero se pueden utilizar en las redes locales o los segmentos de la red de cálculo del SDDC.
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
 De acuerdo con RFC 3927, 169.254.0.0/16 es un rango local de vínculos que no se puede enrutar más allá de una sola subred. Sin embargo, a excepción de estos bloques CIDR, puede utilizar las direcciones 169.254.0.0/16 para las interfaces de túnel virtual. Consulte Crear una VPN basada en rutas.
192.168.1.0/24 Este es el CIDR de segmentos informáticos predeterminado para un SDDC de inicio de host único y no está reservado en otras configuraciones.
Nota: Las versiones 1.20 y anteriores del SDDC también reservan 100.64.0.0/16 para NAT de nivel de operador según RFC 6598. Evite utilizar direcciones en este rango en versiones de SDDC anteriores a la 1.22. Consulte el artículo de la base de conocimientos de VMware 76022 para obtener un desglose detallado de cómo las redes de SDDC anteriores utilizan el rango de direcciones 100.64.0.0/16 y el artículo de la base de conocimientos de VMware 92322 para obtener más información sobre los cambios en el rango de direcciones reservadas en la versión 1.22 del SDDC.
Las redes de SDDC también tienen en cuenta las convenciones para rangos de direcciones IPv4 de uso especiales que se enumeran en RFC 3330.

Compatibilidad con multidifusión en redes del SDDC

En las redes del SDDC, el tráfico de multidifusión de Capa 2 se considera tráfico de difusión en el segmento de red donde se origina el tráfico. Por lo tanto, no se enruta más allá de ese segmento. No se admiten funciones de optimización del tráfico de multidifusión de Capa 2, como la indagación de IGMP. La multidifusión de Capa 3 (como la multidifusión independiente de protocolo) no se admite en VMware Cloud on AWS.

Conectar el SDDC local al SDDC en la nube

Para conectar el centro de datos local al SDDC de VMware Cloud on AWS, puede crear una VPN que use Internet pública , una VPN que usa AWS Direct Connect o simplemente solo AWS Direct Connect. También puede aprovechar los grupos de SDDC para usar VMware Transit Connect y una puerta de enlace de AWS Direct Connect para proporcionar conectividad centralizada entre un grupo de varios SDDC de VMware Cloud on AWS y un SDDC local. Consulte Crear y administrar grupos de implementación de SDDC.
Figura 2. Conexiones de SDDC con el centro de datos local
Diagrama que muestra cómo una red de SDDC puede conectarse a una red local a través de una VPN, HCX y AWS Direct Connect.
VPN de capa 3 (Layer 3, L3)
Una VPN de capa 3 proporciona una conexión segura entre el centro de datos local y el SDDC de VMware Cloud on AWS a través de Internet pública o de AWS Direct Connect. Estas VPN de IPsec pueden estar basadas en rutas o en directivas. Para el endpoint local puede utilizar cualquier dispositivo que admita la configuración que se indica en Referencia de la configuración de VPN de IPsec.
VPN de capa 2 (Layer 2, L2)
Una VPN de Capa 2 proporciona una red extendida, o ampliada, con un espacio de direcciones IP único que abarca el centro de datos local y el SDDC, y permite la migración en caliente o en frío de cargas de trabajo locales al SDDC. Solo se puede crear un túnel de VPN de capa 2 en un SDDC. El extremo local del túnel requiere NSX. Si aún no está utilizando NSX en el centro de datos local, puede descargar un dispositivo de NSX Edge independiente para proporcionar la funcionalidad necesaria. Una VPN de capa 2 puede conectar el centro de datos local al SDDC a través de Internet pública o de AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect es un servicio de AWS que crea una conexión de alta velocidad y baja latencia entre el centro de datos local y los servicios de AWS. Al configurar AWS Direct Connect, las VPN pueden enrutar el tráfico a través de DX en lugar de la Internet pública. Debido a que DX implementa el enrutamiento de protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP), el uso de una L3VPN para la red de administración es opcional cuando se configura DX. El tráfico de DX no está cifrado. Si desea cifrar ese tráfico, configure una VPN de IPsec que utilice DX y una dirección IP privada.
VMware HCX
VMware HCX, una solución de movilidad de aplicaciones en varias nubes, se proporciona de forma gratuita para todos los SDDC y facilita la migración de máquinas virtuales de carga de trabajo desde y hacia el centro de datos local hasta el SDDC. Para obtener más información sobre la instalación, la configuración y el uso de HCX, consulte Lista de comprobación de la migración híbrida con HCX.

Consideraciones de MTU para el tráfico interno y externo

El tráfico de red interno al SDDC (incluido el tráfico hacia y desde la VPC conectada) admite una MTU de hasta 8900 bytes. El tráfico a la MGW generalmente se limita a 1500 bytes porque las interfaces del dispositivo de administración utilizan una MTU de 1500. Otros valores predeterminados de MTU se enumeran en Valores máximos de configuración de VMware. Las siguientes directrices se aplican a los valores de MTU en toda la red de SDDC:
  • El grupo de SDDC y DX comparten la misma interfaz, por lo que debe utilizar el valor de MTU más bajo (8500 bytes) cuando ambas conexiones están en uso.
  • Todas las NIC de máquina virtual y las interfaces del mismo segmento deben tener la misma MTU.
  • La MTU puede diferir entre segmentos siempre y cuando los endpoints admitan PMTUD y los firewalls de la ruta de acceso permitan el tráfico ICMP.
  • La MTU de capa 3 (IP) debe tener un tamaño menor o igual que el del paquete máximo admitido (MTU) de la conexión de capa 2 subyacente menos cualquier sobrecarga de protocolo. En VMware Cloud on AWS este es el segmento de NSX, que admite paquetes de capa 3 con una MTU de hasta 8900 bytes.

Información sobre el rendimiento de la red de SDDC

Para ver un análisis detallado del rendimiento de red del SDDC, lea el Designlet de VMware Cloud Tech Zone Comprender cómo funciona el rendimiento de red de VMware Cloud on AWS.