VMware Cloud on AWS utiliza NSX-T para crear y administrar redes de SDDC. NSX-T proporciona una infraestructura ágil y definida por software para compilar entornos de aplicaciones nativas de la nube

En Redes y seguridad de VMware Cloud on AWS se explica cómo utilizar la pestaña Redes y seguridad de la Consola de VMC para administrar las redes de SDDC. A partir de la versión 1.16 del SDDC, también puede utilizar la interfaz de usuario web de NSX Manager para administrar estas redes. NSX Manager admite un superconjunto de las funciones que se encuentran en la pestaña Redes y seguridad. Consulte NSX Manager en la Guía de administración de NSX-T Data Center para obtener más información sobre cómo utilizar NSX Manager. Cualquier explorador que pueda conectarse a Internet puede acceder a la instancia de NSX Manager del SDDC de VMware Cloud on AWS en una dirección IP pública. También puede acceder a ella desde la red interna a través de una VPN o AWS Direct Connect. Consulte ISHPUBLMODULEMISSING.html#GUID-0C83B9F0-304C-4A24-843C-E7EFCDA886CE para obtener detalles.

El diseño y la navegación de la interfaz de usuario en la interfaz de usuario web de NSX Manager son similares a los que se presentan en la pestaña Redes y seguridad de la Consola de VMC, y puede utilizar cualquiera de las herramientas para completar la mayoría de los procedimientos de este documento. Cuando un procedimiento requiere que utilice NSX Manager, se indica en los requisitos previos del procedimiento.

Topología de la red de SDDC

Al crear un SDDC, este incluye una red de administración. Los SDDC de prueba de host único también incluyen una pequeña red de cálculo. El bloque CIDR de la red de administración se especifica cuando se crea el SDDC. No se puede cambiar después de crear el SDDC. Consulte Implementar un SDDC desde la consola de VMC para obtener más información. La red de administración tiene dos subredes:
Subred del dispositivo
Esta subred la utilizan los dispositivos de vCenter, NSX y HCX en el SDDC. Cuando se agregan servicios basados en dispositivos, como SRM, al SDDC, también se conectan a esta subred.
Subred de infraestructura
Los hosts ESXi utilizan esta subred en el SDDC.

La red de recursos informáticos incluye un número arbitrario de segmentos lógicos para las máquinas virtuales de carga de trabajo. Consulte Valores máximos de configuración de VMware para ver los límites actuales de los segmentos lógicos. En una configuración de inicio de SDDC de host único, se crea una red de cálculo con un solo segmento enrutado. En las configuraciones de SDDC que tengan más hosts, tendrá que crear segmentos de red de cálculo para satisfacer sus necesidades. Consulte Valores máximos de configuración de VMware para conocer los límites que se aplican.

Una red de SDDC tiene dos niveles teóricos:
  • El nivel 0 controla el tráfico de norte a sur (tráfico que sale o entra al SDDC, o entre las puertas de enlace de administración y de cómputo).
  • El nivel 1 controla el tráfico de este a oeste (tráfico entre segmentos de redes enrutadas dentro del SDDC).
Figura 1. Topología de la red de SDDC
Dispositivo de NSX Edge

El dispositivo de NSX Edge predeterminado se implementa como un par de máquinas virtuales que se ejecutan en modo activo/en espera. Este dispositivo proporciona la plataforma en la que se ejecutan los enrutadores de nivel 0 y 1 predeterminados, junto con las conexiones VPN de IPsec y su enrutamiento BGP. Todo el tráfico de norte a sur pasa por el enrutador de nivel 0. Para evitar el envío de tráfico de este a oeste a través del dispositivo Edge, se ejecuta un componente de cada enrutador de nivel 1 en cada host ESXi que controla el enrutamiento de destinos dentro del SDDC.

Si necesita ancho de banda adicional para el subconjunto de este tráfico que se enruta a los miembros del grupo de SDDC, una puerta de enlace de Direct Connect adjunta a un grupo de SDDC, una malla de servicio de HCX o la VPC conectada, puede volver a configurar el SDDC para que tenga varias instancias de Edge mediante la creación de grupos de tráfico, cada uno de los cuales crea un enrutador de nivel 0 adicional. Consulte Configurar un SDDC de varias instancias de Edge con grupos de tráfico para obtener detalles.

Nota:

El tráfico de VPN, así como el tráfico de DX a una VIF privada, debe pasar por en el nivel 0 predeterminado y no se puede enrutar a un grupo de tráfico no predeterminado. Además, debido a que las reglas NAT siempre se ejecutan en el enrutador de nivel 0 predeterminado, los enrutadores de nivel 0 adicionales no pueden controlar el tráfico afectado por las reglas SNAT o DNAT. Esto incluye el tráfico hacia la conexión a Internet nativa del SDDC y desde esta. También incluye el tráfico al servicio Amazon S3, que utiliza una regla NAT y debe pasar por el nivel 0 predeterminado.

Puerta de enlace de administración (Management Gateway, MGW)
El MGW es un enrutador de nivel 1 que gestiona el enrutamiento y el firewall para el vCenter Server y otros dispositivos de administración que se ejecutan en el SDDC. Las reglas de firewall de puerta de enlace de administración se ejecutan en la MGW y controlan el acceso a las máquinas virtuales de administración. En la configuración predeterminada, estas reglas bloquean todo el tráfico entrante a la red de administración (consulte Agregar o modificar reglas de firewall de puerta de enlace de administración).
Puerta de enlace de cómputo (Compute Gateway, CGW)
CGW es un enrutador de nivel 1 que controla el tráfico de red de las máquinas virtuales de carga de trabajo conectadas a segmentos de red de cómputo enrutadas. Las reglas de firewall de puerta de enlace de cómputo, junto con las reglas NAT, se ejecutan en el enrutador de nivel 0. En la configuración predeterminada, estas reglas bloquean todo el tráfico hacia los segmentos de red de cómputo y desde estos (consulte Configurar redes y seguridad de puerta de enlace de cómputo).

Enrutamiento entre el SDDC y la instancia de VPC conectada

Importante:

Todas las subredes de VPC en las que los servicios o las instancias de AWS se comunican con el SDDC deben asociarse con la tabla de rutas principal de la VPC conectada. No se admite el uso de una tabla de rutas personalizada o el reemplazo de la tabla de rutas principal.

Al crear un SDDC, se preasignarán 17 interfaces de red elásticas (ELASTIC Network Interface, ENI) de AWS en la VPC seleccionada que pertenece a la cuenta de AWS que especificó en la creación del SDDC. Se asigna una dirección IP a cada una de estas ENI desde la subred que se especifica al crear el SDDC y, a continuación, se asocia cada uno de los hosts del clúster Cluster-1 del SDDC a una de estas ENI. Se asigna una dirección IP adicional a la ENI en la que se ejecuta el dispositivo de NSX Edge.

Esta configuración, conocida como VPC conectada, admite el tráfico de red entre las máquinas virtuales en las instancias de SDDC y AWS y los endpoints de servicio nativos de AWS en la instancia de la VPC conectada. La tabla de ruta principal de la instancia de VPC conectada conoce las subredes de VPC, así como todas las subredes del SDDC (segmento de red NSX-T). Cuando se crean o se eliminan segmentos de red enrutada en SDDC, se actualiza automáticamente la tabla de rutas principal. Cuando se mueve el dispositivo de NSX Edge del SDDC a otro host, ya sea para recuperarse de un error o durante el mantenimiento del SDDC, la dirección IP asignada al dispositivo Edge se mueve a la nueva ENI (en el nuevo host) y la tabla de rutas principal se actualiza para reflejar el cambio. Si reemplazó la tabla de rutas principal o utiliza una tabla de rutas personalizada, se producirá un error en la actualización y ya no podrá enrutarse el tráfico de red entre las redes del SDDC y la instancia de VPC conectada. Consulte Ver información de la VPC conectada y solucionar problemas con la VPC conectada para obtener más información sobre cómo utilizar Consola de VMC para obtener más detalles sobre la VPC conectada.

Para ver un análisis en profundidad sobre la arquitectura de red del SDDC y los objetos de red de AWS que la admiten, lea el artículo de VMware Cloud Tech Zone VMware Cloud on AWS: arquitectura de la red del SDDC.

Direcciones de red reservadas

Algunos rangos de direcciones IPv4 no están disponibles para su uso en redes de cálculo del SDDC. Varios son utilizados internamente por los componentes de red del SDDC. La mayoría también están reservados por convención en otras redes.
Tabla 1. Rangos de direcciones reservados en redes del SDDC
  • 10.0.0.0/15
  • 172.31.0.0/16
Estos rangos están reservados dentro de la subred de administración del SDDC, pero se pueden utilizar en las redes locales o los segmentos de la red de cálculo del SDDC.
100.64.0.0/16 Reservada para NAT de nivel de operador según RFC 6598. Evite utilizar direcciones en este rango en redes del SDDC y otras. Es probable que no se pueda acceder a ellos dentro del SDDC ni desde fuera de él. Consulte el artículo 76022 de la base de conocimientos de VMware para obtener un desglose detallado de cómo las redes de SDDC utilizan este rango de direcciones.
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
De acuerdo con RFC 3927, 169.254.0.0/16 es un rango local de vínculos que no se puede enrutar más allá de una sola subred. Sin embargo, a excepción de estos bloques CIDR, puede utilizar las direcciones 169.254.0.0/16 para las interfaces de túnel virtual. Consulte Crear una VPN basada en rutas.
192.168.1.0/24 Este es el CIDR de segmentos informáticos predeterminado para un SDDC de inicio de host único y no está reservado en otras configuraciones.
Las redes de SDDC también tienen en cuenta las convenciones para rangos de direcciones IPv4 de uso especiales que se enumeran en RFC 3330.

Compatibilidad con multidifusión en redes del SDDC

En las redes del SDDC, el tráfico de multidifusión de Capa 2 se considera tráfico de difusión en el segmento de red donde se origina el tráfico. Por lo tanto, no se enruta más allá de ese segmento. No se admiten funciones de optimización del tráfico de multidifusión de Capa 2, como la indagación de IGMP. La multidifusión de Capa 3 (como la multidifusión independiente de protocolo) no se admite en VMware Cloud on AWS.

Conectar el SDDC local al SDDC en la nube

Para conectar el centro de datos local al SDDC de VMware Cloud on AWS, puede crear una VPN que use Internet pública, crear una VPN que use AWS Direct Connect o solo usar AWS Direct Connect. También puede aprovechar los grupos de SDDC para usar VMware Transit Connect™ y una puerta de enlace de AWS Direct Connect para proporcionar conectividad centralizada entre un grupo de SDDC de VMware Cloud on AWS y un SDDC local. Consulte Crear y administrar grupos de implementación de SDDC en Guía de operaciones de VMware Cloud on AWS.
Figura 2. Conexiones de SDDC con el centro de datos local
VPN de capa 3 (Layer 3, L3)
Una VPN de capa 3 proporciona una conexión segura entre el centro de datos local y el SDDC de VMware Cloud on AWS a través de Internet pública o de AWS Direct Connect. Estas VPN de IPsec pueden estar basadas en rutas o en directivas. Puede crear hasta dieciséis VPN de cada tipo mediante cualquier enrutador local que admita la configuración que se muestra en Referencia de la configuración de VPN de IPsec como el endpoint local.
VPN de capa 2 (Layer 2, L2)
Una VPN de Capa 2 proporciona una red extendida, o ampliada, con un espacio de direcciones IP único que abarca el centro de datos local y el SDDC, y permite la migración en caliente o en frío de cargas de trabajo locales al SDDC. Solo se puede crear un túnel de VPN de capa 2 en un SDDC. El extremo local del túnel requiere NSX. Si aún no está utilizando NSX en el centro de datos local, puede descargar un dispositivo de NSX Edge independiente para proporcionar la funcionalidad necesaria. Una VPN de Capa 2 puede conectar el centro de datos local al SDDC a través de Internet pública o de AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect es un servicio de AWS que permite establecer una conexión de alta velocidad y baja latencia entre el centro de datos local y los servicios de AWS. Al configurar AWS Direct Connect, las VPN pueden utilizarlo en lugar de enrutar el tráfico a través de Internet pública. Debido a que Direct Connect implementa el enrutamiento de protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP), el uso de una L3VPN para la red de administración es opcional cuando se configura Direct Connect. El tráfico a través de Direct Connect no está cifrado. Si desea cifrar ese tráfico, puede configurar una VPN de IPsec que use direcciones IP privadas y Direct Connect.
VMware HCX
VMware HCX, una solución de movilidad de aplicaciones en varias nubes, se proporciona de forma gratuita para todos los SDDC y facilita la migración de máquinas virtuales de carga de trabajo desde y hacia el centro de datos local hasta el SDDC. Para obtener más información sobre la instalación, la configuración y el uso de HCX, consulte Lista de comprobación de la migración híbrida con HCX.