Para empezar a usar VMware Cloud on AWS para ejecutar cargas de trabajo en el SDDC, deberá configurar una red que conecte el centro de datos local al SDDC. Esta red puede incluir una conexión dedicada a través de AWS Direct Connect, una VPN de IPsec o ambas.

Si bien enrutar el tráfico de VPN de IPsec a través de Direct Connect puede proporcionar un mejor rendimiento a menor coste, puede comenzar por configurar una VPN de IPsec que se conecte al SDDC a través de Internet y, a continuación, volver a configurar esa VPN para que use Direct Connect más adelante.

Al abrir la pestaña Redes y seguridad de un SDDC nuevo, puede ejecutar el asistente Configurar redes y seguridad con el fin de obtener los pasos necesarios para configurar Direct Connect y una VPN, acceder a la instancia de vCenter en el SDDC y cambiar el servidor DNS predeterminado si así lo desea.

Si simplemente desea configurar una VPN basada en rutas que conecte el centro de datos local al SDDC a través de Internet, siga estos pasos.

Requisitos previos

Debe tener la función de servicio de administrador de NSX para ver y configurar las funcionalidades en la pestaña Redes y seguridad. Consulte Asignar funciones de servicio de NSX a miembros de la organización en la guía de Redes y seguridad de VMware Cloud on AWS.

Procedimiento

  1. Cree una VPN basada en rutas en el SDDC.
    Una VPN basada en rutas crea una interfaz de túnel IPsec y enruta el tráfico a través de ella, según lo establecido en la tabla de enrutamiento de SDDC. Una VPN basada en rutas proporciona un acceso resistente y seguro a varias subredes. Cuando se utiliza una VPN basada en rutas, se agregan nuevas rutas automáticamente cuando se crean redes nuevas. Consulte Crear una VPN basada en rutas en la guía de Redes y seguridad de VMware Cloud on AWS.
  2. Configure una VPN de IPsec local.
    Puede utilizar NSX o cualquier otro dispositivo que pueda finalizar una VPN de IPsec.
    Importante:

    El extremo de SDDC de una VPN de IPsec solo admite la regeneración de claves de duración definida. El dispositivo local debe deshabilitar la regeneración de claves de lifebytes.

    No configure un tiempo de espera de inactividad en el lado local de la VPN (por ejemplo, la opción Tiempo de espera de inactividad de sesión de NSX). Los tiempos de espera inactivos en el lado local pueden hacer que la VPN se desconecte a intervalos.

    1. Si la puerta de enlace de VPN local está detrás de un firewall, este se debe configurar del siguiente modo para reenviar el tráfico de protocolo de IPsec:
      • Abra el puerto UDP 500 para permitir que el tráfico del protocolo de asociación de seguridad y administración de claves de Internet (Internet Security Association and Key Management Protocol, ISAKMP) se reenvíe a través del firewall.
      • Establezca el identificador de protocolo de IP 50 para permitir que el tráfico del protocolo de seguridad de encapsulación (Encapsulating Security Protocol, ESP) de IPsec se reenvíe a través del firewall.
      • Establezca el identificador 51 de protocolo de IP para permitir que el tráfico de encabezado de autenticación (Authentication Header, AH) se reenvíe a través del firewall.
    2. Descargue el archivo de configuración de la VPN de IPsec del SDDC.
      Consulte la Referencia de configuración de VPN de IPsec en la Redes y seguridad de VMware Cloud on AWS para obtener más información sobre lo que hay en este archivo y cómo utilizarlo para configurar su endpoint de la VPN local.
  3. (opcional) Cree un segmento de red.
    Se crea un SDDC de inicio de host único con un solo segmento de red enrutada denominado sddc-cgw-network-1. Los SDDC de varios hosts se crean sin un segmento de red predeterminado, por lo que debe crear al menos un segmento para las máquinas virtuales de carga de trabajo. Consulte Crear un segmento de red en la guía de Redes y seguridad de VMware Cloud on AWS.
  4. Cree algunas reglas de firewall básicas en la puerta de enlace de administración.
    De forma predeterminada, la puerta de enlace de administración bloquea el tráfico a todos los destinos de todos los orígenes. Agregue reglas de firewall de puerta de enlace de administración para permitir el tráfico según sea necesario. Consulte Agregar o modificar reglas de firewall de puerta de enlace de administración en la guía Redes y seguridad de VMware Cloud on AWS.
  5. Configure un DNS privado de red de administración.
    Especifique las direcciones de los servidores DNS privados de manera que la puerta de enlace de administración, los hosts ESXi y las máquinas virtuales de administración puedan resolver nombres de dominio completo (Fully-Qualified Domain Name, FQDN) como direcciones IP en la red de administración. Para utilizar funciones como la migración con vMotion, la migración en frío o Hybrid Linked Mode, cambie la resolución de vCenter Server a una dirección IP privada que pueda resolverse desde la VPN. Consulte Establecer la dirección de resolución de FQDN de HCX en la guía de Redes y seguridad de VMware Cloud on AWS.