VMware Cloud on AWS utiliza NSX-T para crear y administrar redes de SDDC internas y proporcionar endpoints para las conexiones de VPN desde la infraestructura de red local.

Conectarse al SDDC

Para conectar el centro de datos local al SDDC de VMware Cloud on AWS, puede crear una VPN que use Internet pública, crear una VPN que use AWS Direct Connect o solo usar AWS Direct Connect.
Figura 1. Conexiones de SDDC con el centro de datos local
VPN de capa 3 (Layer 3, L3)
Una VPN de capa 3 proporciona una red de administración que conecta el centro de datos local al SDDC. Estas VPN de IPsec pueden estar basadas en rutas o en directivas. Puede crear hasta dieciséis VPN de cada tipo mediante cualquier enrutador local que admita la configuración que se muestra en Referencia de la configuración de VPN de IPsec. Una VPN de Capa 3 puede conectar el centro de datos local al SDDC a través de Internet pública o de AWS Direct Connect.
VPN de capa 2 (Layer 2, L2)
Una VPN de Capa 2 proporciona una red extendida, o ampliada, con un espacio de direcciones IP único que abarca el centro de datos local y el SDDC, y permite la migración en caliente o en frío de cargas de trabajo locales al SDDC. Solo se puede crear un túnel L2VPN en un SDDC. El extremo local del túnel requiere NSX. Si aún no está utilizando NSX en el centro de datos local, puede descargar un dispositivo de NSX Edge independiente para proporcionar la funcionalidad necesaria. Una VPN de Capa 2 puede conectar el centro de datos local al SDDC a través de Internet pública o de AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect es un servicio de AWS que permite establecer una conexión de alta velocidad y baja latencia entre el centro de datos local y los servicios de AWS. Al configurar AWS Direct Connect, las VPN pueden utilizarlo en lugar de enrutar el tráfico a través de Internet pública. Debido a que Direct Connect implementa el enrutamiento de protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP), el uso de una L3VPN para la red de administración es opcional cuando se configura Direct Connect. El tráfico a través de Direct Connect no está cifrado. Si desea cifrar ese tráfico, configure la VPN de Capa 3 para que utilice Direct Connect.
VMware HCX
VMware HCX, una solución de movilidad de aplicaciones en varias nubes, se proporciona de forma gratuita para todos los SDDC y facilita la migración de máquinas virtuales de carga de trabajo desde y hacia el centro de datos local hasta el SDDC. Para obtener más información sobre la instalación, la configuración y el uso de HCX, consulte Lista de comprobación de la migración híbrida con HCX.

Topología de la red de SDDC

Al crear un SDDC, este incluye una red de administración y una red de cálculo. El bloque CIDR de la red de administración debe especificarse al crear el SDDC y no puede modificarse. La red de administración tiene dos subredes:
Subred del dispositivo
Una subred del rango de CIDR que especificó para la subred de administración al crear el SDDC. Esta subred la utilizan los dispositivos de vCenter, NSX y HCX en el SDDC. Cuando se agregan servicios basados en dispositivos, como SRM, al SDDC, también se conectan a esta subred.
Subred de infraestructura
Una subred del rango de CIDR que especificó para la subred de administración al crear el SDDC. Los hosts ESXi utilizan esta subred en el SDDC.

La red de recursos informáticos incluye un número arbitrario de segmentos lógicos para las máquinas virtuales de carga de trabajo. En una configuración de inicio de SDDC de host único, se crea una red de cálculo con un solo segmento enrutado. En las configuraciones de SDDC que tengan más hosts, tendrá que crear segmentos de red de cálculo para satisfacer sus necesidades. Consulte Valores máximos de configuración de VMware para conocer los límites que se aplican.

Una red de SDDC tiene dos niveles teóricos:
  • El nivel 0 lo proporciona un dispositivo de NSX Edge.
  • El nivel 1 lo proporcionan dos firewalls de NSX Edge (la puerta de enlace de administración y la puerta de enlace de cómputo).
Figura 2. Topología de la red de SDDC
Dispositivo de NSX Edge
Todo el tráfico que se produce entre las redes locales y las redes del SDDC pasa a través de este dispositivo. Se aplican reglas de firewall de puerta de enlace de cómputo, las cuales controlan el acceso a las máquinas virtuales de carga de trabajo, en sus interfaces de vínculo superior.
Puerta de enlace de administración (Management Gateway, MGW)
La MGW es un firewall de NSX Edge que proporciona conectividad de red de norte a sur a vCenter Server y a otros dispositivos de administración que se ejecutan en el SDDC. La dirección IP a través de Internet de la MGW se asigna automáticamente desde el grupo de direcciones IP públicas de AWS cuando crea el SDDC. Consulte Implementar un SDDC desde la consola de VMC para obtener más información sobre cómo especificar este rango de direcciones. Si no especifica un rango al crear el SDDC, el sistema utilizará el valor predeterminado 10.2.0.0/16.
Puerta de enlace de cómputo (Compute Gateway, CGW)
La CGW es un firewall de NSX Edge que proporciona conectividad de red de norte a sur a las máquinas virtuales que se ejecutan en el SDDC. En un SDDC de un solo nodo, VMware Cloud on AWS crea un segmento de red lógico predeterminado (bloque CIDR 192.168.1.0/24) para proporcionar redes para estas máquinas virtuales. Puede crear más redes lógicas en la pestaña Redes y seguridad.

Enrutamiento entre el SDDC y la instancia de VPC conectada

Importante:

Todas las subredes del SDDC y aquellas subredes de VPC en las que los servicios o las instancias de AWS se comuniquen con el SDDC deben asociarse con la tabla de rutas principal de la instancia de VPC conectada. No se admite el uso de una tabla de rutas personalizada o el reemplazo de la tabla de rutas principal.

Al crear un SDDC, se conecta la ENI de la instancia de VPC que pertenece a la cuenta de AWS especificada al dispositivo de NSX Edge del SDDC. Esa instancia de VPC pasa a ser la instancia de VPC conectada; la conexión admite el tráfico de red entre las máquinas virtuales del SDDC y las instancias y los servicios nativos de AWS en dicha instancia conectada. La tabla de rutas principal de la instancia de VPC conectada incluye todas las subredes de VPC, así como todas las subredes del SDDC (segmento de red NSX-T). Cuando se crean o se eliminan segmentos de red enrutada en la red de carga de trabajo, la tabla de rutas principal se actualiza automáticamente. Cuando el dispositivo de NSX Edge en el SDDC se traslada a otro host, ya sea para recuperarse frente a un error o durante el mantenimiento del SDDC, la tabla de rutas principal se actualiza y refleja la ENI que utiliza el nuevo host NSX Edge. Si reemplazó la tabla de rutas principal o utiliza una tabla de rutas personalizada, se producirá un error en la actualización y ya no podrá enrutarse el tráfico de red entre las redes del SDDC y la instancia de VPC conectada.

Para obtener más información, consulte Ver información de la instancia de VPC conectada.

Direcciones de red reservadas

El rango de direcciones completo 100.64.0.0/10 (reservado para NAT de nivel de operador según RFC 6598) está reservado por VMware Cloud on AWS para uso interno. No se puede acceder a ninguna red remota (local) de ese rango de direcciones desde cargas de trabajo en el SDDC, y no se puede utilizar ninguna dirección que esté en ese rango dentro del SDDC.

Compatibilidad con multidifusión en redes del SDDC

En las redes del SDDC, el tráfico de multidifusión de Capa 2 se considera tráfico de difusión en el segmento de red donde se origina el tráfico. Por lo tanto, no se enruta más allá de ese segmento. No se admiten funciones de optimización del tráfico de multidifusión de Capa 2, como la indagación de IGMP. La multidifusión de Capa 3 (como la multidifusión independiente de protocolo) no se admite en VMware Cloud on AWS.