Créez une VIF privée sur votre DX pour fournir une connectivité directe entre votre réseau sur site et les charges de travail du SDDC, la gestion ESXi et les dispositifs de gestion à l'aide de leurs adresses IP privées.

Créez une interface virtuelle privée (VIF) pour chaque circuit Direct Connect (DX) que vous souhaitez attacher à votre SDDC. Chaque VIF privée établit une session BGP distincte, qui peut être utilisée dans des conceptions actives/en veille ou actives/actives (y compris ECMP), ou utilisées pour des segments de réseau privé. Si vous souhaitez une redondance DX, attachez des VIF privées distinctes provisionnées sur différents circuits DX au SDDC.

Lors de la connexion de plusieurs VIF privées sur des circuits DX distincts à un SDDC pour la haute disponibilité, tous les circuits DX doivent être créés dans le même compte AWS et livrés à différents emplacements AWS Direct Connect. Dans ce cas, AWS tente d'exploiter des chemins réseau internes distincts pour la connectivité DX afin de fournir une meilleure redondance. Reportez-vous aux sections Résilience élevée et Configurations active/active et active/passive dans AWS Direct Connect de la documentation d'AWS. Reportez-vous à la section Valeurs maximales de configuration VMware pour connaître les limitations relatives au nombre de segments pris en charge par chaque VIF privée. L'agrégation de routes est prise en charge pour offrir plus de flexibilité, mais toutes les VIF auront les mêmes réseaux annoncés par le SDDC.

Important :

Lorsque vous connectez une interface virtuelle privée DX ou un groupe de SDDC à un SDDC, tout le trafic sortant des hôtes ESXi vers des destinations situées en dehors du réseau SDDC est acheminé sur cette interface, indépendamment des autres configurations de routage dans le SDDC. Cela inclut le trafic vMotion et vSphere Replication. Vous devez vous assurer que le trafic entrant vers les hôtes ESXi est également acheminé sur le même chemin, afin que les chemins du trafic entrant et sortant soient symétriques. Reportez-vous à Création et gestion des groupes de déploiement de SDDC avec VMware Transit Connect dans le Guide des opérations de VMware Cloud on AWS pour plus d'informations sur VMware Transit Connect et la Passerelle de transit gérée par VMware (VTGW).

Bien que les routes apprises à partir d'un VPN basé sur les routes soient annoncées aux autres VPN basés sur les routes via BGP, un SDDC annonce uniquement ses propres réseaux à un groupe de SDDC. Il n'annonce pas les routes apprises à partir des VPN. Pour obtenir des informations détaillées sur les limites imposées par AWS sur Direct Connect, notamment les limites des routes annoncées et apprises via BGP, reportez-vous à la section Quotas AWS Direct Connect dans le Guide de l'utilisateur Direct Connect d'AWS.

Lorsque vous créez une VIF privée de cette manière, vous pouvez l'attacher à n'importe quel SDDC de votre organisation dans la région dans laquelle vous avez créé la VIF. La VIF privée doit être créée dans la même région que le circuit DX, et attachée à un SDDC dans cette même région. Une fois que vous l'avez attachée à un SDDC, la VIF ne peut pas être détachée ou réattribuée à un autre SDDC. Au lieu de cela, il convient de la supprimer et d'en créer une autre. La suppression d'un SDDC supprime toutes les VIF qui lui sont attachées.

Conditions préalables

  • Vérifiez que vous respectez les conditions préalables pour les interfaces virtuelles décrites dans Conditions préalables pour les interfaces virtuelles.
  • Si vous souhaitez utiliser un VPN basé sur les routes comme sauvegarde dans Direct Connect, vous devez également définir le commutateur Utiliser le VPN comme sauvegarde pour Direct Connect sur Activé, comme indiqué à l'étape 6. Les VPN basés sur les stratégies ne peuvent pas être utilisés pour sauvegarder une autre connexion.

Procédure

  1. Connectez-vous à VMware Cloud Services à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur AFFICHER LES DÉTAILS.
  3. Cliquez sur OUVRIR NSX MANAGER et connectez-vous avec le Compte d'utilisateur Admin NSX Manager affiché sur la page Paramètres du SDDC. Reportez-vous à la section Administration du réseau SDDC avec NSX Manager.
    Vous pouvez également utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour ce workflow.
  4. Connectez-vous à la console AWS et terminez la procédure de Création d'une interface virtuelle privée hébergée sous Créer une interface virtuelle hébergée.
    Si vous utilisez un VIF hébergé, utilisez votre partenaire AWS Direct Connect pour créer le VIF dans le compte indiqué dans le champ ID de compte AWS de la page Direct Connect, puis passez à Étape 5 de cette procédure. Si vous utilisez une connexion dédiée ou hébergée, effectuez d'abord les étapes suivantes.
    1. Pour Type d'interface virtuelle, choisissez Privé et choisissez une valeur pour le champ Nom de l'interface virtuelle.
    2. Pour le champ Propriétaire de l'interface virtuelle, sélectionnez Autre compte AWS, puis utilisez l'ID de compte AWS de la page Direct Connect de NSX.
    3. Pour VLAN, utilisez la valeur fournie par votre partenaire AWS Direct Connect.
    4. Pour ASN BGP, utilisez l'ASN du routeur sur site sur lequel cette connexion se termine.
      Cette valeur ne doit pas être identique à l' ASN local BGP affiché sur la page Direct Connect de NSX.
    5. Développez Paramètres supplémentaires et faites les choix suivants :
      Famille d'adresses Sélectionnez IPV4.
      Adresse IP homologue de votre routeur Spécifiez l'adresse IP de l'extrémité sur site de cette connexion (votre routeur) ou laissez ce champ vide pour qu'AWS attribue automatiquement une adresse que vous devrez configurer dans votre routeur.
      Adresse IP homologue du routeur Amazon Spécifiez l'adresse IP de l'extrémité AWS de cette connexion ou laissez ce champ vide pour qu'AWS attribue automatiquement une adresse que vous devrez configurer dans votre routeur.
      Clé d'authentification BGP Spécifiez une valeur ou laissez ce champ vide pour qu'AWS génère une clé que vous devrez configurer dans votre routeur.
      MTU Jumbo (taille de MTU 9001) La valeur MTU par défaut pour tous les réseaux SDDC est de 1 500 octets. Pour activer le trafic DX vers ce VIF privé afin d'utiliser une valeur MTU plus élevée, sélectionnez Activer sous MTU Jumbo (Taille de MTU 9001). Une fois le VIF créé, vous devez également ouvrir la page Configuration globale de NSX et définir une valeur de MTU plus élevée dans Liaison montante de l'Intranet, comme décrit dans la section Spécifier la valeur de MTU de Direct Connect. L'activation de cette valeur dans les propriétés de connexion, même si vous n'avez pas l'intention de l'utiliser immédiatement, facilite l'utilisation des trames Jumbo dans les réseaux SDDC lorsque vous en avez besoin.
    Une fois l'interface créée, la console AWS signale qu'elle est prête à être acceptée.
  5. Ouvrez NSX Manager ou l'onglet Mise en réseau et sécurité de la console VMC. Cliquez sur Direct Connect et acceptez l'interface virtuelle en cliquant sur ATTACHER.
    Avant d'être accepté, un nouveau VIF est visible dans tous les SDDC de votre organisation. Une fois que vous avez accepté le VIF, il n'est plus visible dans aucun autre SDDC.
    L'activation de la session BGP peut prendre jusqu'à 10 minutes. Lorsque la connexion est prête, l' État s'affiche comme Attaché et l' État BGP comme Actif.
  6. (Facultatif) Configurer un VPN basé sur les routes comme sauvegarde de Direct Connect.
    Dans la configuration par défaut, le trafic sur n'importe quelle route annoncée sur BGP par DX et par un VPN basé sur les routes utilise le VPN par défaut. Pour qu'une route annoncée par DX et VPN utilise DX par défaut et le basculement sur le VPN lorsque DX n'est pas disponible, cliquez sur Direct Connect, puis définissez le commutateur Utiliser le VPN comme sauvegarde pour Direct Connect sur Activé.
    Note : Cette configuration nécessite un VPN basé sur les routes. Vous ne pouvez pas utiliser de VPN basé sur les stratégies comme sauvegarde de Direct Connect. Dans un SDDC membre d'un groupe de SDDC, le trafic sur une route annoncée par le VIF privé DX et la passerelle Passerelle de transit gérée par VMware ( VTGW) du groupe est routé sur VTGW.
    La mise à jour de votre préférence de routage prend environ une minute. Une fois l'opération terminée, les routes annoncées par DX et VPN utilisent par défaut la connexion DX et recourent au VPN uniquement lorsque DX n'est pas disponible. Les routes équivalentes annoncées par DX et VPN donnent la priorité à la connexion VPN.

Résultats

Une liste des Routes BGP annoncées et des Routes BGP apprises s'affiche lorsque des routes sont apprises et annoncées. Cliquez sur l'icône d'actualisation pour actualiser ces listes. Tous les sous-réseaux routés dans le SDDC sont annoncés sous forme de routes BGP, avec ce sous-ensemble de sous-réseaux de réseau de gestion :
  • Le sous-réseau 1 inclut les routes utilisées par les interfaces de routeur et vmk d'hôte ESXi.
  • Le sous-réseau 2 inclut les routes utilisées pour la prise en charge de plusieurs zones de disponibilité et l'intégration d'AWS.
  • Le sous-réseau 3 inclut des machines virtuelles de gestion.
Les réseaux déconnectés et étendus ne sont pas annoncés. Les réseaux attachés à des niveaux 1 personnalisés ne sont pas annoncés. Si le filtrage de route est activé, les réseaux attachés à la CGW par défaut ne sont pas non plus annoncés.

Toutes les agrégations de routes définies et appliquées au DX seront annoncées comme définies. (Reportez-vous à la section Agréger et filtrer les routes vers les liaisons montantes).

Les blocs CIDR réels annoncés à la VIF privée dépendent de votre bloc CIDR de sous-réseau de gestion. Le tableau suivant affiche les blocs CIDR de ces routes dans un SDDC qui utilise le CIDR du réseau de gestion par défaut de 10.2.0.0 dans les tailles de bloc /16, /20 et /22.

Tableau 1. Routes annoncées pour le CIDR MGW 10.2.0.0 par défaut
CIDR MGW Sous-réseau 1 Sous-réseau 2 Sous-réseau 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

Que faire ensuite

Assurez-vous que les interfaces vMotion sur site sont configurées pour utiliser Direct Connect. Reportez-vous à la section Configurer les interfaces vMotion pour les utiliser avec Direct Connect.