VMware Cloud on AWS utilise NSX pour créer et gérer des réseaux SDDC. NSX propose une infrastructure software-defined agile permettant de créer des environnements d'applications de cloud natives.

Le guide Mise en réseau et sécurité de VMware Cloud on AWS explique comment utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour gérer vos réseaux de SDDC. Vous pouvez également utiliser l'interface utilisateur Web de NSX Manager pour gérer ces réseaux et, à partir de SDDC version 1.22, vous pouvez essayer Utilisation du tableau de bord Mise en réseau et sécurité, qui fournit une vue simplifiée de la mise en réseau de SDDC avec des liens vers les fonctionnalités de NSX Manager pertinentes.

NSX Manager prend en charge un sur-ensemble des fonctionnalités disponibles dans l'onglet Mise en réseau et sécurité. Reportez-vous à la section NSX Manager du Guide d'administration de NSX Data Center pour obtenir plus d'informations sur l'utilisation de NSX Manager. L'instance de NSX Manager de votre SDDC VMware Cloud on AWS est accessible à une adresse IP publique à laquelle n'importe quel navigateur pouvant se connecter à Internet peut accéder. Vous pouvez également y accéder depuis votre réseau interne sur un VPN ou via AWS Direct Connect. Reportez-vous à Ouvrir NSX Manager pour plus de détails.

La disposition et la navigation dans l'interface utilisateur Web de NSX Manager sont semblables à celles de l'onglet Console VMware Cloud Mise en réseau et sécurité, et vous pouvez utiliser l'un ou l'autre de ces outils pour effectuer la plupart des procédures de ce document. L'onglet Mise en réseau et sécurité associe les fonctionnalités de l'onglet Mise en réseau de NSX (telles que VPN, NAT et DHCP) à celles de l'onglet Sécurité de NSX (telles que les pare-feu). Lorsqu'une procédure impose d'utiliser NSX Manager, nous le notons dans les conditions préalables de la procédure.

Topologie de réseau SDDC

Lorsque vous créez un SDDC, il inclut un réseau de gestion. Les SDDC d'essai à hôte unique incluent également un petit réseau de calcul. Vous spécifiez le bloc CIDR du réseau de gestion lors de la création du SDDC. Il ne peut plus être modifié une fois le SDDC créé. Pour plus d'informations, reportez-vous à la section Déployer un SDDC depuis la console VMC. Le réseau de gestion dispose de deux sous-réseaux :
Sous-réseau de dispositifs
Ce sous-réseau est utilisé par les dispositifs vCenter Server, NSX , et HCX dans le SDDC. Lorsque vous ajoutez des services basés sur un dispositif (tels que SRM) au SDDC, ils se connectent également à ce sous-réseau.
Sous-réseau d'infrastructure
Ce sous-réseau est utilisé par les hôtes ESXi dans le SDDC.

Le réseau de calcul inclut un nombre arbitraire de segments logiques pour vos machines virtuelles de charge de travail. Reportez-vous à la section Valeurs maximales de configuration VMware pour connaître les limites actuelles des segments logiques. Dans une configuration de démarrage de SDDC à hôte unique, nous créons un réseau de calcul avec un segment acheminé unique. Dans les configurations de SDDC comportant plus d'hôtes, vous devez créer des segments de réseau de calcul pour répondre à vos besoins. Reportez-vous à la section Valeurs maximales de configuration VMware pour connaître les limites applicables.

Un réseau SDDC dispose de deux niveaux théoriques :
  • Le niveau 0 gère le trafic nord-sud (trafic sortant ou entrant dans le SDDC, ou entre les passerelles de gestion et de calcul). Dans la configuration par défaut, chaque SDDC dispose d'un seul routeur de niveau 0. Si un SDDC est membre d'un groupe de SDDC, vous pouvez reconfigurer le SDDC pour ajouter des routeurs de niveau 0 qui gèrent le trafic du groupe de SDDC. Reportez-vous à la section Configurer un SDDC à plusieurs dispositifs Edge avec des groupes de trafic.
  • Le niveau 1 gère le trafic est-ouest (trafic entre les segments de réseau acheminés au sein du SDDC). Dans la configuration par défaut, chaque SDDC dispose d'un seul routeur de niveau 1. Vous pouvez créer et configurer des passerelles de niveau 1 supplémentaires si vous en avez besoin. Reportez-vous à la section Ajouter une passerelle de niveau 1 personnalisée à un SDDC VMware Cloud on AWS.
Figure 1. Topologie de réseau SDDC
Diagramme d'un réseau SDDC connecté à un réseau sur site sur un VPN et AWS Direct Connect.
Dispositif NSX Edge

Le dispositif NSX Edge par défaut est implémenté sous la forme d'une paire de machines virtuelles qui s'exécutent en mode actif/en veille. Ce dispositif fournit la plate-forme sur laquelle les routeurs de niveau 0 et de niveau 1 par défaut s'exécutent, avec les connexions VPN IPsec et leur équipement de routage BGP. Tout le trafic nord-sud passe par le routeur de niveau 0 par défaut. Pour éviter d'envoyer du trafic est-ouest via le dispositif, un composant de chaque routeur de niveau 1 s'exécute sur chaque hôte ESXi qui gère le routage pour des destinations dans le SDDC.

Si vous avez besoin de bande passante supplémentaire pour le sous-ensemble de ce trafic routé vers des membres du groupe de SDDC, une passerelle Direct Connect attachée à un groupe de SDDC, un maillage de services HCX ou le VPC connecté, vous pouvez reconfigurer votre SDDC afin d'utiliser plusieurs dispositifs Edge en créant des groupes de trafic, chacun d'eux créant un routeur T0 supplémentaire. Reportez-vous à Configurer un SDDC à plusieurs dispositifs Edge avec des groupes de trafic pour plus de détails.

Note :

Le trafic VPN, de même que le trafic DX vers une VIF privée, doit passer par le routeur T0 par défaut et ne peut pas être routé vers un groupe de trafic autre que celui par défaut. En outre, comme les règles NAT s'exécutent toujours sur le routeur T0 par défaut, les routeurs T0 supplémentaires ne peuvent pas gérer le trafic concerné par les règles NAT. Cela inclut le trafic vers et depuis la connexion Internet native du SDDC. Cela inclut également le trafic vers le service Amazon S3, qui utilise une règle NAT et doit passer par le T0 par défaut.

Passerelle de gestion (MGW)
La passerelle de gestion (MGW) est un routeur de niveau 1 qui gère le routage et le pare-feu pour le système vCenter Server et les autres dispositifs de gestion s'exécutant dans le SDDC. Les règles de pare-feu de la passerelle de gestion s'exécutent sur la passerelle MGW et contrôlent l'accès aux machines virtuelles de gestion. Dans un nouveau SDDC, la connexion Internet est étiquetée Non connecté dans l'onglet Présentation et reste bloquée jusqu'à ce que vous créiez une règle de pare-feu de passerelle de gestion autorisant l'accès à partir d'une source approuvée. Voir Ajouter ou modifier des règles de pare-feu de passerelle de gestion.
Passerelle de calcul (CGW)
La passerelle CGW est un routeur de niveau 1 qui gère le trafic réseau pour les machines virtuelles de charge de travail connectées à des segments de réseau de calcul routés. Les règles de pare-feu de passerelle de calcul, ainsi que les règles NAT, s'exécutent sur le routeur de niveau 0. Dans la configuration par défaut, ces règles bloquent tout le trafic vers et depuis des segments de réseau de calcul (reportez-vous à la section Configurer la mise en réseau et la sécurité de la passerelle de calcul).

Routage entre votre SDDC et le VPC connecté

Lorsque vous créez un SDDC, nous allouons préalablement 17 interfaces réseau élastiques (ENI) AWS dans le VPC sélectionné appartenant au compte AWS que vous spécifiez lors de la création du SDDC. Nous affectons à chacune de ces ENI une adresse IP à partir du sous-réseau que vous spécifiez lors de la création du SDDC, puis nous attachons chacun des hôtes du cluster Cluster-1 du SDDC à l'une de ces interfaces réseau élastiques. Une adresse IP supplémentaire est attribuée à l'interface réseau élastique sur laquelle le dispositif NSX Edge s'exécute.

Cette configuration, appelée VPC connecté, prend en charge le trafic réseau entre les machines virtuelles dans le SDDC et les instances et les services d'AWS natifs avec les adresses dans le bloc CIDR principal du VPC connecté. Lorsque vous créez ou supprimez des segments de réseau routé connectés à la CGW, la table de routage principale est automatiquement mise à jour. Lorsque le mode Liste de préfixes gérés est activé pour le VPC connecté, la table de routage principale et toutes les tables de routage personnalisées auxquelles vous avez ajouté la liste de préfixes gérés sont également mises à jour.

L'interface du VPC connecté (ou SERVICES) est utilisée pour tout le trafic vers les destinations dans le CIDR principal du VPC connecté. Les services ou les instances d'AWS qui communiquent avec le SDDC doivent se trouver dans des sous-réseaux associés à la table de routage principale du VPC connecté lors de l'utilisation de la configuration par défaut. Si le mode Mode Liste de préfixes gérés AWS est activé (reportez-vous à la section Activer le mode Liste de préfixes gérés AWS pour le VPC Amazon connecté), vous pouvez ajouter manuellement la liste de préfixes gérés à n'importe quelle table de routage personnalisée dans le VPC connecté lorsque vous souhaitez que des services et des instances d'AWS utilisant ces tables de routage personnalisées communiquent avec les charges de travail SDDC sur l'interface SERVICES.

Lorsque le dispositif NSX Edge dans votre SDDC est déplacé vers un autre hôte, que ce soit pour la récupération après une panne ou pendant la maintenance du SDDC, l'adresse IP allouée au dispositif est déplacée vers la nouvelle interface réseau élastique (sur le nouvel hôte) et la table de routage principale, ainsi que toutes les tables de routage personnalisées qui utilisent une liste de préfixes gérés, est mise à jour pour refléter cette modification. Si vous avez remplacé la table de routage principale ou si vous utilisez une table de routage personnalisée, mais que vous n'avez pas utilisé le mode Liste de préfixes gérés, cette mise à jour échoue et le trafic réseau ne peut plus être acheminé entre les réseaux de SDDC et le VPC connecté. Consultez Afficher les informations du VPC connecté et résoudre les problèmes liés au VPC connecté pour obtenir plus d'informations sur l'utilisation de la Console VMware Cloud et pour voir les détails de votre VPC connecté.

VMware Cloud on AWS fournit plusieurs fonctionnalités pour vous aider à agréger des routes vers le VPC connecté, d'autres VPC et vos instances de Passerelle de transit gérée par VMware. Reportez-vous à la section Activer le mode Liste de préfixes gérés AWS pour le VPC Amazon connecté.

Pour une présentation approfondie de l'architecture réseau du SDDC et des objets réseau AWS sur lesquels elle repose, consultez l'article de la zone technique de VMware Cloud intitulé VMware Cloud on AWS : architecture réseau du SDDC.

Adresses réseau réservées

Certaines plages d'adresses IPv4 ne sont pas disponibles pour une utilisation dans les réseaux de calcul SDDC. Plusieurs sont utilisées en interne par les composants réseau SDDC. La plupart sont également réservées par convention sur d'autres réseaux.
Tableau 1. Plages d'adresses réservées dans les réseaux SDDC
  • 10.0.0.0/15
  • 172.31.0.0/16
Ces plages sont réservées dans le sous-réseau de gestion SDDC, mais elles peuvent être utilisées dans vos réseaux sur site ou vos segments de réseau de calcul SDDC.
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
 Par RFC 3927, l'ensemble de 169.254.0.0/16 est une plage locale de liaison qui ne peut pas être acheminée au-delà d'un sous-réseau unique. Cependant, à l'exception de ces blocs CIDR, vous pouvez utiliser des adresses 169.254.0.0/16 pour vos interfaces de tunnel virtuel. Reportez-vous à la section Créer un VPN basé sur les routes.
192.168.1.0/24 Il s'agit du CIDR de segment de calcul par défaut pour un SDDC de démarrage à hôte unique et il n'est pas réservé dans d'autres configurations.
Note : Les versions 1.20 et antérieures de SDDC réservent également 100.64.0.0/16 pour la NAT de niveau carrier, conformément à RFC 6598. Évitez d'utiliser des adresses dans cette plage avec les versions de SDDC antérieures à la version 1.22. Consultez l'article  76022 de la base de connaissances VMware pour obtenir une répartition détaillée de la manière dont les anciens réseaux SDDC utilisent la plage d'adresses 100.64.0.0/16 et l'article  92322 de la base de connaissances VMware pour obtenir plus d'informations sur les modifications de la plage d'adresses réservées dans SDDC version 1.22.
Les réseaux SDDC respectent également les conventions relatives aux plages d'adresses IPv4 pour utilisation spéciale énumérées dans le RFC 3330.

Prise en charge de la multidiffusion dans les réseaux de SDDC

Dans les réseaux de SDDC, le trafic multidiffusion de couche 2 est traité comme du trafic de diffusion sur le segment réseau depuis lequel le trafic provient. Il n'est pas acheminé au-delà de ce segment. Les fonctionnalités d'optimisation du trafic multidiffusion de couche 2 (telles que l'écoute IGMP) ne sont pas prises en charge. La multidiffusion de couche 3 (telle que la multidiffusion sans protocole) n'est pas prise en charge dans VMware Cloud on AWS.

Connexion de votre SDDC sur site à votre SDDC de cloud

Pour connecter votre centre de données sur site à votre SDDC VMware Cloud on AWS, vous pouvez créer un VPN qui utilise l'Internet public , un VPN qui utilise AWS Direct Connect ou AWS Direct Connect uniquement. Vous pouvez également tirer parti des groupes de SDDC pour utiliser VMware Transit Connect et une passerelle AWS Direct Connect afin de fournir une connectivité centralisée entre un groupe de SDDC VMware Cloud on AWS et un SDDC sur site. Reportez-vous à la section Création et gestion des groupes de déploiement de SDDC.
Figure 2. Connexions SDDC à votre centre de données sur site
Diagramme montrant comment un réseau SDDC peut se connecter à un réseau sur site sur un VPN, HCX et AWS Direct Connect.
VPN de couche 3 (L3)
Un VPN de couche 3 fournit une connexion sécurisée entre votre centre de données sur site et votre SDDC VMware Cloud on AWS sur l'Internet public ou AWS Direct Connect. Ces VPN IPSec peuvent être basés sur les routes ou basés sur les stratégies. Pour le point de terminaison sur site, vous pouvez utiliser n'importe quel périphérique prenant en charge les paramètres répertoriés dans Référence des paramètres de VPN IPsec.
VPN de couche 2 (L2)
Un VPN de couche 2 fournit un réseau étendu, ou étiré, avec un espace d'adresse IP unique qui couvre votre centre de données sur site et votre SDDC, et permet une migration à chaud ou à froid des charges de travail sur site vers le SDDC. Vous ne pouvez créer qu'un seul tunnel L2VPN dans un SDDC. L'extrémité sur site du tunnel nécessite NSX. Si vous n'utilisez pas déjà NSX dans votre centre de données sur site, vous pouvez télécharger un dispositif NSX Edge autonome pour fournir la fonctionnalité requise. Un VPN L2 peut connecter votre centre de données sur site au SDDC sur l'Internet public ou AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect est un service fourni par AWS qui crée une connexion à haut débit et à faible latence entre votre centre de données sur site et les services AWS. Lorsque vous configurez AWS Direct Connect, les VPN peuvent acheminer le trafic sur DX au lieu de l'Internet public. Étant donné que DX met en œuvre le routage BGP (Border Gateway Protocol), l'utilisation d'un L3VPN pour le réseau de gestion est facultative lorsque vous configurez DX. Le trafic DX n'est pas chiffré. Si vous souhaitez chiffrer ce trafic, configurez un VPN IPsec qui utilise DX et une adresse IP privée.
VMware HCX
VMware HCX, une solution de mobilité d'applications multi-cloud, est fourni gratuitement à tous les SDDC et facilite la migration de machines virtuelles de charge de travail vers et depuis votre centre de données sur site vers votre SDDC. Pour plus d'informations sur l'installation, la configuration et l'utilisation de HCX, reportez-vous à la section Migration hybride avec une liste de contrôle HCX.

Considérations relatives à la MTU pour le trafic interne et externe

Le trafic réseau interne vers le SDDC (y compris le trafic vers le VPC connecté et à partir de celui-ci) prend en charge une valeur de MTU jusqu'à 8 900 octets. Le trafic vers la MGW est généralement limité à 1 500 octets, car les interfaces du dispositif de gestion utilisent une valeur de MTU de 1 500. Les autres valeurs par défaut de MTU sont répertoriées dans Valeurs maximales de configuration VMware. Les directives suivantes s'appliquent aux valeurs MTU dans l'ensemble du réseau SDDC :
  • Le groupe de SDDC et DX partagent la même interface. Ils doivent donc utiliser la valeur de MTU la plus faible (8 500 octets) lorsque les deux connexions sont utilisées.
  • Toutes les cartes réseau de machine virtuelle et les interfaces sur le même segment doivent avoir la même valeur de MTU.
  • La valeur de MTU peut différer entre les segments tant que les points de terminaison prennent en charge PMTUD et que les pare-feu du chemin autorisent le trafic ICMP.
  • La valeur de MTU de couche 3 (IP) doit être inférieure ou égale à la taille maximale de paquet (MTU) prise en charge de la connexion de couche 2 sous-jacente, moins toute surcharge de protocole. Dans VMware Cloud on AWS, il s'agit du segment NSX qui prend en charge les paquets de couche 3 avec une valeur de MTU allant jusqu'à 8 900 octets.

Présentation des performances du réseau SDDC

Pour une présentation détaillée des performances du réseau SDDC, reportez-vous au VMware Cloud Tech Zone Designlet Présentation des performances réseau de VMware Cloud on AWS.