VMware Cloud on AWS utilise NSX-T pour créer et gérer des réseaux internes SDDC et fournit des points de terminaison pour les connexions VPN à partir de votre infrastructure réseau sur site.

Connexion à votre SDDC

Pour connecter votre centre de données sur site à votre SDDC VMware Cloud on AWS, vous pouvez créer un VPN qui utilise l'Internet public, un VPN qui utilise AWS Direct Connect ou simplement utiliser AWS Direct Connect seul.
Figure 1. Connexions SDDC à votre centre de données sur site
VPN de couche 3 (L3)
Un VPN de couche 3 fournit un réseau de gestion qui connecte votre centre de données sur site à votre SDDC. Ces VPN IPSec peuvent être basés sur les routes ou basés sur les stratégies. Vous pouvez créer jusqu'à seize VPN de chaque type, à l'aide de n'importe quel routeur sur site prenant en charge les paramètres répertoriés dans la Référence des paramètres de VPN IPsec. Un VPN L3 peut connecter votre centre de données sur site au SDDC sur l'Internet public ou sur AWS Direct Connect.
VPN de couche 2 (L2)
Un VPN de couche 2 fournit un réseau étendu, ou étiré, avec un espace d'adresse IP unique qui couvre votre centre de données sur site et votre SDDC, et permet une migration à chaud ou à froid des charges de travail sur site vers le SDDC. Vous ne pouvez créer qu'un seul tunnel L2VPN dans un SDDC. L'extrémité sur site du tunnel nécessite NSX. Si vous n'utilisez pas déjà NSX dans votre centre de données sur site, vous pouvez télécharger un dispositif NSX Edge autonome pour fournir la fonctionnalité requise. Un VPN L2 peut connecter votre centre de données sur site au SDDC sur l'Internet public ou sur AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect est un service fourni par AWS qui vous permet de créer une connexion à haut débit et à faible latence entre votre centre de données sur site et les services AWS. Lorsque vous configurez AWS Direct Connect, les VPN peuvent l'utiliser au lieu d'acheminer le trafic sur Internet public. Étant donné que Direct Connect met en œuvre le routage BGP (Border Gateway Protocol), l'utilisation d'un L3VPN pour le réseau de gestion est facultative lorsque vous configurez Direct Connect. Le trafic sur Direct Connect n'est pas chiffré. Si vous souhaitez le chiffrer, configurez votre VPN L3 pour qu'il utilise Direct Connect.
VMware HCX
VMware HCX, une solution de mobilité d'applications multi-Cloud, est fourni gratuitement à tous les SDDC et facilite la migration de machines virtuelles de charge de travail vers et depuis votre centre de données sur site vers votre SDDC. Pour plus d'informations sur l'installation, la configuration et l'utilisation de HCX, reportez-vous à la section Migration hybride avec une liste de contrôle HCX.

Topologie de réseau SDDC

Lorsque vous créez un SDDC, il inclut un réseau de gestion et un réseau de calcul. Le bloc CIDR de réseau de gestion doit être spécifié lors de la création du SDDC et ne peut pas être modifié. Le réseau de gestion dispose de deux sous-réseaux :
Sous-réseau de dispositifs
Sous-réseau de la plage CIDR que vous avez spécifiée pour le sous-réseau de gestion lors de la création du SDDC. Ce sous-réseau est utilisé par les dispositifs vCenter, NSX et HCX dans le SDDC. Lorsque vous ajoutez des services basés sur un dispositif (tels que SRM) au SDDC, ils se connectent également à ce sous-réseau.
Sous-réseau d'infrastructure
Sous-réseau de la plage CIDR que vous avez spécifiée pour le sous-réseau de gestion lors de la création du SDDC. Ce sous-réseau est utilisé par les hôtes ESXi dans le SDDC.

Le réseau de calcul inclut un nombre arbitraire de segments logiques pour vos machines virtuelles de charge de travail. Dans une configuration de démarrage de SDDC à hôte unique, nous créons un réseau de calcul avec un segment acheminé unique. Dans les configurations de SDDC comportant plus d'hôtes, vous devrez créer des segments de réseau de calcul pour répondre à vos besoins. Reportez-vous à la section Valeurs maximales de configuration VMware pour les limites applicables.

Un réseau SDDC dispose de deux niveaux théoriques :
  • Le niveau 0 est desservi par un dispositif NSX Edge.
  • Le niveau 1 est desservi par deux pare-feu de dispositif NSX Edge (la passerelle de gestion et la passerelle de calcul).
Figure 2. Topologie de réseau SDDC
Dispositif NSX Edge
Tout le trafic entre vos réseaux sur site et vos réseaux de SDDC traverse ce dispositif. Les règles de pare-feu de passerelle de calcul, qui contrôlent l'accès aux machines virtuelles de charge de travail, sont appliquées sur ses interfaces de liaison montante.
Passerelle de gestion (MGW)
La MGW est le pare-feu de dispositif NSX Edge qui fournit la connectivité réseau nord-sud pour le système vCenter Server et d'autres dispositifs de gestion s'exécutant dans le SDDC. L'adresse IP avec accès Internet de la MGW est automatiquement attribuée à partir du pool d'adresses IP publiques d'AWS à la création du SDDC. Pour plus d'informations sur la spécification de cette plage d'adresses, reportez-vous à la section Déployer un SDDC depuis la console VMC. Si vous ne spécifiez pas de plage lorsque vous créez le SDDC, le système utilise la valeur par défaut 10.2.0.0/16.
Passerelle de calcul (CGW)
La CGW est un pare-feu de dispositif NSX Edge qui fournit la connectivité réseau nord-sud aux machines virtuelles s'exécutant dans le SDDC. Dans un SDDC à nœud unique, VMware Cloud on AWS crée un segment de réseau logique par défaut (bloc CIDR 192.168.1.0/24) pour fournir la mise en réseau de ces machines virtuelles. Vous pouvez créer des réseaux logiques supplémentaires dans l'onglet Mise en réseau et sécurité.

Routage entre votre SDDC et le VPC connecté

Important :

Tous les sous-réseaux de SDDC et tous les sous-réseaux VPC sur lesquels des services ou des instances d'AWS communiquent avec le SDDC doivent être associés à la table de routage principale du VPC. L'utilisation d'une table de routage personnalisée ou le remplacement de la table de routage principale ne sont pas pris en charge.

Lorsque vous créez un SDDC, l'interface ENI du VPC appartenant au compte AWS spécifié est connectée au dispositif NSX Edge dans le SDDC. Ce VPC devient le VPC connecté et la connexion prend en charge le trafic réseau entre des machines virtuelles SDDC, des instances AWS et des services natifs dans le VPC connecté. La table de routage principale du VPC connecté inclut tous les sous-réseaux dans le VPC ainsi que tous les sous-réseaux du SDDC (segment réseau NSX-T). Lorsque vous créez ou supprimez des segments de réseau routé sur le réseau de charge de travail, la table de routage principale est automatiquement mise à jour. Lorsque le dispositif NSX Edge de votre SDDC est déplacé vers un autre hôte, soit pour récupérer après une panne ou au cours de la maintenance de SDDC, la table de routage principale est mise à jour pour refléter l'interface ENI utilisée par le nouvel hôte NSX Edge. Si vous avez remplacé la table de routage principale ou si vous utilisez une table de routage personnalisée, cette mise à jour échoue et le trafic réseau ne peut plus être acheminé entre les réseaux de SDDC et le VPC connecté.

Pour plus d'informations, consultez Afficher les informations sur le VPC connecté.

Adresses réseau réservées

L'intégralité de la plage d'adresses 100.64.0.0/10 (réservée pour la NAT de niveau carrier par RFC 6598) est réservée par VMware Cloud on AWS pour une utilisation interne. Vous ne pouvez pas accéder à des réseaux distants (sur site) dans cette plage d'adresses à partir de charges de travail dans le SDDC et vous ne pouvez pas utiliser d'adresses dans cette plage au sein du SDDC.

Prise en charge de la multidiffusion dans les réseaux de SDDC

Dans les réseaux de SDDC, le trafic multidiffusion de couche 2 est traité comme du trafic de diffusion sur le segment réseau depuis lequel le trafic provient. Il n'est pas acheminé au-delà de ce segment. Les fonctionnalités d'optimisation du trafic multidiffusion de couche 2 (telles que l'écoute IGMP) ne sont pas prises en charge. La multidiffusion de couche 3 (telle que la multidiffusion sans protocole) n'est pas prise en charge dans VMware Cloud on AWS.