VMware Cloud on AWS utilise NSX-T pour créer et gérer des réseaux internes SDDC et fournit des points de terminaison pour les connexions VPN à partir de votre infrastructure réseau sur site.

Topologie de réseau SDDC

Lorsque vous créez un SDDC, il inclut un réseau de gestion. Les SDDC d'essai à hôte unique incluent également un petit réseau de calcul. Vous spécifiez le bloc CIDR du réseau de gestion lors de la création du SDDC. Il ne peut plus être modifié une fois le SDDC créé. Pour plus d'informations, reportez-vous à la section Déployer un SDDC depuis la console VMC. Le réseau de gestion dispose de deux sous-réseaux :
Sous-réseau de dispositifs
Ce sous-réseau est utilisé par les dispositifs vCenter, NSX et HCX dans le SDDC. Lorsque vous ajoutez des services basés sur un dispositif (tels que SRM) au SDDC, ils se connectent également à ce sous-réseau.
Sous-réseau d'infrastructure
Ce sous-réseau est utilisé par les hôtes ESXi dans le SDDC.

Le réseau de calcul inclut un nombre arbitraire de segments logiques pour vos machines virtuelles de charge de travail. Reportez-vous à la section Valeurs maximales de configuration VMware pour connaître les limites actuelles sur les segments logiques. Dans une configuration de démarrage de SDDC à hôte unique, nous créons un réseau de calcul avec un segment acheminé unique. Dans les configurations de SDDC comportant plus d'hôtes, vous devrez créer des segments de réseau de calcul pour répondre à vos besoins. Reportez-vous à la section Valeurs maximales de configuration VMware pour les limites applicables.

Un réseau SDDC dispose de deux niveaux théoriques :
  • Le niveau 0 gère le trafic nord-sud (trafic sortant ou entrant dans le SDDC, ou entre les passerelles de gestion et de calcul).
  • Le niveau 1 gère le trafic est-ouest (trafic entre les segments de réseau acheminés au sein du SDDC).
Figure 1. Topologie de réseau SDDC
Dispositif NSX Edge

Le dispositif NSX Edge par défaut est implémenté sous la forme d'une paire de machines virtuelles qui s'exécutent en mode actif/de veille. Ce dispositif fournit la plate-forme sur laquelle les routeurs de niveau 0 et de niveau 1 par défaut s'exécutent, avec les connexions VPN IPsec et leur équipement de routage BGP. Tout le trafic nord-sud passe par le routeur de niveau 0. Pour éviter d'envoyer du trafic est-ouest via le dispositif Edge, un composant de chaque routeur de niveau 1 s'exécute sur chaque hôte ESXi qui gère le routage pour des destinations dans le SDDC.

Si vous avez besoin de bande passante supplémentaire pour le sous-ensemble de ce trafic qui n'est pas acheminé sur un VPN ou qui ne prend aucune autre route vers ou depuis Internet, vous pouvez reconfigurer votre SDDC afin d'utiliser plusieurs dispositifs Edge en créant des groupes de trafic, chacun d'eux créant un dispositif NSX Edge supplémentaire. Reportez-vous à Configurer un SDDC à plusieurs dispositifs Edge avec des groupes de trafic pour plus de détails.

Passerelle de gestion (MGW)
La passerelle de gestion est un routeur de niveau 1 qui gère le routage et le pare-feu pour vCenter Server et les autres dispositifs de gestion s'exécutant dans le SDDC. L'adresse IP avec accès Internet de la MGW est automatiquement attribuée à partir du pool d'adresses IP publiques d'AWS à la création du SDDC. Pour plus d'informations sur la spécification de cette plage d'adresses, reportez-vous à la section Déployer un SDDC depuis la console VMC.
Passerelle de calcul (CGW)
La passerelle de calcul est un routeur de niveau 1 qui gère le routage et le pare-feu pour les machines virtuelles de charge de travail connectées à des segments de réseau de calcul acheminés.

Routage entre votre SDDC et le VPC connecté

Important :

Tous les sous-réseaux VPC sur lesquels des services ou des instances d'AWS communiquent avec le SDDC doivent être associés à la table de routage principale du VPC connecté. L'utilisation d'une table de routage personnalisée ou le remplacement de la table de routage principale ne sont pas pris en charge.

Lorsque vous créez un SDDC, nous allouons préalablement 17 interfaces réseau élastiques (ENI) AWS dans le VPC sélectionné appartenant au compte AWS que vous spécifiez lors de la création du SDDC. Nous affectons à chacune de ces ENI une adresse IP à partir du sous-réseau que vous spécifiez lors de la création du SDDC, puis nous attachons chacun des hôtes du cluster Cluster-1 du SDDC à l'une de ces interfaces réseau élastiques. Une adresse IP supplémentaire est attribuée à l'interface réseau élastique sur laquelle le dispositif NSX Edge s'exécute.

Cette configuration, appelée VPC connecté, prend en charge le trafic réseau entre les machines virtuelles dans les instances de SDDC et d'AWS et les points de terminaison de service AWS natifs dans le VPC connecté. La table de routage principale du VPC connecté connaît le sous-réseau principal du VPC ainsi que tous les sous-réseaux du SDDC (segment réseau NSX-T). Lorsque vous créez ou supprimez des segments de réseau routé sur le SDDC, la table de routage principale est automatiquement mise à jour. Lorsque le dispositif NSX Edge dans votre SDDC est déplacé vers un autre hôte, que ce soit pour la récupération après une panne ou pendant la maintenance du SDDC, l'adresse IP allouée au dispositif Edge est déplacée vers la nouvelle interface réseau élastique (sur le nouvel hôte) et la table de routage principale est mise à jour pour refléter cette modification. Si vous avez remplacé la table de routage principale ou si vous utilisez une table de routage personnalisée, cette mise à jour échoue et le trafic réseau ne peut plus être acheminé entre les réseaux de SDDC et le VPC connecté. Consultez Afficher les informations sur le VPC connecté pour obtenir plus d'informations sur l'utilisation de la Console VMC et pour voir les détails de votre VPC connecté.

Pour une discussion approfondie sur l'architecture réseau du SDDC et les objets réseau AWS qui la supportent, lisez l'article de la zone technique de VMware Cloud intitulé VMware Cloud on AWS : architecture réseau du SDDC .

Adresses réseau réservées

Certaines plages d'adresses IPv4 ne sont pas disponibles pour une utilisation dans les réseaux de calcul SDDC. Plusieurs sont utilisées en interne par les composants réseau SDDC. La plupart sont également réservées par convention sur d'autres réseaux.
Tableau 1. Plages d'adresses réservées dans les réseaux SDDC
  • 10.0.0.0/15
  • 172.31.0.0/16
Ces plages sont réservées dans le sous-réseau de gestion SDDC, mais elles peuvent être utilisées dans vos réseaux sur site ou vos segments de réseau de calcul SDDC.
100.64.0.0/16 Réservées pour la NAT de niveau carrier par RFC 6598. Évitez d'utiliser des adresses dans cette plage dans les réseaux SDDC et autres. Il est peu probable qu'elles soient accessibles dans le SDDC ou depuis l'extérieur. Consultez l'article 76022 de la base de connaissances VMware pour obtenir une répartition détaillée de la manière dont les réseaux SDDC utilisent cette plage d'adresses.
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
Par RFC 3927, l'ensemble de 169.254.0.0/16 est une plage locale de liaison qui ne peut pas être acheminée au-delà d'un sous-réseau unique. Cependant, à l'exception de ces blocs CIDR, vous pouvez utiliser des adresses 169.254.0.0/16 pour vos interfaces de tunnel virtuel. Reportez-vous à la section Créer un VPN basé sur les routes.
192.168.1.0/24 Il s'agit du CIDR de segment de calcul par défaut pour un SDDC de démarrage à hôte unique et il n'est pas réservé dans d'autres configurations.
Les réseaux SDDC respectent également les conventions relatives aux plages d'adresses IPv4 pour utilisation spéciale énumérées dans le RFC 3330.

Prise en charge de la multidiffusion dans les réseaux de SDDC

Dans les réseaux de SDDC, le trafic multidiffusion de couche 2 est traité comme du trafic de diffusion sur le segment réseau depuis lequel le trafic provient. Il n'est pas acheminé au-delà de ce segment. Les fonctionnalités d'optimisation du trafic multidiffusion de couche 2 (telles que l'écoute IGMP) ne sont pas prises en charge. La multidiffusion de couche 3 (telle que la multidiffusion sans protocole) n'est pas prise en charge dans VMware Cloud on AWS.

Connexion de votre SDDC sur site à votre SDDC de cloud

Pour connecter votre centre de données sur site à votre SDDC VMware Cloud on AWS, vous pouvez créer un VPN qui utilise l'Internet public, un VPN qui utilise AWS Direct Connect ou simplement utiliser AWS Direct Connect seul. Vous pouvez également tirer parti des groupes de SDDC pour utiliser VMware Transit Connect™ et une passerelle AWS Direct Connect afin de fournir une connectivité centralisée entre un groupe de SDDC VMware Cloud on AWS et un SDDC sur site. Reportez-vous à la section Création et gestion des groupes de déploiement de SDDC dans Guide des opérations de VMware Cloud on AWS.
Figure 2. Connexions SDDC à votre centre de données sur site
VPN de couche 3 (L3)
Un VPN de couche 3 fournit une connexion sécurisée entre votre centre de données sur site et votre SDDC VMware Cloud on AWS sur l'Internet public ou AWS Direct Connect. Ces VPN IPSec peuvent être basés sur les routes ou basés sur les stratégies. Vous pouvez créer jusqu'à seize VPN de chaque type, à l'aide de n'importe quel routeur sur site prenant en charge les paramètres répertoriés dans la Référence des paramètres de VPN IPsec comme point de terminaison sur site.
VPN de couche 2 (L2)
Un VPN de couche 2 fournit un réseau étendu, ou étiré, avec un espace d'adresse IP unique qui couvre votre centre de données sur site et votre SDDC, et permet une migration à chaud ou à froid des charges de travail sur site vers le SDDC. Vous ne pouvez créer qu'un seul tunnel L2VPN dans un SDDC. L'extrémité sur site du tunnel nécessite NSX. Si vous n'utilisez pas déjà NSX dans votre centre de données sur site, vous pouvez télécharger un dispositif NSX Edge autonome pour fournir la fonctionnalité requise. Un VPN L2 peut connecter votre centre de données sur site au SDDC sur l'Internet public ou sur AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect est un service fourni par AWS qui vous permet de créer une connexion à haut débit et à faible latence entre votre centre de données sur site et les services AWS. Lorsque vous configurez AWS Direct Connect, les VPN peuvent l'utiliser au lieu d'acheminer le trafic sur Internet public. Étant donné que Direct Connect met en œuvre le routage BGP (Border Gateway Protocol), l'utilisation d'un L3VPN pour le réseau de gestion est facultative lorsque vous configurez Direct Connect. Le trafic sur Direct Connect n'est pas chiffré. Si vous souhaitez chiffrer ce trafic, vous pouvez configurer un VPN IPSec qui utilise des adresses IP privées et Direct Connect.
VMware HCX
VMware HCX, une solution de mobilité d'applications multi-Cloud, est fourni gratuitement à tous les SDDC et facilite la migration de machines virtuelles de charge de travail vers et depuis votre centre de données sur site vers votre SDDC. Pour plus d'informations sur l'installation, la configuration et l'utilisation de HCX, reportez-vous à la section Migration hybride avec une liste de contrôle HCX.