Creare una VIF privata su DX per fornire connettività diretta tra la rete locale e i carichi di lavoro dell'SDDC, gestione ESXi e appliance di gestione utilizzando i rispettivi IP privati.

Creare un'interfaccia virtuale privata (VIF) per ogni circuito di Direct Connect (DX) che si desidera collegare all'SDDC. Ogni VIF privata stabilisce una sessione BGP separata, che può essere utilizzata in progettazioni attive/standby o attive/attive (tra cui ECMP) oppure per segmenti di rete privata. Se si desidera la ridondanza DX, collegare all'SDDC VIF private separate con provisioning in circuiti DX diversi.

Quando si connettono più VIF private su circuiti DX distinti a un SDDC per l'alta disponibilità, tutti i circuiti DX devono essere creati nello stesso account AWS e distribuiti in posizioni di AWS Direct Connect diverse. Quando si esegue questa operazione, AWS tenta di sfruttare percorsi di rete interna separati per la connettività DX per fornire una ridondanza migliore. Vedere Elevata resilienza e Configurazioni attive/attive e attive/passive in AWS Direct Connect nella documentazione di AWS. Per informazioni sui limiti del numero di segmenti di rete annunciati a tutte le VIF private, vedere Valori massimi di configurazione di VMware. L'aggregazione delle route è supportata per fornire maggiore flessibilità, ma tutte le VIF avranno le stesse reti annunciate dall'SDDC.

Importante:

Quando si connette un'interfaccia virtuale privata DX o un gruppo di SDDC a un SDDC, tutto il traffico in uscita dagli host ESXi a destinazioni esterne alla rete dell'SDDC viene instradato su tale interfaccia, indipendentemente dalle altre configurazioni di routing nell'SDDC. Ciò include il traffico di vMotion e vSphere Replication. È necessario assicurarsi che anche il traffico in entrata verso gli host ESXi sia instradato tramite lo stesso percorso, in modo che i percorsi del traffico in entrata e in uscita siano simmetrici. Vedere Creazione e gestione di gruppi di distribuzione dell'SDDC con VMware Transit Connect in Guida al funzionamento di VMware Cloud on AWS per ulteriori informazioni su VMware Transit Connect e VMware Managed Transit Gateway (VTGW).

Anche se le route acquisite da una VPN basata su route vengono annunciate tramite BGP ad altre VPN basate su route, un SDDC annuncia solo le proprie reti a un gruppo di SDDC. Non annuncia le route acquisite dalle VPN. Vedere Quote AWS Direct Connect nella Guida per l'utente di AWS Direct Connect, per informazioni dettagliate sui limiti imposti da AWS su Direct Connect, inclusi i limiti per le route annunciate e acquisite su BGP.

Quando si crea una VIF privata in questo modo, è possibile collegarla a uno qualsiasi degli SDDC dell'organizzazione nella regione in cui è stata creata la VIF. La VIF privata deve essere creata nella stessa regione del circuito DX e collegata a un SDDC nella stessa regione. Una volta collegata a un SDDC, non è possibile scollegare la VIF, né riassegnarla a un altro SDDC. È invece necessario eliminarla e creare una nuova VIF. Se si elimina un SDDC, verranno eliminate tutte le VIF allegate.

Prerequisiti

  • Assicurarsi che siano soddisfatti i prerequisiti per le interfacce virtuali come descritto in Pre requisiti per le interfacce virtuali.
  • Se si desidera utilizzare la VPN basata su route come backup per Direct Connect, è necessario impostare anche l'opzione Usa VPN come backup per Direct Connect su Abilitata come illustrato nel passaggio 6. Le VPN basate su criteri non possono essere utilizzate per eseguire il backup di un'altra connessione.

Procedura

  1. Accedere a VMware Cloud Services all'indirizzo https://vmc.vmware.com.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Fare clic su APRI NSX MANAGER e accedere con l'Account utente amministratore di NSX Manager visualizzato nella pagina Impostazioni dell'SDDC. Vedere Amministrazione della rete dell'SDDC con NSX Manager.
    Per questo workflow, è inoltre possibile utilizzare la scheda Rete e sicurezza della Console di VMware Cloud.
  4. Accedere alla console AWS e completare la procedura Creazione di un'interfaccia virtuale privata ospitata in Creazione di un'interfaccia virtuale ospitata.
    Se si utilizza una VIF ospitata, rivolgersi al partner di AWS Direct Connect per creare la VIF nell'account indicato nel campo ID account AWS della pagina Direct Connect, quindi andare al Passaggio 5 di questa procedura. Se si utilizza una connessione dedicata od ospitata, eseguire innanzitutto questi passaggi.
    1. Per Tipo di interfaccia virtuale, scegliere Privata quindi creare un Nome interfaccia virtuale.
    2. Per il campo Proprietario dell'interfaccia virtuale, selezionare Un altro account AWS e utilizzare l'ID account AWS della pagina NSX Direct Connect.
    3. Per VLAN utilizzare il valore fornito dal Partner di AWS Direct Connect.
    4. Per ASN BGP, utilizzare l'ASN del router in locale in cui termina la connessione.
      Questo valore non deve coincidere con quello di ASN locale BGP visualizzato nella pagina NSX Direct Connect.
    5. Espandere Impostazioni aggiuntive ed effettuare le seguenti selezioni:
      Famiglia di indirizzi Selezionare IPV4
      IP peer del router Specificare l'indirizzo IP dell'estremità in locale di questa connessione (il router), o lasciare vuoto il campo per fare in modo che AWS assegni automaticamente un indirizzo che sarà necessario configurare nel router.
      IP peer del router Amazon Specificare l'indirizzo IP dell'estremità AWS di questa connessione, o lasciare vuoto il campo per fare in modo che AWS assegni automaticamente un indirizzo che sarà necessario configurare nel router.
      Chiave di autenticazione BGP Specificare un valore o lasciare vuoto il campo per fare in modo che AWS generi una chiave che sarà necessario configurare nel router.
      Jumbo MTU (MTU dimensioni 9001) Il valore MTU predefinito per tutte le reti dell'SDDC è 1500 byte. Per abilitare il traffico DX verso questa VIF privata in modo che utilizzi una MTU più grande, selezionare Abilita in Jumbo MTU (MTU dimensioni 9001). Dopo aver creato la VIF, sarà inoltre necessario aprire la pagina NSX Configurazione globale e impostare un valore MTU più elevato in Uplink Intranet, come descritto in Specifica di MTU Direct Connect. Anche se non si intende utilizzarla immediatamente, l'abilitazione di tale voce nelle proprietà di connessione semplifica l'utilizzo dei frame Jumbo nelle reti dell'SDDC quando sono necessari.
    Una volta creata l'interfaccia, la console di AWS segnala che è pronta per l'accettazione.
  5. Aprire NSX Manager o la scheda Rete e sicurezza della console VMC. Fare clic su Direct Connect e accettare l'interfaccia virtuale facendo clic su COLLEGA.
    Prima dell'accettazione, una nuova VIF è visibile in tutti gli SDDC dell'organizzazione. Una volta accettata, la VIF non sarà più visibile negli altri SDDC.
    Possono essere necessari fino a 10 minuti affinché la sessione BGP diventi attiva. Quando la connessione è pronta, Stato viene visualizzato come Allegato e Stato BGP come Attivo.
  6. (Facoltativo) Configurare una VPN basata su route come backup per Direct Connect.
    Nella configurazione predefinita, il traffico su qualsiasi route annunciata su BGP da DX e da una VPN basata su route utilizza la VPN per impostazione predefinita. Per fare in modo che una route annunciata da DX e VPN utilizzi DX per impostazione predefinita e utilizzi il failover sulla VPN quando DX non è disponibile, fare clic su Direct Connect e impostare l'opzione Utilizza VPN come backup per Direct Connect su Abilitata.
    Nota: Questa configurazione richiede una VPN basata su route. Non è possibile utilizzare una VPN basata su criteri come backup per Direct Connect. In un SDDC che fa parte di un gruppo di SDDC, il traffico su una route annunciata dalla VIF privata DX e dal VMware Managed Transit Gateway ( VTGW) del gruppo verrà instradato attraverso VTGW.
    Il sistema richiede circa un minuto per aggiornare la preferenza di routing. Al termine dell'operazione, le route annunciate da DX e VPN passano per impostazione predefinita alla connessione DX, utilizzando la VPN solo quando DX non è disponibile. Route equivalenti annunciate da DX e VPN danno priorità alla connessione VPN.

risultati

Un elenco di Route BGP annunciate e Route BGP acquisite è visualizzato quando le route vengono acquisite e annunciate. Fare clic sull'icona di aggiornamento per aggiornare gli elenchi. Tutte le subnet instradate nell'SDDC sono annunciate come route BGP, insieme a questo sottoinsieme delle subnet della rete di gestione:
  • La subnet 1 include le route utilizzate dalle vmks dell'host ESXi e dalle interfacce del router.
  • La subnet 2 include le route utilizzate per il supporto di più ZD e l'integrazione AWS.
  • La subnet 3 include le macchine virtuali di gestione.
Le reti disconnesse ed estese non vengono annunciate. Le reti collegate a T1 personalizzati non vengono annunciate. Se il filtro della route è abilitato, anche le reti collegate al CGW predefinito non vengono annunciate.

Tutte le aggregazioni di route definite e applicate a DX verranno annunciate come definito. (Vedere Aggregazione e filtro delle route verso gli uplink).

I blocchi CIDR effettivi annunciati alle VIF private dipendono dal blocco CIDR della subnet di gestione. La tabella seguente mostra i blocchi CIDR per queste route in un SDDC che utilizza il CIDR della rete di gestione predefinito di 10.2.0.0 nelle dimensioni di blocco /16, /20 e /22.

Tabella 1. Route annunciate per CIDR MGW predefinito 10.2.0.0
MGW CIDR Subnet 1 Subnet 2 Subnet 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

Operazioni successive

Assicurarsi che le interfacce di vMotion locali siano configurate per l'utilizzo di Direct Connect. Vedere Configurazione delle interfacce di vMotion per l'utilizzo con Direct Connect.