VMware Cloud on AWS utilizza NSX-T per creare e gestire reti dell'SDDC. NSX-T fornisce un'infrastruttura agile e definita da software per creare ambienti di applicazioni native del cloud

Rete e sicurezza di VMware Cloud on AWS illustra come utilizzare la scheda Servizi di rete e sicurezza Console VMC per gestire le reti dell'SDDC. A partire dall'SDDC versione 1.16, è inoltre possibile utilizzare l'interfaccia utente Web NSX Manager per gestire queste reti. NSX Manager supporta un superset di funzionalità disponibili nella scheda Rete e sicurezza. Vedere NSX Manager nella Guida all'amministrazione di NSX-T Data Center per informazioni sull'utilizzo di NSX Manager. NSX Manager nell'SDDC di VMware Cloud on AWS è accessibile da un indirizzo IP pubblico raggiungibile da qualsiasi browser in grado di connettersi a Internet. È inoltre possibile accedervi dalla rete interna tramite una VPN o AWS Direct Connect. Per dettagli, consultare Apertura di NSX Manager.

Il layout e la navigazione nell'interfaccia utente NSX Manager Web sono simili a quelli indicati nella scheda Servizi di rete e sicurezza Console VMC ed è possibile utilizzare entrambi gli strumenti per completare la maggior parte delle procedure del presente documento. Quando una procedura richiede l'utilizzo di NSX Manager viene segnalato nei prerequisiti della procedura stessa.

Topologia di rete dell'SDDC

Quando si crea un SDDC, include una rete di gestione. Gli SDDC di prova a host singolo includono anche una piccola rete di elaborazione. Quando si crea l'SDDC, è necessario specificare il blocco CIDR della rete di gestione. Non è possibile modificarla dopo la creazione dell'SDDC. Per informazioni dettagliate, vedere Distribuzione di un SDDC dalla console VMC. La rete di gestione è dotata di due subnet:
Subnet appliance
Questa subnet viene utilizzata dalle appliance vCenter, NSX e HCX nell'SDDC. Quando si aggiungono servizi basati su appliance all'SDDC, come SRM, vengono connessi anch'essi a questa subnet.
Subnet infrastruttura
Questa subnet viene utilizzata dagli host ESXi nell'SDDC.

La rete di elaborazione include un numero arbitrario di segmenti logici per le macchine virtuali del carico di lavoro. Vedere Valori massimi di configurazione di VMware per i limiti correnti sui segmenti logici. In una configurazione iniziale dell'SDDC a host singolo, viene creata una rete di elaborazione con un singolo segmento instradato. Nelle configurazioni dell'SDDC che dispongono di più host, è necessario creare segmenti di rete di elaborazione in base alle proprie esigenze. Vedere Valori massimi di configurazione di VMware per i limiti applicabili.

Una rete dell'SDDC ha due livelli nozionali:
  • Il livello 0 gestisce il traffico da nord a sud (il traffico che lascia o accede all'SDDC o tra i gateway di gestione ed elaborazione).
  • Il livello 1 gestisce il traffico est-ovest (traffico tra segmenti di rete instradati all'interno di SDDC).
Figura 1. Topologia di rete dell'SDDC
Appliance NSX Edge

L'appliance NSX Edge predefinita viene implementata come coppia di macchine virtuali eseguite in modalità attiva/standby. Questa appliance fornisce la piattaforma su cui vengono eseguiti i router di livello 0 e di livello 1 predefiniti, insieme alle connessioni VPN IPsec e al relativo routing BGP. Tutto il traffico verso sud passa attraverso il router di livello 0. Per evitare l'invio di traffico est-ovest tramite l'appliance Edge, un componente di ogni router di livello 1 viene eseguito in ogni host ESXi che gestisce il routing per le destinazioni all'interno dell'SDDC.

Se è necessaria larghezza di banda aggiuntiva per il sottoinsieme di questo traffico instradato verso i membri del gruppo dell'SDDC, un gateway Direct Connect collegato a un gruppo di SDDC, HCX Service Mesh o al VPC connesso, è possibile riconfigurare l'SDDC in modo che sia di tipo Multi-Edge creando gruppi di traffico, ognuno dei quali creerà un router T0 aggiuntivo. Per dettagli, consultare Configurazione di un SDDC Multi-Edge con gruppi di traffico.

Nota:

Il traffico VPN, nonché il traffico DX verso un VIF privato devono passare attraverso il T0 predefinito e non possono essere instradati a un gruppo di traffico non predefinito. Inoltre, poiché le regole NAT vengono eseguite sempre nel router T0 predefinito, i router T0 aggiuntivi non possono gestire il traffico interessato dalle regole SNAT o DNAT. Ciò include il traffico da e verso la connessione Internet nativa dell'SDDC. Include inoltre il traffico verso il servizio Amazon S3, il quale utilizza una regola NAT e deve passare attraverso il T0 predefinito.

Gateway di gestione (MGW)
MGW è un router di livello 1 che gestisce il routing e il firewalling per vCenter Server e altre appliance di gestione in esecuzione nell'SDDC. Le regole del firewall del gateway di gestione vengono eseguite in MGW e controllano l'accesso alle macchine virtuali di gestione. Nella configurazione predefinita, queste regole bloccano tutto il traffico in entrata verso la rete di gestione (vedere Aggiunta o modifica delle regole del firewall del gateway di gestione).
Gateway di elaborazione (CGW)
Il CGW è un router di livello 1 che gestisce il traffico di rete per le macchine virtuali del carico di lavoro connesse ai segmenti di rete di elaborazione instradati. Le regole del firewall del gateway di elaborazione, insieme alle regole NAT, vengono eseguite nel router di livello 0. Nella configurazione predefinita, queste regole bloccano tutto il traffico da e verso i segmenti di rete di elaborazione (vedere Configurazione di rete e sicurezza del gateway di elaborazione).

Routing tra l'SDDC e il VPC connesso

Importante:

Qualsiasi subnet VPC su cui le istanze o i servizi AWS comunicano con l'SDDC devono essere associate alla tabella di route principale del VPC connesso. L'utilizzo di una tabella di route personalizzata o la sostituzione della tabella di route principale non sono supportati.

Quando si crea un SDDC, vengono preallocate 17 interfacce di rete ENI (Elastic Network Interface) AWS nel VPC selezionato di proprietà dell'account AWS specificato al momento della creazione dell'SDDC. Assegnare a ciascuna di queste ENI un indirizzo IP dalla subnet specificata in fase di creazione dell'SDDC, quindi collegare ciascuno degli host nel cluster dell'SDDC Cluster-1 a una di queste ENI. All'ENI sulla quale è in esecuzione l'appliance NSX Edge attiva viene assegnato un indirizzo IP aggiuntivo.

Questa configurazione, nota come VPC connesso, supporta il traffico di rete tra le macchine virtuali nelle istanze dell'SDDC e dell'AWS e gli endpoint del servizio dell'AWS nativo nel VPC connesso. La tabella di route principale del VPC connesso tiene conto della subnet primaria del VPC e di tutte le subnet dell'SDDC (NSX-T segmento di rete). Quando vengono creati o eliminati segmenti di rete instradati nell'SDDC, la tabella di route principale viene aggiornata automaticamente. Quando l'appliance NSX Edge nell'SDDC viene spostata in un altro host, per il ripristino da un errore o durante la manutenzione dell'SDDC, l'indirizzo IP allocato all'appliance Edge viene spostato nella nuova interfaccia ENI (nel nuovo host) e la tabella di route principale viene aggiornata in modo da riflettere la modifica. Se la tabella di route principale è stata sostituita o si utilizza una tabella di route personalizzata, l'aggiornamento non riesce e il traffico di rete non può più essere instradato tra le reti dell'SDDC e il VPC connesso. Vedere Visualizzazione delle informazioni sul VPC connesso e risoluzione dei problemi relativi al VPC connesso per ulteriori informazioni su come utilizzare Console VMC per visualizzare i dettagli del VPC connesso.

Per un approfondimento sull'architettura di rete dell'SDDC e gli oggetti di rete di AWS che la supportano, leggere l'articolo su VMware Cloud Tech Zone VMware Cloud on AWS: Architettura di rete dell'SDDC.

Indirizzi di rete riservati

Alcuni intervalli di indirizzi IPv4 non sono disponibili per l'utilizzo nelle reti di elaborazione SDDC. Diversi intervalli sono utilizzati internamente dalle componenti della rete SDDC. La maggior parte di essi sono riservati per convenzione anche su altre reti.
Tabella 1. Intervalli di indirizzi riservati nelle reti SDDC
  • 10.0.0.0/15
  • 172.31.0.0/16
Questi intervalli sono riservati all'interno della subnet di gestione dell'SDDC, ma possono essere utilizzati nelle reti locali o nei segmenti della rete di elaborazione SDDC.
100.64.0.0/16 Riservato per NAT carrier-grade in base a RFC 6598. Evitare l'utilizzo degli indirizzi in questo intervallo nelle reti SDDC e di altro tipo. È possibile che non siano raggiungibili all'interno dell'SDDC o dall'esterno. Consultare l'articolo Knowledge Base 76022 di VMware per un'analisi dettagliata delle modalità con cui le reti SDDC utilizzano questo intervallo di indirizzi.
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
In base a RFC 3927, tutti gli indirizzi 169.254.0.0/16 rappresentano un intervallo link-local (collegamento locale) che non può essere indirizzato oltre una singola subnet. Tuttavia, con l'eccezione di questi blocchi CIDR, è possibile utilizzare gli indirizzi 169.254.0.0/16 per le interfacce tunnel virtuali. Vedere Creazione di una VPN basata su route.
192.168.1.0/24 Questo è il CIDR del segmento di elaborazione predefinito per un SDDC iniziale a host singolo e non è riservato in altre configurazioni.
Inoltre, le reti SDDC rispettano le convenzioni per l'utilizzo speciale degli intervalli di indirizzi IPv4 elencati in RFC 3330.

Supporto multicast nelle reti dell'SDDC

Nelle reti dell'SDDC, il traffico multicast di livello 2 viene considerato come traffico broadcast nel segmento di rete da cui ha origine. Non viene instradato oltre tale segmento. Le funzionalità di ottimizzazione del traffico multicast di livello 2, come IGMP snooping, non sono supportate. Il multicast di livello 3 (ad esempio Protocol Independent Multicast) non è supportato in VMware Cloud on AWS.

Connessione dell'SDDC in locale all'SDDC cloud

Per connettere il data center in locale all'SDDC VMware Cloud on AWS, è possibile creare una VPN che utilizza Internet pubblico, una VPN che utilizza AWS Direct Connect o semplicemente utilizzare AWS Direct Connect da solo. È inoltre possibile sfruttare i gruppi dell'SDDC per utilizzare VMware Transit Connect™ e un gateway AWS Direct Connect per fornire connettività centralizzata tra un gruppo dell'SDDC di VMware Cloud on AWS e un SDDC in locale. Vedere Creazione e gestione di gruppi di distribuzione dell'SDDC nella Guida al funzionamento di VMware Cloud on AWS.
Figura 2. Connessioni dell'SDDC al data center in locale
VPN di livello 3 (L3)
Una VPN di livello 3 offre una connessione sicura tra il data center in locale e l'SDDC di VMware Cloud on AWS su Internet o AWS Direct Connect. Queste VPN IPsec possono essere basate su routing o su criteri. È possibile creare fino a sedici VPN di ogni tipo, utilizzando qualsiasi router locale che supporti le impostazioni elencate in Riferimento per le impostazioni VPN IPsec come endpoint in locale.
VPN di livello 2 (L2)
Una VPN di livello 2 fornisce una rete estesa o allungata con un singolo spazio di indirizzamento IP che si estende al data center in locale e all'SDDC e consente la migrazione a caldo o a freddo dei carichi di lavoro in locale all'SDDC. È possibile creare un solo tunnel VPN L2 in qualsiasi SDDC. L'estremità in locale del tunnel richiede NSX. Se non si utilizza già NSX nel data center in locale, è possibile scaricare un'appliance NSX Edge autonoma per fornire la funzionalità richiesta. Una VPN L2 può connettere il data center in locale all'SDDC su Internet pubblico o su AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect è un servizio fornito da AWS che consente di creare una connessione ad alta velocità e bassa latenza tra il data center in locale e i servizi AWS. Quando si configura AWS Direct Connect, le VPN possono utilizzarlo anziché instradare il traffico su Internet pubblico. Poiché Direct Connect implementa il routing BGP (Border Gateway Protocol), l'utilizzo di una VPN L3 per la rete di gestione è facoltativo quando si configura Direct Connect. Il traffico tramite Direct Connect non è crittografato. Se si desidera codificare tale traffico, è possibile configurare una VPN IPsec che utilizzi indirizzi IP privati e Direct Connect.
VMware HCX
VMware HCX, una soluzione di mobilità delle applicazioni multi-cloud, viene fornita gratuitamente a tutti gli SDDC e facilita la migrazione delle macchine virtuali dei carichi di lavoro da e verso il data center in locale all'SDDC. Per ulteriori informazioni sull'installazione, la configurazione e l'utilizzo di HCX, vedere Elenco di controllo per la migrazione ibrida con HCX.