Per iniziare a utilizzare VMware Cloud on AWS per eseguire i carichi di lavoro nell'SDDC, è necessario configurare una rete che connetta il data center locale all'SDDC. Questa rete può includere una connessione dedicata tramite AWS Direct Connect, una VPN IPsec, o entrambe.

Sebbene il routing del traffico VPN IPsec attraverso Direct Connect possa fornire prestazioni migliori a costi inferiori, è possibile iniziare configurando una VPN IPsec che si connetta all'SDDC tramite Internet, e quindi riconfigurare tale VPN per utilizzare Direct Connect in un secondo momento.

Quando si apre la scheda Rete e sicurezza di un nuovo SDDC, è possibile eseguire la procedura guidata Configura rete e sicurezza che guida l'utente nelle operazioni necessarie per configurare Direct Connect e una VPN, accedere al vCenter nell'SDDC e modificare il server DNS predefinito se lo si desidera.

Se si desidera solo configurare una VPN basata su route che connetta il data center locale all'SDDC attraverso Internet, è possibile eseguire i passaggi seguenti.

Prerequisiti

È necessario disporre del ruolo di servizio di amministrazione di NSX per visualizzare e configurare le funzionalità nella scheda Rete e sicurezza. Vedere Assegnazione dei ruoli di servizio di NSX ai membri dell'organizzazione nella guida Rete e sicurezza di VMware Cloud on AWS.

Procedura

  1. Creare una VPN basata su route nell'SDDC.
    Una VPN basata su route crea un'interfaccia del tunnel IPsec ed esegue il routing del traffico attraverso di essa, come stabilito dalla tabella di routing dell'SDDC. Una VPN basata su route fornisce un accesso resiliente e sicuro a più subnet. Quando si utilizza una VPN basata su route, le nuove route vengono aggiunte automaticamente quando vengono create nuove reti. Vedere Creazione di una VPN basata su route nella guida Rete e sicurezza di VMware Cloud on AWS.
  2. Configurare una VPN IPsec locale.
    È possibile utilizzare NSX o qualsiasi altro dispositivo che può terminare una VPN IPsec.
    Importante:

    L'estremità SDDC di una VPN IPSec supporta solo la ridefinizione delle chiavi in base al tempo. Il dispositivo locale deve disabilitare la ridefinizione delle chiavi di lifebyte.

    Non configurare il lato locale della VPN in modo che abbia un timeout di inattività (ad esempio, l'impostazione Timeout inattività sessione di NSX). I timeout di inattività locali possono provocare la disconnessione periodica della VPN.

    1. Se il gateway VPN locale si trova dietro un firewall, è necessario configurare tale firewall in modo che inoltri il traffico del protocollo IPsec:
      • Aprire la porta UDP 500 per consentire l'inoltro del traffico ISAKMP (Internet Security Association and Key Management Protocol) attraverso il firewall.
      • Impostare l'ID del protocollo IP 50 per consentire l'inoltro del traffico ESP (Encapsulating Security Protocol) IPsec attraverso il firewall.
      • Impostare l'ID del protocollo IP 51 per consentire l'inoltro del traffico AH (Authentication Header) attraverso il firewall.
    2. Scaricare il file di configurazione della VPN IPsec dell'SDDC.
      Per ulteriori informazioni su cosa contiene questo file e su come utilizzarlo per configurare l'endpoint VPN locale, vedere il Riferimento alle impostazioni della VPN IPsec nella guida di Rete e sicurezza di VMware Cloud on AWS.
  3. (Facoltativo) Creare un segmento di rete.
    Viene creato un SDDC starter a host singolo con un singolo segmento di rete con routing, denominato sddc-cgw-network-1. Gli SDDC multi-host vengono creati senza un segmento di rete predefinito, pertanto è necessario crearne almeno uno per le macchine virtuali del carico di lavoro. Vedere Creazione di un segmento di rete nella guida Rete e sicurezza di VMware Cloud on AWS.
  4. Creare alcune regole di base del firewall nel gateway di gestione.
    Per impostazione predefinita, il gateway di gestione blocca il traffico verso tutte le destinazioni da tutte le origini. Aggiungere le regole del firewall del gateway di gestione per consentire il traffico in base alle esigenze. Vedere Aggiunta o modifica delle regole del firewall del gateway di gestione nella guida di Rete e sicurezza di VMware Cloud on AWS.
  5. Configurare il DNS privato della rete di gestione.
    Specificare gli indirizzi dei server DNS privati in modo che il gateway di gestione, gli host ESXi e le macchine virtuali di gestione risolvano FQDN in indirizzi IP nella rete di gestione. Per utilizzare funzionalità come la migrazione tramite vMotion, la migrazione a freddo o la modalità collegata ibrida, far passare la risoluzione del vCenter Server a un indirizzo IP privato risolvibile dalla VPN. Vedere Impostazione dell'indirizzo di risoluzione dell'FQDN di HCX nella guida di Rete e sicurezza di VMware Cloud on AWS.