AWS 管理対象プリフィックス リスト モードを使用すると、マルチエッジ SDDC でルート テーブルの管理を簡素化し、任意の SDDC でカスタムのルート テーブルとルート集約のサポートを使用できるようになります。
VMware Cloud on AWS で接続中の VPC の AWS 管理対象プリフィックス リストを有効にすると、デフォルトのコンピューティング ゲートウェイ プリフィックスとユーザー自身が作成した他のプリフィックス リストが集約されて、ポピュレートされた AWS プリフィックス リストが作成されます。このリストは、[接続中の Amazon VPC] 画面に表示される [AWS アカウント ID] と共有されます。この AWS リソース共有を受け入れると、接続中の VPC ルート テーブルにプリフィックス リストを追加できるようになります。
VMware Cloud on AWS は、管理対象プリフィックス リストを使用して、接続中の VPC のメイン ルート テーブルを更新します。プリフィックス リストがルート テーブルに追加された場合は、ルート テーブル内の該当エントリが宛先 ENI を参照し、ENI に含まれる個々の CIDR はプリフィックス リストによって置き換えられます。プリフィックス リストは管理対象オブジェクトであるため、新しいセグメントまたは集約が構成されるたびに自動的に更新されます。また、アクティブ エッジ インスタンスのホストが変更されるたびに、そのプリフィックス リストのルート テーブル エントリが正しい ENI を参照するように更新されます。ユーザーが作成したカスタム ルート テーブルに接続中の VPC プリフィックス リストを追加する作業は、ユーザー自身が行います。管理対象プリフィックス リストの詳細については、VMware Cloud Tech Zone の記事
Understanding Managed Prefix List Mode for Connected VPC in VMC on AWSを参照してください。
注: マルチエッジ SDDC では、接続中の VPC の管理対象プリフィックス リストにデフォルトのトラフィック グループのプリフィックス リストからのエントリがポピュレートされます。
NSX エッジを追加するたびにプリフィックス リストを手動で更新する必要があります。
接続中の VPC のメイン ルート テーブルを含むルーティング テーブルからプリフィックス リストを削除し、後でそれをリストアする場合は、その処理を手動で行う必要があります。
手順
- https://vmc.vmware.com の VMware Cloud Services にログインします。
- の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
- [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
このワークフローでは、
VMware Cloud コンソールの
[ネットワークとセキュリティ] タブを使用することもできます。
- [接続中の VPC] をクリックして、[接続中の Amazon VPC] 画面を開きます。
この画面の
[トラフィック グループ] テーブルに、デフォルトのトラフィック グループとアクティブな AWS ネットワーク インターフェイス ID が表示されます。
- [AWS 管理対象プリフィックス リスト モード] を有効にします。
- [AWS 管理対象プリフィックス リスト モード] を [有効] に切り替えます。
メッセージを確認し、
[有効化] または
[キャンセル] をクリックします。
[有効化] をクリックして
[AWS 管理対象プリフィックス リスト モード] を
[アクション保留中] に移行すると、管理対象プリフィックス リストを含む AWS リソース共有を受け入れるように求められます。
- リソース共有を受け入れる権限を持つ ID を使用して AWS コンソールにログインし、 の順にクリックします。
リソースの
[Name] の形式は
managed-prefix-list-resource-share-vpc-ID
で、
[Status] は
[Pending] です。リソースの
[Name] をクリックしてリソースの
[Summary] カードを開き、
[Accept resource share] をクリックして受け入れを確定します。
- VMware Cloud コンソールで、[接続中の Amazon VPC] タブに戻り、[AWS 管理プリフィックス リスト モード] が [保留] から [有効] に変更されるまで待機します。
AWS リソースの関連付けには、最大で 10 分かかることがあります。
接続中の VPC のメイン ルート テーブルでは、管理ゲートウェイとコンピューティング ゲートウェイへの個々のルートがプリフィックス リストに置き換えられます。[トラフィック グループ] テーブルに、デフォルト トラフィック グループの [プリフィックス リスト ID]、[プリフィックス リスト名]、[プログラムされたルート テーブル] が追加されました。[プリフィックス リスト名] をクリックしてリストを表示します。
次のタスク
接続中の VPC のカスタム ルート テーブルにプリフィックス リストを追加します。これにより、そのカスタム ルート テーブルに関連付けられているサブネット内の AWS リソースが SDDC と通信できるようになります。
VMware Cloud on AWS は、追加のルート テーブルを自動的に検出し、正しい ENI を参照するようにプリフィックス リストを更新します。最初の更新後、プリフィックス リストで使用されている ENI と同じ ENI を参照するようにルート テーブルを手動で構成することができます。手動で更新しない場合は、新しいルート テーブルにプリフィックス リストが追加されたことが VMware Cloud on AWS によって検出されるたびに、この更新と以降の更新が自動的に実行されます。
注:
各プリフィックス リストは、ルート テーブルへの追加の際に 1 つの [ルート] としてカウントされますが、多数のエントリがリストに含まれている場合があります。各エントリはルート テーブルの割り当てに含まれます。AWS VPC ルート テーブルの割り当ての説明を参照して、すべてのルートをプリフィックス リストに含めるための十分なキャパシティがルート テーブルにあることを確認してください。アップリンクへのルートの集約とフィルタリングを使用すると、Direct Connect、VMware Transit Connect、接続中の VPC などの SDDC ネットワーク アップリンクにアドバタイズされる一連のルートを制御できます。集約は、VPC ルート テーブル内のエントリ数を削減する場合に役立ちます。出力方向フィルタリングは、接続中の Amazon VPC(サービス アップリンク)およびその他のアップリンクにアドバタイズされる一連のルートを制限する場合に役立ちます。
VMware Cloud on AWS では、カスタム ルート テーブルでプリフィックス リストを検出すると(最大 10 分かかる場合があります)、アクティブな ENI を参照するようにそのエントリを更新し、更新したルート テーブルを [トラフィック グループ] テーブルに追加します。そのルート テーブルに対する以降の更新は、アクティブな ENI が変更されるとすぐに実行されます。