DX を介したプライベート VIF を作成し、プライベート IP アドレスを使用して、オンプレミス ネットワークと SDDC のワークロード、ESXi 管理、および管理アプライアンス間の直接接続を提供します。

SDDC に接続する Direct Connect (DX) 回線それぞれに対してプライベート仮想インターフェイス (VIF) を 1 つ作成します。各プライベート VIF は個別の BGP セッションを確立します。これは、アクティブ/スタンバイ設計またはアクティブ/アクティブ(ECMP を含む)設計で使用することも、プライベート ネットワーク セグメントに使用することもできます。DX の冗長性が必要な場合は、異なる DX 回線でプロビジョニングされた個別のプライベート VIF を SDDC に接続します。

高可用性を確保するために複数のプライベート VIF を個別の DX 回線を介して SDDC に接続する場合は、すべての DX 回線を同じ AWS アカウントで作成し、異なるAWS Direct Connect ロケーションに提供する必要があります。この操作を行うと、AWS は冗長性を高めるために DX 接続に個別の内部ネットワーク パスを利用しようとします。AWS ドキュメントのHigh resiliencyおよびActive/Active and Active/Passive Configurations in AWS Direct Connectを参照してください。すべてのプライベート VIF にアドバタイズされるネットワーク セグメント数の制限については、VMware Configuration Maximumsを参照してください。柔軟性を高めるためのルート集約がサポートされていますが、すべての VIF には、SDDC によってアドバタイズされた同じネットワークがあります。

重要:

DX プライベート仮想インターフェイスまたは SDDC グループを SDDC に接続すると、SDDC 内の他のルーティング構成に関係なく、ESXi ホスト発で SDDC ネットワーク外の宛先行きのすべての送信トラフィックは、そのインターフェイス経由でルーティングされます。vMotion トラフィックと vSphere Replication トラフィックも同様です。受信トラフィックと送信トラフィックのパスが対称になるように、ESXi ホストへの受信トラフィックも同じパス経由でルーティングされるようにする必要があります。VMware Transit ConnectVMware Managed Transit Gateway (VTGW) の詳細については、『VMware Cloud on AWS Operations Guide』の VMware Transit Connect を使用した SDDC 展開グループの作成と管理 を参照してください。

ルートベースの VPN から学習したルートは、BGP を介して他のルートベースの VPN にアドバタイズされますが、SDDC は自身のネットワークのみを SDDC グループにアドバタイズします。VPN から学習したルートはアドバタイズされません。BGP 経由でアドバタイズおよび学習されるルートの制限をはじめ、AWS によって課される Direct Connect に関する制限の詳細については、『AWS Direct Connect ユーザー ガイド』のAWS Direct Connect のクォータを参照してください。

この方法で作成したプライベート VIF は、その VIF を作成したリージョン内の任意の組織の SDDC に接続できます。プライベート VIF は、DX 回線と同じリージョンに作成し、その同じリージョン内の SDDC に接続する必要があります。SDDC に接続した後で VIF を分離したり、別の SDDC に再割り当てしたりすることはできません。代わりに、その VIF を削除して新しい VIF を作成する必要があります。SDDC を削除すると、接続されている VIF がすべて削除されます。

前提条件

  • 仮想インターフェイスの前提条件に記載されている仮想インターフェイスの前提条件を満たしていることを確認します。
  • ルートベースの VPN を Direct Connect のバックアップとして使用する場合は、手順 6 に示すように [Direct Connect のバックアップとして VPN を使用] スイッチを [有効] に設定する必要もあります。ポリシーベースの VPN を使用して別の接続をバックアップすることはできません。

手順

  1. https://vmc.vmware.comVMware Cloud Services にログインします。
  2. [インベントリ] > [SDDC] の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
  3. [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。NSX Manager による SDDC ネットワーク管理を参照してください。
    このワークフローでは、 VMware Cloud コンソール[ネットワークとセキュリティ] タブを使用することもできます。
  4. AWS コンソールにログインし、ホスト仮想インターフェイスの作成で説明されている「ホストされたプライベート仮想インターフェイスを作成する」の手順を実行します。
    ホストされている VIF を使用している場合は、AWS Direct Connect パートナー企業と連携し、 [Direct Connect] 画面の [AWS アカウント ID] フィールドに表示されているアカウントで VIF を作成し、この手順の 手順 5 にスキップします。専用の接続またはホストされた接続を使用している場合は、最初に次の手順を実行します。
    1. [仮想インターフェイス タイプ] に対し、[プライベート] を選択し、[仮想インターフェイス名] を組み立てます。
    2. [仮想インターフェイス所有者] フィールドに対し、[他の AWS アカウント] を選択し、NSX [Direct Connect] 画面の [AWS アカウント ID] を使用します。
    3. [VLAN] に対し、AWS Direct Connect パートナー企業が提供する値を使用します。
    4. [BGP ASN] に対し、この接続が終了するオンプレミス ルーターの ASN を使用します。
      この値を、 NSX [Direct Connect] 画面に表示されている [BGP ローカル ASN] と同じにすることはできません。
    5. [詳細設定] を展開し、次の項目を選択します。
      [アドレス ファミリ] IPV4 の選択
      [ルーター ピア IP] この接続のオンプレミス側(ルーター)の IP アドレスを指定するか、空白のままにして AWS がアドレスを自動的に割り当てられるようにします。このアドレスは、後でルーターで設定する必要があります。
      [Amazon のルーター ピア IP] この接続の AWS 側の IP アドレスを指定するか、空白のままにして AWS がアドレスを自動的に割り当てられるようにします。このアドレスは、後でルーターで設定する必要があります。
      [BGP 認証キー] 値を指定するか、空白のままにして AWS がキーを生成できるようにします。このキーは、後でルーターで設定する必要があります。
      [ジャンボ MTU(MTU サイズ 9001)] すべての SDDC ネットワークのデフォルトの MTU は 1,500 バイトです。このプライベート VIF への DX トラフィックを有効にして、より高い MTU を使用するには、[ジャンボ MTU(MTU サイズ 9001)][有効] を選択します。VIF を作成したら、NSX[グローバル構成] 画面を開き、[イントラネット アップリンク] でより高い [MTU] の値を設定する必要もあります。詳細については、Direct Connect の MTU の指定を参照してください。接続プロパティでこれを有効にすると、すぐに使用しない場合でも、SDDC ネットワークでジャンボ フレームを必要に応じて利用しやすくなります。
    インターフェイスが作成されると、受け入れの準備ができたことが AWS コンソールから報告されます。
  5. [NSX Manager] または VMC コンソールの [ネットワークとセキュリティ] タブを開きます。[Direct Connect] をクリックし、[接続] をクリックして仮想インターフェイスを受け入れます。
    新しい VIF は、受け入れられる前は組織内のすべての SDDC に表示されます。VIF を受け入れると、他の SDDC には表示されなくなります。
    BGP セッションが有効になるまでに、最長 10 分かかる場合があります。接続が準備できると、 [状態][接続済み][BGP ステータス][UP] と表示されます。
  6. (オプション) ルートベース VPN を Direct Connect のバックアップとして構成します。
    デフォルトの設定では、DX と VPN の両方によって BGP にアドバタイズされるすべてのルート上のトラフィックには、デフォルトでルートベースの VPN が使用されます。DX と VPN の両方によってアドバタイズされるルートが、デフォルトでは DX を使用し、DX が使用できないときは VPN にフェイルオーバーするようにするには、 [Direct Connect] をクリックし、 [Direct Connect のバックアップとして VPN を使用] スイッチを [有効] に設定します。
    注: この設定には、ルートベース VPN が必要です。ポリシーベース VPN を Direct Connect のバックアップとして使用することはできません。SDDC グループのメンバーである SDDC では、DX プライベート VIF とグループの VMware Managed Transit Gateway ( VTGW) の両方がアドバタイズするルートを通過するトラフィックは、 VTGW を介してルーティングされます。
    ルーティング設定の更新には約 1 分かかります。操作が完了すると、DX と VPN の両方によって通知されるルートは、DX 接続がデフォルトになり、DX が使用できない場合にのみ VPN が使用されます。DX と VPN の両方がアドバタイズする同等のルートは、VPN 接続に優先順位を付けます。

結果

ルートが学習されてアドバタイズされると、 [アドバタイズされた BGP ルート][学習された BGP ルート] のリストが表示されます。更新アイコンをクリックすると、これらのリストが更新されます。SDDC 内のすべてのルーティングされたサブネットは、管理ネットワーク サブネットの次のサブセットとともに、BGP ルートとしてアドバタイズされます。
  • サブネット 1 には、ESXi ホスト vmks およびルーター インターフェイスで使用されるルートが含まれます。
  • サブネット 2 には、マルチ AZ のサポートと AWS 統合に使用されるルートが含まれます。
  • サブネット 3 には管理仮想マシンが含まれます。
切断されたネットワークと拡張ネットワークはアドバタイズされません。カスタム T1 に接続されたネットワークはアドバタイズされません。ルート フィルタリングが有効になっている場合は、デフォルト CGW に接続されたネットワークもアドバタイズされません。

DX に定義および適用されたルート集約は、定義に従ってアドバタイズされます(アップリンクへのルートの集約とフィルタリングを参照してください)。

プライベート VIF に実際にアドバタイズされる CIDR ブロックは、管理サブネットの CIDR ブロックによって決まります。ある SDDC で、デフォルト管理ネットワーク CIDR がブロック サイズ /16、/20、/22 の 10.2.0.0 である場合、これらのルートの CIDR ブロックは次の表のようになります。

表 1. デフォルトの管理ゲートウェイ CIDR 10.2.0.0 についてアドバタイズされるルート
管理ゲートウェイ CIDR サブネット 1 サブネット 2 サブネット 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

次のタスク

オンプレミスの vMotion インターフェイスが Direct Connect を使用するように構成されていることを確認します。Direct Connect を使用するための vMotion インターフェイスの設定を参照してください。