VMware Cloud on AWS を使用して SDDC でワークロードを実行するには、オンプレミス データセンターを SDDC に接続するネットワークを設定する必要があります。このネットワークには、AWS Direct Connect、IPsec VPN、またはその両方の専用接続を含めることができます。

Direct Connect を経由するように IPsec VPN トラフィックをルーティング設定すると低いコストで優れたパフォーマンスが得られますが、最初はインターネット経由で SDDC に接続するように IPsec VPN を設定し、その後、Direct Connect を使用するように VPN を再構成できます。

新しい SDDC の [ネットワークとセキュリティ] タブを開くと、[ネットワークとセキュリティのセットアップ] ウィザードの手順を実行して、Direct Connect と VPN の設定、SDDC での vCenter Server へのアクセス、デフォルト DNS サーバの変更(必要な場合)を行うことができます。

オンプレミス データセンターをインターネット経由で SDDC に接続するルートベースの VPN を設定するのみの場合は、次の手順を実行します。

前提条件

[ネットワークとセキュリティ] タブで機能を表示および構成するには、NSX Admin サービス ロールが必要です。『VMware Cloud on AWS Networking and Security ガイド』の組織のメンバーへの NSX サービス ロールの割り当てを参照してください。

手順

  1. SDDC でルート ベースの VPN を作成します。
    ルートベースの VPN では、IPsec トンネル インターフェイスが作成され、SDDC ルーティング テーブルで指定されたとおりにトラフィックがルーティングされます。ルートベースの VPN では、複数のサブネットに対する、回復性と安全性が確保されたアクセスが提供されます。ルートベースの VPN を使用すると、新しいネットワークが作成されたときに新しいルートが自動的に追加されます。 VMware Cloud on AWS Networking and Security』ガイドのルートベースの VPN の作成を参照してください。
  2. オンプレミスの IPsec VPN を構成します。
    IPsec VPN を終端可能な NSX またはその他のデバイスを使用できます。
    重要:

    IPsec VPN の SDDC 側でサポートされるのは、時間ベースの再キー化のみです。オンプレミス デバイスでは、ライフバイト (lifebyte)でのキー再生成を無効にする必要があります。

    VPN のオンプレミス側では、アイドル タイムアウト、たとえば、NSX の [セッション アイドル タイムアウト] を構成しないでください。オンプレミスのアイドル タイムアウトを設定すると、VPN の切断が断続的に発生する可能性があります。

    1. オンプレミスの VPN ゲートウェイがファイアウォールの背後にある場合は、IPsec プロトコル トラフィックを転送するように、そのファイアウォールを構成する必要があります。
      • UDP ポート 500 を開き、Internet Security Association and Key Management Protocol (ISAKMP) のトラフィックがファイアウォール経由で転送されることを許可します。
      • IP プロトコル ID 50 を設定して、IPsec Encapsulating Security Protocol (ESP) トラフィックがファイアウォール経由で転送されることを許可します。
      • IP プロトコル ID 51 を設定して、認証ヘッダー (AH) トラフィックがファイアウォール経由で転送されることを許可します。
    2. SDDC IPsec VPN 構成ファイルをダウンロードします。
      このファイルの内容の詳細と、オンプレミス VPN エンドポイントを構成する際の使用方法については、 VMware Cloud on AWS Networking and Security』ガイドのIPsec VPN 設定リファレンスを参照してください。
  3. (オプション) ネットワーク セグメントを作成します。
    単一ホスト スタータ SDDC が、sddc-cgw-network-1 という名前の単一ルーティング ネットワーク セグメントを使用して作成されます。マルチホスト SDDC はデフォルトのネットワーク セグメントなしで作成されるため、ワークロード仮想マシン用に少なくとも 1 つ作成する必要があります。 VMware Cloud on AWS Networking and Security』ガイドの「ネットワーク セグメントの作成」を参照してください。
  4. 管理ゲートウェイに基本的なファイアウォール ルールをいくつか作成します。
    デフォルトでは、管理ゲートウェイはすべての送信元からのすべての宛先へのトラフィックをブロックします。必要に応じて管理ゲートウェイのファイアウォール ルールを追加し、トラフィックを許可してください。 VMware Cloud on AWS Networking and Security』ガイドの「管理ゲートウェイのファイアウォール ルールの追加または変更」を参照してください。
  5. 管理ネットワークのプライベート DNS を設定します。
    プライベート DNS サーバのアドレスを指定して、管理ゲートウェイ、ESXi ホスト、および管理仮想マシンが、完全修飾ドメイン名 (FQDN) を管理ネットワーク上の IP アドレスに解決できるようにします。vMotion による移行、コールド移行、 またはハイブリッド リンク モードなどの機能を使用するには、vCenter Server の解決を VPN から解決可能なプライベート IP アドレスに切り替えます。 VMware Cloud on AWS Networking and Security』ガイドの「HCX FQDN 解決アドレスの設定」を参照してください。