VMware Cloud on AWS では、NSX を使用して SDDC ネットワークを作成および管理します。NSX は、クラウド ネイティブのアプリケーション環境を構築する俊敏性に優れた Software-Defined Infrastructure を提供します。
『VMware Cloud on AWS Networking and Security』ガイドでは、VMware Cloud コンソールの [ネットワークとセキュリティ] タブを使用して SDDC ネットワークを管理する方法について説明します。NSX Manager Web ユーザー インターフェイスを使用してこれらのネットワークを管理することもできます。SDDC バージョン 1.22 以降では、[ネットワークとセキュリティ] ダッシュボードの使用を試すことができます。これにより、SDDC ネットワークの表示が簡素化され、関連する NSX Manager の機能へのリンクも提供されます。
NSX Manager は、[ネットワークとセキュリティ] タブにある機能のスーパーセットをサポートしています。NSX Manager の使い方の詳細については、『NSX Data Center 管理ガイド』の NSX Manager を参照してください。VMware Cloud on AWS SDDC 内の NSX Manager には、インターネットに接続できる任意のブラウザから接続可能なパブリック IP アドレスでアクセスできます。これには、VPN または AWS Direct Connect を介して内部ネットワークからアクセスすることもできます。詳細については、NSX Manager を開くを参照してください。
NSX Manager Web ユーザー インターフェイスのレイアウトとナビゲーションは、VMware Cloud コンソールの [ネットワークとセキュリティ] タブと似ています。どちらのツールを使用しても、このドキュメントのほとんどの手順を完了できます。[ネットワークとセキュリティ] タブには、VPN、NAT、DHCP などの NSX の [ネットワーク] 機能とファイアウォールなどの NSX の [セキュリティ] 機能が組み合わされています。手順で NSX Manager を使用する必要がある場合は、該当する手順の前提条件に、その旨を注記しています。
SDDC ネットワーク トポロジー
コンピューティング ネットワークには、ワークロード仮想マシンに対応する任意の数の論理セグメントが含まれています。論理セグメントの現在の制限については、VMware 構成の上限を参照してください。単一ホストによる SDDC スタータ構成では、1 つのルーティング セグメントを持つコンピューティング ネットワークを作成します。これよりも多くのホストを含む SDDC 構成では、ニーズを満たすだけのコンピューティング ネットワーク セグメントを作成する必要があります。適用される制限については、VMware 構成の上限を参照してください。
- Tier 0 は、North-South トラフィック(SDDC に出入りするトラフィック、または管理ゲートウェイとコンピューティング ゲートウェイ間のトラフィック)を処理します。デフォルト構成では、各 SDDC に 1 つの Tier-0 ルーターがあります。SDDC が SDDC グループのメンバーである場合は、SDDC を再構成して、SDDC グループ トラフィックを処理する Tier-0 ルーターを追加できます。トラフィック グループを使用したマルチエッジ SDDC の構成を参照してください。
- Tier 1 は East-West トラフィック(SDDC 内のルーティング ネットワーク セグメント間のトラフィック)を処理します。デフォルト構成では、各 SDDC に 1 つの Tier-1 ルーターがあります。必要に応じて、追加の Tier-1 ゲートウェイを作成し、構成することができます。VMware Cloud on AWS SDDC へのカスタム Tier-1 ゲートウェイの追加を参照してください。
- NSX Edge アプライアンス
-
デフォルトの NSX Edge アプライアンスは、アクティブ/スタンバイ モードで実行される仮想マシンのペアとして実装されます。このアプライアンスは、デフォルトの Tier 0 ルーターと Tier 1 ルーターを実行するプラットフォームであり、あわせて IPsec VPN 接続と BGP ルーティング マシンの機能を備えています。すべての North-South トラフィックはデフォルトの Tier 0 ルーターを通過します。アプライアンス経由で East-West トラフィックが送信されるのを防ぐため、各 Tier 1 ルーターのコンポーネントは、SDDC 内の宛先のルーティングを処理するすべての ESXi ホストで実行されます。
SDDC グループ メンバー、SDDC グループに接続された Direct Connect Gateway、HCX Service Mesh、または接続中の VPC にルーティングされるこのトラフィックのサブセット用にさらにバンド幅が必要な場合は、トラフィック グループを作成して SDDC を再構成し、各グループに追加の T0 ルーターが作成されるマルチエッジにします。詳細については、トラフィック グループを使用したマルチエッジ SDDC の構成を参照してください。
注:VPN トラフィックとプライベート VIF への DX トラフィックは、デフォルトの T0 を介して通過する必要があります。デフォルト以外のトラフィック グループにルーティングすることはできません。また、NAT ルールは常にデフォルトの T0 ルーターで実行されるため、追加の T0 ルーターは NAT ルールの影響を受けるトラフィックを処理できません。これには、SDDC のネイティブ インターネット接続との間のトラフィックが含まれます。また、これには Amazon S3 サービスへのトラフィックも含まれ、このサービスは NAT ルールを使用し、デフォルトの T0 を経由する必要があります。
- 管理ゲートウェイ (MGW)
- 管理ゲートウェイは、 vCenter Server のルーティングとファイアウォーリング、および SDDC で実行するその他の管理アプライアンスを処理する Tier 1 ルーターです。管理ゲートウェイのファイアウォール ルールは MGW で実行され、管理仮想マシンへのアクセスを制御します。新しい SDDC では、インターネット接続は [概要] タブで [未接続] というラベルが付けられ、信頼されている送信元からのアクセスを許可する管理ゲートウェイのファイアウォール ルールを作成するまでブロックされた状態になります。 管理ゲートウェイのファイアウォール ルールの追加または変更を参照してください。
- コンピューティング ゲートウェイ (CGW)
- CGW は、ルーティングされたコンピューティング ネットワーク セグメントに接続されたワークロード仮想マシンのネットワーク トラフィックを処理する Tier 1 ルーターです。コンピューティング ゲートウェイのファイアウォール ルールと NAT ルールは、Tier 0 ルーターで実行されます。デフォルトの構成では、これらのルールはコンピューティング ネットワーク セグメントとの間のすべてのトラフィックをブロックします( コンピューティング ゲートウェイのネットワークおよびセキュリティを構成を参照)。
SDDC と接続中の VPC の間のルーティング
SDDC を作成すると、当社では、SDDC の作成時にユーザーが指定した AWS アカウントが所有する選択した VPC に、17 の AWS Elastic Network Interface (ENI) を事前に割り当てます。当社では、これらの ENI のそれぞれに、SDDC 作成時に指定したサブネットの IP アドレスを割り当て、SDDC クラスタ Cluster-1
内の各ホストをこれらの ENI の 1 つに接続します。アクティブな NSX Edge アプライアンスが実行されている ENI に追加の IP アドレスが割り当てられます。
接続中の VPC と呼ばれるこの構成は、SDDC 内の仮想マシン間のネットワーク トラフィック、および接続中の VPC のプライマリ CIDR ブロック内にあるアドレスを使用するネイティブ AWS インスタンス/サービスをサポートします。デフォルトの CGW に接続されているルーティング ネットワーク セグメントを作成または削除すると、メイン ルート テーブルが自動的に更新されます。接続中の VPC で管理対象プリフィックス リスト モードが有効になっている場合、メイン ルート テーブルと、管理対象プリフィックス リストを追加したカスタム ルート テーブルも更新されます。
接続中の VPC(または [SERVICES])インターフェイスは、接続中の VPC のプライマリ CIDR 内の宛先へのすべてのトラフィックに使用されます。デフォルト構成を使用する場合、SDDC と通信する AWS サービスまたは インスタンスは、接続中の VPC のメイン ルート テーブルに関連付けられたサブネット内にある必要があります。AWS 管理対象プリフィックス リスト モードが有効になっている場合(「接続中の Amazon VPC の AWS 管理対象プリフィックス リスト モードの有効化」を参照)、接続中の VPC 内のカスタム ルート テーブルを使用する AWS サービス/インスタンスが SERVICES インターフェイスを介して SDDC ワークロードと通信できるようにするには、これらのカスタム ルート テーブルに管理対象プリフィックス リストを手動で追加できます。
障害からのリカバリ、または SDDC のメンテナンスで、SDDC 内の NSX Edge アプライアンスを別のホストに移動すると、アプライアンスに割り当てられた IP アドレスが新しい ENI(新しいホストの ENI)に移動され、メイン ルート テーブルおよび管理対象プリフィックス リストを使用するカスタム ルート テーブルが更新されて、変更が反映されます。メイン ルート テーブルを置き換えた場合、またはカスタム ルート テーブルを使用しているが、管理対象プリフィックス リスト モードが有効になっていない場合、その更新は失敗し、SDDC ネットワークと接続中の VPC 間でネットワーク トラフィックをルーティングできなくなります。VMware Cloud コンソールを使用して接続中の VPC の詳細情報を表示する方法については、接続中の VPC 情報の表示と接続中の VPC に関する問題のトラブルシューティングを参照してください。
VMware Cloud on AWS には、接続中の VPC、他の VPC、および VMware Managed Transit Gateway へのルートを集約するのに役立ついくつかの機能があります。「接続中の Amazon VPC の AWS 管理対象プリフィックス リスト モードの有効化」を参照してください。
SDDC ネットワーク アーキテクチャとそれをサポートする AWS ネットワーク オブジェクトの詳細については、VMware Cloud Tech Zone の記事、VMware Cloud on AWS: SDDC ネットワーク アーキテクチャを参照してください。
予約されたネットワーク アドレス
|
これらの範囲は SDDC 管理サブネットで予約済みですが、オンプレミス ネットワークや SDDC コンピューティング ネットワーク セグメントで使用できます。 |
|
RFC 3927 では、169.254.0.0/16 はすべてリンク ローカル範囲で、1 つのサブネットを超えてルーティングすることはできません。ただし、これらの CIDR ブロックを除き、ユーザーの仮想トンネル インターフェイスには 169.254.0.0/16 アドレスを使用できます。ルートベースの VPN の作成を参照してください。 |
192.168.1.0/24 | これは、シングルホスト スタータ SDDC のデフォルトのコンピューティング セグメント CIDR であり、他の構成では予約されません。 |
SDDC ネットワークでのマルチキャストのサポート
SDDC ネットワークでは、レイヤー 2 マルチキャスト トラフィックは、トラフィックが発生したネットワーク セグメント上のブロードキャスト トラフィックとして扱われます。そのセグメントを超えてルーティングされることはありません。IGMP スヌーピングなどのレイヤー 2 マルチキャスト トラフィック最適化機能はサポートされません。レイヤー 3 マルチキャスト(Protocol Independent Multicast など)は、VMware Cloud on AWS ではサポートされません。
クラウド SDDC へのオンプレミス SDDC の接続
- レイヤー 3 (L3) VPN
- レイヤー 3 VPN は、パブリック インターネット または AWS Direct Connect を介して、オンプレミス データセンターと VMware Cloud on AWS SDDC との間の安全な接続を提供します。これらの IPsec VPN は、ルートベースまたはポリシーベースにすることができます。 オンプレミス エンドポイントの場合は、IPsec VPN 設定リファレンスに表示されている設定をサポートする任意のデバイスを使用できます。
- レイヤー 2 (L2) VPN
- Layer 2 VPN は、オンプレミス データセンターと SDDC にまたがるように拡張またはストレッチされたネットワークに対して単一の IP アドレス空間を提供し、SDDC へのオンプレミスのワークロードのホットまたはコールド移行を可能にします。任意の SDDC に 1 つの L2VPN トンネルのみを作成できます。トンネルのオンプレミス エンドには NSX が必要です。オンプレミス データセンターでまだ NSX を使用していない場合は、スタンドアローン NSX Edge アプライアンスをダウンロードして必要な機能を提供できます。L2 VPN は、オンプレミス データセンターを SDDC に、パブリック インターネット または AWS Direct Connect経由で接続できます。
- AWS Direct Connect (DX)
- AWS Direct Connect は、AWS が提供するサービスで、オンプレミス データセンターと AWS サービス間に、高速で遅延の小さい接続を作成します。AWS Direct Connect を構成すると、VPN はパブリック インターネットではなく DX 経由でトラフィックをルーティングできます。DX は境界ゲートウェイ プロトコル (BGP) ルーティングを実装するため、DX を構成するときに、オプションで管理ネットワークに L3VPN を使用できます。DX トラフィックは暗号化されません。このトラフィックを暗号化する場合は、DX およびプライベート IP アドレスを使用する IPsec VPN を構成します。
- VMware HCX
- マルチクラウド アプリケーション モビリティ ソリューションの VMware HCX は、すべての SDDC に無償で提供されます。これを利用して、オンプレミス データセンターと SDDC 間でワークロード仮想マシンを簡単に移行できます。 HCX のインストール、構成、および使用方法の詳細については、 HCX チェックリストによるハイブリッド移行を参照してください。
内部トラフィックと外部トラフィックの MTU に関する考慮事項
- SDDC グループと DX は同じインターフェイスを共有するため、両方の接続が使用中の場合は、使用する MTU 値(8,500 バイト)を引き下げる必要があります。
- 同じセグメント上のすべての仮想マシン NIC とインターフェイスに同じ MTU を指定する必要があります。
- エンドポイントで PMTUD がサポートされていて、パス内のファイアウォールで ICMP トラフィックが許可されている限り、セグメント間では異なる MTU が使用される可能性があります。
- レイヤー 3 (IP) MTU は、基盤となるレイヤー 2 接続でサポートされる最大パケット サイズ (MTU) からプロトコル オーバーヘッドを差し引いた値以下にする必要があります。VMware Cloud on AWS では、これは NSX セグメントであり、最大 8,900 バイトの MTU を指定したレイヤー 3 パケットがサポートされます。
SDDC ネットワークのパフォーマンスについて
SDDC ネットワークのパフォーマンスの詳細については、VMware Cloud Tech Zone Designlet の「Understanding VMware Cloud on AWS Network Performance」を参照してください。