VMware Cloud on AWS は、NSX-T を使用して内部 SDDC ネットワークを作成および管理し、オンプレミス ネットワーク インフラストラクチャからの VPN 接続のエンドポイントを提供します。

SDDC ネットワーク トポロジー

SDDC を作成すると、その SDDC には管理ネットワークが含まれます。単一ホストの評価版 SDDC には、小規模なコンピューティング ネットワークも含まれます。SDDC を作成するときに、ユーザーが管理ネットワーク CIDR ブロックを指定します。SDDC を作成した後、管理ネットワーク CIDR ブロックは変更できません。詳細については、 VMC コンソールからの SDDC の展開を参照してください。管理ネットワークには 2 つのサブネットがあります。
アプライアンスのサブネット
このサブネットは、SDDC 内の vCenter Server、NSX、および HCX アプライアンスによって使用されます。SRM などのアプライアンスベースのサービスを SDDC に追加すると、このサブネットにも接続されます。
インフラストラクチャ サブネット
このサブネットは、SDDC 内の ESXi ホストによって使用されます。

コンピューティング ネットワークには、ワークロード仮想マシンに対応する任意の数の論理セグメントが含まれています。論理セグメントの現在の制限については、VMware Configuration Maximums を参照してください。単一ホストによる SDDC スタータ構成では、1 つのルーティング セグメントを持つコンピューティング ネットワークを作成します。これよりも多くのホストを含む SDDC 構成では、ニーズを満たすだけのコンピューティング ネットワーク セグメントを作成する必要があります。適用される制限については、VMware Configuration Maximumsを参照してください。

SDDC ネットワークには、次の 2 つの概念的階層があります。
  • Tier 0 は、North-South トラフィック(SDDC に出入りするトラフィック、または管理ゲートウェイとコンピューティング ゲートウェイ間のトラフィック)を処理します。
  • Tier 1 は East-West トラフィック(SDDC 内のルーティング ネットワーク セグメント間のトラフィック)を処理します。
図 1. SDDC ネットワーク トポロジー
NSX Edge アプライアンス

デフォルトの NSX Edge アプライアンスは、アクティブ/スタンバイ モードで実行される仮想マシンのペアとして実装されます。このアプライアンスは、デフォルトの Tier 0 ルーターと Tier 1 ルーターを実行するプラットフォームであり、あわせて IPsec VPN 接続と BGP ルーティング マシンの機能を備えています。North-South トラフィックはすべて Tier 0 ルーターを通過します。Edge アプライアンス経由で East-West トラフィックが送信されるのを防ぐため、各 Tier 1 ルーターのコンポーネントは、SDDC 内の宛先のルーティングを処理する全ての ESXi ホストで実行されます。

SDDC グループ メンバー、SDDC グループに接続された Direct Connect Gateway、HCX Service Mesh、または接続された VPC にルーティングされるこのトラフィックのサブセット用にさらにバンド幅が必要な場合は、トラフィック グループを作成して SDDC を再構成し、各グループに追加の T0 ルーターが作成されるマルチエッジにします。詳細については、トラフィック グループを使用したマルチエッジ SDDC の構成を参照してください。

注:

VPN トラフィックとプライベート VIF への DX トラフィックは、デフォルトの T0 を介して通過する必要があります。デフォルト以外のトラフィック グループにルーティングすることはできません。また、NAT ルールは常にデフォルトの T0 ルーターで実行されるので、追加の T0 ルーターは SNAT ルールまたは DNAT ルールの影響を受けるトラフィックを処理できません。これには、SDDC のネイティブ インターネット接続との間のトラフィックが含まれます。また、これには Amazon S3 サービスへのトラフィックも含まれ、このサービスは NAT ルールを使用し、デフォルトの T0 を経由する必要があります。

管理ゲートウェイ (MGW)
管理ゲートウェイは、vCenter Server のルーティングとファイアウォーリング、および SDDC で実行するその他の管理アプライアンスを処理する Tier 1 ルーターです。管理ゲートウェイのファイアウォール ルールは MGW で実行され、管理仮想マシンへのアクセスを制御します。デフォルトの構成では、これらのルールは管理ネットワークへのすべての受信トラフィックをブロックします( 管理ゲートウェイのファイアウォール ルールの追加または変更を参照)。
コンピューティング ゲートウェイ (CGW)
CGW は、ルーティングされたコンピューティング ネットワーク セグメントに接続されたワークロード仮想マシンのネットワーク トラフィックを処理する Tier 1 ルーターです。コンピューティング ゲートウェイのファイアウォール ルールと NAT ルールは、Tier 0 ルーターで実行されます。デフォルトの構成では、これらのルールはコンピューティング ネットワーク セグメントとの間のすべてのトラフィックをブロックします( コンピューティング ゲートウェイのネットワークおよびセキュリティを構成を参照)。

SDDC と接続中の VPC の間のルーティング

重要:

AWS サービスまたはインスタンスが SDDC と通信するすべての VPC サブネットを、接続された VPC のメイン ルート テーブルと関連付ける必要があります。カスタム ルート テーブルの使用やメイン ルート テーブルの置き換えはサポートされていません。

SDDC を作成すると、当社では、SDDC の作成時にユーザーが指定した AWS アカウントが所有する選択した VPC に、17 の AWS Elastic Network Interface (ENI) を事前に割り当てます。当社では、これらの ENI のそれぞれに、SDDC 作成時に指定したサブネットの IP アドレスを割り当て、SDDC クラスタ Cluster-1 内の各ホストをこれらの ENI の 1 つに接続します。アクティブな NSX Edge アプライアンスが実行されている ENI に追加の IP アドレスを割り当てられます。

接続された VPC と呼ばれるこの構成は、SDDC 内の仮想マシンと AWS インスタンス間のネットワーク トラフィック、および接続された VPC 内のネイティブ AWS サービス エンドポイントをサポートします。接続された VPC のメイン ルート テーブルには、VPC のプライマリ サブネットと、すべての SDDC(NSX-T ネットワーク セグメント)サブネットが反映されます。ワークロード ネットワーク上でルーティングされたネットワーク セグメントの作成時や削除時には、メイン ルート テーブルが自動的に更新されます。障害からの復旧、または SDDC のメンテナンスで、SDDC 内の NSX Edge アプライアンスを別のホストに移動すると、 Edge アプライアンスに割り当てられた IP アドレスが新しい ENI(新しいホストの)に移動され、メイン ルート テーブルが更新されて、変更が反映されます。メイン ルート テーブルを置き換え済みの場合、またはカスタム ルート テーブルを使用している場合、この更新は失敗し、SDDC ネットワークと接続中の VPC との間でネットワーク トラフィックをルーティングできなくなります。VMC コンソール による接続された VPC の詳細情報の表示方法の詳細については、接続されている VPC の情報の表示 を参照してください。

SDDC ネットワーク アーキテクチャとそれをサポートする AWS ネットワーク オブジェクトの詳細については、VMware Cloud Tech Zone の記事、VMware Cloud on AWS: SDDC ネットワーク アーキテクチャを参照してください。

予約されたネットワーク アドレス

SDDC コンピューティング ネットワークでは、特定範囲の IPv4 アドレスを使用できません。そのいくつかは、SDDC ネットワーク コンポーネント内部で使用されます。これらのアドレスのほとんどは、他のネットワーク上の規約でも予約されています。
表 1. SDDC ネットワークの予約済みアドレスの範囲
  • 10.0.0.0/15
  • 172.31.0.0/16
これらの範囲は SDDC 管理サブネットで予約済みですが、オンプレミス ネットワークや SDDC コンピューティング ネットワーク セグメントで使用できます。
100.64.0.0/16 RFC 6598 に従ってキャリアグレード NAT 用に予約済みです。SDDC ネットワーク、その他では、この範囲のアドレスを使用しないでください。SDDC 内や外部からアクセスできないおそれがあります。SDDC ネットワークにおけるこれらのアドレス範囲の使用方法の詳細については、VMware のナレッジベースの記事 76022 を参照してください。
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
RFC 3927 では、169.254.0.0/16 はすべてリンク ローカル範囲で、1 つのサブネットを超えてルーティングすることはできません。ただし、これらの CIDR ブロックを除き、ユーザーの仮想トンネル インターフェイスには 169.254.0.0/16 アドレスを使用できます。ルートベースの VPN の作成を参照してください。
192.168.1.0/24 これは、シングルホスト スタータ SDDC のデフォルトのコンピューティング セグメント CIDR であり、他の構成では予約されません。
SDDC ネットワークには、 RFC 3330 に列挙された特別な IPv4 アドレス範囲の使用規則も適用されます。

SDDC ネットワークでのマルチキャストのサポート

SDDC ネットワークでは、レイヤー 2 マルチキャスト トラフィックは、トラフィックが発生したネットワーク セグメント上のブロードキャスト トラフィックとして扱われます。そのセグメントを超えてルーティングされることはありません。IGMP スヌーピングなどのレイヤー 2 マルチキャスト トラフィック最適化機能はサポートされません。レイヤー 3 マルチキャスト(Protocol Independent Multicast など)は、VMware Cloud on AWS ではサポートされません。

クラウド SDDC へのオンプレミス SDDC の接続

オンプレミス データセンターを VMware Cloud on AWS SDDC に接続する場合、パブリック インターネットを使用する VPN、AWS Direct Connect を使用する VPN、AWS Direct Connect のみを使用する VPN を作成できます。また、SDDC グループを利用して、 VMware Transit Connect™ と AWS Direct Connect Gateway を使用し、 VMware Cloud on AWS SDDC のグループとオンプレミスの SDDC の間に一元的な接続を提供することもできます。『 VMware Cloud on AWS Operations Guide』の SDDC 展開グループの作成と管理を参照してください。
図 2. オンプレミス データセンターへの SDDC 接続
レイヤー 3 (L3) VPN
レイヤー 3 VPN は、パブリック インターネットまたは AWS Direct Connect を介して、オンプレミス データセンターと VMware Cloud on AWS SDDC との間の安全な接続を提供します。これらの IPsec VPN は、ルートベースまたはポリシーベースにすることができます。オンプレミス エンドポイントとして IPsec VPN 設定リファレンスにリストされている設定をサポートする任意のオンプレミス ルーターを使用して、タイプごとに最大 16 個の VPN を作成できます。
レイヤー 2 (L2) VPN
Layer 2 VPN は、オンプレミス データセンターと SDDC にまたがるように拡張またはストレッチされたネットワークに対して単一の IP アドレス空間を提供し、SDDC へのオンプレミスのワークロードのホットまたはコールド移行を可能にします。任意の SDDC に 1 つの L2VPN トンネルのみを作成できます。トンネルのオンプレミス エンドには NSX が必要です。オンプレミス データセンターでまだ NSX を使用していない場合は、スタンドアローン NSX Edge アプライアンスをダウンロードして必要な機能を提供できます。L2 VPN は、パブリック インターネットまたは AWS Direct Connect 経由でオンプレミス データセンターを SDDC に接続できます。
AWS Direct Connect (DX)
AWS Direct Connect は、AWS が提供するサービスで、オンプレミス データセンターと AWS サービス間に、高速で遅延の小さい接続を作成できます。AWS Direct Connect を構成すると、VPN は、パブリック インターネット経由でトラフィックをルーティングする代わりにこれを使用できます。Direct Connect は境界ゲートウェイ プロトコル (BGP) ルーティングを実装するため、Direct Connect を構成するときに、オプションで管理ネットワークに L3VPN を使用できます。Direct Connect 上のトラフィックは暗号化されません。このトラフィックを暗号化すると、プライベート IP アドレスと Direct Connect を使用する IPsec VPN を構成できます。
VMware HCX
マルチクラウド アプリケーション モビリティ ソリューションの VMware HCX は、すべての SDDC に無償で提供されます。これを利用して、オンプレミス データセンターと SDDC 間でワークロード仮想マシンを簡単に移行できます。HCX のインストール、設定、および使用方法の詳細については、 HCX でのハイブリッド移行のチェックリストを参照してください。