VMware Cloud on AWS は、NSX-T を使用して内部 SDDC ネットワークを作成および管理し、オンプレミス ネットワーク インフラストラクチャからの VPN 接続のエンドポイントを提供します。

SDDC ネットワーク トポロジー

SDDC を作成すると、SDDC には管理ネットワークとコンピューティング ネットワークが含まれます。管理ネットワークの CIDR ブロックは、SDDC の作成時に指定する必要があり、変更できません。詳細については、 VMC コンソールからの SDDC の展開を参照してください。管理ネットワークには 2 つのサブネットがあります。
アプライアンスのサブネット
SDDC を作成したときに管理サブネット用に指定した CIDR 範囲のサブネット。このサブネットは、SDDC 内の vCenter Server、NSX、および HCX アプライアンスによって使用されます。SRM などのアプライアンスベースのサービスを SDDC に追加すると、このサブネットにも接続されます。
インフラストラクチャ サブネット
SDDC を作成したときに管理サブネット用に指定した CIDR 範囲のサブネット。このサブネットは、SDDC 内の ESXi ホストによって使用されます。

コンピューティング ネットワークには、ワークロード仮想マシンに対応する任意の数の論理セグメントが含まれています。単一ホストによる SDDC スタータ構成では、1 つのルーティング セグメントを持つコンピューティング ネットワークを作成します。これよりも多くのホストを含む SDDC 構成では、ニーズを満たすだけのコンピューティング ネットワーク セグメントを作成する必要があります。適用される制限については、VMware Configuration Maximumsを参照してください。

SDDC ネットワークには、次の 2 つの概念的階層があります。
  • Tier-0 は、1 つの NSX Edge アプライアンスによって提供されます。
  • Tier-1 は、2 つの NSX Edge ファイアウォール(管理ゲートウェイとコンピューティング ゲートウェイ)で提供されます。
図 1. SDDC ネットワーク トポロジー
NSX Edge アプライアンス(Tier 0 ルーター)
デフォルトの SDDC ネットワーク構成では、オンプレミス ネットワークと SDDC ネットワーク間のすべてのトラフィックが、このアプライアンスを通過します。ワークロード仮想マシンへのアクセスを制御するコンピューティング ゲートウェイのファイアウォール ルールは、アップリンク インターフェイスに適用されます。VPN を経由しない、またはインターネットとの間でその他のルートを通らないこのトラフィックのサブセット用にさらに帯域幅が必要な場合は、トラフィック グループを作成して、マルチエッジになるように SDDC を再構成します。これらの各グループには、追加の Edge アプライアンス ルーターが作成されます。詳細については、 トラフィック グループを使用したマルチエッジ SDDC の構成を参照してください。
管理ゲートウェイ (MGW)
管理ゲートウェイは、SDDC で実行される vCenter Server および他の管理アプライアンスに North-South ネットワーク接続を提供する NSX Edge ファイアウォールです。管理ゲートウェイのインターネット接続用 IP アドレスは、SDDC の作成時に AWS パブリック IP アドレスのプールから自動的に割り当てられます。このアドレス範囲の指定の詳細については、 VMC コンソールからの SDDC の展開を参照してください。
コンピューティング ゲートウェイ (CGW)
CGW は、SDDC コンピューティング ネットワークに接続されるワークロード仮想マシンに North-South ネットワーク接続を提供する NSX Edge ファイアウォールです。

SDDC と接続中の VPC の間のルーティング

重要:

SDDC と通信する AWS サービスまたはインスタンスが置かれている、すべての SDDC サブネットおよび VPC サブネットを、接続された VPC のメイン ルート テーブルと関連付ける必要があります。カスタム ルート テーブルの使用やメイン ルート テーブルの置き換えはサポートされていません。

SDDC を作成すると、指定した AWS アカウントが所有する VPC の ENI が SDDC 内の NSX Edge アプライアンスに接続されます。この VPC が接続中の VPC になり、その接続により、SDDC の仮想マシンと AWS インスタンスの間のネットワーク トラフィックと、接続中の VPC 内のネイティブ サービスがサポートされます。接続中の VPC のメイン ルート テーブルには、VPC 内のすべてのサブネットと、SDDC(NSX-T ネットワーク セグメント)のすべてのサブネットが含まれます。ワークロード ネットワーク上のルーティング ネットワーク セグメントを作成または削除すると、メイン ルート テーブルは自動的に更新されます。障害からのリカバリのため、または SDDC メンテナンスの間、SDDC 内の NSX Edge アプライアンスを別のホストに移動すると、メイン ルート テーブルは新しい NSX Edge ホストによって使用される ENI を反映するように更新されます。メイン ルート テーブルを置き換え済みの場合、またはカスタム ルート テーブルを使用している場合、この更新は失敗し、SDDC ネットワークと接続中の VPC との間でネットワーク トラフィックをルーティングできなくなります。

詳細については、『接続されている VPC の情報の表示』を参照してください。

予約されたネットワーク アドレス

VMware Cloud on AWS は、内部使用のために次のアドレス範囲を予約します。
  • 10.0.0.0/15
  • 169.254.0.0/19
  • 169.254.101.0/30
  • 172.31.0.0/16
  • 192.168.1.0/24(これは、単一ホストによるスタータ SDDC のデフォルトの管理 CIDR です。他の構成では予約されていません。)
また、100.64.0.0/16( RFC 6598 に即したキャリアグレード NAT 用に予約された範囲のサブセット)および RFC 3330 に列挙された特別な IPv4 アドレス空間も予約されています。

SDDC ワークロードは、これらの範囲と重複する CIDR ブロックを持つリモート(オンプレミス)ネットワークにはアクセスできません。これらの範囲と重複するアドレスを、SDDC ネットワーク内のワークロード仮想マシンに割り当てることはできません。

SDDC ネットワークでのマルチキャストのサポート

SDDC ネットワークでは、レイヤー 2 マルチキャスト トラフィックは、トラフィックが発生したネットワーク セグメント上のブロードキャスト トラフィックとして扱われます。そのセグメントを超えてルーティングされることはありません。IGMP スヌーピングなどのレイヤー 2 マルチキャスト トラフィック最適化機能はサポートされません。レイヤー 3 マルチキャスト(Protocol Independent Multicast など)は、VMware Cloud on AWS ではサポートされません。

クラウド SDDC へのオンプレミス SDDC の接続

オンプレミス データセンターを VMware Cloud on AWS SDDC に接続する場合、パブリック インターネットを使用する VPN、AWS Direct Connect を使用する VPN、AWS Direct Connect のみを使用する VPN を作成できます。また、SDDC グループを利用して、 VMware Transit Connect™ と AWS Direct Connect Gateway を使用し、 VMware Cloud on AWS SDDC のグループとオンプレミスの SDDC の間に一元的な接続を提供することもできます。『 VMware Cloud on AWS Operations Guide』の SDDC 展開グループの作成と管理を参照してください。
図 2. オンプレミス データセンターへの SDDC 接続
レイヤー 3 (L3) VPN
レイヤー 3 VPN は、パブリック インターネットまたは AWS Direct Connect を介して、オンプレミス データセンターと VMware Cloud on AWS SDDC との間の安全な接続を提供します。これらの IPsec VPN は、ルートベースまたはポリシーベースにすることができます。オンプレミス エンドポイントとして IPsec VPN 設定リファレンスにリストされている設定をサポートする任意のオンプレミス ルーターを使用して、タイプごとに最大 16 個の VPN を作成できます。
レイヤー 2 (L2) VPN
Layer 2 VPN は、オンプレミス データセンターと SDDC にまたがるように拡張またはストレッチされたネットワークに対して単一の IP アドレス空間を提供し、SDDC へのオンプレミスのワークロードのホットまたはコールド移行を可能にします。任意の SDDC に 1 つの L2VPN トンネルのみを作成できます。トンネルのオンプレミス エンドには NSX が必要です。オンプレミス データセンターでまだ NSX を使用していない場合は、スタンドアローン NSX Edge アプライアンスをダウンロードして必要な機能を提供できます。L2 VPN は、パブリック インターネットまたは AWS Direct Connect 経由でオンプレミス データセンターを SDDC に接続できます。
AWS Direct Connect (DX)
AWS Direct Connect は、AWS が提供するサービスで、オンプレミス データセンターと AWS サービス間に、高速で遅延の小さい接続を作成できます。AWS Direct Connect を構成すると、VPN は、パブリック インターネット経由でトラフィックをルーティングする代わりにこれを使用できます。Direct Connect は境界ゲートウェイ プロトコル (BGP) ルーティングを実装するため、Direct Connect を構成するときに、オプションで管理ネットワークに L3VPN を使用できます。Direct Connect 上のトラフィックは暗号化されません。このトラフィックを暗号化するには、Direct Connect を使用するように L3 VPN を構成します。
VMware HCX
マルチクラウド アプリケーション モビリティ ソリューションの VMware HCX は、すべての SDDC に無償で提供されます。これを利用して、オンプレミス データセンターと SDDC 間でワークロード仮想マシンを簡単に移行できます。HCX のインストール、設定、および使用方法の詳細については、 HCX でのハイブリッド移行のチェックリストを参照してください。