VMware Cloud on AWS では、NSX を使用して SDDC ネットワークを作成および管理します。NSX は、クラウド ネイティブのアプリケーション環境を構築する俊敏性に優れた Software-Defined Infrastructure を提供します。

VMware Cloud on AWS Networking and Security』ガイドでは、VMware Cloud コンソール[ネットワークとセキュリティ] タブを使用して SDDC ネットワークを管理する方法について説明します。NSX Manager Web ユーザー インターフェイスを使用してこれらのネットワークを管理することもできます。SDDC バージョン 1.22 以降では、[ネットワークとセキュリティ] ダッシュボードの使用を試すことができます。これにより、SDDC ネットワークの表示が簡素化され、関連する NSX Manager の機能へのリンクも提供されます。

NSX Manager は、[ネットワークとセキュリティ] タブにある機能のスーパーセットをサポートしています。NSX Manager の使い方の詳細については、『NSX Data Center 管理ガイド』の NSX Manager を参照してください。VMware Cloud on AWS SDDC 内の NSX Manager には、インターネットに接続できる任意のブラウザから接続可能なパブリック IP アドレスでアクセスできます。これには、VPN または AWS Direct Connect を介して内部ネットワークからアクセスすることもできます。詳細については、NSX Manager を開くを参照してください。

NSX Manager Web ユーザー インターフェイスのレイアウトとナビゲーションは、VMware Cloud コンソール[ネットワークとセキュリティ] タブと似ています。どちらのツールを使用しても、このドキュメントのほとんどの手順を完了できます。[ネットワークとセキュリティ] タブには、VPN、NAT、DHCP などの NSX の [ネットワーク] 機能とファイアウォールなどの NSX[セキュリティ] 機能が組み合わされています。手順で NSX Manager を使用する必要がある場合は、該当する手順の前提条件に、その旨を注記しています。

SDDC ネットワーク トポロジー

SDDC を作成すると、管理ネットワークが含まれます。 単一ホストの評価版 SDDC には、小規模なコンピューティング ネットワークも含まれます。SDDC を作成するときに、ユーザーが管理ネットワーク CIDR ブロックを指定します。SDDC を作成した後、管理ネットワーク CIDR ブロックは変更できません。 詳細については、VMC コンソールからの SDDC の展開を参照してください。管理ネットワークには 2 つのサブネットがあります。
アプライアンスのサブネット
このサブネットは、 vCenter ServerNSX 、および SDDC 内の HCX アプライアンスによって使用されます。SRM などのアプライアンスベースのサービスを SDDC に追加すると、このサブネットにも接続されます。
インフラストラクチャ サブネット
このサブネットは、SDDC 内の ESXi ホストによって使用されます。

コンピューティング ネットワークには、ワークロード仮想マシンに対応する任意の数の論理セグメントが含まれています。論理セグメントの現在の制限については、VMware 構成の上限を参照してください。単一ホストによる SDDC スタータ構成では、1 つのルーティング セグメントを持つコンピューティング ネットワークを作成します。これよりも多くのホストを含む SDDC 構成では、ニーズを満たすだけのコンピューティング ネットワーク セグメントを作成する必要があります。適用される制限については、VMware 構成の上限を参照してください。

SDDC ネットワークには、次の 2 つの概念的階層があります。
  • Tier 0 は、North-South トラフィック(SDDC に出入りするトラフィック、または管理ゲートウェイとコンピューティング ゲートウェイ間のトラフィック)を処理します。デフォルト構成では、各 SDDC に 1 つの Tier-0 ルーターがあります。SDDC が SDDC グループのメンバーである場合は、SDDC を再構成して、SDDC グループ トラフィックを処理する Tier-0 ルーターを追加できます。トラフィック グループを使用したマルチエッジ SDDC の構成を参照してください。
  • Tier 1 は East-West トラフィック(SDDC 内のルーティング ネットワーク セグメント間のトラフィック)を処理します。デフォルト構成では、各 SDDC に 1 つの Tier-1 ルーターがあります。必要に応じて、追加の Tier-1 ゲートウェイを作成し、構成することができます。VMware Cloud on AWS SDDC へのカスタム Tier-1 ゲートウェイの追加を参照してください。
図 1. SDDC ネットワーク トポロジー
VPN および AWS Direct Connect 経由でオンプレミス ネットワークに接続された SDDC ネットワークの図。
NSX Edge アプライアンス

デフォルトの NSX Edge アプライアンスは、アクティブ/スタンバイ モードで実行される仮想マシンのペアとして実装されます。このアプライアンスは、デフォルトの Tier 0 ルーターと Tier 1 ルーターを実行するプラットフォームであり、あわせて IPsec VPN 接続と BGP ルーティング マシンの機能を備えています。すべての North-South トラフィックはデフォルトの Tier 0 ルーターを通過します。アプライアンス経由で East-West トラフィックが送信されるのを防ぐため、各 Tier 1 ルーターのコンポーネントは、SDDC 内の宛先のルーティングを処理するすべての ESXi ホストで実行されます。

SDDC グループ メンバー、SDDC グループに接続された Direct Connect Gateway、HCX Service Mesh、または接続中の VPC にルーティングされるこのトラフィックのサブセット用にさらにバンド幅が必要な場合は、トラフィック グループを作成して SDDC を再構成し、各グループに追加の T0 ルーターが作成されるマルチエッジにします。詳細については、トラフィック グループを使用したマルチエッジ SDDC の構成を参照してください。

注:

VPN トラフィックとプライベート VIF への DX トラフィックは、デフォルトの T0 を介して通過する必要があります。デフォルト以外のトラフィック グループにルーティングすることはできません。また、NAT ルールは常にデフォルトの T0 ルーターで実行されるため、追加の T0 ルーターは NAT ルールの影響を受けるトラフィックを処理できません。これには、SDDC のネイティブ インターネット接続との間のトラフィックが含まれます。また、これには Amazon S3 サービスへのトラフィックも含まれ、このサービスは NAT ルールを使用し、デフォルトの T0 を経由する必要があります。

管理ゲートウェイ (MGW)
管理ゲートウェイは、 vCenter Server のルーティングとファイアウォーリング、および SDDC で実行するその他の管理アプライアンスを処理する Tier 1 ルーターです。管理ゲートウェイのファイアウォール ルールは MGW で実行され、管理仮想マシンへのアクセスを制御します。新しい SDDC では、インターネット接続は [概要] タブで [未接続] というラベルが付けられ、信頼されている送信元からのアクセスを許可する管理ゲートウェイのファイアウォール ルールを作成するまでブロックされた状態になります。 管理ゲートウェイのファイアウォール ルールの追加または変更を参照してください。
コンピューティング ゲートウェイ (CGW)
CGW は、ルーティングされたコンピューティング ネットワーク セグメントに接続されたワークロード仮想マシンのネットワーク トラフィックを処理する Tier 1 ルーターです。コンピューティング ゲートウェイのファイアウォール ルールと NAT ルールは、Tier 0 ルーターで実行されます。デフォルトの構成では、これらのルールはコンピューティング ネットワーク セグメントとの間のすべてのトラフィックをブロックします( コンピューティング ゲートウェイのネットワークおよびセキュリティを構成を参照)。

SDDC と接続中の VPC の間のルーティング

SDDC を作成すると、当社では、SDDC の作成時にユーザーが指定した AWS アカウントが所有する選択した VPC に、17 の AWS Elastic Network Interface (ENI) を事前に割り当てます。当社では、これらの ENI のそれぞれに、SDDC 作成時に指定したサブネットの IP アドレスを割り当て、SDDC クラスタ Cluster-1 内の各ホストをこれらの ENI の 1 つに接続します。アクティブな NSX Edge アプライアンスが実行されている ENI に追加の IP アドレスが割り当てられます。

接続中の VPC と呼ばれるこの構成は、SDDC 内の仮想マシン間のネットワーク トラフィック、および接続中の VPC のプライマリ CIDR ブロック内にあるアドレスを使用するネイティブ AWS インスタンス/サービスをサポートします。デフォルトの CGW に接続されているルーティング ネットワーク セグメントを作成または削除すると、メイン ルート テーブルが自動的に更新されます。接続中の VPC で管理対象プリフィックス リスト モードが有効になっている場合、メイン ルート テーブルと、管理対象プリフィックス リストを追加したカスタム ルート テーブルも更新されます。

接続中の VPC(または [SERVICES])インターフェイスは、接続中の VPC のプライマリ CIDR 内の宛先へのすべてのトラフィックに使用されます。デフォルト構成を使用する場合、SDDC と通信する AWS サービスまたは インスタンスは、接続中の VPC のメイン ルート テーブルに関連付けられたサブネット内にある必要があります。AWS 管理対象プリフィックス リスト モードが有効になっている場合(「接続中の Amazon VPC の AWS 管理対象プリフィックス リスト モードの有効化」を参照)、接続中の VPC 内のカスタム ルート テーブルを使用する AWS サービス/インスタンスが SERVICES インターフェイスを介して SDDC ワークロードと通信できるようにするには、これらのカスタム ルート テーブルに管理対象プリフィックス リストを手動で追加できます。

障害からのリカバリ、または SDDC のメンテナンスで、SDDC 内の NSX Edge アプライアンスを別のホストに移動すると、アプライアンスに割り当てられた IP アドレスが新しい ENI(新しいホストの ENI)に移動され、メイン ルート テーブルおよび管理対象プリフィックス リストを使用するカスタム ルート テーブルが更新されて、変更が反映されます。メイン ルート テーブルを置き換えた場合、またはカスタム ルート テーブルを使用しているが、管理対象プリフィックス リスト モードが有効になっていない場合、その更新は失敗し、SDDC ネットワークと接続中の VPC 間でネットワーク トラフィックをルーティングできなくなります。VMware Cloud コンソールを使用して接続中の VPC の詳細情報を表示する方法については、接続中の VPC 情報の表示と接続中の VPC に関する問題のトラブルシューティングを参照してください。

VMware Cloud on AWS には、接続中の VPC、他の VPC、および VMware Managed Transit Gateway へのルートを集約するのに役立ついくつかの機能があります。「接続中の Amazon VPC の AWS 管理対象プリフィックス リスト モードの有効化」を参照してください。

SDDC ネットワーク アーキテクチャとそれをサポートする AWS ネットワーク オブジェクトの詳細については、VMware Cloud Tech Zone の記事、VMware Cloud on AWS: SDDC ネットワーク アーキテクチャを参照してください。

予約されたネットワーク アドレス

SDDC コンピューティング ネットワークでは、特定範囲の IPv4 アドレスを使用できません。そのいくつかは、SDDC ネットワーク コンポーネント内部で使用されます。これらのアドレスのほとんどは、他のネットワーク上の規約でも予約されています。
表 1. SDDC ネットワークの予約済みアドレスの範囲
  • 10.0.0.0/15
  • 172.31.0.0/16
これらの範囲は SDDC 管理サブネットで予約済みですが、オンプレミス ネットワークや SDDC コンピューティング ネットワーク セグメントで使用できます。
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
 RFC 3927 では、169.254.0.0/16 はすべてリンク ローカル範囲で、1 つのサブネットを超えてルーティングすることはできません。ただし、これらの CIDR ブロックを除き、ユーザーの仮想トンネル インターフェイスには 169.254.0.0/16 アドレスを使用できます。ルートベースの VPN の作成を参照してください。
192.168.1.0/24 これは、シングルホスト スタータ SDDC のデフォルトのコンピューティング セグメント CIDR であり、他の構成では予約されません。
注: SDDC バージョン 1.20 以前では、 RFC 6598に即したキャリアグレード NAT 用に 100.64.0.0/16 も予約されています。1.22 より前のバージョンの SDDC では、この範囲のアドレスを使用しないでください。以前の SDDC ネットワークにおける 100.64.0.0/16 アドレス範囲の使用方法の詳細については、VMware ナレッジベースの記事 KB76022 を参照してください。SDDC バージョン 1.22 における予約済みアドレスの範囲の変更の詳細については、VMware ナレッジベースの記事 KB92322 を参照してください。
SDDC ネットワークには、 RFC 3330 に列挙された特別な IPv4 アドレス範囲の使用規則も適用されます。

SDDC ネットワークでのマルチキャストのサポート

SDDC ネットワークでは、レイヤー 2 マルチキャスト トラフィックは、トラフィックが発生したネットワーク セグメント上のブロードキャスト トラフィックとして扱われます。そのセグメントを超えてルーティングされることはありません。IGMP スヌーピングなどのレイヤー 2 マルチキャスト トラフィック最適化機能はサポートされません。レイヤー 3 マルチキャスト(Protocol Independent Multicast など)は、VMware Cloud on AWS ではサポートされません。

クラウド SDDC へのオンプレミス SDDC の接続

オンプレミス データセンターを VMware Cloud on AWS SDDC に接続する場合、パブリック インターネットを使用する VPN または AWS Direct Connect を使用する VPN を作成するか、単純な AWS Direct Connect をそのまま使用できます。また、SDDC グループを利用して、VMware Transit Connect と AWS Direct Connect Gateway を使用し、VMware Cloud on AWS SDDC のグループとオンプレミスの SDDC の間に一元的な接続を提供することもできます。「SDDC 展開グループの作成と管理」を参照してください。
図 2. オンプレミス データセンターへの SDDC 接続
VPN、HCX、および AWS Direct Connect 経由で SDDC ネットワークをオンプレミス ネットワークに接続する方法を示す図。
レイヤー 3 (L3) VPN
レイヤー 3 VPN は、パブリック インターネット または AWS Direct Connect を介して、オンプレミス データセンターと VMware Cloud on AWS SDDC との間の安全な接続を提供します。これらの IPsec VPN は、ルートベースまたはポリシーベースにすることができます。 オンプレミス エンドポイントの場合は、IPsec VPN 設定リファレンスに表示されている設定をサポートする任意のデバイスを使用できます。
レイヤー 2 (L2) VPN
Layer 2 VPN は、オンプレミス データセンターと SDDC にまたがるように拡張またはストレッチされたネットワークに対して単一の IP アドレス空間を提供し、SDDC へのオンプレミスのワークロードのホットまたはコールド移行を可能にします。任意の SDDC に 1 つの L2VPN トンネルのみを作成できます。トンネルのオンプレミス エンドには NSX が必要です。オンプレミス データセンターでまだ NSX を使用していない場合は、スタンドアローン NSX Edge アプライアンスをダウンロードして必要な機能を提供できます。L2 VPN は、オンプレミス データセンターを SDDC に、パブリック インターネット または AWS Direct Connect経由で接続できます。
AWS Direct Connect (DX)
AWS Direct Connect は、AWS が提供するサービスで、オンプレミス データセンターと AWS サービス間に、高速で遅延の小さい接続を作成します。AWS Direct Connect を構成すると、VPN はパブリック インターネットではなく DX 経由でトラフィックをルーティングできます。DX は境界ゲートウェイ プロトコル (BGP) ルーティングを実装するため、DX を構成するときに、オプションで管理ネットワークに L3VPN を使用できます。DX トラフィックは暗号化されません。このトラフィックを暗号化する場合は、DX およびプライベート IP アドレスを使用する IPsec VPN を構成します。
VMware HCX
マルチクラウド アプリケーション モビリティ ソリューションの VMware HCX は、すべての SDDC に無償で提供されます。これを利用して、オンプレミス データセンターと SDDC 間でワークロード仮想マシンを簡単に移行できます。 HCX のインストール、構成、および使用方法の詳細については、 HCX チェックリストによるハイブリッド移行を参照してください。

内部トラフィックと外部トラフィックの MTU に関する考慮事項

SDDC 内部のネットワーク トラフィック(接続中の VPC との間のトラフィックを含む)では、最大 8,900 バイトの MTU がサポートされます。管理アプライアンス インターフェイスでは MTU 値 1500 が使用されるため、通常、管理ゲートウェイへのトラフィックは 1,500 バイトに制限されます。その他の MTU のデフォルト値は、「 VMware 構成の上限」に記載されています。次のガイドラインは、SDDC ネットワーク全体の MTU 値に適用されます。
  • SDDC グループと DX は同じインターフェイスを共有するため、両方の接続が使用中の場合は、使用する MTU 値(8,500 バイト)を引き下げる必要があります。
  • 同じセグメント上のすべての仮想マシン NIC とインターフェイスに同じ MTU を指定する必要があります。
  • エンドポイントで PMTUD がサポートされていて、パス内のファイアウォールで ICMP トラフィックが許可されている限り、セグメント間では異なる MTU が使用される可能性があります。
  • レイヤー 3 (IP) MTU は、基盤となるレイヤー 2 接続でサポートされる最大パケット サイズ (MTU) からプロトコル オーバーヘッドを差し引いた値以下にする必要があります。VMware Cloud on AWS では、これは NSX セグメントであり、最大 8,900 バイトの MTU を指定したレイヤー 3 パケットがサポートされます。

SDDC ネットワークのパフォーマンスについて

SDDC ネットワークのパフォーマンスの詳細については、VMware Cloud Tech Zone Designlet の「Understanding VMware Cloud on AWS Network Performance」を参照してください。