VMware Cloud on AWS에서는 NSX-T를 사용하여 내부 SDDC 네트워크를 생성 및 관리하고 온-프레미스 네트워크 인프라의 VPN 연결에 대한 끝점을 제공합니다.

SDDC 네트워크 토폴로지

SDDC를 생성하면 여기에 관리 네트워크가 포함됩니다. 단일 호스트 평가판 SDDC에는 작은 계산 네트워크도 포함됩니다. SDDC를 생성할 때 관리 네트워크 CIDR 블록을 지정합니다. SDDC가 생성된 후에는 변경할 수 없습니다. 자세한 내용은 VMC 콘솔에서 SDDC 배포를 참조하십시오. 관리 네트워크에는 두 개의 서브넷이 있습니다.
장치 서브넷
이 서브넷은 SDDC의 vCenter, NSX 및 HCX 장치에서 사용됩니다. 또한 SRM과 같은 장치 기반 서비스를 SDDC에 추가하면 이 서브넷에도 연결됩니다.
인프라 서브넷
이 서브넷은 SDDC의 ESXi 호스트에서 사용됩니다.

계산 네트워크에는 워크로드 VM에 대한 임의의 수의 논리적 세그먼트가 포함됩니다. 논리적 세그먼트에 대한 현재 제한 사항은 VMware 구성 최대값을 참조하십시오. 단일 호스트 SDDC 스타터 구성에서는 단일 라우팅 세그먼트로 계산 네트워크를 생성합니다. 호스트가 더 많은 SDDC 구성에서는 필요에 맞게 계산 네트워크 세그먼트를 생성해야 합니다. 해당 제한에 대해서는 VMware 구성 최대값을 참조하십시오.

SDDC 네트워크에는 두 개의 추상적인 계층이 있습니다.
  • 계층 0은 North-South 트래픽(SDDC에서 나가거나 들어오는 트래픽 또는 관리 및 계산 게이트웨이 간 트래픽)을 처리합니다.
  • 계층 1은 East-West 트래픽(SDDC 내의 라우팅된 네트워크 세그먼트 간 트래픽)을 처리합니다.
그림 1. SDDC 네트워크 토폴로지
NSX Edge 장치

기본 NSX Edge 장치는 활성/대기 모드에서 실행되는 VM 쌍으로 구현됩니다. 이 장치는 IPsec VPN 연결 및 해당 BGP 라우팅 시스템과 함께 기본 계층 0 및 계층 1 라우터가 실행되는 플랫폼을 제공합니다. 모든 North-South 트래픽은 계층 0 라우터를 통과합니다. Edge 장치를 통해 East-West 트래픽이 전송되는 것을 방지하기 위해 SDDC 내의 대상에 대한 라우팅을 처리하는 모든 ESXi 호스트에서 각 계층 1 라우터의 구성 요소가 실행됩니다.

VPN을 통해 이동하지 않거나 인터넷에서 다른 경로를 사용하지 않는 이 트래픽의 하위 집합에 대해 추가 대역폭이 필요한 경우 각각 추가 NSX Edge 장치를 생성하는 트래픽 그룹을 생성하여 SDDC를 다중 Edge로 재구성할 수 있습니다. 자세한 내용은 트래픽 그룹이 포함된 다중 Edge SDDC 구성 항목을 참조하십시오.

MGW(관리 게이트웨이)
MGW는 SDDC에서 실행되는 vCenter Server 및 기타 관리 장치에 대한 라우팅 및 방화벽을 처리하는 계층 1 라우터입니다. MGW의 인터넷 대상 IP 주소는 SDDC가 생성될 때 AWS 공용 IP 주소의 풀에서 자동으로 할당됩니다. 이 주소 범위 지정에 대한 자세한 내용은 VMC 콘솔에서 SDDC 배포를 참조하십시오.
CGW(계산 게이트웨이)
CGW는 라우팅된 계산 네트워크 세그먼트에 연결된 워크로드 VM에 대한 라우팅 및 방화벽을 처리하는 계층 1 라우터입니다.

SDDC 및 연결된 VPC 간 라우팅

중요:

AWS 서비스 또는 인스턴스가 SDDC와 통신하는 모든 VPC 서브넷은 연결된 VPC의 기본 경로 테이블에 연결되어 있어야 합니다. 사용자 지정 라우팅 테이블을 사용하거나 기본 라우팅 테이블을 교체하는 것은 지원되지 않습니다.

SDDC를 생성하면 SDDC 생성 시 지정한 AWS 계정에서 소유한 선택된 VPC에 17개의 AWS ENI(Elastic Network Interface)가 사전 할당됩니다. 이러한 각각의 ENI에 SDDC 생성 시 지정한 서브넷의 IP 주소를 할당한 다음 SDDC 클러스터 Cluster-1의 각 호스트를 이러한 ENI 중 하나에 연결합니다. 활성 NSX Edge 장치가 실행되고 있는 ENI에 추가 IP 주소가 할당됩니다.

연결된 VPC라고도 하는 이 구성은 SDDC 및 AWS 인스턴스의 VM과 연결된 VPC의 네이티브 AWS 서비스 끝점 간의 네트워크 트래픽을 지원합니다. 연결된 VPC의 기본 경로 테이블은 VPC의 기본 서브넷과 모든 SDDC(NSX-T 네트워크 세그먼트) 서브넷을 인식합니다. SDDC에서 라우팅된 네트워크 세그먼트를 생성하거나 삭제하면 기본 라우팅 테이블이 자동으로 업데이트됩니다. 장애 복구를 위해 또는 SDDC 유지 보수 중에 SDDC의 NSX Edge 장치를 다른 호스트로 이동하면 Edge 장치에 할당된 IP 주소가 새 호스트의 새 ENI로 이동하고 변경 사항을 반영하기 위해 기본 경로 테이블이 업데이트됩니다. 기본 경로 테이블을 교체하거나, 사용자 지정 경로 테이블을 사용하는 경우에는 이러한 업데이트가 실패하고, SDDC 네트워크와 연결된 VPC 간에 네트워크 트래픽을 더 이상 라우팅할 수 없습니다. VMC 콘솔을 사용하여 연결된 VPC에 대한 세부 정보를 보는 방법에 대한 자세한 내용은 연결된 VPC 정보 보기 항목을 참조하십시오.

SDDC 네트워크 아키텍처 및 이를 지원하는 AWS 네트워크 개체에 대한 자세한 설명은 VMware Cloud Tech Zone 문서 VMware Cloud on AWS: SDDC 네트워크 아키텍처를 참조하십시오.

예약된 네트워크 주소

특정 IPv4 주소 범위는 SDDC 계산 네트워크에서 사용할 수 없습니다. 일부는 SDDC 네트워크 구성 요소에 의해 내부적으로 사용됩니다. 대부분은 다른 네트워크의 규칙에 따라 예약됩니다.
표 1. SDDC 네트워크에서 예약된 주소 범위
  • 10.0.0.0/15
  • 172.31.0.0/16
이러한 범위는 SDDC 관리 서브넷 내에서 예약되지만, 온-프레미스 네트워크 또는 SDDC 계산 네트워크 세그먼트에서 사용될 수 있습니다.
100.64.0.0/16 RFC 6598에 따라 반송파 등급 NAT용으로 예약됩니다. SDDC 네트워크 및 다른 네트워크에서 이 범위의 주소를 사용하지 마십시오. SDDC 내부 또는 외부에서 연결할 수 없습니다. SDDC 네트워크에서 이 주소 범위를 사용하는 방법에 대한 자세한 분석은 VMware 기술 자료 문서 76022를 참조하십시오.
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
RFC 3927에 따라 169.254.0.0/16 전체는 단일 서브넷 외부로 라우팅할 수 없는 링크-로컬 범위입니다. 그러나 이러한 CIDR 블록을 제외하고 가상 터널 인터페이스에 대해 169.254.0.0/16 주소를 사용할 수 있습니다. 경로 기반 VPN 생성의 내용을 참조하십시오.
192.168.1.0/24 단일 호스트 스타터 SDDC에 대한 기본 계산 세그먼트 CIDR로, 다른 구성에서는 예약되지 않습니다.
SDDC 네트워크는 RFC 3330에 열거된 특수 사용 IPv4 주소 범위에 대한 규칙도 준수합니다.

SDDC 네트워크의 멀티캐스트 지원

SDDC 네트워크에서 계층 2 멀티캐스트 트래픽은 트래픽이 발생한 네트워크 세그먼트의 브로드캐스트 트래픽으로 처리됩니다. 이 트래픽은 해당 세그먼트 외부로 라우팅되지 않습니다. IGMP 스누핑 같은 계층 2 멀티캐스트 트래픽 최적화 기능은 지원되지 않습니다. 계층 3 멀티캐스트(예: Protocol Independent Multicast)는 VMware Cloud on AWS에서 지원되지 않습니다.

온-프레미스 SDDC를 클라우드 SDDC에 연결

온 프레미스 데이터 센터를 VMware Cloud on AWS SDDC에 연결하려면 공용 인터넷을 사용하는 VPN, AWS Direct Connect를 사용하는 VPN을 생성하거나 AWS Direct Connect만 사용할 수 있습니다. 또한 SDDC 그룹 활용을 통해 VMware Transit Connect™ 및 AWS Direct Connect Gateway를 사용하여 VMware Cloud on AWS SDDC 그룹과 온-프레미스 SDDC 그룹 간에 중앙 집중식 연결을 제공할 수도 있습니다. " VMware Cloud on AWS 운영 가이드" 에서 SDDC배포 그룹 생성 및 관리를 참조하십시오.
그림 2. 온-프레미스 데이터 센터에 대한 SDDC 연결
계층 3(L3) VPN
계층 3 VPN은 공용 인터넷 또는 AWS Direct Connect를 통해 온-프레미스 데이터 센터와 VMware Cloud on AWS SDDC 간에 보안 연결을 제공합니다. 이러한 IPsec VPN은 경로 기반 또는 정책 기반일 수 있습니다. IPsec VPN 설정 참조에 나열된 설정을 지원하는 온-프레미스 라우터를 사용하여 각 유형의 VPN을 온-프레미스 끝점으로 최대 16개까지 생성할 수 있습니다.
계층 2(L2) VPN
계층 2 VPN에서는 온-프레미스 데이터 센터 및 SDDC에 걸쳐 있는 단일 IP 주소 공간으로 확장된 네트워크를 제공하며, 온-프레미스 워크로드를 SDDC로 핫 또는 콜드 마이그레이션하는 것이 가능합니다. 모든 SDDC에서 L2VPN 터널을 하나만 생성할 수 있습니다. 터널의 온-프레미스 끝에는 NSX가 필요합니다. 온-프레미스 데이터 센터에서 NSX를 아직 사용하지 않는 경우 독립형 NSX Edge 장치를 다운로드하여 필요한 기능을 제공할 수 있습니다. L2 VPN은 공용 인터넷 또는 AWS Direct Connect를 통해 온-프레미스 데이터 센터를 SDDC에 연결할 수 있습니다.
AWS DX(Direct Connect)
AWS Direct Connect는 AWS에서 제공하는 서비스로, 이를 통해 온프레미스 데이터 센터와 AWS 서비스 간에 지연 시간이 짧은 고속 연결을 생성할 수 있습니다. AWS Direct Connect를 구성하면 VPN은 공용 인터넷을 통해 트래픽을 라우팅하는 대신 AWS Direct Connect를 사용할 수 있습니다. Direct Connect는 BGP(Border Gateway Protocol) 라우팅을 구현하기 때문에 Direct Connect를 구성할 때 관리 네트워크에 L3VPN을 사용하는 것은 선택 사항입니다. Direct Connect를 통한 트래픽은 암호화되지 않습니다. 해당 트래픽을 암호화하려는 경우 개인 IP 주소와 Direct Connect를 사용하는 IPsec VPN을 구성할 수 있습니다.
VMware HCX
다중 클라우드 애플리케이션 이동성 솔루션인 VMware HCX는 모든 SDDC에 무료로 제공되며, 이것을 사용하면 온-프레미스 데이터 센터에서 SDDC로 워크로드 VM을 쉽게 마이그레이션할 수 있습니다. HCX 설치, 구성 및 사용에 대한 자세한 내용은 HCX 체크리스트를 사용한 하이브리드 마이그레이션을 참조하십시오.