SDDC 네트워크 토폴로지

계산 네트워크에는 워크로드 VM에 대한 임의의 수의 논리적 세그먼트가 포함됩니다. 논리적 세그먼트에 대한 현재 제한은 VMware 구성 최대값을 참조하십시오. 단일 호스트 SDDC 스타터 구성에서는 단일 라우팅 세그먼트로 계산 네트워크를 생성합니다. 호스트가 더 많은 SDDC 구성에서는 필요에 맞게 계산 네트워크 세그먼트를 생성해야 합니다. 해당 제한에 대해서는 VMware 구성 최대값을 참조하십시오.

NSX Edge 장치

기본 NSX Edge 장치는 활성/대기 모드에서 실행되는 VM 쌍으로 구현됩니다. 이 장치는 IPsec VPN 연결 및 해당 BGP 라우팅 시스템과 함께 기본 계층 0 및 계층 1 라우터가 실행되는 플랫폼을 제공합니다. 모든 North-South 트래픽은 기본 Tier 0 라우터를 통과합니다. 장치를 통해 East-West 트래픽이 전송되는 것을 방지하기 위해 SDDC 내의 대상에 대한 라우팅을 처리하는 모든 ESXi 호스트에서 각 Tier 1 라우터의 구성 요소가 실행됩니다.

SDDC 그룹 멤버, SDDC 그룹에 연결된 Direct Connect Gateway, HCX Service Mesh 또는 연결된 VPC로 라우팅되는 이 트래픽의 하위 집합에 대해 추가 대역폭이 필요한 경우 각각 추가 T0 라우터를 생성하는 트래픽 그룹을 생성하여 SDDC를 다중 Edge로 재구성할 수 있습니다. 자세한 내용은 트래픽 그룹이 포함된 다중 Edge SDDC 구성 항목을 참조하십시오.

참고:

VPN 트래픽은 물론 전용 VIF에 전송되는 DX 트래픽은 기본 T0을 통과해야 하며 기본이 아닌 트래픽 그룹으로 라우팅될 수 없습니다. 또한 NAT 규칙은 항상 기본 T0 라우터에서 실행되기 때문에 추가 T0 라우터는 NAT 규칙의 적용을 받는 트래픽을 처리할 수 없습니다. 여기에는 SDDC의 네이티브 인터넷 연결을 오가는 트래픽이 포함됩니다. 또한 NAT 규칙을 사용하며 기본 T0을 통과해야 하는 Amazon S3 서비스에 전송되는 트래픽도 포함됩니다.

MGW(관리 게이트웨이)

MGW는 SDDC에서 실행되는 vCenter Server 및 기타 관리 장치에 대한 라우팅 및 방화벽을 처리하는 Tier 1 라우터입니다. 관리 게이트웨이 방화벽 규칙은 MGW에서 실행되고 관리 VM에 대한 액세스를 제어합니다. 새 SDDC에서 인터넷 연결은 개요 탭에 연결되지 않음 레이블로 지정되고 신뢰할 수 있는 소스에서의 액세스를 허용하는 관리 게이트웨이 방화벽 규칙을 생성할 때까지 차단된 상태로 유지됩니다. 관리 게이트웨이 방화벽 규칙 추가 또는 수정의 내용을 참조하십시오.

CGW(계산 게이트웨이)

CGW는 라우팅된 계산 네트워크 세그먼트에 연결된 워크로드 VM의 네트워크 트래픽을 처리하는 계층 1 라우터입니다. 계산 게이트웨이 방화벽 규칙과 NAT 규칙은 계층 0 라우터에서 실행됩니다. 기본 구성에서 이러한 규칙은 계산 네트워크 세그먼트와 오가는 모든 트래픽을 차단합니다( 계산 게이트웨이 네트워킹 및 보안 구성 참조).

SDDC 및 연결된 VPC 간 라우팅

SDDC를 생성하면 SDDC 생성 시 지정한 AWS 계정에서 소유한 선택된 VPC에 17개의 AWS ENI(Elastic Network Interface)가 사전 할당됩니다. 이러한 각각의 ENI에 SDDC 생성 시 지정한 서브넷의 IP 주소를 할당한 다음 SDDC 클러스터 Cluster-1의 각 호스트를 이러한 ENI 중 하나에 연결합니다. 활성 NSX Edge 장치가 실행되고 있는 ENI에 추가 IP 주소가 할당됩니다.

연결된 VPC라고도 하는 이 구성은 SDDC의 VM과 네이티브 AWS 인스턴스 간의 네트워크 트래픽과 연결된 VPC의 기본 CIDR 블록에 주소가 있는 서비스를 지원합니다. 기본 CGW에 연결된 라우팅된 네트워크 세그먼트를 생성하거나 삭제하면 기본 경로 테이블이 자동으로 업데이트됩니다. 연결된 VPC에 대해 관리 접두사 목록 모드를 사용하도록 설정하면 기본 경로 테이블과 관리 접두사 목록을 추가한 사용자 지정 경로 테이블도 업데이트됩니다.

연결된 VPC(또는 서비스) 인터페이스는 연결된 VPC의 기본 CIDR 내에서 대상으로 전송되는 모든 트래픽에 사용됩니다. 기본 구성을 사용하는 경우 SDDC와 통신하는 AWS 서비스 또는 인스턴스는 연결된 VPC의 기본 경로 테이블과 연결된 서브넷에 있어야 합니다. AWS 관리 접두사 목록 모드를 사용하도록 설정한 경우(연결된 Amazon VPC에 대해 AWS 관리 접두사 목록 모드 사용 참조) 해당 사용자 지정 경로 테이블을 사용하는 AWS 서비스 및 인스턴스가 서비스 인터페이스를 통해 SDDC 워크로드와 통신하도록 하려면 연결된 VPC 내의 모든 사용자 지정 경로 테이블에 관리 접두사 목록을 수동으로 추가할 수 있습니다.

장애 복구를 위해 또는 SDDC 유지 보수 중에 SDDC의 NSX Edge 장치를 다른 호스트로 이동하면 장치에 할당된 IP 주소가 새 호스트의 새 ENI로 이동하고 기본 경로 테이블과 관리 접두사 목록을 사용하는 사용자 지정 경로 테이블이 변경 사항 반영을 위해 업데이트됩니다. 기본 경로 테이블을 교체했거나 사용자 지정 경로 테이블을 사용 중이지만 관리 접두사 목록 모드를 사용하도록 설정하지 않은 경우 해당 업데이트가 실패하고 SDDC 네트워크와 연결된 VPC 간에 네트워크 트래픽을 더 이상 라우팅할 수 없습니다. VMware Cloud 콘솔을 사용하여 연결된 VPC에 대한 세부 정보를 보는 방법에 대한 자세한 내용은 연결된 VPC 정보 보기 및 연결된 VPC 문제 해결 항목을 참조하십시오.

VMware Cloud on AWS는 연결된 VPC, 다른 VPC 및 VMware 관리 Transit Gateway에 대한 경로를 집계하는 데 도움이 되는 몇 가지 기능을 제공합니다. 연결된 Amazon VPC에 대해 AWS 관리 접두사 목록 모드 사용 항목을 참조하십시오.

SDDC 네트워크 아키텍처 및 이를 지원하는 AWS 네트워크 개체에 대한 자세한 설명은 VMware Cloud Tech Zone 문서 VMware Cloud on AWS: SDDC 네트워크 아키텍처를 참조하십시오.

예약된 네트워크 주소

SDDC 네트워크의 멀티캐스트 지원

SDDC 네트워크에서 계층 2 멀티캐스트 트래픽은 트래픽이 발생한 네트워크 세그먼트의 브로드캐스트 트래픽으로 처리됩니다. 이 트래픽은 해당 세그먼트 외부로 라우팅되지 않습니다. IGMP 스누핑 같은 계층 2 멀티캐스트 트래픽 최적화 기능은 지원되지 않습니다. 계층 3 멀티캐스트(예: Protocol Independent Multicast)는 VMware Cloud on AWS에서 지원되지 않습니다.

온-프레미스 SDDC를 클라우드 SDDC에 연결

온 프레미스 데이터 센터를 VMware Cloud on AWS SDDC에 연결하려면 공용 인터넷을 사용하는 VPN , AWS Direct Connect를 사용하는 VPN을 생성하거나 AWS Direct Connect만 사용할 수 있습니다. 또한 SDDC 그룹 활용을 통해 VMware Transit Connect 및 AWS Direct Connect Gateway를 사용하여 VMware Cloud on AWS SDDC 그룹과 온-프레미스 SDDC 간에 중앙 집중식 연결을 제공할 수도 있습니다. SDDC배포 그룹 생성 및 관리를 참조하십시오.

계층 3(L3) VPN

계층 3 VPN은 공용 인터넷 또는 AWS Direct Connect를 통해 온-프레미스 데이터 센터와 VMware Cloud on AWS SDDC 간에 보안 연결을 제공합니다. 이러한 IPsec VPN은 경로 기반 또는 정책 기반일 수 있습니다. 온-프레미스 끝점의 경우 IPsec VPN 설정 참조에 나열된 설정을 지원하는 모든 디바이스를 사용할 수 있습니다.

계층 2(L2) VPN

계층 2 VPN에서는 온-프레미스 데이터 센터 및 SDDC에 걸쳐 있는 단일 IP 주소 공간으로 확장된 네트워크를 제공하며, 온-프레미스 워크로드를 SDDC로 핫 또는 콜드 마이그레이션하는 것이 가능합니다. 모든 SDDC에서 L2VPN 터널을 하나만 생성할 수 있습니다. 터널의 온-프레미스 끝에는 NSX가 필요합니다. 온-프레미스 데이터 센터에서 NSX를 아직 사용하지 않는 경우 독립형 NSX Edge 장치를 다운로드하여 필요한 기능을 제공할 수 있습니다. L2 VPN은 공용 인터넷 또는 AWS Direct Connect를 통해 온-프레미스 데이터 센터를 SDDC에 연결할 수 있습니다.

AWS DX(Direct Connect)

AWS Direct Connect는 AWS에서 제공하는 서비스로, 온-프레미스 데이터 센터와 AWS 서비스 간에 지연 시간이 짧은 고속 연결을 생성합니다. AWS Direct Connect를 구성할 때 VPN은 공용 인터넷 대신 DX를 통해 트래픽을 라우팅할 수 있습니다. DX는 BGP(Border Gateway Protocol) 라우팅을 구현하기 때문에 DX를 구성할 때 관리 네트워크에 L3VPN을 사용하는 것은 선택 사항입니다. DX 트래픽은 암호화되지 않습니다. 이 트래픽을 암호화하려면 DX 및 개인 IP 주소를 사용하는 IPsec VPN을 구성합니다.

VMware HCX

다중 클라우드 애플리케이션 이동성 솔루션인 VMware HCX는 모든 SDDC에 무료로 제공되며, 이 솔루션을 사용하면 온-프레미스 데이터 센터와 SDDC 사이에 워크로드 VM을 쉽게 마이그레이션할 수 있습니다. HCX 설치, 구성 및 사용에 대한 자세한 내용은 HCX를 사용한 하이브리드 마이그레이션 검사 목록을 참조하십시오.

내부 및 외부 트래픽에 대한 MTU 고려 사항

SDDC 네트워크 성능 이해

SDDC 네트워크 성능에 대한 자세한 내용은 VMware Cloud Tech Zone Designlet VMware Cloud on AWS 네트워크 성능 이해를 참조하십시오.