可以在您的 DX 上建立私人 VIF,以使用其私人 IP 在內部部署網路和 SDDC 的工作負載、ESXi 管理以及管理應用裝置之間提供直接連線。

針對要連結至 SDDC 的每個 Direct Connect (DX) 線路建立一個私人虛擬介面 (VIF)。每個私人 VIF 建立一個單獨的 BGP 工作階段,可以用於主動/待命或主動/主動 (包括 ECMP) 設計,也可以用於私人網路區段。如果需要 DX 冗餘,請將在不同 DX 線路上佈建的單獨私人 VIF 連結到 SDDC。

將各個不同 DX 線路上的多個私人 VIF 連線到一個 SDDC 以實現高可用性時,所有 DX 線路都必須在同一個 AWS 帳戶中建立,並交付到不同的 AWS Direct Connect 位置。執行此動作時,AWS 會嘗試利用單獨的內部網路路徑進行 DX 連線,以提供更好的冗餘。請參閱 AWS 說明文件中的高復原能力AWS Direct Connect 中的主動/主動和主動/被動組態。如需有關通告到所有私人 VIF 的網路區段數目限制,請參閱 VMware 組態上限。支援路由彙總以提供更大的彈性,但所有 VIF 都將具有 SDDC 通告的相同網路。

重要:

當您將 DX 私人虛擬介面或 SDDC 群組連線至 SDDC 時,無論 SDDC 中的其他路由組態為何,ESXi 主機的所有輸出流量都會透過該介面進行路由。這包括 vMotion 和 vSphere 複寫流量。您必須確保 ESXi 主機的輸入流量也透過同一路徑進行路由,以便輸入和輸出流量路徑對稱。如需有關 VMware Transit ConnectVMware Managed Transit Gateway (VTGW) 的詳細資訊,請參閱 VMware Cloud on AWS 作業指南 中的〈使用 VMware Transit Connect 建立和管理 SDDC 部署群組〉

雖然從路由型 VPN 獲知的路由透過 BGP 向其他路由型 VPN 通告,但 SDDC 僅將自己的網路通告到 SDDC 群組。它不通告從 VPN 獲知的路由。如需有關 AWS 對 Direct Connect 所實施的限制 (包括透過 BGP 通告和獲知的路由的限制) 的詳細資訊,請參閱 AWS 的《Direct Connect 使用者指南》中的〈AWS Direct Connect 配額〉

以這種方式建立私人 VIF 時,可以將其連結到建立 VIF 的區域中的任何組織 SDDC。私人 VIF 必須在與 DX 線路相同的區域中建立,並連結到該同一區域中的 SDDC。將 VIF 連結到 SDDC 後,無法將其中斷連結或重新指派給其他 SDDC。相反,必須將其刪除並建立新的 VIF。刪除 SDDC 將刪除任何連結的 VIF。

必要條件

  • 確保您符合〈虛擬介面的必要條件〉中所述的虛擬介面必要條件。
  • 如果要使用路由型 VPN 作為 Direct Connect 的備份,還需要將使用 VPN 作為 Direct Connect 的備份開關設為已啟用,如步驟 6 中所示。原則型 VPN 不能用於備份其他連線。

程序

  1. 登入 VMware Cloud Services,網址為 https://vmc.vmware.com
  2. 按一下詳細目錄 > SDDC,然後挑選一個 SDDC 卡並按一下檢視詳細資料
  3. 按一下開啟 NSX Manager,然後使用 SDDC 設定頁面上顯示的 NSX Manager 管理員使用者帳戶登入。請參閱使用 NSX Manager 的 SDDC 網路管理
    也可以使用 VMware Cloud 主控台網路與安全性索引標籤執行此工作流程。
  4. 登入 AWS 主控台,並在〈建立主控虛擬介面〉下完成建立主控私人虛擬介面程序。
    如果您使用的是託管 VIF,請與 AWS Direct Connect 合作夥伴協作,在 Direct Connect 頁面的 AWS 帳戶識別碼欄位中顯示的帳戶中建立 VIF,然後跳至此程序的 步驟 5。如果您使用的是專用連線或託管連線,請先執行下列步驟。
    1. 對於虛擬介面類型,請選擇私人,然後建立虛擬介面名稱
    2. 對於虛擬介面擁有者欄位,選取其他 AWS 帳戶,然後使用 NSX Direct Connect 頁面中的 AWS 帳戶識別碼
    3. 對於 VLAN,請使用 AWS Direct Connect 合作夥伴所提供的值。
    4. 對於 BGP ASN,請使用此連線終止的內部部署路由器的 ASN。
      此值不得與 NSX Direct Connect 頁面上顯示的 BGP 本機 ASN 相同。
    5. 展開其他設定,然後進行下列選擇:
      位址系列 選取 IPV4
      路由器對等 IP 指定此連線內部部署端 (您的路由器) 的 IP 位址,或保留空白,讓 AWS 自動指派需要在路由器中設定的位址。
      Amazon 路由器對等 IP 指定此連線 AWS 端的 IP 位址,或保留空白,讓 AWS 自動指派需要在路由器中設定的位址。
      BGP 驗證金鑰 指定一個值,或保留空白以使 AWS 產生金鑰,您需要在路由器中進行設定。
      Jumbo MTU (MTU 大小 9001) 所有 SDDC 網路的預設 MTU 為 1500 個位元組。為了讓流入此私人 VIF 的 DX 流量能夠使用更大的 MTU,請選取Jumbo MTU (MTU 大小 9001) 下的啟用。建立 VIF 後,還需要開啟 NSX 全域組態頁面,並在內部網路上行下設定更高的 MTU 值,如指定 Direct Connect MTU 中所述。在連線內容中啟用此功能 (即使您不打算立即使用) 能夠使您在需要時更輕鬆地利用 SDDC 網路中的 Jumbo 框架。
    建立介面之後,AWS 主控台會報告已準備好接受。
  5. 開啟 NSX Manager 或 VMC 主控台的網路與安全性索引標籤。按一下 Direct Connect,然後按一下連結,接受該虛擬介面。
    接受之前,新 VIF 會顯示在組織內的所有 SDDC 中。接受 VIF 之後,它不再顯示在其他 SDDC 中。
    讓 BGP 工作階段變為作用中狀態可能最多需要 10 分鐘。當連線準備就緒時, 狀態會顯示為 已連結,且 BGP 狀態顯示為 開啟
  6. (選擇性) 將路由型 VPN 設定為 Direct Connect 的備份。
    在預設組態中,由 DX 和路由型 VPN 透過 BGP 通告的任何路由上的流量預設為使用 VPN。若要讓 DX 和 VPN 通告的路由預設使用 DX 並且在 DX 無法使用時容錯移轉到 VPN,請按一下 Direct Connect,並將 使用 VPN 作為 Direct Connect 的備份開關設為 已啟用
    備註: 此組態需要路由型 VPN。無法使用原則型 VPN 做為 Direct Connect 的備份。在作為 SDDC 群組成員的 SDDC 中,由 DX 私人 VIF 和群組的 VMware Managed Transit Gateway ( VTGW) 通告的路由上的流量將透過 VTGW 進行路由。
    系統需要一分鐘左右的時間來更新路由偏好設定。該作業完成後,由 DX 和 VPN 通告的路由將預設為使用 DX 連線,並且僅在 DX 無法使用時才會使用 VPN。由 DX 和 VPN 通告的同等路由會優先考慮 VPN 連線。

結果

學習和通告路由時,將會顯示 通告的 BGP 路由學習的 BGP 路由的清單。按一下重新整理圖示,以重新整理這些清單。SDDC 中的所有路由子網路都通告為 BGP 路由,以及此管理網路子網路的子集:
  • 子網路 1 包含 ESXi 主機 vmks 和路由器介面所使用的路由。
  • 子網路 2 包含用於多個 AZ 支援和 AWS 整合的路由。
  • 子網路 3 包含管理虛擬機器。
不會通告已中斷連線的網路和已延伸網路。不通告連結到自訂 T1 的網路。如果已啟用路由篩選,也不會通告連結到預設 CGW 的網路。

定義並套用至 DX 的任何路由彙總都將按定義進行通告。(請參閱彙總和篩選上行的路由)。

實際通告到私人 VIF 的 CIDR 區塊取決於您的管理子網路 CIDR 區塊。下表顯示了 SDDC 中這些路由的 CIDR 區塊,此 SDDC 使用預設管理網路 CIDR 10.2.0.0,其區塊大小為 /16、/20 和 /22。

表 1. 10.2.0.0 預設 MGW CIDR 的通告路由
MGW CIDR 子網路 1 子網路 2 子網路 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

下一步

確保內部部署 vMotion 介面設定為使用 Direct Connect。請參閱設定 vMotion 介面以用於 Direct Connect