若要開始使用 VMware Cloud on AWS 在 SDDC 中執行工作負載,則需要設定網路將您的內部部署資料中心連線到 SDDC。此網路可以包含透過 AWS Direct Connect 和/或 IPsec VPN 的專用連線。
雖然透過 Direct Connect 路由 IPsec VPN 流量可以更低的成本提供更好的效能,但您可以首先設定透過網際網路連線至 SDDC 的 IPsec VPN,然後重新設定該 VPN 以供稍後使用 Direct Connect。
當您開啟新 SDDC 的網路與安全性索引標籤時,您可以執行設定網路與安全性精靈來引導您完成設定 Direct Connect 和 VPN、在 SDDC 中存取 vCenter 以及視需要變更預設 DNS 伺服器所需的步驟。
如果您只想設定透過網際網路將內部部署資料中心連線至 SDDC 的路由型 VPN,請遵循下列步驟。
必要條件
您必須擁有 NSX 管理員服務角色,才能在網路與安全性索引標籤上檢視和設定功能。請參閱 VMware Cloud on AWS 網路與安全性指南中的〈為組織成員指派 NSX 服務角色〉。
程序
- 在 SDDC 中建立路由型 VPN。
路由型 VPN 會建立 IPsec 通道介面,並透過該介面路由流量,如 SDDC 路由表所述。路由型 VPN 提供對多個子網路的彈性且安全的存取權。使用路由型 VPN 時,會在建立新網路時自動新增路由。
請參閱 VMware Cloud on AWS 網路與安全性指南中的〈建立路由型 VPN〉。
- 設定內部部署 IPsec VPN。
您可以使用 NSX 或任何其他可終止 IPsec VPN 的裝置。
重要:
IPsec VPN 的 SDDC 端僅支援以時間為基礎的重設金鑰。內部部署的裝置必須停用有效位元數重設金鑰。
請勿將 VPN 的內部部署端設定為存在閒置逾時 (例如,NSX 的工作階段閒置逾時設定)。內部部署閒置逾時可能會導致 VPN 定期中斷連線。
- 如果您的內部部署 VPN 閘道位於防火牆的後方,必須設定該防火牆以轉送 IPsec 通訊協定流量:
- 開啟 UDP 連接埠 500,允許網際網路安全性關聯及金鑰管理通訊協定 (ISAKMP) 流量透過防火牆轉送。
- 設定 IP 通訊協定識別碼 50,允許 IPsec 封裝安全性通訊協定 (ESP) 流量透過防火牆轉送。
- 設定 IP 通訊協定識別碼 51,允許驗證標頭 (AH) 流量透過防火牆轉送。
- 下載 SDDC IPsec VPN 組態檔。
如需有關此檔案中的內容以及如何使用該檔案來協助設定內部部署 VPN 端點的詳細資訊,請參閱VMware Cloud on AWS 網路與安全性指南中的〈IPsec VPN 設定參考〉。
- (選擇性) 建立網路區段。
將使用名為 sddc-cgw-network-1 的單一路由網路區段建立單一主機起步 SDDC。不使用預設網路區段建立多主機 SDDC,因此,您必須建立至少一個用於工作負載虛擬機器。
請參閱 VMware Cloud on AWS 網路與安全性指南中的〈建立網路區段〉。
- 在管理閘道上建立一些基本防火牆規則。
依預設,管理閘道會封鎖從所有來源到所有目的地的流量。可以視需要新增管理閘道防火牆規則以允許流量。
請參閱 VMware Cloud on AWS 網路與安全性指南中的〈新增或修改管理閘道防火牆規則〉。
- 設定管理網路私人 DNS。
指定私人 DNS 伺服器的位址,以便管理閘道、ESXi 主機和管理虛擬機器將完整網域名稱 (FQDN) 解析為管理網路上的 IP 位址。若要使用運用 vMotion 進行移轉冷移轉
或混合連結模式等功能,請將 vCenter Server 解析切換為從 VPN 解析私人 IP 位址。
請參閱 VMware Cloud on AWS 網路與安全性指南中的〈設定 HCX FQDN 解析位址〉。