若要開始使用 VMware Cloud on AWS 在 SDDC 中執行工作負載,則需要設定網路將您的內部部署資料中心連線到 SDDC。此網路可以包含透過 AWS Direct Connect 和/或 IPsec VPN 的專用連線。

雖然透過 Direct Connect 路由 IPsec VPN 流量可以更低的成本提供更好的效能,但您可以首先設定透過網際網路連線至 SDDC 的 IPsec VPN,然後重新設定該 VPN 以供稍後使用 Direct Connect。

當您開啟新 SDDC 的網路與安全性索引標籤時,您可以執行設定網路與安全性精靈來引導您完成設定 Direct Connect 和 VPN、在 SDDC 中存取 vCenter 以及視需要變更預設 DNS 伺服器所需的步驟。

如果您只想設定透過網際網路將內部部署資料中心連線至 SDDC 的路由型 VPN,請遵循下列步驟。

必要條件

您必須擁有 NSX 管理員服務角色,才能在網路與安全性索引標籤上檢視和設定功能。請參閱 VMware Cloud on AWS 網路與安全性指南中的〈為組織成員指派 NSX 服務角色〉

程序

  1. 在 SDDC 中建立路由型 VPN。
    路由型 VPN 會建立 IPsec 通道介面,並透過該介面路由流量,如 SDDC 路由表所述。路由型 VPN 提供對多個子網路的彈性且安全的存取權。使用路由型 VPN 時,會在建立新網路時自動新增路由。 請參閱 VMware Cloud on AWS 網路與安全性指南中的〈建立路由型 VPN〉
  2. 設定內部部署 IPsec VPN。
    您可以使用 NSX 或任何其他可終止 IPsec VPN 的裝置。
    重要:

    IPsec VPN 的 SDDC 端僅支援以時間為基礎的重設金鑰。內部部署的裝置必須停用有效位元數重設金鑰。

    請勿將 VPN 的內部部署端設定為存在閒置逾時 (例如,NSX 的工作階段閒置逾時設定)。內部部署閒置逾時可能會導致 VPN 定期中斷連線。

    1. 如果您的內部部署 VPN 閘道位於防火牆的後方,必須設定該防火牆以轉送 IPsec 通訊協定流量:
      • 開啟 UDP 連接埠 500,允許網際網路安全性關聯及金鑰管理通訊協定 (ISAKMP) 流量透過防火牆轉送。
      • 設定 IP 通訊協定識別碼 50,允許 IPsec 封裝安全性通訊協定 (ESP) 流量透過防火牆轉送。
      • 設定 IP 通訊協定識別碼 51,允許驗證標頭 (AH) 流量透過防火牆轉送。
    2. 下載 SDDC IPsec VPN 組態檔。
      如需有關此檔案中的內容以及如何使用該檔案來協助設定內部部署 VPN 端點的詳細資訊,請參閱VMware Cloud on AWS 網路與安全性指南中的〈IPsec VPN 設定參考〉
  3. (選擇性) 建立網路區段。
    將使用名為 sddc-cgw-network-1 的單一路由網路區段建立單一主機起步 SDDC。不使用預設網路區段建立多主機 SDDC,因此,您必須建立至少一個用於工作負載虛擬機器。 請參閱 VMware Cloud on AWS 網路與安全性指南中的〈建立網路區段〉
  4. 在管理閘道上建立一些基本防火牆規則。
    依預設,管理閘道會封鎖從所有來源到所有目的地的流量。可以視需要新增管理閘道防火牆規則以允許流量。 請參閱 VMware Cloud on AWS 網路與安全性指南中的〈新增或修改管理閘道防火牆規則〉
  5. 設定管理網路私人 DNS。
    指定私人 DNS 伺服器的位址,以便管理閘道、ESXi 主機和管理虛擬機器將完整網域名稱 (FQDN) 解析為管理網路上的 IP 位址。若要使用運用 vMotion 進行移轉冷移轉 或混合連結模式等功能,請將 vCenter Server 解析切換為從 VPN 解析私人 IP 位址。 請參閱 VMware Cloud on AWS 網路與安全性指南中的〈設定 HCX FQDN 解析位址〉