VMware Cloud on AWS 使用 NSX-T 建立和管理內部 SDDC 網路,並針對內部部署網路基礎結構的 VPN 連線提供端點。

SDDC 網路拓撲

建立 SDDC 時,它將包括管理網路。單一主機試用版 SDDC 也包括小型計算網路。您可以在建立 SDDC 時指定管理網路 CIDR 區塊。無法在建立 SDDC 後進行變更。如需詳細資料,請參閱 〈從 VMC 主控台部署 SDDC〉。管理網路包含兩個子網路:
應用裝置子網路
此子網路由 SDDC 中的 vCenter、NSX 和 HCX 應用裝置使用。當您在 SDDC 中新增 SRM 等以應用裝置為基礎的服務時,這些服務也會連線至此子網路。
基礎結構子網路
此子網路由 SDDC 中的 ESXi 主機使用。

計算網路包括工作負載虛擬機器任意數目的邏輯區段。如需瞭解邏輯區段的目前限制,請參閱《VMware 組態上限》。在單一主機 SDDC 起步組態中,我們建立了具有單一路由區段的計算網路。在具有更多主機的 SDDC 組態中,您必須建立計算網路區段以符合您的需求。如需瞭解適用限制,請參閱《VMware 組態上限》

SDDC 網路有兩個假想層:
  • 第 0 層會處理南北向流量 (離開或進入 SDDC 的流量,或管理和計算閘道之間的流量)
  • 第 1 層會處理東西向流量 (SDDC 內路由網路區段之間的流量)。
圖 1. SDDC 網路拓撲
NSX Edge 應用裝置

預設 NSX Edge 應用裝置將以在作用中/待命模式下執行的一對虛擬機器的形式來執行。此應用裝置提供執行預設第 0 層和第 1 層路由器的平台,以及 IPsec VPN 連結及其 BGP 路由機制。所有南北向流量均通過第 0 層路由器。若要避免透過 Edge 應用裝置傳送東西向流量,每個第 1 層路由器的元件都會在處理 SDDC 中目的地路由的每個 ESXi 主機上執行。

如果此流量的一部分不透過 VPN 傳輸或不採用流入或流出網際網路的任何其他路由,而需要為這部分流量提供額外的頻寬時,您可以透過建立流量群組將 SDDC 重新設定為多個 Edge,其中每個群組都會建立一個額外的 NSX Edge 應用裝置。如需詳細資料,請參閱 使用流量群組設定多 Edge SDDC

管理閘道 (MGW)
MGW 針對 SDDC 中執行的 vCenter Server 和其他管理應用裝置處理路由和防火牆的第 1 層路由器。在建立 SDDC 時,將自動從 AWS 公用 IP 位址的集區中指派 MGW 的網際網路對向 IP 位址。如需有關指定此位址範圍的詳細資訊,請參閱 〈從 VMC 主控台部署 SDDC〉
計算閘道 (CGW)
CGW 是針對連線至路由計算網路區段的工作負載虛擬機器處理路由和防火牆的第 1 層路由器。

在 SDDC 和已連線的 VPC 之間路由

重要:

AWS 服務或執行個體與 SDDC 進行通訊所在的任何 VPC 子網路,都必須與已連線 VPC 的主要路由表相關聯。不支援使用自訂路由表或取代主要路由表。

建立 SDDC 時,我們會在 SDDC 建立時指定的 AWS 帳戶所擁有的所選 VPC 中預先配置 17 個 AWS 彈性網路介面 (ENI)。我們會從建立 SDDC 時指定的子網路為其中每個 ENI 指派 IP 位址,然後將 SDDC 叢集 Cluster-1 中的每台主機連結至其中一個 ENI。將另一個 IP 位址指派給正在執行作用中 NSX Edge 應用裝置的 ENI。

此組態 (稱為已連線 VPC) 支援 SDDC 中的虛擬機器與已連線 VPC 中的 AWS 執行個體和原生 AWS 服務端點之間的網路流量。已連線 VPC 的主要路由表反映了 VPC 的主要子網路以及所有 SDDC (NSX-T 網路區段) 子網路。在 SDDC 上建立或刪除路由網路區段時,會自動更新主要路由表。將 SDDC 中的 NSX Edge 應用裝置移到另一台主機時 (無論是為了從故障復原還是在 SDDC 維護期間),配置給 Edge 應用裝置的 IP 位址將移至新的 ENI (位於新主機上),並更新主要路由表以反映變更。如果取代了主要路由表或使用的是自訂路由表,則更新會失敗,並且網路流量再也無法在 SDDC 網路與已連線的 VPC 之間進行路由。如需瞭解有關如何使用 VMC 主控台查看已連線 VPC 詳細資料的詳細資訊,請參閱 檢視已連線的 VPC 資訊

如需 SDDC 網路架構和支援該架構的 AWS 網路物件的深入討論,請閱讀 VMware Cloud Tech Zone 文章〈VMware Cloud on AWS:SDDC 網路架構〉

保留的網路位址

某些 IPv4 位址範圍無法用於 SDDC 計算網路。一些位址範圍由 SDDC 網路元件在內部使用。按照慣例,大多數位址範圍也將保留在其他網路上。
表 1. SDDC 網路中保留的位址範圍
  • 10.0.0.0/15
  • 172.31.0.0/16
這些範圍保留在 SDDC 管理子網路中,但可用於內部部署網路或 SDDC 計算網路區段。
100.64.0.0/16 根據 RFC 6598 為電信級 NAT 保留。避免在 SDDC 網路及其他網路中使用此範圍內的位址。在 SDDC 內部或從 SDDC 外部都無法連線到這些位址。如需詳細瞭解 SDDC 網路如何使用此位址範圍,請參閱 VMware 知識庫文章 76022
  • 169.254.0.0/19
  • 169.254.64.0/24
  • 169.254.101.0/30
  • 169.254.105.0/24
  • 169.254.106.0/24
根據 RFC 3927,所有 169.254.0.0/16 都是連結本機範圍,無法在單一子網路之外進行路由。但是,除了這些 CIDR 區塊之外,可以對虛擬通道介面使用 169.254.0.0/16 位址。請參閱建立路由型 VPN
192.168.1.0/24 這是單一主機起步 SDDC 的預設計算區段 CIDR,未將其保留在其他組態中。
SDDC 網路也會遵守在 RFC 3330 中列舉的特殊用途的 IPv4 位址範圍的慣例。

SDDC 網路中的多點傳送支援

在 SDDC 網路中,第 2 層多點傳送流量被視為流量的來源網路區段上的廣播流量。不會在該區段之外路由。不支援第 2 層多點傳送流量最佳化功能 (例如 IGMP 窺探)。VMware Cloud on AWS 中不支援第 3 層多點傳送 (例如,通訊協定獨立多點傳送)。

將內部部署 SDDC 連線至您的雲端 SDDC

若要將內部部署資料中心連線到您的 VMware Cloud on AWS SDDC,您可以建立使用公用網際網路的 VPN 或使用 AWS Direct Connect 的 VPN,也可以單獨使用 AWS Direct Connect。此外,還可以利用 SDDC 群組,以使用 VMware Transit Connect™ 和 AWS Direct Connect Gateway 在 VMware Cloud on AWS SDDC 群組與內部部署 SDDC 之間提供集中式連線。請參閱 VMware Cloud on AWS 作業指南中的 〈建立和管理 SDDC 部署群組〉
圖 2. 與內部部署資料中心的 SDDC 連線
第 3 層 (L3) VPN
第 3 層 VPN 透過公用網際網路或 AWS Direct Connect 在內部部署資料中心與 VMware Cloud on AWS SDDC 之間提供安全連線。這些 IPsec VPN 可以是路由型或原則型 VPN。透過使用支援 IPsec VPN 設定參考 中所列設定的任何內部部署路由器做為內部部署端點,可以針對每種類型最多建立十六個 VPN。
第 2 層 (L2) VPN
第 2 層 VPN 提供延伸網路,具有跨越內部部署資料中心和 SDDC 的單一 IP 位址空間,可將內部部署工作負載熱移轉或冷移轉至 SDDC。在任何 SDDC 中只能建立單一 L2VPN 通道。通道的內部部署端需要 NSX。如果在內部部署資料中心內並未使用 NSX,您可以下載獨立的 NSX Edge 應用裝置,以提供所需的功能。L2 VPN 可以透過公用網際網路或 AWS Direct Connect 將內部部署資料中心連線到 SDDC。
AWS Direct Connect (DX)
AWS Direct Connect 是由 AWS 提供的一項服務,可讓您在內部部署資料中心與 AWS 服務之間建立高速、低延遲連線。當您設定 AWS Direct Connect 時,VPN 可以使用它,而不是透過公用網際網路路由流量。由於 Direct Connect 實作邊界閘道通訊協定 (BGP) 路由,因此,當您設定 Direct Connect 時可以選擇性地將 L3VPN 用於管理網路。透過 Direct Connect 的流量未加密。如果您要加密該流量,可以設定使用私人 IP 位址和 Direct Connect 的 IPsec VPN。
VMware HCX
VMware HCX 是一個多雲端應用程式行動解決方案,可免費供所有 SDDC 使用,且有助於在內部部署資料中心與 SDDC 之間移轉工作負載虛擬機器。如需有關安裝、設定和使用 HCX 的詳細資訊,請參閱 〈使用 HCX 進行混合移轉的檢查清單〉