VMware Cloud on AWS 网络和安全

2020 年 1 月 07 日

VMware Cloud on AWS

您可以从 VMware 网站下载 新的技术文档：

https://docs.vmware.com/cn/。

如果您对本文档有任何意见或建议，请将反馈信息发送至：

docfeedback@vmware.com

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

威睿信息技术（中国）有限公司北京办公室北京市朝阳区新源南路 8 号启皓北京东塔 8 层 801www.vmware.com/cn

上海办公室上海市淮海中路 333 号瑞安大厦 804-809 室www.vmware.com/cn

广州办公室广州市天河路 385 号太古汇一座 3502 室www.vmware.com/cn

版权所有 © 2017-2020 VMware, Inc. 保留所有权利。 版权和商标信息

VMware Cloud on AWS 网络和安全

VMware, Inc. 2

目录

关于《VMware Cloud on AWS 网络和安全》 5

1 NSX-T 网络概念 6NSX 支持的功能 9

2 使用 NSX-T 配置 VMware Cloud on AWS 网络与安全 11向组织成员分配 NSX 服务角色 12

将 VMware Cloud on AWS 配置为使用 AWS Direct Connect 13

设置 AWS Direct Connect 连接 13

为 SDDC 管理和计算网络流量创建专用虚拟接口 14

创建公用虚拟接口以访问 AWS 服务 15

配置 vMotion 接口以使用 Direct Connect 16

在 SDDC 和内部部署数据中心之间配置 VPN 连接 17

创建基于路由的 VPN 17

创建基于策略的 VPN 20

查看 VPN 通道状态和统计信息 22

IPsec VPN 设置参考 22

配置管理网关的网络与安全 24

设置 vCenter Server FQDN 解析地址 24

设置 HCX FQDN 解析地址 24

添加或修改管理网关防火墙规则 25

配置计算网关的网络与安全 27

创建或修改网络分段 28

配置第 2 层 VPN 和扩展网络分段 29

添加或修改计算网关防火墙规则 32

添加或修改分布式防火墙规则 34

配置 DNS 服务 37

配置计算网关 DHCP 中继 39

使用清单组 39

添加管理组 40

添加或修改计算组 40

添加自定义服务 41

查看虚拟机清单 42

管理工作负载连接 42

将虚拟机连接到计算网络分段或从计算网络分段断开工作负载虚拟机连接 42

请求或释放公用 IP 地址 43

创建或修改 NAT 规则 44

VMware, Inc. 3

创建防火墙规则以管理计算网络与管理网络之间的流量 45

3 配置监控和故障排除功能 47配置 IPFIX 47

配置端口镜像 48

查看已连接 VPC 的信息 49

VMware Cloud on AWS 网络和安全

VMware, Inc. 4

关于《VMware Cloud on AWS 网络和安全》

《VMware Cloud on AWS 网络和安全》指南提供了有关为 VMware Cloud on AWS 配置 NSX-T 网络和安

全的信息。

目标读者

本信息适用于需要使用 VMware Cloud on AWS 创建 SDDC 的任何用户，该 SDDC 具有将工作负载迁移

到外部并在云中安全运行工作负载所需的网络和安全基础架构。这些信息面向以下读者：已在内部部署环

境中使用 vSphere，且熟悉使用 NSX-T 或其他网络解决方案的 IP 网络的基本知识。无需具备 vSphere 或

Amazon Web Services 的深厚知识。

有关 VMware Cloud on AWS 如何使用 NSX-T 网络的详细讨论，请参见 VMware Press 出版的电子书

《VMware Cloud on AWS：NSX 网络和安全》。

VMware, Inc. 5

NSX-T 网络概念 1VMware Cloud on AWS 使用 NSX-T 创建和管理内部 SDDC 网络，并为内部部署网络基础架构中的 VPN 连接提供端点。

连接到 SDDC要将内部部署数据中心连接到 VMware Cloud on AWS SDDC，可以创建一个使用公用 Internet 的 VPN 或使用 AWS Direct Connect 的 VPN，也可以单独使用 AWS Direct Connect。

图 1-1. SDDC 到内部部署数据中心的连接

172.16.10.0/24

10.10.10.0/24

192.168.10.0/24

172.16.20.0/24

10.10.10.0/24

192.168.10.0/24

172.16.10.0/24

10.10.10.0/24

192.168.10.0/24

172.16.20.0/24

10.10.10.0/24

192.168.10.0/24

L3 VPN

L2 VPN

HCX

BGP（L3 VPN 可选）

L2 VPN

HCX

公用 Internet

AWS Direct Connect

L3 VPN/BGP

NSX L2 VPN

HCX

数据中心 VMware Cloud on AWS互连

第 3 层 (L3) VPN 第 3 层 VPN 提供将内部部署数据中心连接到 SDDC 的管理网络。这些

IPsec VPN 可以基于路由，也可以基于策略。您可以使用支持 IPsec VPN 设置参考 中所列设置的内部部署路由器针对每个类型创建 多 16 个 VPN。

L3 VPN 可以通过公用 Internet 或通过 AWS Direct Connect 将内部部署数据

中心连接到 SDDC。

第 2 层 (L2) VPN 第 2 层 VPN 提供扩展网络或延伸网络，具有跨内部部署数据中心和 SDDC 的单个 IP 地址空间，并可将内部部署工作负载热迁移或冷迁移到 SDDC。

在任何 SDDC 中都只能创建单个 L2 VPN 隧道。隧道的内部部署端需要

VMware, Inc. 6

NSX。如果您的内部部署数据中心尚未使用 NSX，则可以下载独立的 NSX Edge 设备以提供所需的功能。L2 VPN 可以通过公用 Internet 或通过 AWS Direct Connect 将内部部署数据中心连接到 SDDC。

AWS Direct Connect (DX)

AWS Direct Connect 是 AWS 提供的一项服务，可以在内部部署数据中心与

AWS 服务之间建立高速且低延迟的连接。配置 AWS Direct Connect 时，

VPN 可以使用它，而不是通过公用 Internet 路由流量。由于 Direct Connect 实施边界网关协议 (BGP) 路由，因此在配置 Direct Connect 时，可以选择

性地对管理网络使用 L3VPN。通过 Direct Connect 的流量未加密。如果要

对该流量进行加密，请配置 L3 VPN 以使用 Direct Connect。

VMware HCX VMware HCX 是一个多云应用程序移动解决方案，免费供所有 SDDC 使用，并可帮助在内部部署数据中心与 SDDC 之间迁移工作负载虚拟机。有关

安装、配置和使用 HCX 的详细信息，请参见使用 HCX 进行混合迁移检查

表。

SDDC 网络拓扑

创建 SDDC 时，将包括管理网络和计算网络。管理网络 CIDR 块必须在创建 SDDC 时指定并且无法更改。

管理网络具有两个子网：

设备子网 创建 SDDC 时为管理子网指定的 CIDR 范围的子网。此子网由 SDDC 中的

vCenter、NSX 和 HCX 设备使用。将基于设备的服务（如 SRM）添加到

SDDC 时，它们也会连接到该子网。

基础架构子网 创建 SDDC 时为管理子网指定的 CIDR 范围的子网。此子网由 SDDC 中的

ESXi 主机使用。

计算网络为工作负载虚拟机包含任意数量的逻辑分段。在单主机 SDDC 起步配置中，将创建包含一个路由

分段的计算网络。在具有更多主机的 SDDC 配置中，必须根据您的需求创建计算网络分段。有关适用限

制，请参见 VMware Cloud on AWS 的 高配置。

SDDC 网络具有两个概念层：

n 第 0 层由一个 NSX Edge 设备提供服务。

n 第 1 层由两个 NSX Edge 防火墙（管理网关和计算网关）提供服务。

VMware Cloud on AWS 网络和安全

VMware, Inc. 7

图 1-2. SDDC 网络拓扑

Internet

客户内部部署

BGP

BGP

VGWIGW

BGPDirect Connect接口

VPC接口

Internet接口

链接客户 VPC

SDDC 子网主路由表

xENI

CGW(Tier-1)

MGW(Tier-1)

Tier-0

vCenter

分布式路由器 默认

网关

路由计算网络分段

DFW

DFW

路由计算网络分段

设备子网

HCXMgr/IX/L2C

SRM/vSR

NSX ControllerNSXManager

Edge0/1

基础架构子网

ESXi主机

DFW

AWSDirect

Connect(DX)

VPN 隧道接口

NSX Edge 设备 您的内部部署网络与 SDDC 网络之间的所有流量都将通过此设备。计算网关

防火墙规则（用于控制对工作负载虚拟机的访问）在其上行链路接口上应

用。

管理网关 (MGW) MGW 是为在 SDDC 中运行的 vCenter Server 和其他管理设备提供南北向

网络连接的 NSX Edge 防火墙。创建 SDDC 时，会自动从 AWS 公用 IP 地址池为 MGW 分配面向 Internet 的 IP 地址。有关指定此地址范围的详细信

息，请参见从 VMC 控制台部署 SDDC。如果在创建 SDDC 时未指定范围，

系统将使用默认值 10.2.0.0/16。

计算网关 (CGW) CGW 是为在 SDDC 中运行的虚拟机提供南北部网络连接的 NSX Edge 防火

墙。在单节点 SDDC 中，VMware Cloud on AWS 会创建一个默认的逻辑网

络分段（CIDR 块 192.168.1.0/24），为这些虚拟机提供网络连接。您可以

在网络与安全选项卡上创建其他逻辑网络。

VMware Cloud on AWS 网络和安全

VMware, Inc. 8

在 SDDC 与已连接的 VPC 之间路由

重要事项 所有 SDDC 子网以及 AWS 服务或实例与 SDDC 进行通信所使用的任何 VPC 子网都必须与已

连接 VPC 的主路由表相关联。不支持使用自定义路由表或替换主路由表。

创建 SDDC 时，我们会将指定 AWS 帐户所拥有的 VPC 的 ENI 连接到 SDDC 中的 NSX Edge 设备。该

VPC 将成为已连接的 VPC，并且该连接支持 SDDC 虚拟机与 AWS 实例之间的网络流量以及已连接 VPC 中的本机服务。已连接 VPC 的主路由表包括 VPC 中的所有子网以及所有 SDDC（NSX-T 网络分段）子

网。在工作负载网络上创建或删除路由网络分段时，主路由表将自动更新。无论是为了从故障中恢复还是

在 SDDC 维护期间，将 SDDC 中的 NSX Edge 设备移至另一个主机时，主路由表都会更新以反映新 NSX Edge 主机使用的 ENI。如果替换了主路由表或使用自定义路由表，则更新将失败，且网络流量无法再在

SDDC 网络与已连接的 VPC 之间路由。

有关详细信息，请参见查看已连接 VPC 的信息。

预留的网络地址

整个地址范围 100.64.0.0/10（依照 RFC 6598 为运营商级 NAT 预留）由 VMware Cloud on AWS 预留以

供内部使用。您无法从 SDDC 中的工作负载访问该地址范围内的任何远程（内部部署）网络，并且无法使

用 SDDC 内该范围内的任何地址。

SDDC 网络中的多播支持

在 SDDC 网络中，第 2 层多播流量视为生成流量的网络分段上的广播流量。不会在该分段之外路由。不支

持第 2 层多播流量优化功能，如 IGMP 侦听。VMware Cloud on AWS 中不支持第 3 层多播（例如，协议

无关多播）。

本章讨论了以下主题：

n NSX 支持的功能

NSX 支持的功能

NSX-T 支持的 SDDC 支持多种网络和安全解决方案。

表 1-1. NSX-T 支持的功能。

功能或解决方案 NSX-T

基于策略的 IPsec VPN 是

基于路由的 IPsec VPN 是

Direct Connect 用于所有流量 是

L2 VPN 是

Edge 防火墙 是

逻辑网络、DHCP、DNS、NAT 是

分布式防火墙 是

VMware Cloud on AWS 网络和安全

VMware, Inc. 9

表 1-1. NSX-T 支持的功能。 （续）

功能或解决方案 NSX-T

IPFIX、端口镜像 是

管理设备和 ESXi 进出覆盖网络和 AWS VPC 是

多个群集 是

多个可用区延伸群集 是

通过 vMotion 执行双向迁移 是

VMware Site Recovery 是

VMware Hybrid Cloud Extension 是

Horizon 是

第三方解决方案 - 存储合作伙伴 是

第二方解决方案 - vRA、vROps 是

NSX-T 最高配置

现在，NSX-T 高配置包含在 VMware Cloud on AWS 的 高配置中。

VMware Cloud on AWS 网络和安全

VMware, Inc. 10

使用 NSX-T 配置 VMware Cloud on AWS 网络与安全 2按照此工作流在 SDDC 中配置 NSX-T 网络与安全。

步骤

1 向组织成员分配 NSX 服务角色

可以将“NSX 管理员”服务角色授予组织中的用户，以便他们能够在“网络和安全”选项卡上查看和

配置功能。

2 将 VMware Cloud on AWS 配置为使用 AWS Direct Connect

使用 AWS Direct Connect 是可选方案。如果内部部署网络与 SDDC 工作负载之间的流量需要比通过

公用 Internet 连接的速度更快、延迟更低，请将 VMware Cloud on AWS 配置为使用 AWS Direct Connect。

3 在 SDDC 和内部部署数据中心之间配置 VPN 连接

可配置 VPN，以通过公用 Internet 或 AWS Direct Connect 安全连接到 SDDC。支持基于路由和基于

策略的 VPN。这两种类型的 VPN 均可通过 Internet 连接到 SDDC。基于路由的 VPN 还可以通过

AWS Direct Connect 连接到 SDDC。

4 配置管理网关的网络与安全

管理网络和管理网关在 SDDC 中进行了大量的预配置，但您仍需要配置对管理网络服务（如 vCenter 和 HCX）的访问权限，并创建管理网关防火墙规则，以允许管理网络和其他网络之间的流量，包括内

部部署网络和其他 SDDC 网络。

5 配置计算网关的网络与安全

计算网关网络中包括一个计算网络，该计算网络中具有一个或多个分段、DNS 和 DHCP，以及用于

管理工作负载虚拟机的网络流量的安全配置（网关防火墙和分布式防火墙）。它还可以包括第 2 层

VPN 和扩展网络，该网络可提供一个跨内部部署网络和 SDDC 工作负载网络的广播域。

6 使用清单组

使用 VMware Cloud on AWS 网络与安全清单创建虚拟机组和网络服务组，这样在创建防火墙规则时

可以使用它们。

7 管理工作负载连接

默认情况下，工作负载虚拟机连接到 Internet。您可以使用 NAT 规则和分布式防火墙规则精细地控制

这些连接。

VMware, Inc. 11

向组织成员分配 NSX 服务角色

可以将“NSX 管理员”服务角色授予组织中的用户，以便他们能够在“网络和安全”选项卡上查看和配置

功能。

组织角色指定组织成员对组织资产所拥有的特权。服务角色指定组织成员在访问组织使用的 VMware Cloud Services 时所拥有的特权。具有组织所有者特权的用户可以分配和更改所有服务角色，因此，要防

止修改，除了分配组织成员角色外，还应分配管理员（删除限制）或 NSX Cloud 审核员等限制性角色。

用户必须先注销然后重新登录，新的服务角色才会生效。

前提条件

您必须是组织所有者才能向组织成员分配角色。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击服务图标，然后选择标识与访问管理。

3 选择一个用户，然后单击编辑角色。

4 从分配组织角色下拉控件中选择角色名称。

可用角色包括：

组织所有者 此角色具有管理组织成员和资产的全部权限。

组织成员 此角色具有访问组织资产的权限。

5 在分配服务角色下，选择 VMware Cloud on AWS 服务名称。

6 选择要分配的 NSX 服务角色。

可用的 NSX 服务角色如下：

NSX Cloud 审核员 此角色可以查看 NSX 服务设置和事件，但不能对服务进行任何更改。

NSX Cloud 管理员 此角色可以执行与 NSX 服务部署和管理相关的所有任务。

注 将多个服务角色分配给某组织用户时，将授予 高权限角色的权限。例如，如果某组织成员同时具

有 NSX Cloud 管理员角色和 NSX Cloud 审核员角色，则会为该组织成员授予所有 NSX Cloud 管理员

权限，包括授予 NSX Cloud 审核员角色的权限。

7 单击保存以保存更改。

后续步骤

确保已更改角色的所有用户注销并重新登录，以使更改生效。

VMware Cloud on AWS 网络和安全

VMware, Inc. 12

将 VMware Cloud on AWS 配置为使用 AWS Direct Connect使用 AWS Direct Connect 是可选方案。如果内部部署网络与 SDDC 工作负载之间的流量需要比通过公用

Internet 连接的速度更快、延迟更低，请将 VMware Cloud on AWS 配置为使用 AWS Direct Connect。

AWS Direct Connect (DX) 在内部部署网络基础架构与 AWS VPC 中的虚拟接口 (VIF) 之间提供专用网络连

接。DX 支持两种虚拟接口：

n 通过专用 VIF，可以访问 AWS Virtual Private Cloud (VPC)。

n 通过公用 VIF，可以访问 Amazon EC2 和 S3 等服务。

要在内部部署数据中心和已连接 VPC 之间传输工作负载和管理流量（包括 VPN 和 vMotion），请使用通

过专用 VIF 建立的 DX。如果需要连接到 AWS 公用端点（例如 EC2 和 S3），请使用通过公用 VIF 建立的

DX。可以通过其中任意一种类型的 VIF 路由 VPN 流量，以提高数据安全性。

专用和公用 VIF通过专用 VIF 建立的 DX 连接可用于内部部署数据中心与 SDDC 之间的所有流量。它将在已连接 Amazon VPC 中终止，提供专用 IP 地址空间，并使用 BGP 通告 SDDC 中的路由和学习内部部署数据中心的路

由。

通过公用 VIF 建立的 DX 连接通常仅用于内部部署数据中心与公用 AWS 服务之间的流量，通过专用 VIF 无法访问这些流量。它将在已连接 Amazon VPC 所占用的区域中的 AWS 区域级别终止，并使用 BGP 通告 AWS 全局路由。

指定更大的最大传输单元 (MTU)所有 SDDC 网络的默认 MTU 均为 1500 字节。创建 VIF 时，可以使通过专用或公用 VIF 建立的 DX 使用

更大的 MTU。如果执行此操作，还需要打开网络与安全选项卡的全局配置页面，然后设置更高的 Intranet MTU 值。所设置的值必须小于或等于所有 DX 虚拟接口的 小 MTU 值。实际上，这意味着，应将所有

VIF 设置为相同的 MTU 值（默认值 1500 或巨型 9001），因为不支持巨型 MTU 的任何 VIF 会有效地将所

有 DX 连接限制到 MTU 1500。

注 为了给 Geneve（通用网络虚拟化封装）头留出空间，SDDC Intranet MTU 的上限为 8900 字节，以避

免在 VIF 出现数据包碎片。

巨型 MTU 仅适用于 DX 连接。任何 VPN（无论是否通过 DX 连接）都使用 MTU 1500，而不管其他设置

如何。还应确认使用 DX 连接的工作负载虚拟机的接口 MTU 设置为与 Intranet MTU 值匹配的值。否则，

工作负载虚拟机将无法充分利用更大的 MTU。

设置 AWS Direct Connect 连接

要设置 AWS Direct Connect 连接，必须通过 AWS 控制台下单。

有关如何请求 AWS Direct Connect 连接的信息，请参阅开始使用 AWS Direct Connect。

前提条件

在提供 VMware Cloud on AWS 的地区请求 Direct Connect 访问。

VMware Cloud on AWS 网络和安全

VMware, Inc. 13

后续步骤

建立 AWS Direct Connect 连接后，创建专用虚拟接口以连接到您的 VMware Cloud on AWSSDDC。

为 SDDC 管理和计算网络流量创建专用虚拟接口

DX 连接需要专用虚拟接口以允许 vMotion、ESXi 管理、管理设备和工作负载流量使用它。

为与 SDDC 建立的每个 Direct Connect 链路创建一个虚拟接口。例如，如果要创建两个 Direct Connect 链路以实现冗余，请创建两个虚拟接口。有关每个专用 VIF 支持的分段数限制，请参见“VMware Cloud on AWS 的配置 大值”。

前提条件

n 确保满足虚拟接口必备条件中所述的虚拟接口必备条件。

步骤

1 登录到 AWS 控制台，完成创建托管虚拟接口下的创建托管专用虚拟接口过程。

如果您使用的是托管连接，请与 AWS 合作伙伴合作，在您拥有的 AWS 帐户中创建 VIF，然后跳至此

过程的步骤 2。如果您使用的是专用连接或托管 VIF，则先执行以下步骤。

a 对于接口所有者字段，使用网络与安全选项卡上 Direct Connect 页面的 AWS 帐户 ID 字段中显示

的帐户。

b 选择自动生成对等 IP 和自动生成 BGP 密钥。

c （可选） 启用巨型 MTU。

所有 SDDC 网络的默认 MTU 均为 1500 字节。要允许传输至此专用 VIF 的 DX 流量使用更大的

MTU，请选择巨型 MTU (MTU 大小 9001)下的启用。创建 VIF 后，还需要打开网络与安全选项卡

的全局配置页面，并在 Intranet 上行链路下设置更高的 MTU 值。

创建接口后，AWS 控制台将报告其已准备好接受该接口。

2 在 VMC 控制台 中，选择网络与安全 > Direct Connect，然后通过单击连接接受虚拟接口。

在接受该接口之前，组织中的所有 SDDC 中都会显示新的 VIF。接受 VIF 后，将不再显示在任何其他

SDDC 中。

BGP 会话 多可能需要 10 分钟才会激活。连接就绪后，状态将显示为已连接，并且 BGP 状态将显示

为运行正常。

3 （可选） 配置基于路由的 VPN 作为 Direct Connect 的备份

在默认配置中，由 DX 和基于路由的 VPN 通过 BGP 通告的任何路由上的流量在默认情况下均使用

VPN。要使 DX 和 VPN 通告的路由默认使用 DX 并在 DX 不可用时故障切换到 VPN，请选择网络与安

全 > Direct Connect，并将使用 VPN 作为 DX 的备份开关设置为已启用。

注 此配置需要基于路由的 VPN。不能使用基于策略的 VPN 作为 Direct Connect 的备份。

系统需要一分钟左右的时间来更新路由首选项。操作完成后，DX 和 VPN 通告的路由默认为 DX 连接，只在 DX 不可用时使用 VPN。

VMware Cloud on AWS 网络和安全

VMware, Inc. 14

结果

发现和通告路由时，将显示已通告的 BGP 路由和已发现的 BGP 路由列表。单击“刷新”图标

可刷新这些列表。除了此部分管理网络子网外，SDDC 中的所有路由子网

都将通告为 BGP 路由：

n 子网 1 包含 ESXi 主机 vmks 和路由器接口使用的路由。

n 子网 2 包含用于多 AZ 支持和 AWS 集成的路由

n 子网 3 包含管理虚拟机

已断开连接的网络和扩展网络不会通告。

实际通告的 CIDR 块取决于管理子网 CIDR 块。下表列出了某 SDDC 中这些路由的 CIDR 块，该 SDDC 使用默认管理网络 CIDR 10.2.0.0，且块大小为 /16、/20 和 /22。

表 2-1. 10.2.0.0 默认 MGW CIDR 的通告路由

MGW CIDR 子网 1 子网 2 子网 3

10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25

10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22

10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18

后续步骤

确保将 vMotion 接口配置为使用 Direct Connect。请参见配置 vMotion 接口以使用 Direct Connect。

创建公用虚拟接口以访问 AWS 服务

如果工作负载虚拟机需要通过 DX 连接访问 AWS EC2 实例和服务（如 S3），请在您的 VPC 中为该流量

配置一个公用虚拟接口。

在典型配置中，内部部署数据中心与 SDDC 之间的流量通过专用 VIF 传输。如果需要从 SDDC 访问 AWS 服务，请将 Direct Connect 与公用 VIF 配合使用。您可以配置 AWS 安全组，以管理 AWS 服务与 SDDC 中的虚拟机之间的流量。

前提条件

n 确保满足虚拟接口必备条件中所述的虚拟接口必备条件。

VMware Cloud on AWS 网络和安全

VMware, Inc. 15

步骤

1 登录到 AWS 控制台。按照创建托管虚拟接口所述完成创建托管公用虚拟接口的步骤。

a 在接口所有者字段中，选择我的 AWS 帐户。

b 指定您的路由器对等 IP 和 Amazon 路由器对等 IP。

c 选择自动生成 BGP 密钥，并在您希望通告的前缀中列出您希望在 AWS 主干上通告的任何内部部

署路由。

创建接口后，AWS 控制台将报告其已准备好接受该接口。

2 在 VMC 控制台 中，选择网络与安全 > Direct Connect，然后通过单击连接接受虚拟接口。

配置 vMotion 接口以使用 Direct Connect如果要在内部部署数据中心与云 SDDC 之间使用 Direct Connect 连接，必须为内部部署主机配置 vMotion 接口才可通过 Direct Connect 连接路由 vMotion 流量。

前提条件

配置 Direct Connect 并创建专用虚拟接口。

步骤

1 选择以下方法之一，在内部部署环境中的每台主机上配置 vMotion 接口。

选项 描述

替代默认网关（仅适用于 vSphere 6.5 主机）

对于每台主机，编辑用于 vMotion 流量的 VMkernel 适配器，然后选择用于替代默认

网关的选项。输入内部部署 vMotion 子网中能够将流量路由到 Direct Connect 连接

内部部署端的 IP 地址。请参见编辑 VMkernel 适配器配置。

配置 vMotion TCP/IP 堆栈 对于每台主机：

a 移除任何现有的 vMotion VMkernel 适配器。

b 创建新的 VMkernel 适配器，并选择 vMotion TCP/IP 堆栈。请参见将 vMotion 流量放置在 ESXi 主机的 vMotion TCP/IP 堆栈上。

c 编辑主机的 vMotion TCP/IP 堆栈，将路由更改为使用内部部署 vMotion 子网中

能够将流量路由到 Direct Connect 连接内部部署端的 IP 地址。请参见更改主机

上的 TCP/IP 堆栈配置。

2 （可选） 使用 vmkping 测试内部部署主机与云 SDDC 主机之间的连接。

有关详细信息，请参见 https://kb.vmware.com/s/article/1003728。

VMware Cloud on AWS 网络和安全

VMware, Inc. 16

在 SDDC 和内部部署数据中心之间配置 VPN 连接

可配置 VPN，以通过公用 Internet 或 AWS Direct Connect 安全连接到 SDDC。支持基于路由和基于策略

的 VPN。这两种类型的 VPN 均可通过 Internet 连接到 SDDC。基于路由的 VPN 还可以通过 AWS Direct Connect 连接到 SDDC。

n 创建基于路由的 VPN

基于路由的 VPN 会创建 IPsec 隧道接口，并按照 SDDC 路由表的指示将流量路由通过该接口。通过

基于路由的 VPN，可以有弹性地安全访问多个子网。使用基于路由的 VPN 时，在创建新网络时会自

动添加新的路由。

n 创建基于策略的 VPN

基于策略的 VPN 会创建 IPsec 隧道和指定流量如何使用该隧道的策略。如果使用基于策略的 VPN，

添加新路由时，必须更新网络两端的路由表。

n 查看 VPN 通道状态和统计信息

VMC 控制台 提供了 IPSec VPN 和 L2VPN 分段的状态和统计信息。

n IPsec VPN 设置参考

必须将任何 IPsec VPN 的内部部署端配置为与为该 VPN 的 SDDC 端指定的设置相匹配。

创建基于路由的 VPN基于路由的 VPN 会创建 IPsec 隧道接口，并按照 SDDC 路由表的指示将流量路由通过该接口。通过基于

路由的 VPN，可以有弹性地安全访问多个子网。使用基于路由的 VPN 时，在创建新网络时会自动添加新

的路由。

VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP，因此只能创建与给定远程公用 IP 的单个

VPN 连接（基于路由、基于策略或 L2VPN）。

VMware Cloud on AWS SDDC 中基于路由的 VPN 使用 IPsec 协议保护流量，使用边界网关协议 (BGP) 在创建新网络时发现和传播路由。要创建基于路由的 VPN，请为本地 (SDDC) 和远程（内部部署）端点配

置 BGP 信息，然后为隧道的 SDDC 端指定隧道安全参数。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击网络与安全 > VPN > 基于路由。

3 （可选） 更改默认的本地自治系统编号 (ASN)。

SDDC 中基于路由的所有 VPN 均默认为 ASN 65000。如果任何已配置 VPN 连接的远程 ASN 也具有

此值，则单击编辑本地 ASN，输入一个介于 64521 到 65535 之间的新值，然后单击应用。

4 单击添加 VPN，并为新 VPN 指定名称。

VMware Cloud on AWS 网络和安全

VMware, Inc. 17

5 从下拉菜单中选择本地 IP 地址。

n 如果为此 SDDC 配置了 AWS Direct Connect，并希望 VPN 使用该方法，请选择专用 IP 地址。请

参见为 SDDC 管理和计算网络流量创建专用虚拟接口。请注意，通过 Direct Connect 的 VPN 流量

仅限于 1500 字节的默认 MTU，即使链接支持更高 MTU 也是如此。

n 如果希望 VPN 通过 Internet 进行连接，请选择公用 IP 地址。

6 对于远程公用 IP，请输入内部部署 VPN 端点的地址。

这是对此 VPN 发起或响应 IPsec 请求的设备的地址。此地址必须满足以下要求：

n 不得已用于其他 VPN。VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP，因此只能创

建与给定远程公用 IP 的单个 VPN 连接（基于路由、基于策略或 L2VPN）。

n 如果在步骤 5 中指定了公用 IP，则必须可以通过 Internet 访问此地址。

n 如果在步骤 5 中指定了专用 IP，则必须能够通过使用 Direct Connect 连接到专用 VIF 来访问此地

址。

默认网关防火墙规则允许通过 VPN 连接的入站和出站流量，但您必须创建防火墙规则来管理通过 VPN 隧道的流量。

7 对于 BGP 本地 IP/前缀长度，请以 CIDR 格式输入本地 VPN 隧道的 IP 地址。

从 169.254.0.0/16 子网中选择大小为 /30 的网络。此范围内的第二个和第三个 IP 地址配置为远程和本

地 VTI（VPN 隧道接口）。例如，在 CIDR 块 169.254.111.0/30（地址范围

169.254.111.0-169.254.111.3）中，本地 (SDDC) 接口为 169.254.111.2/30，远程（内部部署）接口为

169.254.111.1/30。

注 将保留以下网络供内部使用。为 BGP 本地 IP/前缀长度指定的网络不得与这些网络中的任何一个

重叠。

n 169.254.0.2/28

n 169.254.10.1/24

n 169.254.11.1/24

n 169.254.12.1/24

n 169.254.13.1/24

n 169.254.101.253/30

n 100.64.0.0/10（依照 RFC 6598 为运营商级 NAT 预留。）

如果无法使用 169.254.0.0/16 子网的网络（因为与现有网络存在冲突），则必须创建一个防火墙规

则，以允许从 BGP 服务到在此处所选择的子网的流量。请参见添加或修改计算网关防火墙规则。

8 对于 BGP 远程 IP，输入内部部署 VPN 网关的 BGP 接口地址。

此地址必须是您在步骤 7 中提供的 IP 和前缀长度所定义的子网上的有效主机 IP，并且不得与 BGP 本地 IP 相同。

9 对于 BGP 远程 ASN，请输入内部部署 VPN 网关的 ASN。

VMware Cloud on AWS 网络和安全

VMware, Inc. 18

10 配置高级隧道参数。

选项 描述

隧道加密 选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。

隧道摘要算法 选择内部部署 VPN 网关支持的阶段 2 摘要算法。

注 如果为隧道加密指定基于 GCM 的密码，请将隧道摘要算法设置为无。摘要函数

是 GCM 密码不可或缺的一部分。

完全向前保密 启用或禁用，以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露，启用“完

全向前保密”可防止已记录（过去）的会话被解密。

预共享密钥 输入预共享密钥字符串。

大密钥长度为 128 个字符。对于 VPN 隧道的两端，此密钥必须相同。

远程专用 IP 留空可使用远程公用 IP 作为 IKE 协商的远程 ID。如果内部部署 VPN 网关位于 NAT 设备后面，并且/或者对其本地 ID 使用不同的 IP，则需要在此处输入该 IP。

IKE 加密 选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。

IKE 摘要算法 选择内部部署 VPN 网关支持的阶段 1 摘要算法。 佳做法是对 IKE 摘要算法和隧

道摘要算法使用相同的算法。

注 如果为 IKE 加密指定基于 GCM 的密码，请将 IKE 摘要算法设置为无。摘要函

数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码，则必须使用 IKE V2 .

IKE 类型 n 指定 IKE V1 可启动并接受 IKEv1 协议。

n 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算

法，则必须使用 IKEv2。

n 指定 IKE FLEX 可接受 IKEv1 或 IKEv2，然后使用 IKEv2 启动。如果 IKEv2 启动失败，IKE FLEX 不会回退到 IKEv1。

Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端，此值必

须相同。组编号越高，保护效果越好。 佳做法是选择组 14 或编号更高的组。

11 （可选） 在高级 BGP 参数下，输入与内部部署网关所使用的密钥匹配的 BGP 密钥。

12 （可选） 对 VPN 进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

13 单击保存。

结果

VPN 创建过程可能需要几分钟的时间。当基于路由的 VPN 可用时，将显示隧道状态和 BGP 会话状态。可

以使用以下操作进行故障排除和配置 VPN 的内部部署端：

n 单击下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置此 VPN 的内部部

署端。

n 单击查看统计信息以查看此 VPN 的数据包流量统计信息。请参见查看 VPN 通道状态和统计信息。

n 单击查看路由以打开此 VPN 通告和发现的路由视图。

n 单击下载路由以下载 CSV 格式的通告的路由或发现的路由列表。

VMware Cloud on AWS 网络和安全

VMware, Inc. 19

后续步骤

根据需要创建或更新防火墙规则。要允许流量通过基于路由的 VPN，请在应用对象字段中指定 VPN 隧道

接口。所有上行链路选项不包含路由 VPN 隧道。

创建基于策略的 VPN基于策略的 VPN 会创建 IPsec 隧道和指定流量如何使用该隧道的策略。如果使用基于策略的 VPN，添加

新路由时，必须更新网络两端的路由表。

VMware Cloud on AWS SDDC 中的基于策略的 VPN 使用 IPsec 协议保护流量。要创建基于策略的

VPN，请配置本地 (SDDC) 端点，然后配置匹配的远程（内部部署）端点。由于每个基于策略的 VPN 必须

为每个网络创建新的 IPsec 安全关联，因此在创建新的基于策略的 VPN 时，管理员必须更新内部部署和

SDDC 中的路由信息。如果 VPN 的任意一端都只有几个网络，或者您的内部部署网络硬件不支持 BGP（这是基于路由的 VPN 所必需的），则基于策略的 VPN 是一种合适的选择。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络和安全 > VPN > 基于策略。

3 单击添加 VPN，并为新 VPN 指定名称。

4 从下拉菜单中选择本地 IP 地址。

n 如果为此 SDDC 配置了 AWS Direct Connect，并希望 VPN 使用该方法，请选择专用 IP 地址。请

参见为 SDDC 管理和计算网络流量创建专用虚拟接口。请注意，通过 Direct Connect 的 VPN 流量

仅限于 1500 字节的默认 MTU，即使链接支持更高 MTU 也是如此。

n 如果希望 VPN 通过 Internet 进行连接，请选择公用 IP 地址。

5 输入内部部署网关的远程公用 IP 地址。

该地址不得已用于其他 VPN。VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP，因此只能

创建与给定远程公用 IP 的单个 VPN 连接（基于路由、基于策略或 L2VPN）。如果在步骤 4 中指定了

公用 IP，则必须可以通过 Internet 访问此地址。如果指定了专用 IP，则必须可通过 Direct Connect 访问专用 VIF。默认网关防火墙规则允许通过 VPN 连接的入站和出站流量，但您必须创建防火墙规则来

管理通过 VPN 隧道的流量。

6 （可选） 如果您的内部部署网关位于 NAT 设备后面，请输入该网关地址作为远程专用 IP。

此 IP 地址必须与内部部署 VPN 网关发送的本地标识 (IKE ID) 相匹配。如果此字段为空，则远程公用

IP 字段将用于匹配内部部署 VPN 网关的本地标识。

7 指定此 VPN 可以连接到的远程网络。

此列表必须包含由内部部署 VPN 网关定义为本地的所有网络。以 CIDR 格式输入每个网络，并使用逗

号分隔多个 CIDR 块。

VMware Cloud on AWS 网络和安全

VMware, Inc. 20

8 指定此 VPN 可以连接到的本地网络。

此列表包括 SDDC 中的所有路由计算网络，以及整个管理网络和设备子网（包含 vCenter 和其他管理

设备，但不包含 ESXi 主机的管理网络的子集）。它还包括 CGW DNS 网络和用于 CGW DNS 服务所

转发的源请求的单个 IP 地址。

9 配置高级隧道参数。

选项 描述

隧道加密 选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。

隧道摘要算法 选择内部部署 VPN 网关支持的阶段 2 摘要算法。

注 如果为隧道加密指定基于 GCM 的密码，请将隧道摘要算法设置为无。摘要函数

是 GCM 密码不可或缺的一部分。

完全向前保密 启用或禁用，以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露，启用“完

全向前保密”可防止已记录（过去）的会话被解密。

IKE 加密 选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。

IKE 摘要算法 选择内部部署 VPN 网关支持的阶段 1 摘要算法。 佳做法是对 IKE 摘要算法和隧

道摘要算法使用相同的算法。

注 如果为 IKE 加密指定基于 GCM 的密码，请将 IKE 摘要算法设置为无。摘要函

数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码，则必须使用 IKE V2 .

IKE 类型 n 指定 IKE V1 可启动并接受 IKEv1 协议。

n 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算

法，则必须使用 IKEv2。

n 指定 IKE FLEX 可接受 IKEv1 或 IKEv2，然后使用 IKEv2 启动。如果 IKEv2 启动失败，IKE FLEX 不会回退到 IKEv1。

Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端，此值必

须相同。组编号越高，保护效果越好。 佳做法是选择组 14 或编号更高的组。

预共享密钥 输入隧道两端使用的预共享密钥以相互进行身份验证。

该字符串的 大长度为 128 个字符。

10 （可选） 对 VPN 进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

11 单击保存。

结果

VPN 创建过程可能需要几分钟的时间。当基于策略的 VPN 可用时，可以使用以下操作进行故障排除和配

置 VPN 的内部部署端：

n 单击下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置此 VPN 的内部部

署端。

n 单击查看统计信息以查看此 VPN 的数据包流量统计信息。请参见查看 VPN 通道状态和统计信息。

VMware Cloud on AWS 网络和安全

VMware, Inc. 21

后续步骤

根据需要创建或更新防火墙规则。要允许流量通过基于策略的 VPN，请在应用对象字段中指定 Internet 接口。

查看 VPN 通道状态和统计信息

VMC 控制台 提供了 IPSec VPN 和 L2VPN 分段的状态和统计信息。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击网络与安全 > VPN。

3 单击基于路由的 VPN、基于策略的 VPN 或第 2 层 VPN 以列出所选类型的 VPN。

执行以下操作之一：

n 单击“信息”图标 以显示状态消息，此消息将提供有关通道（IKE 阶段 1 协商）和隧道状

态的详细信息。

n 展开 VPN 行以显示 VPN 详细信息，然后单击查看统计信息以显示流量统计信息。可以检索所有

隧道或所选 VPN (0.0.0.0/0) 使用的隧道的汇总状态和统计信息。查看汇总统计信息时，可以单击

统计信息列中的查看更多信息，以查看错误统计信息列表。

n 单击“刷新”图标 以刷新隧道统计信息。禁用或重新启用通道时，

所有 VPN 统计信息都将重置为 0。

后续步骤

有关对 VPN 连接问题进行故障排除的详细信息，请参见 NSX Data Center for vSphere 文档中的对虚拟专

用网络 (VPN) 进行故障排除和《NSX-T Data Center 故障排除指南》。

IPsec VPN 设置参考

必须将任何 IPsec VPN 的内部部署端配置为与为该 VPN 的 SDDC 端指定的设置相匹配。

以下各表中的信息汇总了可用的 SDDC IPsec VPN 设置。一些设置是可以配置的。一些设置是静态的。使

用此信息可验证是否可以将内部部署 VPN 解决方案配置为与 SDDC 中的解决方案匹配。选择支持这些表

中列出的所有静态设置和任何可配置设置的内部部署 VPN 解决方案。

VMware Cloud on AWS 网络和安全

VMware, Inc. 22

阶段 1 Internet 密钥交换 (IKE) 设置

表 2-2. 可配置的 IKE 阶段 1 设置

属性 允许的值 建议的值

协议 IKEv1、IKEv2、IKE FLEX IKEv2

加密算法 AES (128、256)、AES-GCM (128、192、256)

AES GCM

隧道/IKE 摘要算法 SHA-1、SHA-2 SHA-2

Diffie Hellman DH 组 2、5、14-16 DH 组 14-16

表 2-3. 静态 IKE 阶段 1 设置

属性 值

ISAKMP 模式 主模式（禁用攻击性模式）

ISAKMP/IKE SA 生命周期 86400 秒（24 个小时）

IPsec 模式 通道

IKE 身份验证 预共享密钥

阶段 2 IKE 设置

表 2-4. 可配置的 IKE 阶段 2 设置

属性 允许的值 建议的值

加密算法 AES-256、AES-GCM、AES AES-GCM

完全向前保密 (PFS) 已启用、已禁用 已启用

Diffie Hellman DH 组 2、5、14-16 DH 组 14-16

表 2-5. 静态 IKE 阶段 2 设置

属性 值

哈希算法 SHA-1

通道模式 封装式安全措施负载 (ESP)

SA 生命周期 3600 秒（1 个小时）

内部部署 IPsec VPN 配置

在任意 VPN 的状态页面上，单击下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信

息配置 VPN 的内部部署端。

注 请勿将 VPN 的内部部署端配置为具有空闲超时（例如，NSX 会话空闲超时设置）。内部部署空闲超时

可能会导致 VPN 变得定期断开连接。

VMware {code} 上提供了几个常用端点设备的示例配置文件。

n Palo Alto Networks 防火墙

VMware Cloud on AWS 网络和安全

VMware, Inc. 23

配置管理网关的网络与安全

管理网络和管理网关在 SDDC 中进行了大量的预配置，但您仍需要配置对管理网络服务（如 vCenter 和

HCX）的访问权限，并创建管理网关防火墙规则，以允许管理网络和其他网络之间的流量，包括内部部署

网络和其他 SDDC 网络。

步骤

1 设置 vCenter Server FQDN 解析地址

您可以通过公用 IP 地址或专用 IP 地址连接到 SDDC vCenter Server。可以从 SDDC VPN 解析专用

IP 地址。可以从 Internet 解析公用 IP 地址。

2 设置 HCX FQDN 解析地址

您可以通过公用 IP 地址或专用 IP 地址连接到 HCX。可以从 SDDC VPN 解析专用 IP 地址。可以从

Internet 解析公用 IP 地址。

3 添加或修改管理网关防火墙规则

默认情况下，管理网关会阻止从所有源到所有目标的流量。可以根据需要添加管理网关防火墙规则以

允许流量出入。

设置 vCenter Server FQDN 解析地址

您可以通过公用 IP 地址或专用 IP 地址连接到 SDDC vCenter Server。可以从 SDDC VPN 解析专用 IP 地址。可以从 Internet 解析公用 IP 地址。

前提条件

设置可将 SDDC 连接到内部部署数据中心的 VPN 后，才能通过专用 IP 地址访问 SDDC vCenter Server。请参见创建基于路由的 VPN 或创建基于策略的 VPN。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 导航到 SDDC 的设置选项卡。

3 展开 vCenter FQDN，然后单击编辑。

4 在解析地址下，选择公用 IP 地址或专用 IP 地址，然后单击保存。

设置 HCX FQDN 解析地址

您可以通过公用 IP 地址或专用 IP 地址连接到 HCX。可以从 SDDC VPN 解析专用 IP 地址。可以从

Internet 解析公用 IP 地址。

前提条件

设置可将 SDDC 连接到内部部署数据中心的 VPN 后，才能通过专用 IP 地址访问 HCX。请参见创建基于

路由的 VPN 或创建基于策略的 VPN。

VMware Cloud on AWS 网络和安全

VMware, Inc. 24

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 导航到 SDDC 的设置选项卡。

3 展开 HCX FQDN，然后单击编辑。

4 在解析地址下，选择公用 IP 地址或专用 IP 地址，然后单击保存。

添加或修改管理网关防火墙规则

默认情况下，管理网关会阻止从所有源到所有目标的流量。可以根据需要添加管理网关防火墙规则以允许

流量出入。

管理网关防火墙规则指定了对从指定源到指定目标的网络流量执行的操作。源和目标可以定义为任意或者

系统定义的或用户定义的清单组的成员。有关查看或修改清单组的信息，请参见添加管理组。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在网络与安全选项卡上，单击网关防火墙。

3 在网关防火墙卡视图上，单击管理网关，然后单击添加规则并为新规则提供名称。

4 输入新规则的参数。

参数将初始化为其默认值（例如，源和目标会初始化为为全部）。要编辑参数，请将鼠标光标移至参数

值上方，然后单击铅笔图标 ( ) 以打开参数特定的编辑器。

选项 描述

源 选择任意以允许来自任意源地址或地址范围的流量。

选择系统定义的组，然后选择以下源选项之一：

n ESXi，以允许来自 SDDC 的 ESXi 主机的流量。

n NSX Manager，以允许来自 SDDC 的 NSX-T 管理器设备的流量。

n vCenter，以允许来自 SDDC 的 vCenter Server 的流量。

选择用户定义的组，以使用您定义的管理组。请参见添加管理组。

目标 选择任意以允许流入任意目标地址或地址范围的流量。

选择系统定义的组，然后选择以下目标选项之一：

n ESXi，以允许流入 SDDC 的 ESXi 管理的流量。

n NSX Manager，以允许流入 SDDC 的 NSX-T 的流量。

n vCenter，以允许流入 SDDC 的 vCenter Server 的流量。

服务 选择规则应用到的服务类型。服务类型列表取决于所选择的源和目标。

操作 对新管理网关防火墙规则唯一可用的操作是允许。

新规则会默认处于启用状态。将开关滑到左侧可将其禁用。

VMware Cloud on AWS 网络和安全

VMware, Inc. 25

5 单击发布以创建规则。

防火墙规则将按从上到下的顺序应用。由于默认的丢弃规则位于底部，上面的规则始终为允许规则，因

此管理网关防火墙规则顺序对流量没有影响。

示例： 创建管理网关防火墙规则

要创建允许内部部署 ESXi 主机到 SDDC 中 ESXi 主机的 vMotion 流量的防火墙规则，请执行以下操作：

1 创建一个管理清单组，其中包含要为通过 vMotion 迁移到 SDDC 启用的内部部署 ESXi 主机。

2 将 ESXi 作为源以及将内部部署 ESXi 主机作为目标，创建管理网关规则。

3 通过将内部部署 ESXi 主机组作为源以及将具有 vMotion 服务的 ESXi 作为目标，创建另一个管理网关

规则。

后续步骤

可以对现有防火墙规则执行以下任何或所有可选操作。

n 单击齿轮图标 以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud”。

n 单击图形图标 以查看规则的统计信息，包括：

权重指数 过去 24 小时内触发规则的次数。

命中计数 规则自创建以来触发的次数。

只要一启用规则，统计信息便开始累积。

管理网关防火墙规则示例

一些常用的防火墙规则配置包括开放从 Internet 访问 vSphere Client，允许通过管理 VPN 通道访问

vCenter Server，以及允许远程控制台访问。

常用防火墙规则

下表列出了常用防火墙规则的服务、源和目标设置。

表 2-6. 常用防火墙规则

用例 服务 源 目标

允许从 Internet 访问 vCenter Server。

用于常规 vSphere Client 访问

以及监控 vCenter Server

HTTPS 公用 IP 地址 vCenter

允许通过 VPN 通道访问

vCenter Server。

对管理网关 VPN、混合链接模

式和内容库为必需。

HTTPS 来自内部部署数据中心的 IP 地址或 CIDR 块

vCenter

VMware Cloud on AWS 网络和安全

VMware, Inc. 26

表 2-6. 常用防火墙规则 （续）

用例 服务 源 目标

允许从云 vCenter Server 访问

内部部署服务，如 Active Directory、Platform Services Controller 和内容库。

任意 vCenter 来自内部部署数据中心的 IP 地址或 CIDR 块。

涉及网络文件复制流量的置备操

作，如冷迁移、从内部部署虚拟

机克隆、快照迁移、复制等。

置备 IP 地址或 CIDR 块（公用或从

通过 VPN 通道连接的内部数

据中心获得）

ESXi 管理

VMRC 远程控制台访问

对 vRealize Automation 为必需

远程控制台 IP 地址或 CIDR 块（公用或从

通过 VPN 通道连接的内部数

据中心获得）

ESXi 管理

通过 VPN 的 vMotion 流量 任意 ESXi 管理 来自内部部署数据中心的 IP 地址或 CIDR 块

配置计算网关的网络与安全

计算网关网络中包括一个计算网络，该计算网络中具有一个或多个分段、DNS 和 DHCP，以及用于管理工

作负载虚拟机的网络流量的安全配置（网关防火墙和分布式防火墙）。它还可以包括第 2 层 VPN 和扩展网

络，该网络可提供一个跨内部部署网络和 SDDC 工作负载网络的广播域。

步骤

1 创建或修改网络分段

网络分段是指供 SDDC 计算网络中的工作负载虚拟机使用的逻辑网络。

2 配置第 2 层 VPN 和扩展网络分段

可以使用 VMware Cloud on AWS 第 2 层虚拟专用网络 (L2VPN) 将您的内部部署网络扩展到 SDDC 中的一个或多个基于 VLAN 的网络。此扩展网络是具有单个广播域的单个子网。可以使用它将虚拟机

迁移到云 SDDC 以及从云 SDDC 迁出虚拟机，而不必更改其 IP 地址。

3 添加或修改计算网关防火墙规则

默认情况下，计算网关会阻止传输到所有上行链路的流量。可以根据需要添加计算网关防火墙规则以

允许流量出入。

4 添加或修改分布式防火墙规则

分布式防火墙规则在虚拟机级别应用，可以控制 SDDC 中的东西向流量。

5 配置 DNS 服务

VMware Cloud on AWS DNS 转发服务会在 DNS 区域中运行，虚拟机可以通过此服务将其查询转发

到 DNS 服务器，从而将完全限定域名解析为 IP 地址。

6 配置计算网关 DHCP 中继

在默认配置中，由一个本地服务器处理所有路由分段上的工作负载虚拟机的 DHCP 请求。如果您有一

个外部 DHCP 服务器用来管理工作负载网络上的 IP 地址，则可以将计算网关配置为将 DHCP 请求转

发到该服务器。

VMware Cloud on AWS 网络和安全

VMware, Inc. 27

创建或修改网络分段

网络分段是指供 SDDC 计算网络中的工作负载虚拟机使用的逻辑网络。

VMware Cloud on AWS 支持三种类型的逻辑网络分段：路由、扩展和已断开连接。

n 路由网络分段（默认类型）会连接到 SDDC 中的其他逻辑网络，并会通过 SDDC 防火墙连接到外部网

络。

n 扩展网络分段可扩展现有 L2VPN 隧道，从而提供跨 SDDC 和内部部署网络的单个 IP 地址空间。

n 已断开连接的网络分段没有上行链路，仅提供与其连接的虚拟机可访问的隔离网络。当 HCX 需要时，

将创建已断开连接的分段（请参见 VMware HCX 入门指南）。您也可以自己创建这些分段，并且可以

将其转换为其他分段类型。

有关每个 SDDC 的分段数限制和每个分段的网络连接数限制，请参见 VMware Cloud on AWS 高配置。

单主机起步 SDDC 创建时具有一个名为 sddc-cgw-network-1 的单个路由网络分段。该网络使用 CIDR 块

192.168.1.0/24，除非该 CIDR 块与您为 SDDC 管理网络选择的 CIDR 块冲突。多主机 SDDC 在创建时不

具有默认网络分段，因此您必须为工作负载虚拟机至少创建一个网络分段。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击网络与安全 > 分段。

要修改现有分段的配置，请单击省略号按钮并选择编辑。要创建新分段，请单击添加分段，然后为此新

分段指定一个名称。

3 指定一个分段类型并填写所需的配置参数。

参数要求取决于分段类型

表 2-7. 已路由分段的配置参数

参数 值

VPN 隧道 ID 对于已路由或已断开连接的分段类型，此值为不适用。

网关 IP/前缀长度 为此分段指定 CIDR 块。此块不能与您的管理网络或已连接 Amazon VPC 中的

任何子网重叠。

DHCP 默认禁用。选择已启用可为此分段上的虚拟机启用本机 NSX DHCP 服务。为

分段指定 DHCP IP 地址范围和 DNS 后缀。连接到分段的虚拟机将从指定的

DHCP 服务器获取其 IP 地址，并且其 FQDN 具有指定的 DNS 后缀。

注 如果为某个计算网络分段启用本机 NSX DHCP 服务，则不能为计算网关启

用 DHCP 中继。请参见配置计算网关 DHCP 中继。

DHCP IP 范围 如果 DHCP 已启用，请为连接到此分段的虚拟机指定一个 DHCP IP 地址范

围。

域名 如果 DHCP 已启用，请指定一个要分配给连接到此分段的虚拟机的 FQDN。

VMware Cloud on AWS 网络和安全

VMware, Inc. 28

表 2-8. 已扩展分段的配置参数

参数 值

VPN 隧道 ID 指定一个现有 L2VPN 隧道的隧道 ID。对于已路由或已断开连接的分段类型，

此值为不适用。如果您尚未创建 L2VPN，请参见在 SDDC 中配置第 2 层 VPN 隧道。

网关 IP/前缀长度 对于已扩展分段，此值为不适用。

DHCP 对于已扩展分段，此值为不适用。

DHCP IP 范围 对于已扩展分段，此值为不适用。

域名 对于已扩展分段，此值为不适用。

表 2-9. 已断开连接分段的配置参数

参数 值

VPN 隧道 ID 对于已路由或已断开连接的分段类型，此值为不适用。

网关 IP/前缀长度 为此分段指定 CIDR 块。此块不能与您的管理网络或已连接 Amazon VPC 中的

任何子网重叠。

DHCP 对于已断开连接的分段，此值为不适用。

DHCP IP 范围 对于已断开连接的分段，此值为不适用。

域名 对于已断开连接的分段，此值为不适用。

4 单击保存以创建或更新此分段。

系统会创建请求的分段。 此操作 多可能需要 15 秒完成。当此分段状态转换为开启后，此分段即可使

用。如果此分段状态为关闭，则可以单击信息图标 以了解有关问题原因的详细信息。

配置第 2 层 VPN 和扩展网络分段

可以使用 VMware Cloud on AWS 第 2 层虚拟专用网络 (L2VPN) 将您的内部部署网络扩展到 SDDC 中的

一个或多个基于 VLAN 的网络。此扩展网络是具有单个广播域的单个子网。可以使用它将虚拟机迁移到云

SDDC 以及从云 SDDC 迁出虚拟机，而不必更改其 IP 地址。

除了数据中心迁移，还可以使用 L2VPN 扩展网络进行灾难恢复或根据需要动态访问云计算资源（通常称为

“云爆发”）。

L2VPN 可以扩展多达 100 个内部部署网络。在云 SDDC 中，VMware Cloud on AWS 使用 NSX-T 提供

L2VPN 服务器。L2VPN 客户端功能可通过下载并部署到内部部署数据中心的独立 NSX Edge 提供。

VMware Cloud on AWS 网络和安全

VMware, Inc. 29

VMware Cloud on AWS L2VPN 功能支持扩展 VLAN 网络。与 NSX-T 服务器的 L2VPN 连接使用 IPsec 隧道。L2VPN 扩展网络用于扩展虚拟机网络，并且仅传输工作负载流量。此网络独立于迁移流量（ESXi 管理或 vMotion）所用的 VMkernel 网络，后者使用单独的 IPsec VPN 或 Direct Connect 连接。

重要事项 配置 L2VPN 客户端和服务器并创建扩展网络指定分配给客户端的通道 ID 之前，您无法建立

L2VPN 通道。

步骤

1 在 SDDC 中配置第 2 层 VPN 隧道

指定本地 (AWS) IP 地址、远程（内部部署）公用 IP 地址以及远程专用 IP 地址，可创建第 2 层 VPN 隧道的 SDDC 端。

2 为第 2 层 VPN 配置扩展分段

扩展网络需要一个第 2 层虚拟专用网络 (L2VPN)，以便在内部部署网络和云 SDDC 中的网络之间提

供安全通信通道。

3 下载并配置 Autonomous NSX Edge

L2VPN 的内部部署端需要专门配置的独立 NSX Edge 设备（称为 Autonomous Edge）。必须先下

载、安装和配置此设备以及相关的内部部署 vSphere 网络，然后才能创建 L2VPN。

在 SDDC 中配置第 2 层 VPN 隧道

指定本地 (AWS) IP 地址、远程（内部部署）公用 IP 地址以及远程专用 IP 地址，可创建第 2 层 VPN 隧道

的 SDDC 端。

VMware Cloud on AWS 支持内部部署安装与 SDDC 之间的单个第 2 层 VPN 隧道。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络和安全 > VPN > 第 2 层。

3 单击添加 VPN 隧道。

4 配置 VPN 参数。

选项 描述

本地 IP 地址 n 如果已为此 SDDC 配置 AWS Direct Connect，并希望 VPN 使用它，请选择专

用 IP 地址。请参见为 SDDC 管理和计算网络流量创建专用虚拟接口。

n 如果希望 VPN 通过 Internet 连接到 SDDC，请选择公用 IP 地址。

远程公用 IP 输入内部部署 L2VPN 网关的远程公用 IP 地址。对于 L2VPN，始终是独立的 NSX Edge 设备（请参见下载并配置 Autonomous NSX Edge）。

远程专用 IP 如果在 NAT 后配置了内部部署网关，则输入远程专用 IP 地址。

5 （可选） 对 VPN 进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

VMware Cloud on AWS 网络和安全

VMware, Inc. 30

6 （可选） 添加说明。

7 单击保存。

根据您的 SDDC 环境，创建第 2 层 VPN 的过程可能需要几分钟的时间。第 2 层 VPN 通道变为可用

时，状态将更改为“启动”。

为第 2 层 VPN 配置扩展分段

扩展网络需要一个第 2 层虚拟专用网络 (L2VPN)，以便在内部部署网络和云 SDDC 中的网络之间提供安全

通信通道。

此通道的每一端都有一个 ID。当通道的云 SDDC 和内部部署端的通道 ID 匹配时，这两个网络将成为同一

广播域的一部分。扩展网络使用内部部署网关作为默认网关。还会在内部部署中提供 DHCP 和 DNS 等其

他网络服务。

您可以将逻辑网络从路由网络更改为扩展网络，或从扩展网络更改为路由网络。例如，您可能将一个逻辑

网络配置为扩展网络以便将虚拟机从内部部署数据中心迁移到云 SDDC。迁移完成后，可以将网络更改为

路由网络，以允许虚拟机使用 VMware Cloud on AWS 网络连接服务。

前提条件

确认第 2 层 VPN 隧道可用。请参见在 SDDC 中配置第 2 层 VPN 隧道。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 按照创建或修改网络分段中的过程创建绑定到 L2VPN 隧道的隧道 ID 的扩展分段。

3 单击保存。

4 单击下载配置，以下载一个包含对等代码和您在配置远程端 VPN 配置时所需的其他信息的文件。

5 单击远程独立 Edge 下载，以下载 OVF 格式的 NSX 独立 Edge 映像，您必须将该映像作为 L2VPN 的客户端进行安装和配置。请参见下载并配置 Autonomous NSX Edge。

下载并配置 Autonomous NSX EdgeL2VPN 的内部部署端需要专门配置的独立 NSX Edge 设备（称为 Autonomous Edge）。必须先下载、安

装和配置此设备以及相关的内部部署 vSphere 网络，然后才能创建 L2VPN。

创建 L2VPN 之前，必须先下载并配置独立 NSX Edge 设备。请参见配置第 2 层 VPN 扩展分段。不能将内

部部署 NSX-T Edge 用作连接到 SDDC 的 L2VPN 的客户端。

步骤

1 下载独立的 NSX Edge。

在 L2VPN 页面上，单击 AUTONOMOUS EDGE 下载以将自主独立 NSX-T Edge 作为 OVF 文件下

载。

2 有关如何在内部部署 vCenter Server 中安装和配置 Autonomous Edge 的信息，请参见《NSX-T Data Center 管理指南》中的“将 Autonomous Edge 添加为 L2 VPN 客户端”。

VMware Cloud on AWS 网络和安全

VMware, Inc. 31

添加或修改计算网关防火墙规则

默认情况下，计算网关会阻止传输到所有上行链路的流量。可以根据需要添加计算网关防火墙规则以允许

流量出入。

计算网关防火墙规则指定了对从指定源到指定目标的网络流量执行的操作。操作可以是允许（允许流

量），也可以是丢弃（丢弃与指定源和目标匹配的所有数据包）。源和目标可以从物理网络接口列表中进

行选择，也可以是所有上行链路的通用规范，即传出网关并传入 VPC 接口、Internet 接口或 Direct Connect 接口的所有流量。应用于所有上行链路的防火墙规则不会应用于 VPN 隧道接口 (VTI)，VTI 是一

个虚拟接口，不是物理上行链路。必须在管理通过基于路由的 VPN 进行工作负载虚拟机通信的任何防火墙

规则的应用对象参数中明确指定 VPN 隧道接口。计算网关包含一个默认 VTI 规则，该规则将丢弃传输至

VTI 的所有流量。要使工作负载虚拟机能够通过 VTI 进行通信，请修改此规则，或者将其移至规则层次结

构中的较低等级（即放在限制性更弱的规则之后）。

尝试通过防火墙的所有流量按规则表中显示的顺序遵循规则，从顶部开始。第一个规则允许的数据包传递

给第二个规则，依此类推向后传递，直到数据包丢弃、拒绝或到达允许所有流量的默认规则。

前提条件

计算网关 防火墙规则需要源和目标值的命名清单组。请参见添加或修改计算组。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在网络与安全选项卡上，单击网关防火墙。

3 在网关防火墙页面上，单击计算网关。

4 要添加规则，请单击添加规则，并为新规则指定名称。

5 输入新规则的参数。

参数将初始化为其默认值（例如，源和目标会初始化为全部）。要编辑参数，请将鼠标光标移至参数值

上方，然后单击铅笔图标 ( ) 以打开参数特定的编辑器。

选项 描述

源 在源列中单击任意，然后为源网络流量选择一个清单组，或单击添加组，创建新的

用户定义清单组以用于此规则。单击保存。

目标 在目标列中单击任意，然后为目标网络流量选择一个清单组，或单击创建新组，创

建新的用户定义清单组以用于此规则。单击保存。

服务 在服务列中单击任意，然后从列表中选择一个服务。单击保存。

VMware Cloud on AWS 网络和安全

VMware, Inc. 32

选项 描述

已应用于 定义将应用规则的流量类型：

n 如果要将规则应用于通过基于路由的 VPN 传输的流量，请选择 VPN 隧道接

口。

n 如果要将规则应用于通过已链接 Amazon VPC 连接传输的流量，请选择 VPC 接口。

n 如果要将规则应用于通过 Internet 传输的流量（包括使用公用 IP 的基于策略的

VPN），请选择 Internet 接口。

n 如果希望规则允许通过 AWS Direct Connect（专用 VIF）（包括使用专用 IP 的基于策略的 VPN）传输的流量，请选择 Direct Connect 接口。

n 如果要将规则应用于 VPC 接口、Internet 接口和 Direct Connect 接口，但不

应用于 VPN 隧道接口，请选择所有上行链路。

注 VPN 隧道接口未划入上行链路类别。

操作 n 选择允许，以允许所有 L2 和 L3 流量通过防火墙。

n 选择丢弃，以丢弃与任何指定的源、目标和服务匹配的数据包。这是静默操作，

不会通知源或目标系统。丢弃数据包会重试连接，直到达到重试阈值。

n 选择拒绝，以拒绝与任何指定的源、目标和服务匹配的数据包。此操作会向发送

方返回“无法到达目标的消息”。对于 TCP 数据包，响应包括 TCP RST 消息。

对于 UDP、ICMP 和其他协议，响应包含“管理禁止”代码（9 或 10）。无法

建立连接时，会立即通知发送方（不会执行任何重试操作）。

新规则会默认处于启用状态。将开关滑到左侧可将其禁用。

6 单击发布以创建规则。

后续步骤

可以对现有防火墙规则执行以下任何或所有可选操作。

n 单击齿轮图标 以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud”。

n 单击图形图标 以查看规则的统计信息，包括：

权重指数 过去 24 小时内触发规则的次数。

命中计数 规则自创建以来触发的次数。

只要一启用规则，统计信息便开始累积。

n 对防火墙规则重新排序。

使用添加新规则按钮创建的规则将放置在规则列表的顶部。防火墙规则将按从上到下的顺序应用。要更

改规则在列表中的位置，请选择该规则并将其拖动到新位置。单击发布以发布更改。

VMware Cloud on AWS 网络和安全

VMware, Inc. 33

添加或修改分布式防火墙规则

分布式防火墙规则在虚拟机级别应用，可以控制 SDDC 中的东西向流量。

尝试通过分布式防火墙的所有流量按规则表中显示的顺序遵循规则，从顶部开始。第一个规则允许的数据

包传递给第二个规则，依此类推向后传递，直到数据包丢弃、拒绝或到达允许所有流量的默认规则。

分布式防火墙规则分组到各个策略中。策略按类别进行组织。每个类别都有一个评估优先级。优先级较高

的类别中的规则优先于优先级较低的类别中的规则进行评估。

表 2-10. 分布式防火墙规则类别

类别评估优先级 类别名称 描述

1 以太网 应用于所有 SDDC 网络流量

2 紧急 用于隔离和允许规则

3 基础架构 定义对共享服务的访问权限。全局规则 - AD、DNS、

NTP、DHCP、备份、管理服务器

4 环境 区域（生产与开发）之间的规则、业务单位间的规则

5 应用程序 应用程序之间的规则、应用程序层之间的规则或微服务之

间的规则

有关分布式防火墙术语的详细信息，请参见《NSX-T Data Center 管理指南》中的“安全术语”。

前提条件

分布式防火墙规则要求将清单组作为源和目标，并且必须应用于服务，该服务可以是预定义的服务，也可

以是为 SDDC 定义的自定义服务。可以在创建规则时创建这些组和服务，但如果事先创建了一部分，则可

以加快该过程的速度。请参见添加或修改计算组和添加自定义服务。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络和安全 > 分布式防火墙。

单击类别特定的规则，然后选择类别，可查看和修改该类别中的策略和规则；单击所有规则，可查看

（但不能修改）所有策略和类别中的规则。

3 （可选） 更改默认的连接策略。

默认情况下，分布式防火墙包括一个隐式允许规则，可允许所有流量。此规则不显示在任何规则列表

中，将在所有其他规则之后进行评估，并允许与前面规则不匹配的流量通过防火墙。单击连接策略图标

( ) 可查看可用策略列表。要更改当前策略，请选择一个不同的策略，然后单击保存。有关可用连

接策略的详细信息，请参见《NSX-T Data Center 管理指南》中的“选择默认连接策略”。

4 要将策略添加到列表顶部，请单击添加策略并为新策略提供名称。

要将策略添加到现有策略之前或之后，请单击策略所在行开头的垂直省略号按钮以打开策略设置菜单，

然后单击在上方添加策略或在下方添加策略。

VMware Cloud on AWS 网络和安全

VMware, Inc. 34

默认情况下，新策略将应用于分布式防火墙 (DFW)，但您也可以指定一个或多个应用该策略的清单

组。策略的应用对象值将传播到策略中的所有规则。

5 要添加规则，请选择策略，然后单击添加新规则，并为规则指定名称。

6 输入新规则的参数。

参数将初始化为其默认值（例如，源和目标会初始化为为全部）。要编辑参数，请将鼠标光标移至参数

值上方，然后单击铅笔图标 ( ) 以打开参数特定的编辑器。

选项 描述

源 在源列中单击任意，然后为源网络流量选择一个清单组，或单击添加组，创建新的

用户定义清单组以用于此规则。单击保存。

目标 在目标列中单击任意，然后为目标网络流量选择一个清单组，或单击创建新组，创

建新的用户定义清单组以用于此规则。单击保存。

服务 在服务列中单击任意，然后从列表中选择一个服务。单击保存。

已应用于 规则从包含该规则的策略中继承其应用对象值。

操作 n 选择允许，以允许所有 L2 和 L3 流量通过防火墙。

n 选择丢弃，以丢弃与任何指定的源、目标和服务匹配的数据包。这是静默操作，

不会通知源或目标系统。丢弃数据包会重试连接，直到达到重试阈值。

n 选择拒绝，以拒绝与任何指定的源、目标和服务匹配的数据包。此操作会向发送

方返回“无法到达目标的消息”。对于 TCP 数据包，响应包括 TCP RST 消息。

对于 UDP、ICMP 和其他协议，响应包含“管理禁止”代码（9 或 10）。无法

建立连接时，会立即通知发送方（不会执行任何重试操作）。

新规则会默认处于启用状态。将开关滑到左侧可将其禁用。

7 单击发布以创建规则。

后续步骤

可以对现有防火墙规则执行以下任何或所有可选操作。

n 单击齿轮图标 以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud”。

n 单击图形图标 以查看规则的统计信息，包括：

权重指数 过去 24 小时内触发规则的次数。

命中计数 规则自创建以来触发的次数。

只要一启用规则，统计信息便开始累积。

n 对防火墙规则重新排序。

VMware Cloud on AWS 网络和安全

VMware, Inc. 35

使用添加新规则按钮创建的规则将放置在策略中规则列表的顶部。每个策略中的防火墙规则将按从上到

下的顺序进行应用。要更改规则在列表中的位置，请选择该规则并将其拖动到新位置。单击发布以发布

更改。

管理分布式防火墙规则

尝试通过防火墙的流量按所有规则中显示的顺序遵循规则。

所有规则列表中的分布式防火墙规则顺序是有序策略列表和每个策略中有序规则列表的并集。可以对分布

式防火墙区域和一个区域内的规则重新排序。也可以编辑现有的分布式防火墙配置，删除或克隆防火墙规

则或区域。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络与安全 > 分布式防火墙。

3 （可选） 修改策略设置。

单击策略所在行开头的垂直省略号按钮以执行批量操作，这会影响策略中的所有规则。

4 （可选） 对策略重新排序。

使用添加策略按钮创建的策略将放置在策略列表的顶部。每个策略中的防火墙规则将按策略顺序从上到

下进行应用。要更改策略（及其包含的所有规则）在列表中的位置，请选择该策略并将其拖动到新位

置。单击发布以发布更改。

5 （可选） 克隆或复制规则。

单击规则所在行开头的垂直省略号按钮。

n 克隆规则会在此策略中创建规则的副本。

n 复制规则会创建规则的副本且可以添加到其他策略。

6 （可选） 添加或删除规则。

单击规则所在行开头的垂直省略号按钮。

n 添加规则会在此策略中添加规则。

n 删除规则会从此策略中删除规则。

7 （可选） 保存或查看配置。

分布式防火墙配置类似于内部部署 NSX-T 的防火墙草稿功能。单击操作 > 配置 > 查看可查看已保存配

置的列表。单击操作 > 配置 > 保存可保存当前配置。默认情况下将自动保存配置。单击操作 > 设置 > 常规设置可禁用自动保存草稿。

VMware Cloud on AWS 网络和安全

VMware, Inc. 36

管理分布式防火墙排除列表

通过分布式防火墙排除列表，可以指定要从分布式防火墙覆盖范围中排除的清单组。传入/传出已排除组成

员的东西向网络流量不受以其他方式应用的分布式防火墙规则的限制。

通过分布式防火墙排除列表，可以使特定的清单组不被分布式防火墙规则所考虑。默认情况下，管理虚拟

机和设备（如 vCenter、NSX Manager 和 NSX Controller）位于排除列表中。可以编辑列表以添加或移除

条目。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络与安全 > 分布式防火墙。

3 单击操作 > 设置 > 排除列表，以显示管理排除列表页面。

n 要将现有组添加到排除列表，请单击“添加组”，然后选择现有的组名称。

n 要从管理排除列表中创建组，请在组名称字段中键入该组的名称，然后单击设置成员以打开清单组

创建页面。有关使用此页面的详细信息，请参见添加或修改计算组。

n 要从列表中移除组，请单击该组所在行开头的垂直省略号按钮，然后单击删除。

4 单击应用保存更改。

配置 DNS 服务

VMware Cloud on AWS DNS 转发服务会在 DNS 区域中运行，虚拟机可以通过此服务将其查询转发到

DNS 服务器，从而将完全限定域名解析为 IP 地址。

SDDC 会为管理网关和计算网关提供默认 DNS 区域。每个区域都包括一个预配置的 DNS 转发服务。使用

DNS 服务页面上的 DNS 服务选项卡可禁用、启用或更新默认区域中 DNS 转发服务的某些属性。要创建其

他 DNS 区域或为任何区域中的 DNS 转发器配置其他属性，请使用 DNS 区域选项卡。

有关 VMware Cloud on AWS 的 DNS 配置选项的详细信息，请参见“适用于 VMware Cloud on AWS 的

DNS 策略”。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络和安全 > DNS。

3 单击 DNS 服务以打开 DNS 服务选项卡。

4 您可以查看管理网关 DNS 转发器的任何参数以及计算网关 DNS 转发器的大部分参数，但无法编辑这

些参数。单击垂直省略号按钮，然后单击编辑可修改您创建的其他 DNS 区域中的 DNS 服务的参数。

参数 描述

名称 此 DNS 服务的名称。对于管理和计算网关 DNS 转发器，无法修改此名称。

DNS 服务 IP 应将计算网关 DNS 请求转发到的 DNS 服务的 IP 地址。对于管理和计算网关 DNS 转发器，无法修改此名称。

VMware Cloud on AWS 网络和安全

VMware, Inc. 37

参数 描述

默认 DNS 区域 指定默认 DNS 区域的 FQDN。对于管理和计算网关 DNS 转发器，无法修改此名

称。

FQDN 区域 可选。指定一个或多个 FQDN 以启用 DNS 转发。一个 DNS 转发器会与一个默认

DNS 区域以及 多 5 个 FQDN DNS 区域相关联。收到 DNS 查询后，DNS 转发器

会将此查询中的域名与 FQDN DNS 区域中的域名进行比较。如果找到匹配项，则会

将此查询转发到此 FQDN DNS 区域中指定的 DNS 服务器。如果未找到匹配项，则

会将此查询转发到默认 DNS 区域中指定的 DNS 服务器。

日志级别 默认情况下会记录信息级别的事件。您可以选择其他级别以记录其他类别的事件。

管理员状态 此服务默认处于启用状态。通过切换可禁用它。

标记 有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

5 单击保存。

添加 DNS 区域

SDDC 网络中的每个 DNS 区域都代表您自行管理的一块 DNS 命名空间。

SDDC 中的 DNS 区域分为以下两类：

n 默认区域，服务器会在此区域中侦听此区域中子网上的所有 SDDC 虚拟机发出的 DNS 查询。

n FQDN 区域，服务器会在此区域中侦听从默认区域转发的 DNS 请求。

计算网关和管理网关分别配置有一个默认 DNS 区域。 多可以再添加四个任一类型的区域，以便可以灵活

地拥有多个 DNS 服务器和子域。有关 NSX-T 如何实现 DNS 区域的详细信息，请参见《NSX-T Data Center 管理指南》中的“添加 DNS 区域”。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击网络与安全 > DNS 并打开 DNS 区域选项卡。

3 要添加默认区域，请选择添加 DNS 区域 > 添加默认区域

a 输入一个名称以及一个可选说明。如果创建的 DNS 防火墙规则将应用于此区域中的流量，则可以

使用此名称。

b 输入 多三个 DNS 服务器的 IP 地址。您指定的所有 DNS 服务器都必须采用相同的配置。

c （可选） 在源 IP 字段中输入一个 IP 地址。

4 要添加 FQDN 区域，请选择添加 DNS 区域 > 添加 FQDN 区域

a 输入一个名称以及一个可选说明。如果创建的 DNS 防火墙规则将应用于此区域中的流量，则可以

使用此名称。

b 输入域的 FQDN。此名称必须是完全限定域名，例如 example.com。

c 输入 多三个 DNS 服务器的 IP 地址。

d （可选） 在源 IP 字段中输入一个 IP 地址。

VMware Cloud on AWS 网络和安全

VMware, Inc. 38

5 （可选） 对此 DNS 区域进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

6 单击保存。

配置计算网关 DHCP 中继

在默认配置中，由一个本地服务器处理所有路由分段上的工作负载虚拟机的 DHCP 请求。如果您有一个外

部 DHCP 服务器用来管理工作负载网络上的 IP 地址，则可以将计算网关配置为将 DHCP 请求转发到该服

务器。

如果组织要对 SDDC 中的工作负载虚拟机使用现有 IP 地址管理 (IPAM) 解决方案，则可以使用 NSX-T DHCP 中继功能来指定服务器并将其连接到计算网关。有关 NSX-T 如何实现 DHCP 中继的详细信息，请

参见 NSX for vSphere 文档中的配置 DHCP 中继。

注 如果计算网关中包含任何可以自己提供 DHCP 服务的分段，则无法配置 DHCP 中继。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络与安全 > DHCP。

3 单击配置 DHCP 中继。

填写 DHCP 服务器的名称和 IP 地址，然后单击连接以将服务器连接到计算网关。

使用清单组

使用 VMware Cloud on AWS 网络与安全清单创建虚拟机组和网络服务组，这样在创建防火墙规则时可以

使用它们。

防火墙规则通常应用于具有某些通用特征的一组虚拟机，这些通用特征包括：

n 遵循命名约定的名称（例如，对于 Windows 虚拟机，采用名称 Win*，或对于 Photon 虚拟机，采用名

称 Photon*）

n 特定范围内的 IP 地址或 CIDR 块

n 标记

它们还可以应用于网络服务，这些服务由诸如服务类型和网络协议之类的特征区分。VMware Cloud on AWS 网络与安全清单功能简化了创建具有防火墙保护的类似需求的虚拟机组的过程。它还允许您将新的网

络服务添加到内置服务列表中，以便您可以将那些服务包含在防火墙规则中。

VMware Cloud on AWS 在所有新 SDDC 中创建管理组和服务清单。它还维护工作负载虚拟机及其标记的

列表。您可以添加或修改自己的管理或计算虚拟机的清单组。

VMware Cloud on AWS 网络和安全

VMware, Inc. 39

添加管理组

管理清单组包含 SDDC 基础架构组件。在管理网关防火墙规则中使用这些组。

系统会为 SDDC 基础架构组件（如 vCenter 和 NSX Manager）自动创建预定义的管理清单组。无法修改

预定义的管理组，但可以通过指定组成员所连接到的 CIDR 块来创建其他管理清单组。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在网络与安全选项卡上，单击清单 > 组。

3 在组卡上，单击管理组，然后单击添加组并为组提供名称和（可选）说明。

4 单击设置成员以打开选择成员页面。

以 CIDR 格式输入管理虚拟机的一个或多个 IP 地址。

5 （可选） 对组进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

6 单击保存以创建组。

后续步骤

通过单击垂直省略号按钮，然后选择编辑或删除，可以修改或删除您创建的任何管理组。

添加或修改计算组

计算清单组可按名称、IP 地址和标记等标准对计算虚拟机进行分类。

由于计算清单组由您部署在计算网络分段上的计算虚拟机组成，因此 VMware Cloud on AWS 无法为您创

建它们。您需要先自行创建它们，然后才能编制计算网关防火墙规则。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在网络与安全选项卡上，单击清单 > 组。

3 在组卡上，单击计算组，然后单击添加组并为该组提供一个名称和一个可选说明。

要修改现有组，请选择该组，然后单击该组所在行开头的省略号按钮。

VMware Cloud on AWS 网络和安全

VMware, Inc. 40

4 单击设置成员以打开选择成员页面。

管理组包含管理网络上的虚拟机。必须使用 IP 地址指定管理组成员。计算组由虚拟机或网络对象组

成，例如计算网络分段。可通过多种方法指定计算组中的成员资格。

选项 描述

成员资格标准 单击添加标准，并使用下拉控件按以下元组格式指定一个或多个标准：

Object Type, Property, Condition, Value

。例如，一个具有以下标准的组：

Virtual Machine Name Contains db_

该组中的虚拟机在该组中的名称包含字符串 db_。此外，您还可以通过指定标记或以

下内容创建带标记网络分段、分段端口或 IP 集组：

Segment Tag Equals testbeds

以便包括带有标记 testbeds 的网络分段。

与所有选定标准匹配的对象将包括在该组中。

成员 从选择类别下拉列表中选择一个成员资格类别，然后从列表中选择成员。

IP/MAC 地址 以 ip-ip 形式输入 IP 地址、MAC 地址、CIDR 块或 IP 地址范围（例如

192.168.1.1-192.168.1.100）。

5 （可选） 对组进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

6 单击保存以创建组。

后续步骤

要查看组成员，请选择一个组，然后单击查看成员以查看组成员列表，从而查看组成员和成员资格标准。

单击使用位置以查看包含该组的防火墙规则列表。

添加自定义服务

防火墙规则通常应用于来自网络服务的流量。新的 SDDC 包括大多数常见网络服务类型的清单条目，但您

可以根据需要添加自定义服务。

创建防火墙规则时，可以指定它应用于来自在 SDDC 的服务清单中定义的一个或多个服务的网络流量。默

认列表包括 VMware 服务（例如远程控制台和置备）、标准服务（例如 IKE、ICMP 和 TCP）以及许多众

所周知的第三方服务。可以通过从服务类型和其他服务属性列表中选择值（通常为端口和协议）将服务添

加到此列表。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在网络与安全选项卡上，单击清单 > 服务。

服务卡列出了预定义的服务。

VMware Cloud on AWS 网络和安全

VMware, Inc. 41

3 单击添加新服务，并为新服务指定名称。

4 单击设置服务条目以打开设置服务条目页面。

5 在设置服务条目页面上，单击添加新服务条目。

要查看已知服务的列表，请使用下拉控件滚动浏览服务类型和其他属性列表。要添加服务，请从下拉菜

单中选择服务类型，并指定其他属性（如服务的源端口或目标端口），然后单击应用。

6 （可选） 提供服务说明并标记该服务。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

7 单击保存以创建服务定义。

查看虚拟机清单

VMware Cloud on AWS 维护 SDDC 中的工作负载虚拟机清单。虚拟机按名称和标记数量列出。

虚拟机清单将自动生成。可以编辑分配给此列表中虚拟机的标记，但无法添加或移除虚拟机。系统会随着

虚拟机的创建和销毁自动执行此操作。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在网络与安全选项卡上，单击清单 > 虚拟机。

如果虚拟机具有任何标记，标记列中将显示标记数量。单击数字可查看标记。要添加或移除虚拟机标

记，请单击虚拟机所在行开头的垂直省略号，然后选择编辑以显示标记编辑器。单击 图标可添

加更多标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

管理工作负载连接

默认情况下，工作负载虚拟机连接到 Internet。您可以使用 NAT 规则和分布式防火墙规则精细地控制这些

连接。

将虚拟机连接到计算网络分段或从计算网络分段断开工作负载虚拟机连接

可以使用 vSphere Web Client 管理工作负载虚拟机到计算网络分段的连接。

前提条件

您的 SDDC 计算网络必须至少有一个分段。请参见创建或修改网络分段。

步骤

1 登录到您的 SDDC 的 vSphere Client。

2 选择菜单 > 全局清单列表。

VMware Cloud on AWS 网络和安全

VMware, Inc. 42

3 选择逻辑网络。

4 在 vCenter Server 下拉菜单中，选择管理要使用的逻辑网络的 vCenter Server。

5 单击逻辑网络名称的旁边将其选中。

6 选择是连接虚拟机还是断开虚拟机连接。

n 单击连接虚拟机可将虚拟机连接到选定网络。

n 单击断开虚拟机连接可从选定网络断开虚拟机连接。

7 选择要连接或断开连接的虚拟机，单击 >> 将其移至选定对象列，然后单击下一步。

8 对于每个虚拟机，选择要连接的虚拟网卡，然后单击下一步。

9 单击完成。

请求或释放公用 IP 地址

您可以请求公用 IP 地址并分配给工作负载虚拟机，以允许从 Internet 访问这些虚拟机。VMware Cloud on AWS 从 AWS 置备 IP 地址。

佳做法是，释放未使用的公用 IP 地址。

前提条件

确认您的虚拟机具有从其逻辑网络分配的静态 IP 地址。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络和安全 > 公用 IP。

3 要请求新的公用 IP 地址，请单击请求新 IP。

可以选择输入有关请求的备注。

4 要释放不再需要的现有公用 IP 地址，请单击省略号按钮，然后单击释放 IP。

如果公用 IP 地址正由 NAT 规则使用，则释放该地址的请求将失败。

VMware Cloud on AWS 网络和安全

VMware, Inc. 43

5 单击保存。

片刻后，将置备新的公用 IP 地址。

后续步骤

置备公用 IP 地址后，配置 NAT，确保将来自公用 IP 地址的流量传送到 SDDC 中虚拟机的内部 IP 地址。

请参见创建或修改 NAT 规则。

创建或修改 NAT 规则

网络地址转换 (NAT) 会将计算网络上的内部 IP 地址映射到公用 Internet 上公开的地址。要创建 NAT 规则，请提供工作负载虚拟机或服务的内部地址和端口号，以及从系统获取的公用 IP 地址和端口号。

NAT 规则必须在 SDDC 的 Internet 接口上运行，因为工作负载虚拟机的公用地址会通过此接口公开。用于

检查数据包源和目标的防火墙规则会在 计算网关 上运行，并处理已通过任何适用 NAT 规则转换的流量。

创建 NAT 规则时，您可以指定是否将虚拟机的内部或外部 IP 地址和端口号公开到影响进出此虚拟机的网

络流量的防火墙规则。

重要事项 传输至 SDDC 的公用 IP 地址的入站流量会始终由您创建的 NAT 规则进行处理。出站流量（来

自 SDDC 工作负载虚拟机的应答数据包）将沿通告路由进行路由，并在 SDDC 网络的默认路由通过

SDDC 的 Internet 接口时由 NAT 规则进行处理。但是，如果默认路由通过 Direct Connect 或 VPN 连接

（例如，如果通过 BGP 通告 0.0.0.0/0，或者存在远程网络为 0.0.0.0/0 的基于策略的 VPN），则 NAT 规则将针对入站流量（而非出站流量）运行，从而创建非对称路径，这会使虚拟机在其公用 IP 地址无法访

问。如果从内部部署环境通告了默认路由，则必须使用内部部署 Internet 连接和公用 IP 在内部部署网络上

配置 NAT 规则。

前提条件

n 此虚拟机必须连接到一个计算网络分段。无论虚拟机具有静态地址还是动态 (DHCP) 地址，您均可为

其创建 NAT 规则，但请注意，如果为分配有 DHCP 地址的虚拟机分配一个内部地址，从而使此内部地

址不再与规则中指定的地址匹配，则此虚拟机的 NAT 规则可能会失效。

n 必须为此虚拟机请求一个公用 IP 地址。请参见请求或释放公用 IP 地址。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络和安全 > NAT。

3 单击添加 NAT 规则，并为此规则指定一个名称。

4 输入 NAT 规则参数。

选项 描述

公用 IP 填充虚拟机的已置备公用 IP 地址。

服务 选择以下选项之一。

n 选择所有流量可创建适用于所有流量的规则。

n 选择所列服务之一可创建仅适用于使用此协议和端口的流量的规则。

VMware Cloud on AWS 网络和安全

VMware, Inc. 44

选项 描述

公用端口 如果将服务指定为所有流量，则默认公用端口为任意。

如果选择特定服务，则此规则将适用于为此服务分配的公用端口。

内部 IP 输入虚拟机的内部 IP 地址。

内部端口 如果将服务指定为所有流量，则默认内部端口为任意。

如果选择特定服务，则此规则将适用于为此服务分配的公用端口。

防火墙 指定受此 NAT 规则控制的流量如何公开到防火墙规则。默认情况下，防火墙规则会

匹配内部 IP 和内部端口的组合。选择匹配外部地址可使防火墙规则匹配外部 IP 和外部端口的组合。

5 （可选） 切换日志记录可记录规则操作。

6 新规则会默认处于启用状态。切换启用可将其禁用。

7 单击保存以创建此规则。

此时将创建此规则，并将其状态报告为开启。

创建防火墙规则以管理计算网络与管理网络之间的流量

在默认配置中，防火墙规则会阻止计算网络上的虚拟机访问管理网络上的虚拟机。要允许单个工作负载虚

拟机访问管理虚拟机，请创建工作负载和管理清单组，然后创建引用它们的管理网关防火墙规则。

步骤

1 创建工作负载清单组：一个用于管理网络，另一个用于要访问的工作负载虚拟机。

在网络与安全选项卡上，单击清单类别中的组，然后单击工作负载组。创建两个工作负载组：

n 单击添加组，并创建一个成员类型为 IP 地址且包含管理网络 CIDR 块的组。单击保存以创建组。

n 单击添加组，创建一个成员类型为虚拟机且包含 vSphere 清单中的虚拟机的组。单击保存以创建

组。

2 创建管理清单组，以表示要从工作负载组访问的管理网络。

在网络与安全选项卡上，单击清单类别中的组，然后单击管理组。单击添加组，并创建一个成员类型为

IP 地址且包含管理网络 CIDR 块的组。单击保存以创建组。

3 创建一个允许流向管理网络的出站流量的计算网关防火墙规则。

有关创建计算网关防火墙规则的信息，请参见添加或修改计算网关防火墙规则。假设您的工作负载虚拟

机只需要访问管理虚拟机上的 vSphere 和 PowerCLI/OVFtool，则该规则只需要允许在端口 443 上进

行访问。

表 2-11. 允许到 ESXi 和 vCenter 的出站流量的计算网关规则

名称 源 目标 服务 操作 已应用于

到端口 443 上的管

理网络的出站流量

工作负载虚拟机专

用 IPVMC 管理网络 HTTPS 允许 所有上行链路

VMware Cloud on AWS 网络和安全

VMware, Inc. 45

4 创建一个允许到 vCenter server 和 ESXi 的入站流量的管理网关防火墙规则。

有关创建管理网关防火墙规则的信息，请参见添加或修改管理网关防火墙规则。假设您的工作负载虚拟

机只需要访问 vCenter 和 ESXi 上的 vSphere、PowerCLI 或 OVFtool，则该规则只需要允许在端口

443 上进行访问。

表 2-12. 允许到 ESXi 和 vCenter 的入站流量的管理网关规则

名称 源 目标 服务 操作

到 ESXi 端口 443 的入

站流量

工作负载虚拟机专用 IP ESXi HTTPS (TCP 443) 允许

到 vCenter 端口 443 的入站流量

工作负载虚拟机专用 IP vCenter HTTPS (TCP 443) 允许

VMware Cloud on AWS 网络和安全

VMware, Inc. 46

配置监控和故障排除功能 3使用由 NSX-T 提供的 IPFIX 和端口镜像功能来监控 SDDC 网络与安全以及进行故障排除。

默认情况下，SDDC ESXi 主机可以访问覆盖网络，允许它们与在 SDDC 中部署为虚拟机工作负载的监控

和故障排除应用程序进行通信。但是，必须将防火墙配置为允许 ESXi 主机和虚拟机连接到的逻辑分段之间

的流量。

n 配置 IPFIX

IPFIX（Internet 协议流量信息导出）是网络流量信息的格式和导出的标准，用于故障排除、审核或收

集分析信息。

n 配置端口镜像

通过端口镜像，可以复制和重定向来自源的所有流量。已镜像的流量在基本路由封装 (GRE) 通道内封

装后发送到收集器，以便穿过网络传输到远程目标时保留所有的原始数据包信息。

n 查看已连接 VPC 的信息

已连接 Amazon VPC 中包含您的 SDDC 及其所有网络。有关此 VPC 的信息（包括活动 ENI、VPC 子网和 VPC ID），可以查看网络与安全选项卡。

配置 IPFIXIPFIX（Internet 协议流量信息导出）是网络流量信息的格式和导出的标准，用于故障排除、审核或收集分

析信息。

可以在逻辑分段上配置流量监控。可捕获来自连接到该逻辑分段的虚拟机的所有流量并发送到 IPFIX 收集

器。收集器名称被指定为每个 IPFIX 交换机配置文件的参数。

前提条件

确认已配置逻辑分段。请参见创建或修改网络分段。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络与安全 > IPFIX。

VMware, Inc. 47

3 要添加新收集器，请单击收集器 > 添加新收集器，并为该收集器指定名称。

输入收集器的 IP 地址和端口。默认 UDP 端口为 4739。 多可以添加 4 个 IPFIX 收集器。

4 单击保存以创建收集器。

5 单击交换机 IPFIX 配置文件以创建或编辑交换机 IPFIX 配置文件。

有关 NSX-T 交换机 IPFIX 配置文件参数的详细信息，请参见《NSX-T Data Center 管理指南》中的

“配置交换机 IPFIX 配置文件”。

6 （可选） 对配置文件进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

7 单击保存以创建配置文件。

后续步骤

单击交换机 IPFIX 配置文件旁边的省略号按钮，然后单击编辑进行配置更改。

配置端口镜像

通过端口镜像，可以复制和重定向来自源的所有流量。已镜像的流量在基本路由封装 (GRE) 通道内封装后

发送到收集器，以便穿过网络传输到远程目标时保留所有的原始数据包信息。

在以下情况下使用端口镜像：

n 故障排除 - 分析流量以检测入侵，并调试和诊断网络上的错误。

n 合规性和监控 - 将监控的所有流量转发到网络设备以供分析和修复。

端口镜像包括在其中监控数据的源组和收集的数据复制到的目标组。源组成员资格标准要求基于工作负载

对虚拟机分组，如 Web 组或应用程序组。目标组成员资格标准要求基于 IP 地址对虚拟机分组。

端口镜像具有一个实施点，可以在其中将策略规则应用于 SDDC 环境。

端口镜像的流量方向为输入、输出或双向流量。

n 输入是从虚拟机到逻辑网络的出站网络流量。

n 输出是从逻辑网络到虚拟机的入站网络流量。

n 双向是从虚拟机到逻辑网络以及从逻辑网络到虚拟机的双向流量。此为默认选项。

有关使用 NSX-T 进行端口镜像的详细信息，请参见《NSX-T Data Center 管理指南》中的“添加端口镜像

配置文件”。

前提条件

确认具有 IP 地址和虚拟机成员资格标准的工作负载组可用。请参见添加或修改计算组。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 选择网络与安全 > 端口镜像。

VMware Cloud on AWS 网络和安全

VMware, Inc. 48

3 在端口镜像页面上，单击添加配置文件，并为配置文件提供名称和（可选）说明。

4 指定配置文件参数。

参数 描述

方向 从下拉列表中选择流量方向。

捕捉长度 指定要从数据包中捕获的字节数。

源 源可以包括分段、分段端口、虚拟机组和 vNIC 组。

目标 目标为 多包含 3 个 IP 地址的组。可以使用现有清单组，也可以从设置目标页面创

建新清单组。

封装类型 必须为 GRE。

GRE 键 用于标识特定 GRE 数据流的值。请参见 RFC 6245。

5 （可选） 对端口镜像配置文件进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

6 单击保存以保存会话。

后续步骤

单击端口镜像配置文件旁边的省略号按钮，然后选择编辑进行配置更改。

查看已连接 VPC 的信息

已连接 Amazon VPC 中包含您的 SDDC 及其所有网络。有关此 VPC 的信息（包括活动 ENI、VPC 子网

和 VPC ID），可以查看网络与安全选项卡。

在网络与安全选项卡上的系统类别中，单击已连接 VPC 以打开已连接 Amazon VPC 页面，该页面提供以

下信息：

AWS 帐户 ID 创建 SDDC 时指定的 AWS 帐户 ID。

VPC ID 此 VPC 的 AWS ID。

VPC 子网 创建 SDDC 时指定的 VPC 子网的 AWS ID。

活动网络接口 此 VPC 中的 VMC 所使用 ENI 的标识符。

IAM 角色名称 在此 VPC 中定义的 AWS 标识和访问管理角色名称。请参见《VMware Cloud on AWS 操作指南》中的“AWS 角色和权限”。

Cloud Formation 堆栈名

称

用于创建 SDDC 的 AWS Cloud Formation 堆栈的名称

服务访问 在此 VPC 中启用的 AWS 服务的列表。

VMware Cloud on AWS 网络和安全

VMware, Inc. 49