VMware: شروع به کار با VMware Transit Connect Intra-Region Peering برای VMware Cloud در AWS

VMware Transit Connect خود را به عنوان یک ابزار ارزشمند برای فعال کردن اتصال با پهنای باند و سرعت بالا برای VMware Cloud در مشتریان AWS و مراکز داده تعریف شده نرم افزاری آنها (SDDC) ثابت کرده است. صدها مشتری از این ویژگی در سراسر ناوگان در ترکیب های بی شماری استفاده می کنند. از زمان عرضه اولیه در سال 2020، ما با شریک خود، AWS، کار کرده ایم تا قابلیت های سرویس را گسترش دهیم تا علاوه بر پشتیبانی از مدل های Transit/Security VPC، گروه بندی SDDC را در چندین منطقه در بر گیرد. این قابلیت‌ها با هم ترکیب می‌شوند تا یک راه‌حل شبکه جامع برای رفع چالش‌برانگیزترین نیازهای شبکه ارائه کنند. با این حال، یک شکاف در اتصال وجود دارد – توانایی همتا کردن VMware Managed Transit Gateway (VTGW) با یک دروازه ترانزیت AWS (TGW).

در AWS re:Invent 2021، توانایی همتاسازی VTGW ها به AWS TGW در همان منطقه، که به عنوان همتاسازی درون منطقه ای نیز گفته می شود، اعلام شد. VMware و AWS با پشتکار روی این راه حل کار کرده اند و ما هیجان زده هستیم که VMware Cloud on AWS را برای پشتیبانی از این قابلیت جدید در این وبلاگ اعلامیه اعلام کنیم. به همان اندازه هیجان انگیز این است که این ویژگی برای مشتریان VMware Cloud در AWS با SDDC هایی که در هر نسخه ای هستند در دسترس خواهد بود. برای دسترسی به این ویژگی، لطفاً با تیم حساب VMware خود تماس بگیرید.

این مقاله به یکی از موارد استفاده و جزئیات پیکربندی این ویژگی می پردازد. قبل از اینکه وارد پیکربندی شویم، اجازه دهید مورد استفاده اولیه این راه حل را بررسی کنیم.

غیر معمول نیست که مشتریان ما ردپایی از خدمات بومی AWS در منطقه ای داشته باشند که از اتصال AWS TGW علاوه بر VMware Cloud در AWS SDDC استفاده می کنند. قبل از ویژگی همتاسازی درون منطقه ای، مشتریان باید از IPSec VPN یا معماری Transit VPC برای ارائه اتصال مورد نیاز خود استفاده کنند. در حالی که این کار می کند، پروتکل و سربار مدیریت اضافی با هر دو رویکرد و تنگناهای پهنای باند بالقوه وجود دارد. با گزینه همتاسازی درون منطقه ای، توپولوژی ها می توانند از آنچه در شکل 1 نشان داده شده است به توپولوژی نشان داده شده در شکل 2 تغییر کنند.

شکل 1 – معماری VPC ترانزیت برای اتصال درون منطقه ای

شکل 2 – همتاسازی بین منطقه ای VTGW به TGW

حذف نقاط اتصال اضافی، طراحی را با کاهش تعداد پرش‌ها، جدول‌های مسیری که نیاز به مدیریت دارند، ساده می‌کند و پیوست‌ها را کاهش می‌دهد.

اکنون که مورد استفاده اولیه را ایجاد کردیم، می‌توانیم روی یک توپولوژی خاص تمرکز کنیم و مراحل پیکربندی را بررسی کنیم. توپولوژی در شکل 3 در ادامه این مقاله ساخته خواهد شد.

شکل 3 – توپولوژی همتای VTGW به TGW درون منطقه ای برای آزمایشگاه

برای شروع ساخت این توپولوژی، از کنسول VMC شروع می کنیم و به برگه گروه های SDDC می رویم، جایی که به گروه SDDC که می خواهیم جلسه همتاسازی درون منطقه ای را در آن پیکربندی کنیم، می رویم. در توپولوژی ما، گروه TPM-VTGW نامیده می شود. پس از آن، به تب External TGW می رویم و مانند شکل 4 روی add TGW کلیک می کنیم.

شکل 4 – TGW را در برگه TGW خارجی اضافه کنید

هنگامی که دکمه Add TGW کلیک می شود، گفتگوی شکل 5 ظاهر می شود. فیلدهای مربوطه را به شرح زیر پر کنید.

• شناسه حساب AWS: شناسه حساب AWS که در آن TGW مورد بررسی قرار می گیرد
• TGW ID: شناسه AWS TGW که با
• مکان TGW: منطقه ای که TGW مورد بررسی قرار می گیرد
• VMC در منطقه AWS: منطقه ای که VTGW در آن ساکن است
• مسیرها: پیشوندهای مقصد منبع AWS قابل دسترسی از طریق این اتصال همتا

شکل 5 – دیالوگ TGW خارجی را اضافه کنید

پس از کلیک روی دکمه افزودن، فرآیند ایجاد یک رابطه همتا بین VTGW و AWS TGW آغاز می شود. این مجموعه ای ناهمزمان از تماس های API است که ممکن است تا 10 دقیقه طول بکشد تا تکمیل شود. در کنسول VMC، وضعیت TGW خارجی همانطور که در شکل 6 نشان داده شده است به صورت در حال پیشرفت نشان داده می شود.

شکل 6 – همتاسازی TGW خارجی در حال انجام است

اگر روی حسابی که اضافه می‌شود کلیک کنید، می‌توانید ببینید که همتاسازی در وضعیت پذیرش معلق است. این نشان می‌دهد که موارد مرتبط باید در کنسول AWS شناسه حساب هدف AWS پذیرفته شود. این را می توان در شکل 7 مشاهده کرد.

شکل 7 – در انتظار پذیرش درخواست همتا

از این مرحله، برای تکمیل درخواست همتاسازی، به کنسول AWS برای شناسه حسابی که در حال بررسی با آن هستیم، انتقال می‌دهیم. ما به کنسول VPC و سپس به صفحه پیوست‌های دروازه انتقال می‌رویم، جایی که می‌توانیم درخواست دریافتی از VTGW را همانطور که در شکل 8 نشان داده شده است مشاهده کنیم.

شکل 8 – پذیرش در انتظار در کنسول AWS

مرحله بعدی در این فرآیند، کلیک بر روی منوی کشویی Actions و پذیرش پیوست دروازه حمل و نقل همانطور که در شکل 9 نشان داده شده است.

شکل 9 – پذیرش پیوست TGW در کنسول AWS

از شما خواسته می شود تا یک تأییدیه دریافت کنید و پس از پذیرفتن، همانطور که در شکل 10 نشان داده شده است، به وضعیت معلق منتقل می شود.

شکل 10 – پیوست همتاسازی درون منطقه ای در وضعیت معلق در کنسول AWS

همانطور که قبلا ذکر شد، این یک سری فراخوانی API ناهمزمان بین VMware Cloud در AWS و سرویس AWS و برای تکمیل اتصال همتا است. ممکن است تا 10 دقیقه تکمیل شود.

پس از تکمیل، می‌توانیم برخی از تغییرات جدول مسیر VTGW را با پیشوند مقصد جدید که در شکل 11 منعکس شده است مشاهده کنیم.

شکل 11 – جدول مسیریابی اعضای VTGW

ما همچنین می توانیم این مسیر جدید را در جدول مسیریابی Transit Connect SDDC همانطور که در شکل 12 نشان داده شده است مشاهده کنیم.

شکل 12 – مسیرهای آموخته شده اتصال ترانزیت در SDDC

آخرین کار برای تکمیل اتصال شبکه، پیکربندی پیشوندهای SDDC در جدول مسیر AWS TGW است. توجه به این نکته مهم است که VTGW مسیرهای خود را به AWS TGW منتشر نمی کند، بنابراین باید یک مسیر ثابت همانطور که در شکل 13 نشان داده شده است اضافه شود.

شکل 13 – جدول مسیر AWS TGW با پیکربندی مسیر ثابت

بسته به مسیرهای توپولوژی شبکه AWS ممکن است نیاز باشد که به VPC های متصل به AWS TGW اضافه شود تا ترافیک مقصد VTGW به AWS TGW هدایت شود. در توپولوژی ما این ضروری نبود. از منظر عملیات روز دوم، خوب است به خاطر داشته باشید که با اضافه شدن پیشوندها به VMware Cloud در AWS یا توپولوژی های AWS TGW، جداول مسیریابی مختلف در هر دو طرف باید به روز شوند.

اکنون که اتصال شبکه برقرار شده است، هنوز مراحل دیگری وجود دارد که باید تکمیل شود تا بارهای کاری بتوانند در سراسر شبکه گسترش یافته ارتباط برقرار کنند. ابتدا، فایروال دروازه محاسباتی (CGW) در SDDC باید به گونه ای پیکربندی شود که ترافیک بین مقاصد جدید مجاز باشد. مشتریان می توانند انتخاب کنند که محدوده پیشوند IP را به صورت دستی در CGW تعریف کنند تا در خط مشی امنیتی آنها بسیار دقیق باشد. گزینه دیگر استفاده از سیستم تعریف شده CGW Groups به عنوان منبع و مقصد است. این گزینه کار مدیر فایروال را ساده می کند زیرا این گروه ها به طور خودکار با پیشوندهایی به روز می شوند که از VTGW اضافه و حذف می شوند. هر دو انتخاب بسته به نیاز شما به همان اندازه خوب کار می کند.

در شکل 14 می توانیم یک خط مشی CGW را ببینیم که از گروه از پیش تعریف شده "پیوندهای TGW مشتری اتصال ترانزیت" برای اپراتورهای مبدا و مقصد در دو قانون مختلف استفاده می کند.

شکل 14 – خط مشی CGW با استفاده از گروه TGW مشتری از پیش تعریف شده

همچنین به انتخاب رابط اتصال مستقیم در قسمت Applied To توجه کنید. این بهترین عمل است زیرا این خط مشی را فقط برای رابطی اعمال می کند که ترافیک در آن وارد و خارج از شبکه می شود.

بسته به توپولوژی شما، قوانین اضافی گروه امنیتی AWS ممکن است نیاز به به روز رسانی داشته باشند تا شبکه های جدیدی را که در دسترس هستند منعکس کنند.

در نهایت، از منظر عملیاتی، ابزار VMware NSX-T Traceflow، که از رابط کاربری NSX Manager در دسترس است (نیاز به SDDC 1.16 یا بالاتر است)، می تواند برای اعتبارسنجی مسیر و خط مشی فایروال از طریق SDDC استفاده شود. در این مثال ما یک ردیابی از یک مهمان در SDDC، Desktop-01 در آدرس IP 10.1.100.10، تا یک نمونه EC2 در VPC متصل به AWS TGW با آدرس IP 172.31.1.82 داریم. خروجی Traceflow مسیر را از طریق SDDC نشان می دهد که از طریق رابط اینترانت خارج می شود، از VTGW عبور می کند و سپس اتصال همتا به AWS TGW. خوب است توجه داشته باشید که تجزیه و تحلیل دقیق Traceflow و تجزیه و تحلیل مسیر محدود به محدوده SDDC است. شکل 15 خروجی را نشان می دهد.

شکل 15 – خروجی جریان ردیابی

با آن، ما یک جلسه همتاسازی VTGW به TGW درون منطقه ای ایجاد کرده ایم، جداول مسیر و خط مشی های امنیتی را به طور مناسب به روز کرده ایم و اتصال را از سر به انتها تأیید کرده ایم. VMware و AWS از فرصت‌های جدید شبکه‌ای که با اضافه شدن همتاسازی درون منطقه‌ای در اختیار مشتریان قرار می‌گیرد، بسیار هیجان‌زده هستند. وبلاگ‌ها و دموهای بیشتری را که توپولوژی‌های جامع VMware Transit Connect را به نمایش می‌گذارند، تماشا کنید.

منابع اضافی

بهبودهای VMware Transit Connect – https://blogs.vmware.com/cloud/2021/09/23/vmware-transit-connect-enhancements/

VMware Cloud در یادداشت‌های انتشار AWS – https://docs.vmware.com/en/VMware-Cloud-on-AWS/0/rn/vmc-on-aws-relnotes.html

VMware Cloud Tech Zone – https://vmc.techzone.vmware.com/

حداکثر پیکربندی VMware – https://configmax.esp.vmware.com/home

پرسش و پاسخ VMware Cloud در AWS – https://cloud.vmware.com/vmc-aws/faq#networking-general

VMware Cloud در شبکه AWS و مستندات امنیتی – https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-0CD747E8- 143D-476C-BE17-7DB991B32D37.html