SDDC 部署组使用 VMware Transit Connect 在组中的 SDDC 之间提供高带宽、低延迟的连接。一个 SDDC 组可以包含您拥有的 VPC。您也可以添加一个 AWS Direct Connect 网关 (DXGW),在组成员和内部部署 SDDC 之间提供连接。

SDDC 部署组(SDDC 组)是一个逻辑实体,旨在大规模简化组织的 VMware Cloud on AWS 资源管理。对于具有多个 SDDC 且其工作负载需要相互之间建立高带宽、低延迟连接的组织,将多个 SDDC 收集到一个 SDDC 组为其带来了诸多好处。组成员之间的所有网络流量都通过 VMware Transit Connect 网络进行传输。添加和删除子网时,VMware Transit Connect 会自动管理组中所有 SDDC 的计算网络之间的路由。可以使用计算网关防火墙规则控制组成员工作负载之间的网络流量。

具有管理员管理员(删除限制)VMC 服务角色的任何组织成员都可以创建或修改 SDDC 组。

组成员资格

SDDC 组是组织级别对象。一个 SDDC 组不能包含来自多个组织的 SDDC。 一个 SDDC 组最多可以包含三个 AWS 区域的成员。SDDC 必须满足多个条件才能符合组成员资格要求:
  • 其管理网络 CIDR 块不能与任何其他组成员的管理 CIDR 块重叠。
  • 不能是其他 SDDC 组的成员。
虽然可以创建具有一个成员的组,但 SDDC 组的大多数实际应用都需要两个或多个成员。
注:

通过 VPN 连接的混合链接模式与 SDDC 组不兼容。如果添加配置为使用通过 VPN 连接的混合链接模式的 SDDC,则连接将失败,并且无法对该 SDDC 使用混合链接模式。将 SDDC 添加到组时,通过 DX 连接的混合链接模式不受影响。

使用 VMware Transit Connect 的内部组连接

SDDC 组成员之间的对等连接需要使用 VMware 受管传输网关 (VTGW)。这是 VMware 拥有和管理的 AWS 资源。将第一个成员添加到 SDDC 组会创建其中的一个资源,并将其分配给组。创建和操作 VTGW 会在您的 VMware Cloud on AWS 帐单上产生额外费用。当一个组有多个区域的成员时,可以在每个区域中创建 VTGW

图 1. VMware Transit Connect 将组中的 SDDC 相互连接
SDDC 组中的两个 SDDC 通过 VTGW 相互连接图。

可以根据需要在组中添加和移除成员。移除所有成员后,才能移除组。移除组还会销毁组的 VMware 受管传输网关

将 VPC 连接到 SDDC 组

将 VPC 连接到 SDDC 组可以简化组中的 SDDC 与该 VPC 中所运行 AWS 服务之间的网络连接。需要使用 VMware Cloud 控制台 使 VTGW(AWS 资源)可供共享,然后使用 AWS 控制台接受共享资源,并将其与要连接到 SDDC 组的 VPC 相关联。连接到 VPC 的 VTGW连接不会在多区域组中跨区域。

图 2. 使用 VMware Transit Connect 将 VPC 连接到 SDDC 组
具有两个 SDDC 和一个 AWS VPC 并通过 vTGW 连接的 SDDC 组的图示

使用 AWS Direct Connect 网关的外部组连接

要在组和外部端点(例如内部部署 SDDC)之间建立网络连接,请将 AWS Direct Connect 网关 (DXGW) 与为该组创建的 VMware 受管传输网关 相关联。与可用于将内部部署 SDDC 与独立 VMware Cloud on AWS SDDC 连接的 Direct Connect (DX) 配置不同,与 VTGW 关联的 DXGW 网关提供与所有 SDDC 组成员的 DX 级连接。

图 3. AWS Direct Connect 网关将 SDDC 组连接到内部部署 SDDC
此图显示了通过 AWS Direct Connect 网关建立 SDDC 组和内部部署 SDDC 之间的连接。

将来自多个区域的 SDDC 分组

多区域 SDDC 组提供与单区域 SDDC 组相同类型的连接,包括到 VPC 和内部部署数据中心的连接,尽管到 VPC 的连接不会跨区域。当一个组具有多个区域的成员时,组创建将在每个区域中置备一个 VTGW,并将其连接到该区域中的组成员。该 VTGW 与组中的其他 VTGW 对等互连,提供包括所有组成员的单个 IP 地址空间。VPC 与组的关联仅在 VPC 所占用的区域内有效。其他区域中的 SDDC 群组成员无法通过 VTGW 访问 VPC
图 4. 多区域 SDDC 组
此图显示两个 SDDC 位于不同的区域。其 VTGW 相互连接,并连接到与内部部署数据中心连接的 DX 网关。

路由和对等互连

SDDC 组成员通告本地网络分段,这些分段将被添加到 SDDC 的 0 层路由器和本组 VTGW 的路由表中。要查看或下载成员 SDDC 发现并通告的 VMware Transit Connect 路由列表,请打开 NSX Manager 或旧版的网络与安全选项卡,然后单击 Transit Connect。请参见查看通过 VMware Transit Connect 发现和通告的路由。支持在同一区域或不同区域中的 VTGW 实例之间进行对等互连。

要查看组中所有 SDDC 发现和通告的路由,请单击路由选项卡。可以使用下拉控件。选择外部可查看成员与外端点(如 VPC 或 Direct Connect 网关)之间的路由。外部路由承载从外部端点(如 VPC 或 DXGW)到 SDDC 组成员的流量。成员路由承载来自成员 SDDC 的流量,包括 SDDC 组成员和外部端点。

组中的 SDDC 可发现到组中的其他 SDDC 通告的网络的路由以及通过本组 DXGW 通告的路由。它们还会发现连接到组的任何 VPC 的 CIDR。由于 AWS 针对 DXGW 可通告到外部端点(例如内部部署 SDDC)的前缀设置的限制为 20 个,因此所有 SDDC 组成员的 CIDR 块前缀都必须在能够以不超过该限制的方式进行汇总的范围内。

VMware Transit Connect 实施几个路由策略:
  • 源自成员 SDDC 的流量可以路由到其他成员 SDDC,以及连接到与源 SDDC 位于同一区域的组的 VPC 和 Direct Connect 网关。
  • 源自连接到组的 VPC 或 Direct Connect 网关的流量只能路由到与源 SDDC 位于同一区域的组中的 SDDC。
  • 阻止 VPC 之间或 VPC 与 Direct Connect 网关之间的流量。
注:
当 SDDC 成为 SDDC 组成员时,现有 SDDC 网络的某些方面会发生变化:
  • 基于路由的 VPN 通告的路由优先于 VMware Transit Connect 或 DXGW 通告的路由。然而,从主机到 SDDC 网络外部的目标的所有出站流量都将路由到 VTGW 或专用 VIF,无论 SDDC 中的其他路由配置如何。这包括 vMotion 和 vSphere 复制流量。您必须确保到 ESXi 主机的入站流量也通过 DXGW 接口路由,以使入站和出站流量路径对称。
  • 如果通过 VTGW 和 DX 通告同一路由,则首选 VTGW 路径。这包括来自连接到 VTGW 的 DXGW 的路由。
  • 在组成员之间,内网流量的最大 MTU 限制为 8500 字节。一个高达 8900 字节的 MTU 仍可用于 SDDC 的内部流量或通过 DX 传输的流量。请参见为 SDDC 管理和计算网络流量创建专用虚拟接口