SDDC 部署组使用 VMware Transit Connect 在组中的 SDDC 之间以及与同一区域中的其他 VPC 之间建立高带宽、低延迟连接。此外,还可以添加 Direct Connect 网关 (DXGW),以与内部部署 SDDC 建立集中式连接。

SDDC 部署组(SDDC 组)是一个逻辑实体,旨在大规模简化组织的 VMware Cloud on AWS 资源管理。对于具有多个 SDDC 且其工作负载需要相互之间建立高带宽、低延迟连接的组织,将多个 SDDC 收集到一个 SDDC 组为其带来了诸多好处。组成员之间的所有网络流量都通过 VMware Transit Connect 网络进行传输。添加和删除子网时,VMware Transit Connect 会自动管理组中所有 SDDC 的计算网络之间的路由。可以使用计算网关防火墙规则控制组成员工作负载之间的网络流量。

具有管理员管理员(删除限制)VMC 服务角色的任何组织成员都可以创建或修改 SDDC 组。

组成员资格

SDDC 组是组织级别对象。一个 SDDC 组不能包含来自多个组织的 SDDC。SDDC 必须满足多个条件才能符合组成员资格要求:
  • 它必须与其他组成员位于同一 AWS 区域中。
  • 其管理网络 CIDR 块不能与任何其他组成员的管理 CIDR 块重叠。
  • 不能是其他 SDDC 组的成员。
  • 它必须为 SDDC 版本 1.11 或更高版本。
虽然可以创建具有一个成员的组,但 SDDC 组的大多数实际应用都需要两个或多个成员。
注:

通过 VPN 连接的混合链接模式与 SDDC 组不兼容。如果添加配置为使用通过 VPN 连接的混合链接模式的 SDDC,则连接将失败,并且无法对该 SDDC 使用混合链接模式。将 SDDC 添加到组时,通过 DX 连接的混合链接模式不受影响。

使用 VMware Transit Connect 的内部组连接

SDDC 组成员之间的对等连接需要使用 VMware 受管传输网关 (VTGW)。这是 VMware 拥有和管理的 AWS 资源。将第一个成员添加到 SDDC 组会创建其中的一个资源,并将其分配给组。创建和操作 VTGW 会在您的 VMware Cloud on AWS 帐单上产生额外费用。

图 1. VMware Transit Connect 将组中的 SDDC 相互连接
SDDC 组中的两个 SDDC 通过 vTGW 相互连接图

可以根据需要在组中添加和移除成员。移除所有成员后,才能移除组。移除组还会销毁组的 VMware 受管传输网关

将 VPC 连接到 SDDC 组

将 VPC 连接到 SDDC 组可以简化组中的 SDDC 与该 VPC 中所运行 AWS 服务之间的网络连接。需要使用 VMC 控制台 使 VTGW(AWS 资源)可供共享,然后使用 AWS 控制台接受共享资源,并将其与要连接到 SDDC 组的 VPC 相关联。

图 2. 使用 VMware Transit Connect 将 VPC 连接到 SDDC 组
具有两个 SDDC 和一个 AWS VPC 并通过 vTGW 连接的 SDDC 组的图示

使用 AWS Direct Connect 网关的外部组连接

要在组和外部端点(例如内部部署 SDDC)之间建立网络连接,请将 AWS Direct Connect 网关与为该组创建的 VMware 受管传输网关 相关联。与可用于将内部部署 SDDC 与独立 VMware Cloud on AWS SDDC 连接的 Direct Connect (DX) 配置不同,与 VTGW 关联的 Direct Connect 网关提供与所有 SDDC 组成员的 DX 级连接。

图 3. AWS Direct Connect 网关将 SDDC 组连接到内部部署 SDDC
此图显示了通过 AWS Direct Connect 网关建立 SDDC 组和内部部署 SDDC 之间的连接。

路由和对等互连

所有组成员中的计算网络都使用 VMware Transit Connect 路由表。此表中的发现路由将添加到 SDDC Tier-0 路由器的路由表。要查看或下载成员 SDDC 发现并通告的 VMware Transit Connect 路由的列表,请打开 SDDC 的网络与安全选项卡,然后单击 Transit Connect。请参见《VMware Cloud on AWS 网络和安全性》指南中的查看通过 VMware Transit Connect 发现和通告的路由

组中的 SDDC 可发现到组中的其他 SDDC 和 VPC 通告的网络的路由以及通过该组的 Direct Connect 网关通告的路由。由于 AWS 针对 Direct Connect 网关可通告到外部端点(例如内部部署 SDDC)的前缀设置的限制为 20 个,因此所有 SDDC 组成员的 CIDR 块前缀都必须在能够以不超过该限制的方式进行汇总的范围内。

VMware Transit Connect 实施几个路由策略:
  • 源自 SDDC 的流量可以路由到其他 SDDC 以及连接到组的 VPC 和 Direct Connect 网关。
  • 源自连接到组的 VPC 或 Direct Connect 网关的流量只能路由到组中的 SDDC。
  • 阻止 VPC 之间或 VPC 与 Direct Connect 网关之间的流量。
注:
将 SDDC 连接到 VMware Transit Connect 或 Direct Connect 网关时,现有 SDDC 网络会在以下几个方面发生变化:
  • 基于路由的 VPN 通告的路由优先于 VMware Transit Connect 或 Direct Connect 网关通告的路由。
  • SDDC 组包含 Direct Connect 网关时,不支持使用基于路由的 VPN 作为 Direct Connect 的备份。要在 SDDC 中禁用此配置,请选择网络与安全 > Direct Connect,然后将使用 VPN 作为 Direct Connect 的备份开关设置为已禁用
  • 巨型 MTU 大小减小到 8500 字节。有关如何为 SDDC 更新此值的信息,请参见《VMware Cloud on AWS 网络和安全性》指南中的为 SDDC 管理和计算网络流量创建专用虚拟接口