Eine SDDC-Bereitstellungsgruppe verwendet VMware Transit Connect, um Verbindungen mit hoher Bandbreite und geringer Latenz zwischen SDDCs in der Gruppe bereitzustellen. Eine SDDC-Gruppe kann VPCs enthalten, deren Eigentümer Sie sind. Sie können auch ein AWS Direct Connect-Gateway (DXGW) hinzufügen, um Konnektivität zwischen Gruppenmitgliedern und Ihren lokalen SDDCs bereitzustellen.

Eine SDDC-Bereitstellungsgruppe (SDDC-Gruppe) ist ein logisches Element, das für die Vereinfachung der Verwaltung der VMware Cloud on AWS-Ressourcen Ihrer Organisation in unterschiedlicher Skalierung ausgelegt ist. Das Zusammenfassen von SDDCs in einer SDDC-Gruppe bietet eine Reihe von Vorteilen für eine Organisation mit mehreren SDDCs, deren Arbeitslasten eine Verbindung mit hoher Bandbreite und geringen Latenzen zueinander benötigen. Der gesamte Netzwerkdatenverkehr zwischen Gruppenmitgliedern läuft über ein VMware Transit Connect-Netzwerk. Das Routing zwischen Computing-Netzwerken aller SDDCs in einer Gruppe wird automatisch durch VMware Transit Connect verwaltet, da Subnetze hinzugefügt und gelöscht werden. Sie steuern den Netzwerkdatenverkehr zwischen Arbeitslasten von Gruppenmitgliedern mit Firewallregeln für das Computing-Gateway.

Jedes Organisationsmitglied, das über eine VMC-Dienstrolle Administrator oder Administrator (Löschen eingeschränkt) verfügt, kann eine SDDC-Gruppe erstellen oder bearbeiten.

Gruppenmitgliedschaft

SDDC-Gruppen sind ein Objekt auf Organisationsebene. Eine SDDC-Gruppe kann nicht SDDCs von mehr als einer Organisation enthalten. Eine SDDC-Gruppe kann Mitglieder aus bis zu drei AWS-Regionen enthalten. Ein SDDC muss mehrere Kriterien erfüllen, um für eine Gruppenmitgliedschaft in Frage zu kommen:
  • Der CIDR-Block seines Verwaltungsnetzwerks darf sich mit dem Verwaltungs-CIDR-Block keines anderen Gruppenmitglieds überlappen.
  • Es kann kein Mitglied einer anderen SDDC-Bereitstellungsgruppe sein.
Obwohl Sie eine Gruppe mit einem einzelnen Mitglied erstellen können, benötigen die meisten praktischen Anwendungen von SDDC-Gruppen zwei oder mehr Mitglieder.
Hinweis:

Der Hybrid Linked Mode über eine VPN-Verbindung ist mit SDDC-Gruppen nicht kompatibel. Wenn Sie ein SDDC hinzufügen, das Sie für die Verwendung des Hybrid Linke Mode über eine VPN-Verbindung konfiguriert haben, schlägt die Verbindung fehl, und Sie können den Hybrid Linked Mode nicht mit diesem SDDC verwenden. Der Hybrid Linked Mode über eine DX-Verbindung ist nicht betroffen, wenn ein SDDC einer Gruppe hinzugefügt wird.

Interne Gruppenkonnektivität mithilfe von VMware Transit Connect

Die Gruppenkonnektivität zwischen den-SDDC-Gruppenmitgliedern erfordert einen VMware Managed Transit Gateway (VTGW). Es handelt sich hierbei um eine VMware-eigene und von VMware verwaltete AWS-Ressource. Durch Hinzufügen des ersten Mitglieds zu einer-SDDC-Gruppe wird eine dieser Ressourcen erstellt und dieses der Gruppe zugewiesen. Bei Erstellung und Betrieb eines VTGW fallen zusätzliche Gebühren auf Ihrer VMware Cloud on AWS-Rechnung an. Wenn eine Gruppe Mitglieder in mehr als einer Region hat, wird VTGW in jeder dieser Regionen erstellt.

Abbildung 1. VMware Transit Connect verbindet SDDCs in der Gruppe miteinander
Diagramm einer SDDC-Gruppe mit zwei SDDCs, die über das VTGW verbunden sind.

Mitglieder können nach Bedarf zu einer Gruppe hinzugefügt und aus einer Gruppe entfernt werden. Sie können eine Gruppe erst entfernen, wenn alle Benutzer entfernt wurden. Durch das Entfernen der Gruppe wird auch das VMware Managed Transit Gateway der Gruppe vernichtet.

Anhängen einer VPC an eine SDDC-Gruppe

Durch das Anhängen einer VPC an eine SDDC-Gruppe werden Netzwerkverbindungen zwischen SDDCs in der Gruppe und AWS-Diensten, die in dieser VPC ausgeführt werden, vereinfacht. Sie verwenden VMware Cloud-Konsole, um VTGW für die gemeinsame Nutzung bereitzustellen, verwenden dann die AWS-Konsole, um die freigegebene Ressource zu akzeptieren und sie den VPCs zuzuordnen, die Sie der SDDC-Gruppe zuordnen möchten. VTGW Verbindungen zu angehängten VPCs erstrecken sich nicht über Regionen in einer Gruppe mit mehreren Regionen.

Abbildung 2. Anhängen einer VPC an eine SDDC-Gruppe mithilfe von VMware Transit Connect
Diagramm einer SDDC-Gruppe mit zwei SDDCs und einer AWS-VPC, die über das vTGW verbunden sind

Externe Gruppenkonnektivität mithilfe des AWS Direct Connect-Gateways

Um eine Netzwerkkonnektivität zwischen der Gruppe und externen Endpoints wie lokalen SDDCs bereitzustellen, verknüpfen Sie ein AWS Direct Connect-Gateway (DXGW) mit dem für die Gruppe erstellten VMware Managed Transit Gateway. Im Gegensatz zur Direct Connect (DX)-Konfiguration, mit der Sie Ihr lokales SDDC mit einem eigenständigen VMware Cloud on AWS-SDDC verbinden können, bietet das DXGW, das Sie mit VTGW verknüpfen, allen SDDC-Gruppenmitgliedern Konnektivität auf DX-Ebene.

Abbildung 3. Ein AWS Direct Connect-Gateway verbindet die SDDC-Gruppe mit lokalen SDDCs
Diagramm, das ein AWS Direct Connect-Gateway zeigt, das Verbindungen zwischen einer SDDC-Gruppe und einem lokalen SDDC bereitstellt

Gruppieren von SDDCs aus mehreren Regionen

Eine SDDC-Gruppe mit mehreren Regionen bietet die gleichen Konnektivitätsarten wie eine SDDC-Gruppe mit einer einzigen Region, einschließlich Verbindungen zu VPCs und lokalen Datencentern, obwohl Verbindungen zu VPCs keine Regionen umfassen. Wenn eine Gruppe Mitglieder in mehr als einer Region enthält, stellt die Gruppenerstellung ein VTGW in jeder dieser Regionen bereit und verbindet es mit den Mitgliedern in dieser Region. Diese VTGW ist mit den anderen VTGWs in der Gruppe verbunden, um einen einzelnen IP-Adressraum bereitzustellen, der alle Gruppenmitglieder umfasst. VPC-Zuordnungen zu einer Gruppe sind nur innerhalb der von der VPC besetzten Region gültig. SDDC-Gruppenmitglieder in anderen Regionen können nicht über die VTGW auf die VPC zugreifen
Abbildung 4. SDDC-Gruppe mit mehreren Regionen
Diagramm mit zwei SDDCs in unterschiedlichen Regionen. Ihre VTGWs sind miteinander und mit einem DX-Gateway verbunden, das wiederum mit einem lokalen Datencenter verbunden ist.

Routing und Peering

Mitglieder der SDDC-Gruppe geben ihre lokalen Netzwerksegmente bekannt, die den Routing-Tabellen des Tier-0-Routers des SDDC und der VTGW der Gruppe hinzugefügt werden. Zum Anzeigen oder Herunterladen einer Liste von VMware Transit Connect-Routen, die von einem Mitglied-SDDC erlernt und angekündigt werden, öffnen Sie NSX Manager oder die Legacy-Registerkarte Netzwerk und Sicherheit und klicken auf Transit Connect. Siehe Anzeigen von über VMware Transit Connect erlernten und angekündigten Routen. Peering zwischen VTGW -Instanzen wird sowohl innerhalb derselben Region als auch zwischen verschiedenen Regionen unterstützt.

Um die von allen SDDCs in der Gruppe erlernten und angekündigten Routen anzeigen zu können, klicken Sie auf die Registerkarte Routing. Sie können die Dropdown-Steuerelemente verwenden. Wählen Sie Extern, um Routen zwischen Mitgliedern anzuzeigen, oder Mitglieder, um Routen zwischen Mitgliedern und externen Endpoints wie VPCs oder Direct Connect-Gateways anzuzeigen. Externe Routen übertragen Datenverkehr, der von einem externen Endpoint wie einer VPC oder DXGW stammt, zu einem SDDC-Gruppenmitglied. Mitglieder-Routen übertragen Datenverkehr, der von einem Mitglieds-SDDC stammt, und umfassen SDDC-Gruppenmitglieder und externe Endpoints.

SDDCs in der Gruppe lernen Routen zu den Netzwerken, die von anderen SDDCs in der Gruppe angekündigt werden, und denen, die über das DXGW der Gruppe bekannt gegeben werden. Sie lernen auch die CIDRs für alle VPCs, die mit der Gruppe verbunden sind. Da AWS ein Limit von 20 Präfixen vorschreibt, die von einem DXGW an einen externen Endpoint wie ein lokales SDDC angekündigt werden können, müssen die CIDR-Blockpräfixe aller SDDC-Gruppenmitglieder innerhalb eines Bereichs liegen, der ohne Überschreitung des Limits zusammengefasst werden kann.

VMware Transit Connect setzt mehrere Routingrichtlinienregeln durch:
  • Datenverkehr, der von Mitglieds-SDDCs stammt, kann an andere Mitglieds-SDDCs sowie an VPCs und Direct Connect-Gateways weitergeleitet werden, die der Gruppe in der Region des Ausgangs-SDDC zugeordnet sind.
  • Von VPCs oder Direct Connect Gateways, die an die Gruppe angehängt sind, ausgehender Datenverkehr kann nur an SDDCs in der Gruppe weitergeleitet werden, die sich in derselben Region wie das Ausgangs-SDDC befinden.
  • Der Datenverkehr zwischen VPCs oder zwischen einer VPC und dem Direct Connect-Gateway ist blockiert.
Hinweis:
Wenn ein SDDC Mitglied einer SDDC-Gruppe wird, ändern sich mehrere Aspekte des vorhandenen SDDC-Netzwerks:
  • Von einem routenbasierten VPN angekündigte Routen werden gegenüber Routen bevorzugt, die von VMware Transit Connect oder DXGW angekündigt werden. Allerdings wird der ausgehende Datenverkehr von Hosts zu Zielen außerhalb des SDDC-Netzwerks unabhängig von anderen Routing-Konfigurationen im SDDC an die VTGW oder private VIF geroutet. Dies umfasst unter anderem den Datenverkehr von vMotion und vSphere Replication. Sie müssen sicherstellen, dass eingehender Datenverkehr zu ESXi-Hosts auch über die DXGW-Schnittstelle geleitet wird, damit die eingehenden und ausgehenden Datenverkehrspfade symmetrisch sind.
  • Wenn dieselbe Route über VTGW und DX angekündigt wird, wird der VTGW-Pfad bevorzugt. Dies umfasst Routen von einem DXGW, das mit VTGW verbunden ist.
  • Die maximale MTU für den Intranetverkehr zwischen Gruppenmitgliedern ist auf 8.500 Byte begrenzt. Für den internen Datenverkehr des SDDC oder über DX kann weiterhin eine MTU von bis zu 8.900 Byte verwendet werden. Weitere Informationen finden Sie unter Erstellen einer privaten virtuellen Schnittstelle für den Datenverkehr des SDDC-Verwaltungs- und Computing-Netzwerks.