Eine SDDC-Bereitstellungsgruppe verwendet VMware Transit Connect, um Verbindungen mit hoher Bandbreite und geringer Latenz zwischen SDDCs in der Gruppe bereitzustellen. Eine SDDC-Gruppe kann VPCs enthalten, deren Eigentümer Sie sind. Sie können auch ein AWS Direct Connect-Gateway (DXGW) hinzufügen, um Konnektivität zwischen Gruppenmitgliedern und Ihren lokalen SDDCs bereitzustellen.

Eine SDDC-Bereitstellungsgruppe (SDDC-Gruppe) ist ein logisches Element, das für die Vereinfachung der Verwaltung der VMware Cloud on AWS-Ressourcen Ihrer Organisation in unterschiedlicher Skalierung ausgelegt ist. Das Zusammenfassen von SDDCs in einer SDDC-Gruppe bietet eine Reihe von Vorteilen für eine Organisation mit mehreren SDDCs, deren Arbeitslasten eine Verbindung mit hoher Bandbreite und geringen Latenzen zueinander benötigen. Der gesamte Netzwerkdatenverkehr zwischen Gruppenmitgliedern läuft über ein VMware Transit Connect-Netzwerk. Das Routing zwischen Computing-Netzwerken aller SDDCs in einer Gruppe wird automatisch durch VMware Transit Connect verwaltet, da Subnetze hinzugefügt und gelöscht werden. Sie steuern den Netzwerkdatenverkehr zwischen Arbeitslasten von Gruppenmitgliedern mit Firewallregeln für das Computing-Gateway.

Jedes Organisationsmitglied, das über eine VMC-Dienstrolle Administrator oder Administrator (Löschen eingeschränkt) verfügt, kann eine SDDC-Gruppe erstellen oder bearbeiten.

Gruppenmitgliedschaft

SDDC-Gruppen sind ein Objekt auf Organisationsebene. Eine SDDC-Gruppe kann nicht SDDCs von mehr als einer Organisation enthalten. Ein SDDC muss mehrere Kriterien erfüllen, um für eine Gruppenmitgliedschaft in Frage zu kommen:
  • Es muss die SDDC-Version 1.11 oder höher aufweisen.
  • Der CIDR-Block seines Verwaltungsnetzwerks darf sich mit dem Verwaltungs-CIDR-Block keines anderen Gruppenmitglieds überlappen.
  • Es kann kein Mitglied einer anderen SDDC-Bereitstellungsgruppe sein.
Obwohl Sie eine Gruppe mit einem einzelnen Mitglied erstellen können, benötigen die meisten praktischen Anwendungen von SDDC-Gruppen zwei oder mehr Mitglieder.
Hinweis:

Der Hybrid Linked Mode über eine VPN-Verbindung ist mit SDDC-Gruppen nicht kompatibel. Wenn Sie ein SDDC hinzufügen, das Sie für die Verwendung des Hybrid Linke Mode über eine VPN-Verbindung konfiguriert haben, schlägt die Verbindung fehl, und Sie können den Hybrid Linked Mode nicht mit diesem SDDC verwenden. Der Hybrid Linked Mode über eine DX-Verbindung ist nicht betroffen, wenn ein SDDC einer Gruppe hinzugefügt wird.

Interne Gruppenkonnektivität mithilfe von VMware Transit Connect

Die Gruppenkonnektivität zwischen den-SDDC-Gruppenmitgliedern erfordert einen VMware Managed Transit Gateway (VTGW). Es handelt sich hierbei um eine VMware-eigene und von VMware verwaltete AWS-Ressource. Durch Hinzufügen des ersten Mitglieds zu einer-SDDC-Gruppe wird eine dieser Ressourcen erstellt und dieses der Gruppe zugewiesen. Bei Erstellung und Betrieb eines VTGW fallen zusätzliche Gebühren auf Ihrer VMware Cloud on AWS-Rechnung an.

Abbildung 1. VMware Transit Connect verbindet SDDCs in der Gruppe miteinander
Diagramm einer SDDC-Gruppe mit zwei SDDCs, die über das vTGW verbunden sind

Mitglieder können nach Bedarf zu einer Gruppe hinzugefügt und aus einer Gruppe entfernt werden. Sie können eine Gruppe erst entfernen, wenn alle Benutzer entfernt wurden. Durch das Entfernen der Gruppe wird auch das VMware Managed Transit Gateway der Gruppe vernichtet.

Anhängen einer VPC an eine SDDC-Gruppe

Durch das Anhängen einer VPC an eine SDDC-Gruppe werden Netzwerkverbindungen zwischen SDDCs in der Gruppe und AWS-Diensten, die in dieser VPC ausgeführt werden, vereinfacht. Sie verwenden VMC Console, um VTGW für die gemeinsame Nutzung bereitzustellen, verwenden dann die AWS-Konsole, um die freigegebene Ressource zu akzeptieren und sie den VPCs zuzuordnen, die Sie der SDDC-Gruppe zuordnen möchten.

Abbildung 2. Anhängen einer VPC an eine SDDC-Gruppe mithilfe von VMware Transit Connect
Diagramm einer SDDC-Gruppe mit zwei SDDCs und einer AWS-VPC, die über das vTGW verbunden sind

Externe Gruppenkonnektivität mithilfe des AWS Direct Connect-Gateways

Um eine Netzwerkkonnektivität zwischen der Gruppe und externen Endpoints wie lokalen SDDCs bereitzustellen, verknüpfen Sie ein AWS Direct Connect-Gateway (DXGW) mit dem für die Gruppe erstellten VMware Managed Transit Gateway. Im Gegensatz zur Direct Connect (DX)-Konfiguration, mit der Sie Ihr lokales SDDC mit einem eigenständigen VMware Cloud on AWS-SDDC verbinden können, bietet das DXGW, das Sie mit VTGW verknüpfen, allen SDDC-Gruppenmitgliedern Konnektivität auf DX-Ebene.

Abbildung 3. Ein AWS Direct Connect-Gateway verbindet die SDDC-Gruppe mit lokalen SDDCs
Diagramm, das ein AWS Direct Connect-Gateway zeigt, das Verbindungen zwischen einer SDDC-Gruppe und einem lokalen SDDC bereitstellt

Routing und Peering

Mitglieder der SDDC-Gruppe geben ihre lokalen Netzwerksegmente bekannt, die den Routing-Tabellen des Tier-0-Routers des SDDC und der VTGW der Gruppe hinzugefügt werden. Zum Anzeigen oder Herunterladen einer Liste von VMware Transit Connect-Routen, die von einem Mitglied-SDDC erlernt und angekündigt werden, öffnen Sie die Registerkarte Netzwerk und Sicherheit des SDDCs und klicken auf Transit Connect. Weitere Informationen finden Sie unter Anzeigen von über VMware Transit Connect erlernten und angekündigten Routen im VMware Cloud on AWS – Netzwerk und Sicherheit-Handbuch.

Um die von allen SDDCs in der Gruppe erlernten und angekündigten Routen anzeigen zu können, klicken Sie auf die Registerkarte Routing. Sie können die Dropdown-Steuerelemente verwenden. Wählen Sie Extern, um Routen zwischen Mitgliedern anzuzeigen, oder Mitglieder, um Routen zwischen Mitgliedern und externen Endpoints wie VPCs oder Direct Connect-Gateways anzuzeigen. Externe Routen übertragen Datenverkehr, der von einem externen Endpoint wie einer VPC oder DXGW stammt, zu einem SDDC-Gruppenmitglied. Mitglieder-Routen übertragen Datenverkehr, der von einem Mitglieds-SDDC stammt, und umfassen SDDC-Gruppenmitglieder und externe Endpoints.

SDDCs in der Gruppe lernen Routen zu den Netzwerken, die von anderen SDDCs in der Gruppe angekündigt werden, und denen, die über das DXGW der Gruppe bekannt gegeben werden. Sie lernen auch die CIDRs für alle VPCs, die mit der Gruppe verbunden sind. Da AWS ein Limit von 20 Präfixen vorschreibt, die von einem DXGW an einen externen Endpoint wie ein lokales SDDC angekündigt werden können, müssen die CIDR-Blockpräfixe aller SDDC-Gruppenmitglieder innerhalb eines Bereichs liegen, der ohne Überschreitung des Limits zusammengefasst werden kann.

VMware Transit Connect setzt mehrere Routingrichtlinienregeln durch:
  • Datenverkehr, der von Mitglieds-SDDCs stammt, kann an andere Mitglieds-SDDCs sowie an VPCs und Direct Connect-Gateways weitergeleitet werden, die der Gruppe zugeordnet sind.
  • Datenverkehr, der von VPCs oder Direct Connect-Gateways stammt, die an die Gruppe angeschlossen sind, kann nur an SDDCs in der Gruppe weitergeleitet werden.
  • Der Datenverkehr zwischen VPCs oder zwischen einer VPC und dem Direct Connect-Gateway ist blockiert.
Hinweis:
Wenn ein SDDC Mitglied einer SDDC-Gruppe wird, ändern sich mehrere Aspekte des vorhandenen SDDC-Netzwerks:
  • Routen, die von einem routenbasierten VPN angekündigt werden, werden gegenüber Routen bevorzugt, die von VMware Transit Connect oder DXGW angekündigt werden. Allerdings wird der ausgehende Datenverkehr von Hosts zu Zielen außerhalb des SDDC-Netzwerks unabhängig von anderen Routing-Konfigurationen im SDDC an die VTGW oder private VIF geroutet. Dies umfasst unter anderem den Datenverkehr von vMotion und vSphere Replication. Sie müssen sicherstellen, dass eingehender Datenverkehr zu ESXi-Hosts auch über die DXGW-Schnittstelle geleitet wird, damit die eingehenden und ausgehenden Datenverkehrspfade symmetrisch sind.
  • Wenn dieselbe Route über VTGW und DX angekündigt wird, wird der VTGW-Pfad bevorzugt. Dies umfasst Routen von einem DXGW, das mit VTGW verbunden ist.
  • Die maximale MTU für den Intranetverkehr zwischen Gruppenmitgliedern ist auf 8.500 Byte begrenzt. Für den internen Datenverkehr des SDDC oder über DX kann weiterhin eine MTU von bis zu 8.900 Byte verwendet werden. Siehe Erstellen einer privaten virtuellen Schnittstelle für den Datenverkehr des SDDC-Verwaltungs- und Computing-Netzwerks im Handbuch VMware Cloud on AWS – Netzwerk und Sicherheit.