Eine SDDC-Bereitstellungsgruppe verwendet VMware Transit Connect, um Verbindungen mit hoher Bandbreite und geringen Latenzen zwischen SDDCs in der Gruppe und anderen VPCs in derselben Region zu ermöglichen. Sie können auch ein Direct Connect-Gateway (DXGW) hinzufügen, um eine zentralisierte Konnektivität zu Ihren lokalen SDDCs zu ermöglichen.

Eine SDDC-Bereitstellungsgruppe (SDDC-Gruppe) ist ein logisches Element, das für die Vereinfachung der Verwaltung der VMware Cloud on AWS-Ressourcen Ihrer Organisation in unterschiedlicher Skalierung ausgelegt ist. Das Zusammenfassen von SDDCs in einer SDDC-Gruppe bietet eine Reihe von Vorteilen für eine Organisation mit mehreren SDDCs, deren Arbeitslasten eine Verbindung mit hoher Bandbreite und geringen Latenzen zueinander benötigen. Der gesamte Netzwerkdatenverkehr zwischen Gruppenmitgliedern läuft über ein VMware Transit Connect-Netzwerk. Das Routing zwischen Computing-Netzwerken aller SDDCs in einer Gruppe wird automatisch durch VMware Transit Connect verwaltet, da Subnetze hinzugefügt und gelöscht werden. Sie steuern den Netzwerkdatenverkehr zwischen Arbeitslasten von Gruppenmitgliedern mit Firewallregeln für das Computing-Gateway.

Jedes Organisationsmitglied, das über eine VMC-Dienstrolle Administrator oder Administrator (Löschen eingeschränkt) verfügt, kann eine SDDC-Gruppe erstellen oder bearbeiten.

Gruppenmitgliedschaft

SDDC-Gruppen sind ein Objekt auf Organisationsebene. Eine SDDC-Gruppe kann keine SDDCs von mehr als einer Organisation enthalten. Ein SDDC muss mehrere Kriterien erfüllen, damit es für die Gruppenmitgliedschaft berechtigt ist:
  • Er muss sich in derselben AWS-Region wie die anderen Gruppenmitglieder befinden.
  • Der CIDR-Block seines Verwaltungsnetzwerks darf sich mit dem Verwaltungs-CIDR-Block keines anderen Gruppenmitglieds überlappen.
  • Es kann kein Mitglied einer anderen SDDC-Bereitstellungsgruppe sein.
  • Es muss die SDDC-Version 1.11 oder höher aufweisen.
Obwohl Sie eine Gruppe mit einem einzelnen Mitglied erstellen können, benötigen die meisten praktischen Anwendungen von SDDC-Gruppen zwei oder mehr Mitglieder.
Hinweis:

Der Hybrid Linked Mode über eine VPN-Verbindung ist mit SDDC-Gruppen nicht kompatibel. Wenn Sie ein SDDC hinzufügen, das Sie für die Verwendung des Hybrid Linke Mode über eine VPN-Verbindung konfiguriert haben, schlägt die Verbindung fehl, und Sie können den Hybrid Linked Mode nicht mit diesem SDDC verwenden. Der Hybrid Linked Mode über eine DX-Verbindung ist nicht betroffen, wenn ein SDDC einer Gruppe hinzugefügt wird.

Interne Gruppenkonnektivität mithilfe von VMware Transit Connect

Die Gruppenkonnektivität zwischen den-SDDC-Gruppenmitgliedern erfordert einen VMware Managed Transit Gateway (VTGW). Es handelt sich hierbei um eine VMware-eigene und von VMware verwaltete AWS-Ressource. Durch Hinzufügen des ersten Mitglieds zu einer-SDDC-Gruppe wird eine dieser Ressourcen erstellt und dieses der Gruppe zugewiesen. Bei Erstellung und Betrieb eines VTGW werden auf Ihrer VMware Cloud on AWS-Rechnung zusätzliche Gebühren abgerechnet.

Abbildung 1. VMware Transit Connect verbindet SDDCs in der Gruppe miteinander
Diagramm einer SDDC-Gruppe mit zwei SDDCs, die über das vTGW verbunden sind

Mitglieder können nach Bedarf zu einer Gruppe hinzugefügt und aus einer Gruppe entfernt werden. Sie können eine Gruppe erst entfernen, wenn alle Benutzer entfernt wurden. Durch das Entfernen der Gruppe wird auch das VMware Managed Transit Gateway der Gruppe vernichtet.

Anhängen einer VPC an eine SDDC-Gruppe

Durch das Anhängen einer VPC an eine SDDC-Gruppe werden Netzwerkverbindungen zwischen SDDCs in der Gruppe und AWS-Diensten, die in dieser VPC ausgeführt werden, vereinfacht. Sie verwenden die VMC Console, um das VTGW (eine AWS-Ressource) für die Freigabe zur Verfügung zu stellen, und verwenden dann die AWS-Konsole, um die gemeinsam genutzte Ressource zu akzeptieren und sie mit den VPCs zu verknüpfen, die Sie an die SDDC-Gruppe anhängen möchten.

Abbildung 2. Anhängen einer VPC an eine SDDC-Gruppe mithilfe von VMware Transit Connect
Diagramm einer SDDC-Gruppe mit zwei SDDCs und einer AWS-VPC, die über das vTGW verbunden sind

Externe Gruppenkonnektivität mithilfe des AWS Direct Connect-Gateways

Um Netzwerkkonnektivität zwischen der Gruppe und externen Endpoints wie z. B. lokalen SDDCs bereitzustellen, verknüpfen Sie ein AWS Direct Connect-Gateway mit dem VMware Managed Transit Gateway, das für die Gruppe erstellt wurde. Anders als bei der Direct Connect-Konfiguration (DX), die Sie zum Verbinden Ihres lokalen SDDCs mit einem eigenständigen VMware Cloud on AWS-SDDC verwenden können, bietet das Direct Connect-Gateway, das Sie mit dem VTGW verknüpfen, eine Konnektivität auf DX-Ebene zu allen SDDC-Gruppenmitgliedern.

Abbildung 3. Ein AWS Direct Connect-Gateway verbindet die SDDC-Gruppe mit lokalen SDDCs
Diagramm, das ein AWS Direct Connect-Gateway zeigt, das Verbindungen zwischen einer SDDC-Gruppe und einem lokalen SDDC bereitstellt

Routing und Peering

Computing-Netzwerke in allen Gruppenmitgliedern verwenden die VMware Transit Connect-Routentabelle. Von dieser Tabelle abgeleitete Routen werden der Routentabelle des Tier-0-Routers des SDDCs hinzugefügt. Zum Anzeigen oder Herunterladen einer Liste von VMware Transit Connect-Routen, die von einem Mitglied-SDDC erlernt und angekündigt werden, öffnen Sie die Registerkarte Netzwerk und Sicherheit des SDDCs und klicken auf Transit Connect. Weitere Informationen finden Sie unter Anzeigen von über VMware Transit Connect erlernten und angekündigten Routen im VMware Cloud on AWS – Netzwerk und Sicherheit-Handbuch.

SDDCs in der Gruppe erlernen Routen zu den Netzwerken, die von anderen SDDCs und VPCs in der Gruppe angekündigt wurden, und zu den Netzwerken, die über das Direct Connect-Gateway der Gruppe angekündigt wurden. Da AWS einen Grenzwert von 20 Präfixen vorschreibt, der von einem Direct Connect-Gateway zu einem externen Endpoint wie einem lokalen SDDC angekündigt werden kann, müssen die Präfixe der CIDR-Blöcke aller SDDC-Gruppenmitglieder innerhalb eines Zeitraums liegen, der so zusammengefasst werden kann, dass er diesen Grenzwert nicht überschreitet.

VMware Transit Connect setzt mehrere Routingrichtlinienregeln durch:
  • Datenverkehr, der von SDDCs stammt, kann zu anderen SDDCs sowie zu VPCs und Direct Connect-Gateways weitergeleitet werden, die mit der Gruppe verbunden sind.
  • Datenverkehr, der von VPCs oder Direct Connect-Gateways stammt, die an die Gruppe angeschlossen sind, kann nur an SDDCs in der Gruppe weitergeleitet werden.
  • Der Datenverkehr zwischen VPCs oder zwischen einer VPC und dem Direct Connect-Gateway ist blockiert.
Hinweis:
Wenn Sie ein SDDC mit VMware Transit Connect oder einem Direct Connect-Gateway verbinden, ändern sich verschiedene Aspekte des bestehenden SDDC-Netzwerks:
  • Über ein routenbasiertes VPN angekündigte Routen werden vor Routen bevorzugt, die von VMware Transit Connect oder einem Direct Connect-Gateway angekündigt werden.
  • Die Verwendung eines routenbasierten VPN als Backup für Direct Connect wird nicht unterstützt, wenn Ihre SDDC-Gruppe ein Direct Connect-Gateway enthält. Um diese Konfiguration in Ihrem SDDC zu deaktivieren, wählen Sie Netzwerk und Sicherheit > Direct Connect aus und setzen Sie den Schalter VPN als Backup für Direct Connect verwenden auf Deaktiviert.
  • Die Größe der Jumbo-MTU ist auf 8500 Byte reduziert. Weitere Informationen dazu, wie Sie diesen Wert für Ihr SDDC aktualisieren, finden Sie unterErstellen einer privaten virtuellen Schnittstelle für den Datenverkehr des SDDC-Verwaltungs- und Computing-Netzwerks im VMware Cloud on AWS – Netzwerk und Sicherheit-Handbuch.