Un grupo de implementación de SDDC utiliza VMware Transit Connect para proporcionar conexiones con ancho de banda alto y latencia baja entre los SDDC del grupo. Un grupo de SDDC puede incluir las VPC que usted posee. También puede agregar una puerta de enlace de AWS Direct Connect (DXGW) para proporcionar conectividad entre los miembros del grupo y los SDDC locales.

Un grupo de implementación de SDDC (grupo de SDDC) es una entidad lógica diseñada para simplificar la administración de los recursos de VMware Cloud on AWS de la organización a escala. La recopilación de SDDC en un grupo de SDDC proporciona una serie de beneficios a una organización con varios SDDC cuyas cargas de trabajo necesitan una conexión de ancho de banda alto y latencia baja entre sí. Todo el tráfico de red entre los miembros del grupo se transmite a través de una red de VMware Transit Connect. El enrutamiento entre las redes informáticas de todos los SDDC de un grupo se administra automáticamente mediante la VMware Transit Connect a medida que se agregan y se eliminan subredes. Controle el tráfico de red entre las cargas de trabajo de los miembros del grupo con reglas de firewall de puerta de enlace informática.

Cualquier miembro de la organización que tenga la función de servicio de VMC de administrador o administrador (eliminación restringida) puede crear o modificar un grupo de SDDC.

Pertenencia a un grupo

Los grupos de SDDC son un objeto de nivel de organización. Un grupo de SDDC no puede contener SDDC para más de una organización. Un grupo de SDDC puede incluir miembros de hasta tres regiones de AWS. Un SDDC debe cumplir con varios criterios a fin de poder ser apto para la pertenencia a un grupo:
  • Su bloque CIDR de red de administración no puede superponerse con el bloque CIDR de administración de ningún otro miembro del grupo.
  • No puede ser miembro de otro grupo de SDDC.
Si bien es posible crear un grupo con un solo miembro, la mayoría de las aplicaciones prácticas de los grupos de SDDC requieren dos o más miembros.
Nota:

Hybrid Linked Mode a través de una conexión VPN es incompatible con los grupos de SDDC. Si agrega un SDDC que configuró para usar Hybrid Linked Mode a través de una conexión VPN, se producirá un error en la conexión y no podrá usar Hybrid Linked Mode con ese SDDC. Hybrid Linked Mode a través de una conexión de DX no se ve afectado cuando se agrega un SDDC a un grupo.

Conectividad interna del grupo mediante la VMware Transit Connect

La conectividad del mismo nivel entre los miembros de un grupo de SDDC requiere una Puerta de enlace de tránsito administrada por VMware (VTGW). Se trata de un recurso de AWS que VMware posee y administra. Al agregar el primer miembro a un grupo de SDDC, se crea uno de estos recursos y se lo asigna al grupo. La creación y la operación de una VTGW genera cargos adicionales en la factura de VMware Cloud on AWS. Cuando un grupo tiene miembros en más de una región, se crea una instancia de VTGW en cada una de esas regiones.

Figura 1. Una VMware Transit Connect conecta los SDDC del grupo entre sí
Diagrama de un grupo de SDDC con dos SDDC conectados a través de la VTGW.

Los miembros se pueden agregar y eliminar de un grupo según sea necesario. No se puede eliminar un grupo hasta que se quiten todos los miembros. Si se elimina el grupo, también se destruye la Puerta de enlace de tránsito administrada por VMware del grupo.

Adjuntar una VPC a un grupo de SDDC

Al adjuntar una VPC a un grupo de SDDC, se simplifican las conexiones de red entre los SDDC del grupo y los servicios de AWS que se ejecutan en esa VPC. Use la Consola de VMware Cloud para que la VTGW (un recurso de AWS) esté disponible para compartir y, a continuación, utilice la consola de AWS para aceptar el recurso compartido y asociarlo con las VPC que desea adjuntar al grupo de SDDC. Las conexiones de VTGW con las VPC adjuntas no abarcan regiones en un grupo de varias regiones.

Figura 2. Usar la VMware Transit Connect para adjuntar una VPC a un grupo de SDDC
Diagrama de un grupo de SDDC con dos SDDC y una VPC de AWS conectada a través de una vTGW

Conectividad externa del grupo mediante una puerta de enlace de AWS Direct Connect

Para proporcionar conectividad de red entre el grupo y los endpoints externos, como SDDC locales, asocie una puerta de enlace de AWS Direct Connect (DXGW) con la instancia de Puerta de enlace de tránsito administrada por VMware creada para el grupo. A diferencia de la configuración de Direct Connect (DX) que puede utilizar para conectar el SDDC local con un SDDC de VMware Cloud on AWS independiente, la DXGW que se asocia con VTGW proporciona conectividad a nivel de DX con todos los miembros del grupo de SDDC.

Figura 3. Una puerta de enlace de AWS Direct Connect conecta el grupo de SDDC con SDDC locales
Diagrama que muestra una puerta de enlace de AWS Direct Connect que proporciona conexiones entre un grupo de SDDC y un SDDC local.

SDDC de grupo de varias regiones

Un grupo de SDC de varias regiones proporciona los mismos tipos de conectividad que un grupo de SDDC de una sola región, incluidas las conexiones con las VPC y los centros de datos locales, aunque las conexiones con las VPC no abarcan regiones. Cuando un grupo tiene miembros en más de una región, la creación de grupos aprovisiona una instancia de VTGW en cada una de esas regiones y la conecta a los SDDC seleccionados en dicha región. Esta instancia de VTGW se empareja con las otras VTGW del grupo para proporcionar un espacio de direcciones IP único que incluya a todos los miembros del grupo. Las asociaciones de VPC con un grupo son válidas solo dentro de la región ocupada por la VPC. Los miembros del grupo de SDDC de otras regiones no pueden acceder a la VPC a través de la VTGW
Figura 4. Grupo de SDDC de varias regiones
Diagrama que muestra dos SDDC en diferentes regiones. Sus VTGW se conectan entre sí y a una puerta de enlace de DX conectada a un centro de datos local.

Enrutamiento y emparejamiento

Los miembros del grupo de SDDC anuncian sus segmentos de red locales, que se agregan a las tablas de rutas del enrutador de nivel 0 del SDDC y de la instancia de VTGW del grupo. Para ver o descargar una lista de rutas de la VMware Transit Connect aprendidas y anunciadas por un SDDC miembro, abra NSX Manager o la pestaña heredada Redes y seguridad y haga clic en Transit Connect. Consulte Ver las rutas aprendidas y anunciadas a través de VMware Transit Connect. Se admite el emparejamiento entre instancias de VTGW dentro de la misma región o entre regiones diferentes.

Para ver las rutas aprendidas y anunciadas por todos los SDDC del grupo, haga clic en la pestaña Enrutamiento. Puede utilizar el control desplegable. Seleccione Externo para ver las rutas entre los miembros o Miembros para ver las rutas entre los miembros y los endpoints externos, como las VPC o las puertas de enlace de Direct Connect. Las rutas que corresponden a Externo transportan el tráfico que se origina desde un endpoint externo, como una VPC o DXGW, hasta un miembro del grupo de SDDC. Las rutas que corresponden a Miembros transportan el tráfico que se origina en un SDDC miembro e incluyen miembros del grupo de SDDC y endpoints externos.

Los SDDC del grupo aprenden las rutas a las redes anunciadas por otros SDDC del grupo y las que se anuncian a través de la DXGW del grupo. También aprenden los CIDR de todas las VPC adjuntas al grupo. Debido a que AWS impone un límite de 20 prefijos que se pueden anunciar mediante una DXGW a un endpoint externo, como un SDDC local, los prefijos de bloque CIDR de todos los miembros del grupo de SDDC deben estar dentro de un rango que pueda resumirse sin superar ese límite.

La VMware Transit Connect aplica varias directivas de enrutamiento:
  • El tráfico que se origina en los SDDC miembro se puede enrutar a otros SDDC miembro, así como a las VPC y a las puertas de enlace de Direct Connect adjuntas al grupo en la misma región que el SDDC de origen.
  • El tráfico que se origina en las VPC o las puertas de enlace de Direct Connect asociadas al grupo solo se puede enrutar a los SDDC del grupo que se encuentran en la misma región que el SDDC de origen.
  • El tráfico entre varias VPC o entre una VPC y la puerta de enlace de Direct Connect está bloqueado.
Nota:
Cuando un SDDC se convierte en miembro de un grupo de SDDC, cambian varios aspectos de las redes de SDDC existentes:
  • Las rutas anunciadas por una VPN basada en rutas se prefieren por sobre las rutas anunciadas por una instancia de VMware Transit Connect o de DXGW. Sin embargo, todo el tráfico saliente de los hosts a destinos fuera de la red del SDDC se enruta a la instancia de VTGW o la VIF privada, independientemente de otras configuraciones de enrutamiento del SDDC. Esto incluye el tráfico de replicación de vMotion y de vSphere. Debe asegurarse de que el tráfico entrante a los hosts ESXi también se enrute a través de la interfaz de DXGW para que las rutas de tráfico entrante y saliente sean simétricas.
  • Si se anuncia la misma ruta a través de VTGW y DX, se prefiere la ruta de acceso de VTGW. Esto incluye rutas de una DXGW conectada a la VTGW.
  • La MTU máxima para el tráfico de intranet entre los miembros del grupo se limita a 8500 bytes. Aún se puede utilizar una MTU de hasta 8900 bytes para el tráfico interno al SDDC o a través de DX. Consulte Crear una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDC.