Un grupo de implementación de SDDC utiliza VMware Transit Connect para proporcionar conexiones de ancho de banda alto y latencia baja entre los SDDC del grupo y con otras VPC de la misma región. También puede agregar una puerta de enlace de Direct Connect (DXGW) para proporcionar conectividad centralizada con los SDDC locales.

Un grupo de implementación de SDDC (grupo de SDDC) es una entidad lógica diseñada para simplificar la administración de los recursos de VMware Cloud on AWS de la organización a escala. La recopilación de SDDC en un grupo de SDDC proporciona una serie de beneficios a una organización con varios SDDC cuyas cargas de trabajo necesitan una conexión de ancho de banda alto y latencia baja entre sí. Todo el tráfico de red entre los miembros del grupo se transmite a través de una red de VMware Transit Connect. El enrutamiento entre las redes informáticas de todos los SDDC de un grupo se administra automáticamente mediante la VMware Transit Connect a medida que se agregan y se eliminan subredes. Controle el tráfico de red entre las cargas de trabajo de los miembros del grupo con reglas de firewall de puerta de enlace informática.

Cualquier miembro de la organización que tenga la función de servicio de VMC de administrador o administrador (eliminación restringida) puede crear o modificar un grupo de SDDC.

Pertenencia a un grupo

Los grupos de SDDC son un objeto de nivel de organización. Un grupo de SDDC no puede contener SDDC para más de una organización. Un SDDC debe cumplir con varios criterios para poder ser apto para la pertenencia a un grupo:
  • Debe estar en la misma región de AWS que otros miembros del grupo.
  • Su bloque CIDR de red de administración no puede superponerse con el bloque CIDR de administración de ningún otro miembro del grupo.
  • No puede ser miembro de otro grupo de SDDC.
  • La versión del SDDC debe ser 1.11 o posterior.
Si bien es posible crear un grupo con un solo miembro, la mayoría de las aplicaciones prácticas de los grupos de SDDC requieren dos o más miembros.
Nota:

Hybrid Linked Mode a través de una conexión VPN es incompatible con los grupos de SDDC. Si agrega un SDDC que configuró para usar Hybrid Linked Mode a través de una conexión VPN, se producirá un error en la conexión y no podrá usar Hybrid Linked Mode con ese SDDC. Hybrid Linked Mode a través de una conexión de DX no se ve afectado cuando se agrega un SDDC a un grupo.

Conectividad interna del grupo mediante la VMware Transit Connect

La conectividad del mismo nivel entre los miembros de un grupo de SDDC requiere una Puerta de enlace de tránsito administrada por VMware (VTGW). Se trata de un recurso de AWS que VMware posee y administra. Al agregar el primer miembro a un grupo de SDDC, se crea uno de estos recursos y se lo asigna al grupo. La creación y la operación de una VTGW genera cargos adicionales en la factura de VMware Cloud on AWS.

Figura 1. Una VMware Transit Connect conecta los SDDC del grupo entre sí
Diagrama de un grupo de SDDC con dos SDDC conectados a través de una vTGW

Los miembros se pueden agregar y eliminar de un grupo según sea necesario. No se puede eliminar un grupo hasta que se quiten todos los miembros. Si se elimina el grupo, también se destruye la Puerta de enlace de tránsito administrada por VMware del grupo.

Adjuntar una VPC a un grupo de SDDC

Al adjuntar una VPC a un grupo de SDDC, se simplifican las conexiones de red entre los SDDC del grupo y los servicios de AWS que se ejecutan en esa VPC. Use la Consola de VMC para que la VTGW (un recurso de AWS) esté disponible para compartir y, a continuación, utilice la consola de AWS para aceptar el recurso compartido y asociarlo con las VPC que desea adjuntar al grupo de SDDC.

Figura 2. Usar la VMware Transit Connect para adjuntar una VPC a un grupo de SDDC
Diagrama de un grupo de SDDC con dos SDDC y una VPC de AWS conectada a través de una vTGW

Conectividad externa del grupo mediante una puerta de enlace de AWS Direct Connect

Para proporcionar conectividad de red entre el grupo y los endpoints externos, como SDDC locales, asocie una puerta de enlace de AWS Direct Connect con la Puerta de enlace de tránsito administrada por VMware creada para el grupo. A diferencia de la configuración de Direct Connect (DX) que puede utilizar para conectar el SDDC local con un SDDC de VMware Cloud on AWS independiente, la puerta de enlace de Direct Connect que se asocia con la VTGW proporciona conectividad a nivel de DX con todos los miembros del grupo de SDDC.

Figura 3. Una puerta de enlace de AWS Direct Connect conecta el grupo de SDDC con SDDC locales
Diagrama que muestra una puerta de enlace de AWS Direct Connect que proporciona conexiones entre un grupo de SDDC y un SDDC local.

Enrutamiento y emparejamiento

Las redes informáticas de todos los miembros del grupo utilizan la tabla de rutas de la VMware Transit Connect. Las rutas aprendidas de esta tabla se agregan a la tabla de rutas del enrutador de nivel 0 del SDDC. Para ver o descargar una lista de rutas de la VMware Transit Connect aprendidas y anunciadas por un SDDC miembro, abra la pestaña Redes y seguridad del SDDC y haga clic en Transit Connect. Consulte Ver las rutas aprendidas y anunciadas por VMware Transit Connect en la guía de Redes y seguridad de VMware Cloud on AWS.

Los SDDC del grupo aprenden las rutas a las redes anunciadas por otros SDDC y VPC del grupo, y las que se anuncian a través de la puerta de enlace de Direct Connect del grupo. Debido a que AWS impone un límite de 20 prefijos que se pueden anunciar mediante una puerta de enlace de Direct Connect a un endpoint externo, como un SDDC local, los prefijos de bloque CIDR de todos los miembros del grupo de SDDC deben estar dentro de un rango que pueda resumirse de manera que no se supere el límite.

La VMware Transit Connect aplica varias directivas de enrutamiento:
  • El tráfico que se origina en los SDDC se puede enrutar a otros SDDC, así como a las VPC y a las puertas de enlace de Direct Connect adjuntas al grupo.
  • El tráfico que se origina en las VPC o las puertas de enlace de Direct Connect adjuntas al grupo solo se puede enrutar a los SDDC del grupo.
  • El tráfico entre varias VPC o entre una VPC y la puerta de enlace de Direct Connect está bloqueado.
Nota:
Cuando se conecta un SDDC a la VMware Transit Connect o a una puerta de enlace de Direct Connect, se modifican varios aspectos de las redes de SDDC existentes:
  • Las rutas anunciadas por una VPN basada en rutas se prefieren por sobre las rutas anunciadas por una VMware Transit Connect o una puerta de enlace de Direct Connect.
  • El uso de una VPN basada en rutas como una copia de seguridad de Direct Connect no se admite cuando el grupo de SDDC incluye una puerta de enlace de Direct Connect. Para deshabilitar esta configuración en el SDDC, seleccione Redes y seguridad > Direct Connect y establezca el interruptor Usar VPN como copia de seguridad de Direct Connect como Deshabilitado.
  • El tamaño de MTU gigante disminuye a 8500 bytes. Consulte Crear una interfaz virtual privada para la administración de SDDC y el tráfico de red informática en la guía de Redes y seguridad de VMware Cloud on AWS para obtener información sobre cómo actualizar este valor para el SDDC.