Un groupe de déploiement de SDDC utilise VMware Transit Connect pour fournir des connexions à bande passante élevée et à faible latence entre les SDDC du groupe. Un groupe de SDDC peut inclure des VPC que vous possédez. Vous pouvez également ajouter une passerelle AWS Direct Connect Gateway (DXGW) pour fournir la connectivité entre les membres du groupe et vos SDDC sur site.

Un groupe de déploiement de SDDC (groupe de SDDC) est une entité logique conçue pour simplifier la gestion des ressources VMware Cloud on AWS de votre organisation à grande échelle. La collecte de SDDC dans un groupe de SDDC offre un certain nombre d'avantages dans une organisation à plusieurs SDDC dont les charges de travail ont besoin d'une connexion à bande passante élevée et à faible latence entre elles. Tout le trafic réseau entre les membres du groupe est acheminé sur un réseau VMware Transit Connect. Le routage entre les réseaux de calcul de tous les SDDC d'un groupe est géré automatiquement par VMware Transit Connect lorsque des sous-réseaux sont ajoutés et supprimés. Vous contrôlez le trafic réseau entre les charges de travail des membres du groupe avec les règles de pare-feu de la passerelle de calcul.

Tous les membres de l'organisation disposant d'un rôle de service VMC Administrateur ou Administrateur (suppression restreinte) peuvent créer ou modifier un groupe de SDDC.

Appartenance au groupe

Les groupes de SDDC sont un objet au niveau de l'organisation. Un groupe de SDDC ne peut pas contenir de SDDC provenant de plusieurs organisations. Un groupe de SDDC peut inclure des membres de jusqu'à trois régions AWS. Un SDDC doit répondre à plusieurs critères pour pouvoir appartenir à un groupe :
  • Son bloc CIDR de réseau de gestion ne peut pas chevaucher le bloc CIDR de gestion d'un autre membre du groupe.
  • Il ne peut pas être membre d'un autre groupe de SDDC.
Bien que vous puissiez créer un groupe avec un seul membre, les applications pratiques des groupes de SDDC requièrent au moins deux membres.
Note :

Hybrid Linked Mode sur une connexion VPN est incompatible avec les groupes de SDDC. Si vous ajoutez un SDDC que vous avez configuré pour utiliser Hybrid Linked Mode sur une connexion VPN, la connexion échoue et vous ne pourrez pas utiliser Hybrid Linked Mode avec ce SDDC. Le mode Hybrid Linked Mode sur une connexion DX n'est pas affecté lorsqu'un SDDC est ajouté à un groupe.

Connectivité des groupes internes avec VMware Transit Connect

La connectivité des homologues entre les membres d'un groupe de SDDC nécessite une passerelle Passerelle de transit gérée par VMware (VTGW). Il s'agit d'une ressource AWS possédée et gérée par VMware. L'ajout d'un premier membre à un groupe de SDDC crée l'une de ces ressources et l'attribue au groupe. La création et le fonctionnement d'une passerelle VTGW impliquent des frais supplémentaires sur votre facture VMware Cloud on AWS. Lorsqu'un groupe a des membres dans plusieurs régions, une passerelle VTGW est créée dans chacune de ces régions.

Figure 1. VMware Transit Connect interconnecte les SDDC dans le groupe
Diagramme d'un groupe de SDDC avec deux SDDC connectés via VTGW.

Les membres peuvent être ajoutés et supprimés d'un groupe selon vos besoins. Vous ne pouvez pas supprimer un groupe tant que tous ses membres n'ont pas été supprimés. La suppression du groupe détruit également la passerelle Passerelle de transit gérée par VMware du groupe.

Attachement d'un VPC à un groupe de SDDC

L'attachement d'un VPC à un groupe de SDDC simplifie les connexions réseau entre les SDDC de ce groupe et les services AWS qui s'exécutent dans ce VPC. Vous devez utiliser la Console VMware Cloud pour rendre la passerelle VTGW (une ressource AWS) disponible pour le partage, puis utiliser la console AWS pour accepter la ressource partagée et l'associer aux VPC que vous souhaitez attacher au groupe de SDDC. Les connexions de la passerelle VTGW aux VPC associés ne couvrent pas plusieurs régions d'un groupe à plusieurs régions.

Figure 2. Utilisation de VMware Transit Connect pour attacher un VPC à un groupe de SDDC
Diagramme d'un groupe de SDDC avec deux SDDC et un VPC AWS connectés via la passerelle vTGW

Connectivité des groupes externes à l'aide de la passerelle AWS Direct Connect

Pour fournir la connectivité réseau entre le groupe et les points de terminaison externes, tels que les SDDC sur site, associez une passerelle AWS Direct Connect Gateway (DXGW) à la passerelle Passerelle de transit gérée par VMware créée pour le groupe. Contrairement à la configuration de Direct Connect (DX), que vous pouvez utiliser pour connecter votre SDDC sur site à un SDDC VMware Cloud on AWS autonome, la passerelle DXGW que vous associez à la passerelle VTGW fournit une connectivité de niveau DX à tous les membres du groupe de SDDC.

Figure 3. Une passerelle AWS Direct Connect connecte le groupe de SDDC aux SDDC sur site
Diagramme présentant une passerelle AWS Direct Connect fournissant des connexions entre un groupe de SDDC et un SDDC sur site.

Grouper les SDDC de plusieurs régions

Un groupe de SDDC à plusieurs régions fournit les mêmes types de connectivité qu'un groupe de SDDC à région unique, notamment les connexions aux VPC et aux centres de données sur site, bien que les connexions aux VPC ne couvrent pas plusieurs régions. Lorsqu'un groupe comporte des membres dans plusieurs régions, la création du groupe provisionne une VTGW dans chacune de ces régions et le connecte aux membres du groupe de cette région. Cette passerelle VTGW fonctionne en mode homologue avec d'autres passerelles VTGW du groupe pour fournir un espace d'adresses IP unique qui inclut tous les membres du groupe. Les associations de VPC à un groupe ne sont valides que dans la région occupée par le VPC. Les membres du groupe de SDDC d'autres régions ne peuvent pas accéder au VPC sur la passerelle VTGW
Figure 4. Groupe de SDDC à plusieurs régions
Diagramme affichant deux SDDC dans des régions différentes. Leurs VTGW sont connectées les unes aux autres, et à une passerelle DX connectée à un centre de données sur site.

Routage et homologation

Les membres du groupe de SDDC annoncent leurs segments de réseau local, qui sont ajoutés aux tables de routage du routeur de niveau 0 du SDDC et à la passerelle VTGW du groupe. Pour afficher ou télécharger une liste de routes VMware Transit Connect apprises et annoncées par un SDDC membre, ouvrez NSX Manager ou l'onglet Mise en réseau et sécurité hérité, puis cliquez sur Transit Connect. Voir Afficher les routes apprises et annoncées sur VMware Transit Connect. L'homologation entre les instances de VTGW est prise en charge dans la même région ou entre différentes régions.

Pour afficher les routes apprises et annoncées par tous les SDDC du groupe, cliquez sur l'onglet Routage. Vous pouvez utiliser le contrôle déroulant. Sélectionnez Externe pour afficher les routes entre les membres ou Membres pour afficher les routes entre les membres et les points de terminaison externes tels que des VPC ou des passerelles Direct Connect. Les routes Externe transportent le trafic provenant d'un point de terminaison externe comme un VPC ou une passerelle DXGW vers un membre du groupe de SDDC. Les routes Membres transportent le trafic provenant d'un SDDC membre et incluent les membres du groupe de SDDC et les points de terminaison externes.

Les SDDC du groupe apprennent les routes aux réseaux annoncés par d'autres SDDC du groupe et celles annoncées sur la passerelle DXGW du groupe. Ils apprennent également les CIDR de tout VPC associé au groupe. Comme AWS impose une limite de 20 préfixes pouvant être annoncés par une passerelle DXGW à un point de terminaison externe comme un SDDC sur site, les préfixes des blocs CIDR de tous les membres du groupe de SDDC doivent se trouver dans une plage qui peut être résumée sans dépasser cette limite.

VMware Transit Connect applique plusieurs stratégies de routage :
  • Le trafic provenant des SDDC membres peut être routé vers d'autres SDDC membres, ainsi que vers les VPC et les passerelles Direct Connect associés au groupe dans la même région que le SDDC d'origine.
  • Le trafic provenant des VPC ou des passerelles Direct Connect associés au groupe peut être routé uniquement vers les SDDC du groupe qui se trouvent dans la même région que le SDDC d'origine.
  • Le trafic entre les VPC ou entre un VPC et la passerelle Direct Connect est bloqué.
Note :
Lorsqu'un SDDC devient membre d'un groupe de SDDC, plusieurs aspects de la mise en réseau du SDDC existante changent :
  • Les routes annoncées par un VPN basé sur les routes sont préférées aux routes annoncées par la passerelle VMware Transit Connect ou une passerelle DXGW. Toutefois, tout le trafic issu des hôtes vers des destinations extérieures au réseau de SDDC est routé vers la passerelle VTGW ou le VIF privé, quelles que soient les autres configurations de routage du SDDC. Cela inclut le trafic vMotion et vSphere Replication. Vous devez vous assurer que le trafic entrant vers les hôtes ESXi est également acheminé sur l'interface DXGW afin que les chemins du trafic entrant et sortant soient symétriques.
  • Si la même route est annoncée sur la passerelle VTGW et DX, le chemin VTGW est préféré. Cela inclut des routes à partir d'une passerelle DXGW connectée à la passerelle VTGW.
  • Le MTU maximal du trafic Intranet entre les membres du groupe est limité à 8 500 octets. Un MTU d'un maximum de 8 900 octets peut toujours être utilisé pour le trafic interne vers le SDDC ou sur DX. Reportez-vous à la section Créer une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC.