Un gruppo di distribuzione SDDC utilizza VMware Transit Connect per fornire connessioni a larghezza di banda elevata e bassa latenza tra gli SDDC del gruppo. Un gruppo di SDDC può includere i VPC di cui si è proprietari. È inoltre possibile aggiungere un gateway di AWS Direct Connect (DXGW) per fornire la connettività tra i membri del gruppo e gli SDDC in locale.

Un gruppo di distribuzione SDDC (Gruppo di SDDC) è un'entità logica progettata per semplificare la gestione delle risorse di VMware Cloud on AWS dell'organizzazione su larga scala. La raccolta di SDDC in un Gruppo di SDDC fornisce una serie di vantaggi a un'organizzazione con diversi SDDC i cui carichi di lavoro richiedono una connessione a larghezza di banda elevata e a bassa latenza tra loro. Tutto il traffico di rete tra i membri del gruppo viaggia su una rete VMware Transit Connect. Il routing tra le reti di elaborazione di tutti gli SDDC di un gruppo viene gestito automaticamente da VMware Transit Connect man mano che si aggiungono ed eliminano le subnet. È possibile controllare il traffico di rete tra carichi di lavoro dei membri del gruppo per mezzo di regole del firewall del gateway di elaborazione.

Qualsiasi membro dell'organizzazione che disponga di un ruolo di servizio VMC di Amministratore o Amministratore (Eliminazione soggetta a restrizioni) può creare o modificare un Gruppo di SDDC.

Iscrizione a gruppi

I gruppi di SDDC sono un oggetto a livello di organizzazione. Un gruppo di SDDC non può contenere SDDC di più organizzazioni. un gruppo di SDDC può includere membri di un massimo di tre regioni di AWS. un SDDC deve soddisfare diversi criteri per poter iscriversi al gruppo:
  • Il blocco CIDR della rete di gestione non può sovrapporsi al blocco CIDR di gestione di qualsiasi altro membro del gruppo.
  • Non può essere membro di un altro gruppo di SDDC.
Anche se è possibile creare un gruppo con un singolo membro, le applicazioni più pratiche dei Gruppi di SDDC richiedono due o più membri.
Nota:

La Modalità collegata ibrida su una connessione VPN non è compatibile con i gruppi di SDDC. Se si aggiunge un SDDC configurato per l'utilizzo della Modalità collegata ibrida su una connessione VPN, la connessione non riuscirà e non sarà possibile utilizzare la Modalità collegata ibrida con tale SDDC. La Modalità collegata ibrida su una connessione DX non viene influenzata quando un SDDC viene aggiunto a un gruppo.

Connettività interna del gruppo tramite VMware Transit Connect

La connettività peer tra i membri del gruppo di SDDC richiede un VMware Managed Transit Gateway (VTGW). Si tratta di una risorsa AWS di proprietà e gestita da VMware. L'aggiunta del primo membro a un Gruppo di SDDC crea una di queste risorse e la assegna al gruppo. La creazione e il funzionamento di un VTGW richiede addebiti aggiuntivi a carico di VMware Cloud on AWS. Quando un gruppo conta membri in diverse regioni, in ciascuna regione viene creato un VTGW.

Figura 1. VMware Transit Connect connette gli SDDC del gruppo tra loro
Diagramma di un gruppo di SDDC con due SDDC connessi tramite VTGW.

I membri possono essere aggiunti e rimossi da un gruppo in base alle esigenze. Non è possibile rimuovere un gruppo finché tutti i membri non vengono rimossi. La rimozione del gruppo comporta anche l'eliminazione di VMware Managed Transit Gateway del gruppo.

Collegamento di un VPC a un gruppo di SDDC

Il collegamento di un VPC a un gruppo di SDDC semplifica le connessioni di rete tra SDDC del gruppo e i servizi AWS eseguiti in tale VPC. Utilizzare Console di VMware Cloud per rendere VTGW (una risorsa AWS) disponibile per la condivisione, quindi utilizzare la console di AWS per accettare la risorsa condivisa e associarla ai VPC che si desidera collegare al Gruppo di SDDC. Le connessioni VTGW ai VPC collegati non si estendono alle regioni di un gruppo multi-regione.

Figura 2. Utilizzo di VMware Transit Connect per collegare un VPC a un Gruppo di SDDC
Diagramma di un gruppo di SDDC con due SDDC e un VPC AWS connessi tramite vTGW

Connettività di gruppi esterni tramite il gateway di AWS Direct Connect

Per fornire connettività di rete tra il gruppo e gli endpoint esterni, come ad esempio gli SDDC in locale, associare un gateway di AWS Direct Connect (DXGW) al VMware Managed Transit Gateway creato per il gruppo. A differenza della configurazione Direct Connect (DX), che è possibile utilizzare per connettere l'SDDC in locale a un SDDC VMware Cloud on AWS autonomo, il DXGW associato al VTGW fornisce la connettività a livello di DX a tutti i membri del gruppo di SDDC.

Figura 3. Un gateway di AWS Direct Connect connette il gruppo di SDDC agli SDDC in locale
Diagramma che mostra un gateway di AWS Direct Connect che fornisce le connessioni tra un gruppo di SDDC e un SDDC in locale.

Raggruppamento di SDDC di più regioni

Un gruppo di SDDC multi-regione fornisce gli stessi tipi di connettività di un gruppo di SDDC a regione singola, incluse le connessioni ai VPC e ai data center in locale, sebbene le connessioni ai VPC non si estendano alle regioni. Quando un gruppo conta membri in diverse regioni, la creazione del gruppo esegue il provisioning di un VTGW in ciascuna delle regioni e lo connette ai membri del gruppo presenti nella regione. Il VTGW viene abbinato con gli altri VTGW del gruppo per fornire un singolo spazio di indirizzamento IP che includa tutti i membri del gruppo. Le associazioni di VPC a un gruppo sono valide solo all'interno della regione occupata dal VPC. I membri del gruppo di SDDC che si trovano in altre regioni non possono accedere al VPC tramite il VTGW
Figura 4. Gruppo di SDDC multi-regione
Diagramma che mostra due SDDC in regioni diverse. I rispettivi VTGW sono connessi tra loro, oltre che a un gateway DX connesso a un data center locale.

Routing e peering

I membri del gruppo di SDDC annunciano i propri segmenti di rete locale, che vengono aggiunti alle tabelle di routing del router di Livello 0 dell'SDDC e del VTGW del gruppo. Per visualizzare o scaricare un elenco di route di VMware Transit Connect acquisite e annunciate da un SDDC membro, aprire NSX Manager o la scheda Rete e sicurezza legacy e fare clic su Transit Connect. Vedere Visualizzazione delle route acquisite e annunciate tramite VMware Transit Connect. Il peering tra le istanze di VTGW è supportato all'interno della stessa regione o tra regioni diverse.

Per visualizzare le route acquisite e annunciate da tutti gli SDDC del gruppo, fare clic sulla scheda Routing. È possibile utilizzare il controllo a discesa. Selezionare Esterna per visualizzare le route tra i membri o i Membri per visualizzare le route tra i membri e gli endpoint esterni, come i VPC o i gateway di Direct Connect. Le route esterne trasportano il traffico proveniente da un endpoint esterno, come un VPC o DXGW, a un membro del gruppo di SDDC. Le route membri trasportano il traffico proveniente da un SDDC membro e includono membri del gruppo di SDDC ed endpoint esterni.

Gli SDDC nel gruppo acquisiscono le route verso le reti annunciate da altri SDDC del gruppo e quelle annunciate sul DXGW del gruppo. Acquisiscono inoltre i CIDR per tutti i VPC collegati al gruppo. Poiché AWS impone un limite di 20 prefissi che possono essere annunciati da un DXGW a un endpoint esterno come un SDDC in locale, i prefissi di blocco CIDR di tutti i membri del gruppo di SDDC devono rientrare in un intervallo che è possibile riepilogare senza superare il limite.

VMware Transit Connect impone diversi criteri di routing:
  • Il traffico proveniente dagli SDDC del membro può essere instradato verso altri SDDC del membro, nonché verso VPC e gateway di Direct Connect collegati al gruppo nella stessa regione dell'SDDC di origine.
  • Il traffico proveniente da VPC o dal gateway di Direct Connect collegati al gruppo può essere instradato solo verso SDDC del gruppo che si trovano nella stessa regione dell'SDDC di origine.
  • Il traffico tra VPC o tra un VPC e il gateway di Direct Connect viene bloccato.
Nota:
Quando un SDDC diventa membro di un gruppo di SDDC, diversi aspetti della rete dell'SDDC esistente cambiano:
  • Le route annunciate da una VPN basata su route sono preferibili rispetto a quelle annunciate da VMware Transit Connect o da un DXGW. Tuttavia, tutto il traffico in uscita dagli host alle destinazioni esterne alla rete dell'SDDC viene instradato verso il VTGW o la VIF privata, indipendentemente dalle altre configurazioni di routing nell'SDDC. Ciò include il traffico di vMotion e vSphere Replication. È necessario assicurarsi che anche il traffico in entrata verso gli host ESXi sia instradato tramite l'interfaccia DXGW, in modo che i percorsi del traffico in entrata e in uscita siano simmetrici.
  • Se la stessa route viene annunciata tramite VTGW e DX, è preferibile il percorso di VTGW. Ciò comprende le route di un DXGW connesso al VTGW.
  • La MTU massima per il traffico Intranet tra membri del gruppo è limitata a 8500 byte. È ancora possibile utilizzare una MTU di fino a 8900 byte per il traffico interno all'SDDC o su DX. Vedere Creazione di un'interfaccia virtuale privata per il traffico di rete di gestione ed elaborazione SDDC.