SDDC 展開グループは、VMware Transit Connect を使用して、グループ内の SDDC 間にバンド幅が大きく、遅延の小さい接続を提供します。SDDC グループには、所有する VPC を含めることができます。AWS Direct Connect Gateway (DXGW) を追加し、グループ メンバーとオンプレミス SDDC の間の接続を提供することもできます。
SDDC 展開グループ(SDDC グループ)は、組織の大規模な VMware Cloud on AWS リソースの管理を簡素化するために設計された論理エンティティです。組織に複数の SDDC があり、ワークロード間で広帯域、低遅延の接続が必要な場合、SDDC を 1 つの SDDC グループにまとめると、多くのメリットが得られます。グループ メンバー間のすべてのネットワーク トラフィックが VMware Transit Connect ネットワークを通過します。サブネットが追加または削除されると、グループ内にあるすべての SDDC のコンピューティング ネットワーク間のルーティングが VMware Transit Connect によって自動的に管理されます。グループ メンバーのワークロード間のネットワーク トラフィックは、コンピューティング ゲートウェイのファイアウォール ルールによって制御します。
[管理者] または [削除が制限された管理者] の VMC サービス ロールがあれば、どの組織のメンバーでも SDDC グループを作成したり、変更したりできます。
グループ メンバーシップ
- 管理ネットワークの CIDR ブロックは、他のグループ メンバーの管理 CIDR ブロックと重複することはできません。
- 別の SDDC グループのメンバーであってはなりません。
VPN 接続経由のハイブリッド リンク モードは、SDDC グループと互換性がありません。ハイブリッド リンク モードを VPN 接続経由で使用するように構成した SDDC を追加すると、接続が失敗し、その SDDC でハイブリッド リンク モードを使用できなくなります。SDDC がグループに追加された場合、DX 接続経由のハイブリッド リンク モードは影響を受けません。
VMware Transit Connect を使用した内部グループの接続
SDDC グループ メンバー間のピア接続には、VMware Managed Transit Gateway (VTGW) が必要です。これは、VMware が所有および管理している AWS リソースです。SDDC グループに最初のメンバーを追加すると、これらのリソースの 1 つが作成され、グループに割り当てられます。VTGW を作成および操作すると、VMware Cloud on AWS の請求で追加料金として課金されます。グループに複数のリージョン内のメンバーが含まれている場合、VTGW は、これらのリージョンのそれぞれに作成されます。
グループのメンバーは、必要に応じて追加したり、削除したりできます。すべてのメンバーが削除されるまで、グループを削除することはできません。グループを削除すると、グループの VMware Managed Transit Gateway も破棄されます。
SDDC グループへの VPC の接続
SDDC グループに VPC を接続すると、グループ内の SDDC とその VPC で実行される AWS サービスとの間でネットワーク接続を簡単に行えるようになります。最初に、VMware Cloud コンソールを使用して、VTGW(AWS リソース)を共有できるようにします。次に、AWS コンソールを使用して、共有リソースを受け入れ、SDDC グループに接続する VPC に関連付けます。接続された VPC への VTGW 接続は、マルチリージョン グループ内の複数のリージョンにまたがることはできません。
AWS Direct Connect Gateway を使用した外部グループの接続
グループと外部のエンドポイント(オンプレミスの SDDC など)をネットワークで接続するには、グループ用に作成された VMware Managed Transit Gateway に AWS Direct Connect Gateway (DXGW) を関連付けます。Direct Connect (DX) 構成を使用すると、オンプレミスの SDDC をスタンドアローンの VMware Cloud on AWS SDDC に接続できますが、DXGW を VTGW に関連付けると、DX レベルの接続をすべての SDDC グループ メンバーに対して行えるようになります。
複数のリージョンからの SDDC のグループ化
ルーティングおよびピアリング
SDDC グループ メンバーは、ローカル ネットワーク セグメントをアドバタイズします。これらのセグメントは、SDDC の Tier-0 ルーターのルート テーブルと、グループの VTGW に追加されます。メンバー SDDC によって学習およびアドバタイズされた VMware Transit Connect ルートのリストを表示またはダウンロードするには、NSX Manager またはレガシーの [ネットワークとセキュリティ] タブを開き、[Transit Connect] をクリックします。VMware Transit Connect を通じて学習およびアドバタイズされたルートの表示を参照してください。VTGW インスタンス間のピアリングは、同一のリージョン内または異なるリージョン間でサポートされています。
グループ内のすべての SDDC によって学習およびアドバタイズされたルートを表示するには、[ルーティング] タブをクリックします。ドロップダウン コントロールを使用できます。[外部] を選択すると、メンバー間のルートが表示されます。[メンバー] を選択すると、メンバーと外部エンドポイント(VPC や Direct Connect Gateway など)の間のルートが表示されます。[外部] ルートは、VPC や DXGW のような外部エンドポイントから SDDC グループ メンバーを送信元とするトラフィックを送信します。[メンバー] ルートは、メンバー SDDC を送信元とするトラフィックを送信し、SDDC グループ メンバーと外部エンドポイントを含めます。
グループ内の SDDC では、グループ内の他の SDDC によってアドバタイズされたネットワークへのルートと、グループの DXGW を介してアドバタイズされたネットワークへのルートが学習されます。また、グループに接続されている任意の VPC の CIDR も学習します。AWS では、DXGW によってオンプレミスの SDDC などの外部エンドポイントにアドバタイズできるプリフィックスは 20 個という制限が課されています。このため、すべての SDDC グループ メンバーの CIDR ブロック プリフィックスは、その制限を超えない集約可能な範囲内に収まっている必要があります。
- メンバー SDDC から送信されたトラフィックは、他のメンバー SDDC や、送信元の SDDC と同じリージョン内のグループに接続されている VPC と Direct Connect Gateway にルーティングできます。
- グループに接続されている VPC または Direct Connect Gateway から送信されたトラフィックは、送信元の SDDC と同じリージョンにあるグループ内の SDDC にのみルーティングできます。
- VPC 間、または VPC と Direct Connect Gateway 間のトラフィックは、ブロックされます。
- ルートベースの VPN によってアドバタイズされるルートは、VMware Transit Connect または DXGW によってアドバタイズされるルートよりも優先されます。ただし、ホストから SDDC ネットワーク外の宛先への送信トラフィックはすべて、SDDC 内の他のルーティング構成に関係なく、VTGW またはプライベート VIF にルーティングされます。vMotion トラフィックと vSphere Replication トラフィックも同様です。受信トラフィックと送信トラフィックのパスが対称になるように、ESXi ホストへの受信トラフィックも DXGW インターフェイス経由でルーティングされるようにする必要があります。
- 同じルートが VTGW と DX を介してアドバタイズされる場合は、VTGW パスが推奨されます。これには、VTGW に接続された DXGW からのルートが含まれます。
- グループ メンバー間のイントラネット トラフィックの最大 MTU は 8,500 バイトに制限されます。SDDC 内部または DX を介するトラフィックには、最大 8,900 バイトの MTU を使用できます。「SDDC の管理およびコンピューティング ネットワーク トラフィック用のプライベート仮想インターフェイスの作成」を参照してください。