SDDC 展開グループは、VMware Transit Connect を使用して、グループ内の SDDC 間にバンド幅が大きく、遅延の小さい接続を提供します。SDDC グループには、所有する VPC を含めることができます。AWS Direct Connect Gateway (DXGW) を追加し、グループ メンバーとオンプレミス SDDC の間の接続を提供することもできます。

SDDC 展開グループ(SDDC グループ)は、組織の大規模な VMware Cloud on AWS リソースの管理を簡素化するために設計された論理エンティティです。組織に複数の SDDC があり、ワークロード間で広帯域、低遅延の接続が必要な場合、SDDC を 1 つの SDDC グループにまとめると、多くのメリットが得られます。グループ メンバー間のすべてのネットワーク トラフィックが VMware Transit Connect ネットワークを通過します。サブネットが追加または削除されると、グループ内にあるすべての SDDC のコンピューティング ネットワーク間のルーティングが VMware Transit Connect によって自動的に管理されます。グループ メンバーのワークロード間のネットワーク トラフィックは、コンピューティング ゲートウェイのファイアウォール ルールによって制御します。

[管理者] または [削除が制限された管理者] の VMC サービス ロールがあれば、どの組織のメンバーでも SDDC グループを作成したり、変更したりできます。

グループ メンバーシップ

SDDC グループは、組織レベルのオブジェクトです。1 つの SDDC グループに複数の組織の SDDC を含めることはできません。 1 つの SDDC グループには、最大 3 つの AWS リージョンからのメンバーを含めることができます。SDDC がグループ メンバーシップの資格を得るには、いくつかの条件を満たす必要があります。
  • SDDC のバージョンは 1.11 以降である必要があります。マルチリージョン グループのメンバーは、SDDC バージョン 1.15 以降である必要があります。
  • 管理ネットワークの CIDR ブロックは、他のグループ メンバーの管理 CIDR ブロックと重複することはできません。
  • 別の SDDC グループのメンバーであってはなりません。
作成するグループ内のメンバーを 1 つだけにすることもできますが、ほとんどの場合、SDDC グループを実際に利用するには複数のメンバーが必要です。
注:

VPN 接続経由のハイブリッド リンク モードは、SDDC グループと互換性がありません。ハイブリッド リンク モードを VPN 接続経由で使用するように構成した SDDC を追加すると、接続が失敗し、その SDDC でハイブリッド リンク モードを使用できなくなります。SDDC がグループに追加された場合、DX 接続経由のハイブリッド リンク モードは影響を受けません。

VMware Transit Connect を使用した内部グループの接続

SDDC グループ メンバー間のピア接続には、VMware Managed Transit Gateway (VTGW) が必要です。これは、VMware が所有および管理している AWS リソースです。SDDC グループに最初のメンバーを追加すると、これらのリソースの 1 つが作成され、グループに割り当てられます。VTGW を作成および操作すると、VMware Cloud on AWS の請求で追加料金として課金されます。グループに複数のリージョン内のメンバーが含まれている場合、VTGW は、これらのリージョンのそれぞれに作成されます。

図 1. VMware Transit Connect がグループ内の SDDC を相互に接続
VTGW を介して 2 つの SDDC が接続されている SDDC グループの図。

グループのメンバーは、必要に応じて追加したり、削除したりできます。すべてのメンバーが削除されるまで、グループを削除することはできません。グループを削除すると、グループの VMware Managed Transit Gateway も破棄されます。

SDDC グループへの VPC の接続

SDDC グループに VPC を接続すると、グループ内の SDDC とその VPC で実行される AWS サービスとの間でネットワーク接続を簡単に行えるようになります。最初に、VMC コンソールを使用して、VTGW(AWS リソース)を共有できるようにします。次に、AWS コンソールを使用して、共有リソースを受け入れ、SDDC グループに接続する VPC に関連付けます。接続された VPC への VTGW 接続は、マルチリージョン グループ内の複数のリージョンにまたがることはできません。

図 2. VMware Transit Connect を使用して VPC を SDDC グループに接続
vTGW を介して 2 つの SDDC と 1 つの AWS VPC が接続されている SDDC グループの図

AWS Direct Connect Gateway を使用した外部グループの接続

グループと外部のエンドポイント(オンプレミスの SDDC など)をネットワークで接続するには、グループ用に作成された VMware Managed Transit Gateway に AWS Direct Connect Gateway (DXGW) を関連付けます。Direct Connect (DX) 構成を使用すると、オンプレミスの SDDC をスタンドアローンの VMware Cloud on AWS SDDC に接続できますが、DXGW を VTGW に関連付けると、DX レベルの接続をすべての SDDC グループ メンバーに対して行えるようになります。

図 3. AWS Direct Connect Gateway が SDDC グループをオンプレミスの SDDC に接続
AWS Direct Connect Gateway によって SDDC グループとオンプレミスの SDDC が接続されている様子を示す図。

複数のリージョンからの SDDC のグループ化

マルチリージョン SDDC グループは、VPC およびオンプレミス データセンターへの接続を含む単一リージョン SDDC グループと同じ種類の接続を提供しますが、VPC への接続は複数のリージョンにまたがることはできません。1 つのグループに複数のリージョンのメンバーが含まれている場合、グループ作成はこれらのリージョンのそれぞれに VTGW をプロビジョニングし、そのリージョン内のグループ メンバーに接続します。この VTGW は、グループ内の他の VTGW とピアリングされ、すべてのグループ メンバーを含む単一の IP アドレス空間が提供されます。マルチリージョンの SDDC グループに含めるには、SDDC はバージョン 1.15 以降である必要があります。グループへの VPC の関連付けは、VPC が占有するリージョン内でのみ有効です。他のリージョン内の SDDC グループ メンバーは、 VTGW を介して VPC にアクセスできません。
図 4. マルチリージョン SDDC グループ
異なる AWS リージョンにそれぞれ 2 つの SDDC を持つ組織を示す図。VTGW は相互に接続され、オンプレミス データセンターに接続されている DX ゲートウェイにも接続されます。

ルーティングおよびピアリング

SDDC グループ メンバーは、ローカル ネットワーク セグメントをアドバタイズします。これらのセグメントは、SDDC の Tier-0 ルーターのルート テーブルと、グループの VTGW に追加されます。メンバー SDDC によって学習およびアドバタイズされた VMware Transit Connect ルートのリストを表示またはダウンロードするには、SDDC の [ネットワークとセキュリティ] タブを開き、[Transit Connect] をクリックします。『VMware Cloud on AWS Networking and Security』ガイドのView Routes Learned and Advertised over VMware Transit Connectを参照してください。

グループ内のすべての SDDC によって学習およびアドバタイズされたルートを表示するには、[ルーティング] タブをクリックします。ドロップダウン コントロールを使用できます。[外部] を選択すると、メンバー間のルートが表示されます。[メンバー] を選択すると、メンバーと外部エンドポイント(VPC や Direct Connect Gateway など)の間のルートが表示されます。[外部] ルートは、VPC や DXGW のような外部エンドポイントから SDDC グループ メンバーを送信元とするトラフィックを送信します。[メンバー] ルートは、メンバー SDDC を送信元とするトラフィックを送信し、SDDC グループ メンバーと外部エンドポイントを含めます。

グループ内の SDDC では、グループ内の他の SDDC によってアドバタイズされたネットワークへのルートと、グループの DXGW を介してアドバタイズされたネットワークへのルートが学習されます。また、グループに接続されている任意の VPC の CIDR も学習します。AWS では、DXGW によってオンプレミスの SDDC などの外部エンドポイントにアドバタイズできるプリフィックスは 20 個という制限が課されています。このため、すべての SDDC グループ メンバーの CIDR ブロック プリフィックスは、その制限を超えない集約可能な範囲内に収まっている必要があります。

VMware Transit Connect では、次のようなルーティング ポリシーが適用されます。
  • メンバー SDDC から送信されたトラフィックは、他のメンバー SDDC や、送信元の SDDC と同じリージョン内のグループに接続されている VPC と Direct Connect Gateway にルーティングできます。
  • グループに接続されている VPC または Direct Connect Gateway から送信されたトラフィックは、送信元の SDDC と同じリージョンにあるグループ内の SDDC にのみルーティングできます。
  • VPC 間、または VPC と Direct Connect Gateway 間のトラフィックは、ブロックされます。
注:
SDDC が SDDC グループのメンバーになると、既存の SDDC ネットワークのいくつかの側面が変わります。
  • ルートベースの VPN によってアドバタイズされるルートは、VMware Transit Connect または DXGW によってアドバタイズされるルートよりも優先されます。 ただし、ホストから SDDC ネットワーク外の宛先への送信トラフィックはすべて、SDDC 内の他のルーティング構成に関係なく、VTGW またはプライベート VIF にルーティングされます。vMotion トラフィックと vSphere Replication トラフィックも同様です。受信トラフィックと送信トラフィックのパスが対称になるように、ESXi ホストへの受信トラフィックも DXGW インターフェイス経由でルーティングされるようにする必要があります。
  • 同じルートが VTGW と DX を介してアドバタイズされる場合は、VTGW パスが推奨されます。これには、VTGW に接続された DXGW からのルートが含まれます。
  • グループ メンバー間のイントラネット トラフィックの最大 MTU は 8,500 バイトに制限されます。SDDC 内部または DX を介するトラフィックには、最大 8,900 バイトの MTU を使用できます。『VMware Cloud on AWS Networking and Security』ガイドのSDDC の管理およびコンピューティング ネットワーク トラフィック用のプライベート仮想インターフェイスの作成を参照してください。