SDDC 部署群組使用 VMware Transit Connect 在群組中的 SDDC 之間提供高頻寬、低延遲的連線。SDDC 群組可包含您擁有的 VPC。您也可以新增 AWS Direct Connect Gateway (DXGW),以提供群組成員與內部部署 SDDC 之間的連線。

SDDC 部署群組 (SDDC 群組) 是一種邏輯實體,旨在大規模簡化組織的 VMware Cloud on AWS 資源管理。對於具有多個 SDDC 且其工作負載需要相互之間建立高頻寬、低延遲連線的組織,將 SDDC 收集至 SDDC 群組能夠帶來許多好處。群組成員之間的所有網路流量會透過 VMware Transit Connect 網路進行傳輸。在新增和刪除子網路時,VMware Transit Connect 會自動管理群組中所有 SDDC 的計算網路之間的路由。您可以使用計算閘道防火牆規則控制群組成員工作負載之間的網路流量。

任何具有 VMC 服務角色 (管理員管理員 (限制刪除)) 的組織成員都可以建立或修改 SDDC 群組。

群組成員資格

SDDC 群組是組織層級的物件。一個 SDDC 群組不能包含來自多個組織的 SDDC。 一個 SDDC 群組最多可包含三個 AWS 區域的成員。SDDC 必須符合數個準則,才能獲得群組成員資格:
  • 其管理網路 CIDR 區塊不能與任何其他群組成員的管理 CIDR 區塊重疊。
  • 不能是其他 SDDC 群組的成員。
雖然您可以建立包含單一成員的群組,但大多數實際的 SDDC 群組套用需要兩個或更多成員。
備註:

透過 VPN 連線的混合連結模式與 SDDC 群組不相容。如果您新增的 SDDC 已設定為透過 VPN 連線使用混合連結模式,則連線將會失敗,並且您將無法對該 SDDC 使用混合連結模式。將 SDDC 新增至群組時,透過 DX 連線的混合連結模式不會受到影響。

使用 VMware Transit Connect 的內部群組連線

SDDC 群組成員之間的對等連線需要 VMware Managed Transit Gateway (VTGW)。這是由 VMware 所擁有和管理的 AWS 資源。將第一個成員新增至 SDDC 群組會建立其中一個資源,並將其指派給該群組。VTGW 的建立和運作會在 VMware Cloud on AWS 帳單上產生額外費用。如果群組具有多個區域的成員,將在每個區域中建立 VTGW

圖 1. VMware Transit Connect 將群組中的 SDDC 相互連線
有兩個 SDDC 透過 VTGW 連線的 SDDC 群組圖表

可以視需要在群組中新增和移除成員。除非已移除所有成員,否則無法移除群組。移除群組還會損毀群組的 VMware Managed Transit Gateway

將 VPC 連結至 SDDC 群組

將 VPC 連結至 SDDC 群組可簡化群組中的 SDDC 與該 VPC 中執行的 AWS 服務之間的網路連線。可以利用 VMware Cloud 主控台 使 VTGW (AWS 資源) 可供共用,然後使用 AWS 主控台接受共用資源,並將其與您要連結至 SDDC 群組的 VPC 相關聯。在多區域群組中,與連結 VPC 的 VTGW 連線不會跨區域。

圖 2. 使用 VMware Transit Connect 將 VPC 連結至 SDDC 群組
有兩個 SDDC 和一個 AWS VPC 透過 vTGW 連線的 SDDC 群組圖

使用 AWS Direct Connect Gateway 的外部群組連線

若要提供群組與外部端點 (例如內部部署 SDDC) 之間的網路連線,請將 AWS Direct Connect Gateway (DXGW) 與為群組建立的 VMware Managed Transit Gateway 相關聯。與可用來將內部部署 SDDC 與獨立 VMware Cloud on AWS SDDC 連線的 Direct Connect (DX) 組態不同,與 VTGW 相關聯的 DXGW 可提供與所有 SDDC 群組成員的 DX 層級連線。

圖 3. AWS Direct Connect Gateway 將 SDDC 群組連線到內部部署 SDDC
顯示 AWS Direct Connect Gateway 提供 SDDC 群組與內部部署 SDDC 之間的連線的圖表。

將來自多個區域的 SDDC 分組

多區域 SDDC 群組提供的連線種類與單一區域 SDDC 群組相同,包括與 VPC 和內部部署資料中心的連線,雖然與 VPC 的連線不會跨區域。如果群組具有多個區域的成員,群組建立會在每個區域中佈建 VTGW,並將其連線至該區域中的群組成員。此 VTGW 與群組中的其他 VTGW 對等,以提供包括所有群組成員的單一 IP 位址空間。VPC 與群組的關聯僅在 VPC 所佔用的區域內有效。其他區域中的 SDDC 群組成員無法透過 VTGW 存取 VPC。
圖 4. 多區域 SDDC 群組
此圖顯示兩個 SDDC 位於不同的區域。其 VTGW 相互連線,並且連線到與內部部署資料中心的 DX 閘道。

路由和對等

SDDC 群組成員通告其本機網路區段,這些區段將會新增至 SDDC 的第 0 層路由器和群組 VTGW 的路由表中。若要檢視或下載由成員 SDDC 獲知和通告的 VMware Transit Connect 路由清單,請開啟 NSX Manager 或舊版網路與安全性索引標籤,然後按一下 Transit Connect。請參閱檢視透過 VMware Transit Connect 獲知和通告的路由。支援同一區域或不同區域內的 VTGW 執行個體之間進行對等互連。

若要檢視群組中所有 SDDC 所獲知和通告的路由,請按一下路由索引標籤。可以使用下拉式控制項。選取外部以檢視成員之間的路由,或選取成員以檢視成員與外部端點 (例如 VPC 或 Direct Connect Gateway) 之間的路由。外部路由將來自外部端點 (例如 VPC 或 DXGW) 的流量傳輸至 SDDC 群組成員。成員路由將傳輸來自成員 SDDC 的流量,並包括 SDDC 群組成員和外部端點。

群組中的 SDDC 會獲知群組中其他 SDDC 所通告的網路的路由以及透過群組的 DXGW 通告的路由。此外,還將獲知連結到群組的任何 VPC 的 CIDR。由於 AWS 對 DXGW 可向外部端點 (例如內部部署 SDDC) 通告的首碼數量限制為 20 個,因此,所有 SDDC 群組成員的 CIDR 區塊首碼必須在能夠進行彙總而不超過該限制的範圍內。

VMware Transit Connect 會強制執行數個路由原則:
  • 來自成員 SDDC 的流量可以路由到其他成員 SDDC,以及連結至與來源 SDDC 位於同一區域的群組的 VPC 和 Direct Connect 閘道。
  • 來自連結至群組的 VPC 或 Direct Connect 閘道的流量只能路由到與來源 SDDC 位於同一區域的群組中的 SDDC。
  • VPC 之間或 VPC 與 Direct Connect Gateway 之間的流量會遭到封鎖。
備註:
當 SDDC 成為 SDDC 群組的成員時,現有 SDDC 網路的幾個方面會有所變更:
  • 路由型 VPN 通告的路由優先於 VMware Transit Connect 或 DXGW 通告的路由。但是,從主機到 SDDC 網路外部的目的地的所有輸出流量均會路由至 VTGW 或私人 VIF,無論 SDDC 中的其他路由組態為何。這包括 vMotion 和 vSphere 複寫流量。您必須確保 ESXi 主機的輸入流量也透過 DXGW 介面進行路由,以便輸入和輸出流量路徑對稱。
  • 如果透過 VTGW 和 DX 通告同一路由,則首選 VTGW 路徑。這包括來自連線至 VTGW 之 DXGW 的路由。
  • 群組成員間內部網路流量的 MTU 上限為 8500 個位元組。最多為 8900 個位元組的 MTU 仍可用於 SDDC 的內部流量或通過 DX 的流量。請參閱〈為 SDDC 管理和計算網路流量建立私人虛擬介面〉