SDDC 部署群組使用 VMware Transit Connect,以在群組中的 SDDC 與同一區域中的其他 VPC 之間提供高頻寬、低延遲連線。您也可以新增 Direct Connect Gateway (DXGW),以提供與內部部署 SDDC 的集中式連線。

SDDC 部署群組 (SDDC 群組) 是一種邏輯實體,旨在大規模簡化組織的 VMware Cloud on AWS 資源管理。對於具有多個 SDDC 且其工作負載需要相互之間建立高頻寬、低延遲連線的組織,將 SDDC 收集至 SDDC 群組能夠帶來許多好處。群組成員之間的所有網路流量會透過 VMware Transit Connect 網路進行傳輸。在新增和刪除子網路時,VMware Transit Connect 會自動管理群組中所有 SDDC 的計算網路之間的路由。您可以使用計算閘道防火牆規則控制群組成員工作負載之間的網路流量。

任何具有 VMC 服務角色 (管理員管理員 (限制刪除)) 的組織成員都可以建立或修改 SDDC 群組。

群組成員資格

SDDC 群組是組織層級的物件。一個 SDDC 群組不能包含來自多個組織的 SDDC。SDDC 必須符合數個準則,才能獲得群組成員資格:
  • 它必須與其他群組成員位於相同的 AWS 區域中。
  • 其管理網路 CIDR 區塊不能與任何其他群組成員的管理 CIDR 區塊重疊。
  • 不能是其他 SDDC 群組的成員。
  • 它必須為 SDDC 1.11 版或更新版本。
雖然您可以建立包含單一成員的群組,但大多數實際的 SDDC 群組套用需要兩個或更多成員。
備註:

透過 VPN 連線的混合連結模式與 SDDC 群組不相容。如果您新增的 SDDC 已設定為透過 VPN 連線使用混合連結模式,則連線將會失敗,並且您將無法對該 SDDC 使用混合連結模式。將 SDDC 新增至群組時,透過 DX 連線的混合連結模式不會受到影響。

使用 VMware Transit Connect 的內部群組連線

SDDC 群組成員之間的對等連線需要 VMware Managed Transit Gateway (VTGW)。這是由 VMware 所擁有和管理的 AWS 資源。將第一個成員新增至 SDDC 群組會建立其中一個資源,並將其指派給該群組。VTGW 的建立和運作會在 VMware Cloud on AWS 帳單上產生額外費用。

圖 1. VMware Transit Connect 將群組中的 SDDC 相互連線
有兩個 SDDC 透過 vTGW 連線的 SDDC 群組圖

可以視需要在群組中新增和移除成員。除非已移除所有成員,否則無法移除群組。移除群組還會損毀群組的 VMware Managed Transit Gateway

將 VPC 連結至 SDDC 群組

將 VPC 連結至 SDDC 群組可簡化群組中的 SDDC 與該 VPC 中執行的 AWS 服務之間的網路連線。可以利用 VMC 主控台 使 VTGW (AWS 資源) 可供共用,然後使用 AWS 主控台接受共用資源,並將其與您要連結至 SDDC 群組的 VPC 相關聯。

圖 2. 使用 VMware Transit Connect 將 VPC 連結至 SDDC 群組
有兩個 SDDC 和一個 AWS VPC 透過 vTGW 連線的 SDDC 群組圖

使用 AWS Direct Connect Gateway 的外部群組連線

若要提供群組與外部端點 (例如內部部署 SDDC) 之間的網路連線,請將 AWS Direct Connect Gateway 與為群組建立的 VMware Managed Transit Gateway 相關聯。與可用來將內部部署 SDDC 與獨立 VMware Cloud on AWS SDDC 連線的 Direct Connect (DX) 組態不同,與 VTGW 相關聯的 Direct Connect Gateway 可提供與所有 SDDC 群組成員的 DX 層級連線。

圖 3. AWS Direct Connect Gateway 將 SDDC 群組連線到內部部署 SDDC
顯示 AWS Direct Connect Gateway 提供 SDDC 群組與內部部署 SDDC 之間的連線的圖表。

路由和對等

所有群組成員中的計算網路都使用 VMware Transit Connect 路由表。從此表中獲知的路由會新增至 SDDC 第 0 層路由器的路由表。若要檢視或下載由成員 SDDC 獲知和通告的 VMware Transit Connect 路由清單,請開啟 SDDC 的網路與安全性索引標籤,然後按一下 Transit Connect。請參閱VMware Cloud on AWS 網路與安全性指南中的〈檢視透過 VMware Transit Connect 獲知和通告的路由〉

若要檢視群組中所有 SDDC 所獲知和通告的路由,請按一下路由索引標籤。可以使用下拉式控制項。選取外部以檢視成員之間的路由,或選取成員以檢視成員與外部端點 (例如 VPC 或 Direct Connect Gateway) 之間的路由。

群組中的 SDDC 會獲知群組中其他 SDDC 和 VPC 所通告的網路的路由,以及透過群組的 Direct Connect Gateway 通告的路由。由於 AWS 對 Direct Connect Gateway 可向外部端點 (例如內部部署 SDDC) 通告的首碼數量限制為 20 個,因此,所有 SDDC 群組成員的 CIDR 區塊首碼必須在能夠以不超過該限制的方式進行彙總的範圍內。

VMware Transit Connect 會強制執行數個路由原則:
  • 源自 SDDC 的流量可以路由至其他 SDDC 以及連結至群組的 VPC 和 Direct Connect Gateway。
  • 源自連結至群組的 VPC 或 Direct Connect Gateway 的流量只能路由至群組中的 SDDC。
  • VPC 之間或 VPC 與 Direct Connect Gateway 之間的流量會遭到封鎖。
備註:
將 SDDC 連線至 VMware Transit Connect 或 Direct Connect Gateway 時,現有 SDDC 網路的幾個方面會有所變更:
  • 路由型 VPN 通告的路由優先於 VMware Transit Connect 或 Direct Connect Gateway 通告的路由。
  • 當 SDDC 群組包含 Direct Connect Gateway 時,不支援將路由型 VPN 用作 Direct Connect 的備份。若要在 SDDC 中停用此組態,請選取網路與安全性 > Direct Connect,然後將使用 VPN 做為 Direct Connect 的備份開關設定為已停用
  • Jumbo MTU 大小會減少到 8500 位元組。如需如何為 SDDC 更新此值的相關資訊,請參閱VMware Cloud on AWS 網路與安全性指南中的〈為 SDDC 管理和計算網路流量建立私人虛擬介面〉