可以使用 VMware Transit Connect 将 AWS VPC 连接到 SDDC 组。这可以简化组中的 SDDC 与该 VPC 中所运行 AWS 服务之间的网络连接。

尽管 VMware Transit Connect 会处理 SDDC 组成员之间的所有计算网络流量和管理网络流量,但它不会自动配置 AWS 路由表以将来自外部 VPC 或其他 AWS 对象的流量发送到 SDDC 组的 VTGW。需要此类连接的网络拓扑包括创建一个“Security VPC”,SDDC 组和 Internet 之间的所有流量将通过这个 Security VPC 路由以进行检查,还包括在 AWS 对象和 SDDC 组成员之间实现通信的任何类似要求。此类网络拓扑要求为从 SDDC 组的 VTGW 到 VPC 的流量定义目标路由,如步骤 8中所示

将 VPC 连接到 SDDC 组是一个多步骤过程,需要同时使用 VMware Cloud 控制台 和 AWS 控制台。需要使用 VMware Cloud 控制台 使 VTGW(VMware 管理的 AWS 资源)可共享。然后,需要使用 AWS 控制台接受共享资源,并将其与要连接到 SDDC 组的 VPC 相关联。

过程

  1. VMware Cloud 控制台清单页面上,单击 SDDC 组,然后单击要将 VPC 连接到的组的名称
  2. 在该组的外部 VPC 选项卡上,单击添加帐户,然后指定拥有要连接到该组的 VPC 的 AWS 帐户。
    这将在该帐户中为 VTGW 启用 AWS 资源共享。
  3. 在 AWS 控制台中,打开资源访问管理器 > 与我共享以接受共享 VTGW 资源。
    资源 名称的格式为 VMC-Group-UUID状态挂起。单击资源名称以打开资源 摘要卡视图,然后单击 接受资源共享并确认接受。
  4. VMware Cloud 控制台 中,返回到组的 VPC 连接选项卡,然后等待在步骤 3 中接受的资源共享的状态正在关联更改为已关联
    VPC 资源关联可能需要长达 10 分钟时间。VPC 关联完成后,可以连接 VTGW
  5. 返回到 AWS 控制台资源访问管理器以查找共享 VTGW 资源的资源 ID。
    它将列在 与我共享: 共享资源下, 资源 ID 的格式为 TGW-UUID资源类型ec2:TransitGateway
  6. 创建 Transit Gateway 连接。
    1. 选择在步骤 5中标识的 Transit Gateway ID,并指定 VPC 的连接类型,然后选择要连接到 SDDC 组的 VPC ID
    2. 在需要连接到组的每个可用区 (AZ) 中选择一个子网 ID
      每个 AZ 只能选择一个子网,但 SDDC 组成员可以与该 AZ 中的所有 VPC 子网进行通信。
    3. 当 VPC 是将 Amazon FSx for NetApp ONTAP 配置为外部存储中所述的 FSx VPC 时,还必须选择 DNS 支持
    4. 单击创建 Transit Gateway 连接以创建连接。
  7. VMware Cloud 控制台 中,返回到组的外部 VPC 选项卡,然后接受共享的 VPC 连接。

    当 VPC 状态更改为 PENDING_ACCEPTANCE 时,单击接受以接受 VPC。接受过程完成后,状态将更改为可用。接受可能需要长达 10 分钟的时间。

  8. 配置到 VPC 的其他路由。

    在 AWS 控制台中,确定与连接到共享 VTGW 的 VPC 中的任何子网关联的路由表,并需要与 SDDC 组进行通信。在路由表的路由选项卡上,单击编辑路由并将 SDDC 组中的任何 CIDR 添加为目标,并将目标设置为您在步骤 5 中标识的 VTGW ID。通过在路由表下拉列表中选择外部,可在 SDDC 组的 VMC 控制台中路由选项卡上找到 SDDC 组的 CIDR 列表。

    作为手动编辑路由的替代方法,可以考虑创建受管前缀列表,并将其添加到与 VPC 关联的主路由表中。请参见使用共享前缀列表简化外部 VPC 和 TGW 对象的路由

  9. (可选) 配置到 VPC 的其他目标路由。
    创建 SDDC 组时,系统会为 VPC 的主 CIDR 和任何辅助 CIDR 创建路由。如果您需要通过 VPC 路由其外部的目标(对于 Security VPC 或 Transit VPC 可能需要这样做),可以定义其他 CIDR 块以路由到连接的 VPC。

    要创建或修改从组的 VTGW 到外部 VPC 的路由,请打开外部 VPC 选项卡,选择拥有 VPC 的 AWS 帐户 ID,然后展开此行。如果尚未指定任何路由,请单击路由列中的添加路由,打开编辑路由页面,添加一个或多个使用此 VPC 作为目标的路由。否则,路由列将显示第一个路由和其他路由的数量。单击铅笔图标 (铅笔图标) 以打开编辑路由页面,您可以在这里编辑此列表。每个前缀定义从组的 VTGWVPC ID 列中列出的 VPC 的路由。每个前缀还会在组的路由选项卡上显示为一个目标。对于每个已连接的 VPC,最多只能指定 100 个路由。

下一步做什么

  • 在 AWS 控制台中,创建网络 ACL 以管理添加到组中的 VPC 与其他组成员之间的流量。如果要访问在 VPC 中运行的 AWS 服务,可能需要修改该服务的 AWS 安全策略。有关 S3 服务的 AWS 安全策略配置示例,请参见使用 S3 端点访问 S3 存储桶