您可以在已连接的 Amazon VPC 中部署 EC2 实例,并配置 AWS 安全策略和计算网关防火墙规则,以允许该实例与工作负载虚拟机之间建立连接。

虽然本主题重点介绍允许 SDDC 工作负载与已连接 VPC 中的 EC2 实例之间的流量,但步骤 2步骤 3 中详述的修改也允许 EC2 实例与 SDDC 管理网络之间的流量。类似的 AWS 安全组修改应允许 SDDC 连接到可通过已连接 VPC 的主 CIDR 中的 IP 地址访问的任何本机 AWS 服务。

已连接 VPC 中的默认 AWS 安全组将控制从 VPC 中的 EC2 实例传输到 SDDC 中的虚拟机的流量。此流量还必须通过计算网关防火墙和分布式防火墙(如果正在使用)。所有这些控制都必须配置为允许传输目标流量,否则无法建立连接。

部署 EC2 实例时,EC2 启动向导会将此实例与新的安全组关联,除非您已指定其他组。新的 AWS 安全组允许传输此实例的所有出站流量,但不允许传输入站流量。要允许 EC2 实例与 SDDC 中的虚拟机之间建立连接,通常只需要创建入站规则。
  • 要允许从 EC2 实例启动的流量传输到 SDDC 中的虚拟机,请在默认安全组上创建入站规则。
  • 要允许从虚拟机启动的流量传输到 EC2 实例,请在应用于 EC2 实例的安全组上创建入站规则。
对于默认 AWS 安全组缺失或针对出站流量更改了允许全部规则的情况,要了解其他适用信息,请参见 VMware 知识库文章 76577

请记住,将默认 AWS 安全组用于该实例时,在它转换 EC2 实例和转换 SDDC 时,将向流量应用它的入站规则。要允许 SDDC 中的虚拟机或 EC2 实例启动的流量传输到对方,入站规则必须允许来自 EC2 实例和虚拟机的入站流量。

前提条件

要完成此任务,您需要以下信息:
  • SDDC 中的虚拟机所连接到的网络分段的 CIDR 块。打开 NSX Manager,然后单击分段,可列出所有 SDDC 网络分段。
  • 已连接的 Amazon VPC 和子网。打开 NSX Manager,然后单击已连接 VPC,可打开已连接 Amazon VPC 页面,在该页面的 VPC IDVPC 子网下提供了此信息。
  • 如果为已连接 VPC 启用了受管前缀列表,请打开 NSX Manager 已连接 VPC 页面,然后检索前缀列表名称、ID 和包含该前缀列表的路由表。需要这些信息才能完成 步骤 e。有关受管前缀列表及其使用方法的详细信息,请参见为已连接 Amazon VPC 启用 AWS 受管前缀列表模式
也可从旧版 VMware Cloud 控制台网络与安全选项卡中获得此信息。

过程

  1. 在您的 AWS 帐户中部署 EC2 实例。
    创建 EC2 实例时,请牢记以下几点:
    • EC2 实例必须位于部署 SDDC 时选择的 VPC 中,否则无法通过专用 IP 地址建立连接。
    • EC2 实例可以部署在 VPC 内的任何子网中,但如果所用的 AZ 不同于 SDDC 部署时选择的 AZ,可能会产生跨 AZ 流量费用。
    • 如有可能,请按步骤 2所述为 EC2 实例选择已配置入站流量规则的安全组。
    • 与 SDDC 通信的 AWS 服务或实例必须与主路由表相关联,或者与添加了已连接 VPC 的受管前缀列表的自定义路由表相关联。有关如何在创建或删除连接到默认 CGW 的路由网络分段时使用 AWS 受管前缀列表简化此路由表维护的信息,请参见 NSX 网络概念中的“在 SDDC 与已连接的 VPC 之间路由”。
    • SDDC 中的工作负载虚拟机可以通过 ENI 连接与已连接 VPC 的主 CIDR 块中的所有子网进行通信。VMC 无法识别 VPC 中的其他 CIDR 块。
  2. 将入站规则添加到应用于此实例的安全组。选择您在步骤 1中部署的 EC2 实例,并将其安全组配置为允许传输来自与 SDDC 中的虚拟机关联的逻辑网络或 IP 地址的入站流量。
    1. 选择您在步骤 1中部署的实例。
    2. 在实例描述中,单击实例的安全组,然后单击入站选项卡。
    3. 单击编辑
    4. 单击添加规则
    5. 类型下拉菜单中,选择要允许的流量类型。
    6. 文本框中,选择自定义,然后输入 SDDC 中需要与实例通信的虚拟机的 IP 地址或 CIDR 块,或者直接指定已连接 VPC(如果已创建)的受管前缀列表。
    7. (可选) 根据需要,为要从 SDDC 中的虚拟机连接到实例的其他 CIDR 块或流量类型添加规则。
    8. 单击保存
  3. (可选) 如果需要允许由在步骤 1中部署的实例启动的流量传输到 SDDC 中的虚拟机,请编辑已连接 Amazon VPC 的默认安全组,以添加通过 CIDR 块或安全组标识实例的入站规则。
    1. 在 AWS 控制台中,选择已连接 Amazon VPC 的默认安全组,然后单击入站选项卡。
    2. 单击编辑
    3. 单击添加规则
    4. 类型下拉菜单中,选择要允许的流量类型。
    5. 文本框中,选择自定义,然后输入 SDDC 中需要与此实例通信的虚拟机的 IP 地址或 CIDR 块。
      如果所有虚拟机均与同一 SDDC 清单组关联,则可以将该组指定为 ,而不是使用 IP 地址或 CIDR 块。
    6. (可选) 根据需要,为要从 SDDC 中的虚拟机连接到实例的其他 CIDR 块或流量类型添加规则。
    7. 单击保存
  4. 配置必要的计算网关防火墙规则。
    请参见 《VMware Cloud on AWS 网络和安全性》中的 添加或修改计算网关防火墙规则
    • 要允许来自已连接 Amazon VPC 中的实例的入站流量,请创建一个规则,其中已连接 VPC 前缀目标是包含需要从实例进行入站访问的虚拟机的清单组。
    • 要允许出站流量传输到已连接 Amazon VPC 中的实例,请创建一个规则,其中是包含需要对实例进行出站访问的虚拟机的清单组,目标已连接 VPC 前缀
    注: 在这两种情况中,您都可以限制流入或流出 EC2 实例子集的流量,方法是在仅包含这些实例的 IP 地址或 CIDR 块的 SDDC 中定义一个工作负载清单组。
  5. (可选) 配置分布式防火墙规则。
    如果与实例通信的任何虚拟机受分布式防火墙保护,您可能需要调整该防火墙的规则以允许传输预期流量。请参见 添加或修改分布式防火墙规则