您可以通过创建 S3 端点访问已连接 AWS VPC 中的 S3 存储桶。

通过已连接 VPC 的 S3 连接需要在已连接 VPC 中部署 S3 端点,并在主路由表中配置该端点。有关详细信息,请参见 VMware Cloud 技术区文章 Designlet:通过 VMware Cloud on AWS 已连接 VPC 与本机 AWS 建立连接

过程

  1. 创建 S3 端点。
    请参见 《Amazon 虚拟私有云用户指南》中的 网关 VPC 端点Amazon S3 的端点
    1. 对于服务类别,选择 AWS 服务。
    2. 服务名称下,选择类型为网关com.amazonaws.region-AZ.s3 服务,其中 region-AZ 与 SDDC 所在的区域和 AZ 相匹配。例如,com.amazonaws.us-west-2.s3
    3. VPC 下拉列表中,选择已连接到您 SDDC 的 VPC。
    4. 配置路由表下,选择路由表 ID,其中主要列中的值为。此路由表由 SDDC 使用,还应与 SDDC 连接到的 VPC 子网相关联。
      与 SDDC 通信的 AWS 服务或实例必须与主路由表相关联,或者与添加了已连接 VPC 的受管前缀列表的自定义路由表相关联。有关如何在创建或删除连接到默认 CGW 的路由网络分段时使用 AWS 受管前缀列表简化此路由表维护的信息,请参见 NSX 网络概念中的“在 SDDC 与已连接的 VPC 之间路由”。
    5. 策略下,选择默认的完全访问策略或创建限制性更强的策略。请参见《Amazon 虚拟私有云用户指南》中的 Amazon S3 的端点。从 SDDC 到 S3 的流量将其源 IP 通过 NAT 转换为在 SDDC 部署时选择的子网中的 IP,因此任何策略都必须允许来自该子网的流量。
    6. 单击创建端点以创建端点,并将区域中 S3 公用 IP 范围的路由添加到主路由表。
  2. (可选) 为已连接 Amazon VPC 配置安全组,以允许传输到与 SDDC 中虚拟机相关联的网络分段的出站流量。
    默认安全组允许此流量,因此您无需执行此步骤,除非之前自定义了默认安全组。
    1. 在 AWS 控制台中,选择已连接 Amazon VPC 的默认安全组,然后单击出站选项卡。
    2. 单击编辑
    3. 单击添加规则
    4. 类型下拉菜单中,选择 HTTPS
    5. 目标文本框中,选择与 S3 端点关联的前缀列表。
      此前缀列表可以在 VPC 的 可管理前缀列表卡中找到。如果您在此处看到多个前缀列表,请选择其中一个,专门用于包含您感兴趣的 S3 服务的区域。
    6. 单击保存
  3. 确保已启用通过弹性网络接口访问 S3。
    默认情况下,已启用通过已连接 Amazon VPC 中的弹性网络接口进行 S3 访问。如果已禁用此访问权限以允许通过 Internet 网关进行 S3 访问,则必须重新启用它。
    1. 登录到 VMware Cloud 控制台 (https://vmc.vmware.com)。
    2. 单击 > 已连接 VPC
    3. 服务访问下,单击 S3 端点旁边的启用
  4. 使用添加或修改计算网关防火墙规则中定义的工作流创建计算网关防火墙规则,允许对已连接 Amazon VPC 进行 HTTPS 访问。

    此示例显示了如何使用 NSX Manager 创建清单组和防火墙规则。也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。请参见使用 NSX Manager 的 SDDC 网络管理

    1. 网关防火墙页面上,单击计算网关
    2. 单击添加规则,添加具有以下参数的规则,其中 Workload-CIDR 是工作负载虚拟机需要访问 S3 的分段的 CIDR 块。
      目标 服务 已应用于 操作
      Workload-CIDR S3 前缀 HTTPS VPC 接口 允许

结果

SDDC 中的工作负载虚拟机可以通过 HTTPS 连接访问 S3 存储桶中的文件。