Sie können VMware Transit Connect verwenden, um eine AWS VPC an eine SDDC-Gruppe anzuhängen. Dies vereinfacht Netzwerkverbindungen zwischen SDDCs in der Gruppe und den AWS-Diensten, die in dieser VPC ausgeführt werden.

Obwohl VMware Transit Connect den gesamten Computing- und Verwaltungsnetzwerk-Datenverkehr zwischen SDDC-Gruppenmitgliedern verarbeitet, werden AWS-Routentabellen nicht automatisch so konfiguriert, dass Datenverkehr von einer externen VPC oder einem anderen AWS-Objekt an das VTGW der SDDC-Gruppe gesendet wird. Netzwerktopologien, die diese Art von Konnektivität erfordern, umfassen die Erstellung einer „Sicherheits-VPC“, über die der gesamte Datenverkehr zwischen der SDDC-Gruppe und dem Internet zur Überprüfung geleitet wird, sowie alle ähnlichen Anforderungen, die die Kommunikation zwischen AWS-Objekten und SDDC-Gruppenmitgliedern ermöglichen. Für diese Art von Netzwerktopologie müssen Sie die Zielrouten für den Datenverkehr vom VTGW der SDDC-Gruppe zur VPC definieren (wie in Schritt 8 gezeigt).

Das Anhängen einer VPC an die SDDC-Gruppe ist ein mehrstufiger Prozess, bei dem Sie sowohl die VMware Cloud-Konsole als auch die AWS-Konsole verwenden müssen. Sie verwenden die VMware Cloud-Konsole, um das VTGW (eine von VMware verwaltete AWS-Ressource) für die Freigabe zur Verfügung zu stellen. Anschließend verwenden Sie die AWS-Konsole, um die gemeinsam genutzte Ressource zu akzeptieren und Sie mit den VPCs zu verknüpfen, die Sie an die SDDC-Gruppe anhängen möchten.

Prozedur

  1. Klicken Sie auf der Bestandsliste von VMware Cloud-Konsoleauf SDDC-Gruppenund dann auf den Namen der Gruppe, der Sie die VPC zuordnen möchten.
  2. Auf der Registerkarte Externe VPC für die Gruppe klicken Sie auf KONTO HINZUFÜGEN und geben Sie das AWS-Konto an, dem die VPC gehört, die Sie an die Gruppe anhängen möchten.
    Dies ermöglicht die gemeinsame Nutzung von AWS-Ressourcen in diesem Konto für das VTGW.
  3. Öffnen Sie in der AWS-Konsole Resource Access Manager > Für mich freigegeben, um die freigegebene VTGW-Ressource zu akzeptieren.
    Die Ressource Name hat das Format VMC-Group-UUID und weist den Status Ausstehend auf. Klicken Sie auf den Ressourcennamen, um die Ressourcenkarte Übersicht zu öffnen, und klicken Sie anschließend auf Ressourcenfreigabe akzeptieren und bestätigen Sie die Annahme.
  4. Kehren Sie in der VMware Cloud-Konsole zur Registerkarte VPC-Konnektivität für die Gruppe zurück und warten Sie, bis der Status der Ressourcenfreigabe, die Sie in Schritt 3 akzeptiert haben, von ZUORDNEN in ZUGEORDNET geändert wurde.
    Die VPC-Ressourcenzuordnung kann bis zu zehn Minuten dauern. Sobald die VPC-Zuordnung abgeschlossen ist, können Sie das VTGW anhängen.
  5. Kehren Sie zum Resource Access Manager in der AWS-Konsole zurück, um die Ressourcen-ID der freigegebenen VTGW-Ressource zu finden.
    Sie wird unter Freigegeben für mich: Freigegebene Ressourcen mit einer Ressourcen-ID im Format TGW-UUID und dem Ressourcen-Typ ec2:TransitGateway aufgelistet.
  6. Erstellen Sie den Transit-Gateway-Anhang.
    1. Wählen Sie die in Schritt 5 identifizierte Transit-Gateway-ID aus und geben Sie einen Anhangstyp der VPC an. Wählen Sie dann die VPC-ID aus, die Sie mit der SDDC-Gruppe verbinden möchten.
    2. Wählen Sie in jeder Verfügbarkeitszone (AZ), die Konnektivität zur Gruppe erfordert, eine Subnetz-ID aus.
      Sie können nur ein Subnetz pro AZ auswählen, SDDC-Gruppenmitglieder können jedoch mit allen VPC-Subnetzen in dieser AZ kommunizieren.
    3. Wenn die VPC, wie unter Konfigurieren von Amazon FSx for NetApp ONTAP als externen Speicher beschrieben, eine FSx-VPC ist, müssen Sie auch DNS-Unterstützung auswählen.
    4. Klicken Sie auf Transit-Gateway-Anhang erstellen, um den Anhang zu erstellen.
  7. Kehren Sie in VMware Cloud-Konsole zur Registerkarte Externe VPC für die Gruppe zurück und AKZEPTIEREN Sie den freigegebenen VPC-Anhang.

    Wenn sich der VPC-Status in PENDING_ACCEPTANCE ändert, klicken Sie auf AKZEPTIEREN, um ihn zu akzeptieren. Der Status ändert sich in VERFÜGBAR, nachdem der Akzeptanzvorgang abgeschlossen ist. Die Annahme kann bis zu zehn Minuten dauern.

  8. Konfigurieren Sie zusätzliche Routen zur VPC.

    Identifizieren Sie in der AWS-Konsole die Routentabellen, die Subnetzen in der mit dem freigegebenen VTGW verbundenen VPC zugeordnet sind und mit der SDDC-Gruppe kommunizieren müssen. Klicken Sie auf der Registerkarte Routen der Routentabelle auf Routen bearbeiten und fügen Sie beliebige CIDRs in der SDDC-Gruppe als Ziel hinzu, wobei das Ziel auf die VTGW-ID, die Sie in Schritt 5 identifiziert haben, festgelegt werden muss. Die Liste der CIDRs für die SDDC-Gruppe finden Sie in der VMC Console für die SDDC-Gruppe auf der Registerkarte Routing, indem Sie in der Dropdown-Liste Routentabelle die Option Extern auswählen.

    Als Alternative zur manuellen Bearbeitung der Routen können Sie eine verwaltete Präfixliste erstellen und diese zur Hauptroutentabelle für die VPC hinzufügen. Weitere Informationen hierzu finden Sie unter Verwenden einer Liste gemeinsam verwendeter Präfixe zur Vereinfachung des Routings für externe VPC- und TGW-Objekte.

  9. (Optional) Konfigurieren Sie zusätzliche Zielrouten zur VPC.
    Wenn Sie eine SDDC-Gruppe erstellen, erstellt das System Routen für das primäre CIDR der VPC und alle sekundären CIDRs. Wenn Sie Ziele über die VPC hinaus routen müssen (was bei einer Sicherheits-VPC oder einer Transit-VPC sein könnte), können Sie zusätzliche CIDR-Blöcke definieren, die an die angehängte VPC weitergeleitet werden.

    Um das Routing vom VTGW der Gruppe zur externen VPC zu erstellen oder zu ändern, öffnen Sie die Registerkarte Externe VPC, wählen Sie die AWS-Konto-ID aus, der die VPC gehört, und erweitern Sie die Zeile. Wenn keine Routen angegeben wurden, klicken Sie auf ROUTEN HINZUFÜGEN in der Spalte Routen, um die Seite Routen bearbeiten zu öffnen und eine oder mehrere Routen hinzuzufügen, die diese VPC als Ziel verwenden. Andernfalls wird die Spalte Routen die erste Route und die Anzahl der zusätzlichen Routen anzeigen. Klicken Sie auf das Stiftsymbol (Stiftsymbol), um die Seite Routen bearbeiten zu öffnen, damit Sie diese Liste bearbeiten können. Jedes Präfix definiert eine Route vom VTGW der Gruppe zur VPC, die in der Spalte VPC-ID aufgeführt ist. Jedes Präfix wird auch als Ziel auf der Registerkarte Routing der Gruppe angezeigt. Sie können bis zu 100 Routen zu jeder angehängten VPC angeben.

Nächste Maßnahme

  • Erstellen Sie in der AWS-Konsole Netzwerk-ACLs, um den Datenverkehr zwischen den VPCs, die Sie der Gruppe hinzugefügt haben, und anderen Gruppenmitgliedern zu verwalten. Wenn Sie auf einen AWS-Dienst zugreifen möchten, der in der VPC ausgeführt wird, müssen Sie möglicherweise die AWS-Sicherheitsrichtlinie für den Dienst ändern. Ein Beispiel für die Konfiguration einer AWS-Sicherheitsrichtlinie für den S3-Dienst finden Sie unter Zugriff auf einen S3-Bucket unter Verwendung eines S3-Endpoints.