Sie können eine EC2-Instanz in Ihrer verbundenen Amazon-VPC bereitstellen sowie AWS-Sicherheitsrichtlinien und Firewallregeln für das Computing-Gateway konfigurieren, um eine Verbindung zwischen VMs in Ihrem SDDC und dieser Instanz zuzulassen.

Die standardmäßige AWS-Sicherheitsgruppe in der verbundenen VPC steuert den Datenverkehr von EC2-Instanzen in der VPC zu VMs im SDDC. Dieser Datenverkehr muss auch die Computing-Gateway-Firewall (und die verteilte Firewall, sofern Sie diese verwenden) passieren. Alle diese Steuerelemente müssen so konfiguriert werden, dass der beabsichtigte Datenverkehr zugelassen wird, oder die Verbindung kann nicht hergestellt werden.

Wenn Sie eine EC2-Instanz bereitstellen, ordnet der EC2-Startassistent sie einer neuen Sicherheitsgruppe zu, es sei denn, Sie haben eine andere Gruppe angegeben. Eine neue AWS-Sicherheitsgruppe ermöglicht den gesamten ausgehenden Datenverkehr von der Instanz und keinen eingehenden Datenverkehr zu ihr. Um eine Verbindung zwischen einer EC2-Instanz und einer VM in Ihrem SDDC zuzulassen, müssen Sie normalerweise nur eingehende Regeln erstellen.
  • Damit der Datenverkehr von der EC2-Instanz zu einer VM in der SDDC initiiert werden kann, erstellen Sie eine eingehende Regel für die Standardsicherheitsgruppe.
  • Damit der Datenverkehr von der VM zur EC2-Instanz initiiert werden kann, erstellen Sie eine eingehende Regel für die Sicherheitsgruppe, die auf die EC2-Instanz angewendet wurde.
Der VMware-Knowledgebase-Artikel 76577 enthält weitere Informationen zu Fällen, in denen die AWS-Standardsicherheitsgruppe eine fehlende oder geänderte Regel vom Typ „Alle zulassen“ für ausgehenden Datenverkehr aufweist.

Beachten Sie Folgendes: Wenn Sie die standardmäßige AWS-Sicherheitsgruppe mit der Instanz verwenden, werden ihre eingehenden Regeln auf den Datenverkehr angewendet, sowohl, wenn er die EC2-Instanz durchläuft, als auch, wenn er das SDDC durchläuft. Damit Datenverkehr, der entweder von der zu erreichenden VM im SDDC oder der zu erreichenden EC2-Instanz initiiert wurde, zugelassen werden kann, müssen andere eingehende Regeln eingehenden Datenverkehr sowohl von der EC2-Instanz als auch von der VM zulassen.

Voraussetzungen

Zum Abschließen dieser Aufgabe benötigen Sie folgende Informationen:

  • Die CIDR-Blöcke für die Netzwerksegmente, mit denen die VMs in Ihrem SDDC verbunden sind. Klicken Sie auf Segmente auf der Registerkarte Netzwerk und Sicherheit, um alle Segmente aufzulisten.
  • Die verbundene Amazon-VPC und das Subnetz. Klicken Sie auf Verbundene VPC in der Kategorie System auf der Registerkarte Netzwerk und Sicherheit, um die Seite Verbundene Amazon-VPC zu öffnen, die diese Informationen unter VPC-ID und VPC-Subnetz bereitstellt.

Prozedur

  1. Stellen Sie die EC2-Instanz in Ihrem AWS-Konto bereit.
    Berücksichtigen Sie Folgendes beim Erstellen der EC2-Instanz:
    • Die EC2-Instanz muss sich in der VPC befinden, die Sie während der Bereitstellung des SDDC ausgewählt haben. Anderenfalls kann keine Verbindung über eine private IP-Adresse hergestellt werden.
    • Die EC2-Instanz kann in jedem Subnetz innerhalb der VPC bereitgestellt werden. Es können jedoch AZ-übergreifende Datenverkehrskosten entstehen, wenn es sich um eine andere als die AZ handelt, die während der SDDC-Bereitstellung ausgewählt wurde.
    • Wenn möglich, wählen Sie eine Sicherheitsgruppe für Ihre EC2-Instanz aus, für die bereits eine Regel für eingehenden Datenverkehr konfiguriert wurde (siehe Beschreibung unter Schritt 2).
    • Das bzw. die für das SDDC verwendete(n) VPC-Subnetz(e) sowie alle VPC-Subnetze, in denen AWS-Dienste oder -Instanzen mit dem SDDC kommunizieren, müssen der Hauptroutentabelle der VPC zugeordnet sein.
    • Arbeitslast-VMs im SDDC können über die ENI-Verbindung mit allen Subnetzen im primären CIDR-Block der verbundenen VPC kommunizieren. VMC erkennt andere CIDR-Blöcke in der VPC nicht.
  2. Fügen Sie der auf die Instanz angewendeten Sicherheitsgruppe eingehende Regeln hinzu. Wählen Sie die EC2-Instanz aus, die Sie in Schritt 1 bereitgestellt haben, und konfigurieren Sie ihre Sicherheitsgruppe so, dass sie eingehenden Datenverkehr vom logischen Netzwerk oder von der mit der VM verknüpften IP-Adresse in Ihrem SDDC zulässt.
    1. Wählen Sie die Instanz aus, die Sie in Schritt 1 bereitgestellt haben.
    2. Klicken Sie in der Beschreibung der Instanz auf die Sicherheitsgruppe der Instanz und klicken Sie auf die Registerkarte Eingehend.
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie auf Regel hinzufügen.
    5. Wählen Sie im Dropdown-Menü Typ den Datenverkehrstyp aus, den Sie zulassen möchten.
    6. Wählen Sie im Textfeld Quelle Benutzerdefiniert aus und geben Sie die IP-Adressen oder den CIDR-Block von VMs in der SDDC ein, die mit der Instanz kommunizieren müssen.
    7. (Optional) Fügen Sie für zusätzliche CIDR-Blöcke oder den Datenverkehrstyp, die bzw. den Sie mit der Instanz von VMs in Ihrem SDDC verbinden möchten, nach Bedarf Regeln hinzu.
    8. Klicken Sie auf Speichern.
  3. (Optional) Wenn Sie Datenverkehr zulassen müssen, der von der Instanz initiiert wurde, die Sie in Schritt 1 für eine VM in Ihrem SDDC bereitgestellt haben, bearbeiten Sie die Standardsicherheitsgruppe für die verbundene Amazon-VPC, um eingehende Regeln hinzuzufügen, die die Instanzen nach CIDR-Block oder Sicherheitsgruppe identifizieren.
    1. Wählen Sie in der AWS-Konsole die Standardsicherheitsgruppe für die verbundene Amazon-VPC aus und klicken Sie auf die Registerkarte Eingehend.
    2. Klicken Sie auf Bearbeiten.
    3. Klicken Sie auf Regel hinzufügen.
    4. Wählen Sie im Dropdown-Menü Typ den Datenverkehrstyp aus, den Sie zulassen möchten.
    5. Wählen Sie im Textfeld Quelle Benutzerdefiniert aus und geben Sie die IP-Adressen oder den CIDR-Block von VMs in der SDDC ein, die mit der Instanz kommunizieren müssen.
      Wenn alle VMs derselben SDDC-Bestandslistengruppe zugeordnet sind, können Sie diese Gruppe als Quelle angeben, anstatt eine IP-Adresse oder einen CIDR-Block zu verwenden.
    6. (Optional) Fügen Sie für zusätzliche CIDR-Blöcke oder den Datenverkehrstyp, die bzw. den Sie mit der Instanz von VMs in Ihrem SDDC verbinden möchten, nach Bedarf Regeln hinzu.
    7. Klicken Sie auf Speichern.
  4. Konfigurieren Sie die erforderlichen Firewallregeln für das Computing-Gateway.
    Weitere Informationen finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway in VMware Cloud on AWS – Netzwerk und Sicherheit.
    • Um eingehenden Datenverkehr von den Instanzen in der verbundenen Amazon-VPC zuzulassen, erstellen Sie eine Regel, bei der die Quelle Verbundene VPC-Präfixe ist und das Ziel eine Bestandslistengruppe mit den VMs ist, die eingehenden Zugriff von der Instanz benötigen.
    • Um ausgehenden Datenverkehr zu Instanzen in der verbundenen Amazon-VPC zuzulassen, erstellen Sie eine Regel, bei der die Quelle eine Bestandslistengruppe mit den VMs ist, die ausgehenden Zugriff auf die Instanz erfordern, und das Ziel Verbundene VPC-Präfixe ist.
    Hinweis: In beiden Fällen können Sie den Datenverkehr zu oder von einem Teil der EC2-Instanzen begrenzen, indem Sie eine Arbeitslast-Bestandslistengruppe in Ihrem SDDC definieren, die nur die IP-Adressen oder CIDR-Blöcke für diese Instanzen enthält.
  5. (Optional) Konfigurieren Sie Regeln für verteilte Firewalls.
    Wenn eine der VMs, die mit der Instanz kommunizieren, durch eine verteilte Firewall geschützt ist, müssen Sie möglicherweise die Regeln für diese Firewall anpassen, um den erwarteten Datenverkehr zuzulassen. Weitere Informationen finden Sie unter Hinzufügen oder Ändern von Regeln für verteilte Firewalls.