Sie können eine EC2-Instanz in Ihrer verbundenen Amazon-VPC bereitstellen sowie AWS-Sicherheitsrichtlinien und Firewallregeln für das Computing-Gateway konfigurieren, damit die EC2-Instanz eine Verbindung mit Ihren Arbeitslast-VMs herstellen kann.

Obwohl sich dieses Thema auf die Aktivierung des Datenverkehrs zwischen Ihren SDDC-Arbeitslasten und einer EC2-Instanz in der verbundenen VPC konzentriert, ermöglichen die in Schritt 2 und Schritt 3 beschriebenen Änderungen auch den Datenverkehr zwischen der EC2-Instanz und dem SDDC-Verwaltungsnetzwerk. Ähnliche Änderungen an der AWS-Sicherheitsgruppe sollten die SDDC-Konnektivität zu jedem nativen AWS-Dienst aktivieren, der über eine IP-Adresse im primären CIDR der verbundenen VPC erreichbar ist.

Die standardmäßige AWS-Sicherheitsgruppe in der verbundenen VPC steuert den Datenverkehr von EC2-Instanzen in der VPC zu VMs im SDDC. Dieser Datenverkehr muss auch die Computing-Gateway-Firewall (und die verteilte Firewall, sofern Sie diese verwenden) passieren. Alle diese Steuerelemente müssen so konfiguriert werden, dass der beabsichtigte Datenverkehr zugelassen wird, oder die Verbindung kann nicht hergestellt werden.

Wenn Sie eine EC2-Instanz bereitstellen, ordnet der EC2-Startassistent sie einer neuen Sicherheitsgruppe zu, es sei denn, Sie haben eine andere Gruppe angegeben. Eine neue AWS-Sicherheitsgruppe ermöglicht den gesamten ausgehenden Datenverkehr von der Instanz und keinen eingehenden Datenverkehr zu ihr. Um eine Verbindung zwischen einer EC2-Instanz und einer VM in Ihrem SDDC zuzulassen, müssen Sie normalerweise nur eingehende Regeln erstellen.
  • Damit der Datenverkehr von der EC2-Instanz zu einer VM in der SDDC initiiert werden kann, erstellen Sie eine eingehende Regel für die Standardsicherheitsgruppe.
  • Damit der Datenverkehr von der VM zur EC2-Instanz initiiert werden kann, erstellen Sie eine eingehende Regel für die Sicherheitsgruppe, die auf die EC2-Instanz angewendet wurde.
Der VMware-Knowledgebase-Artikel 76577 enthält weitere Informationen zu Fällen, in denen die AWS-Standardsicherheitsgruppe eine fehlende oder geänderte Regel vom Typ „Alle zulassen“ für ausgehenden Datenverkehr aufweist.

Beachten Sie Folgendes: Wenn Sie die standardmäßige AWS-Sicherheitsgruppe mit der Instanz verwenden, werden ihre eingehenden Regeln auf den Datenverkehr angewendet, sowohl, wenn er die EC2-Instanz durchläuft, als auch, wenn er das SDDC durchläuft. Damit Datenverkehr, der entweder von der zu erreichenden VM im SDDC oder der zu erreichenden EC2-Instanz initiiert wurde, zugelassen werden kann, müssen andere eingehende Regeln eingehenden Datenverkehr sowohl von der EC2-Instanz als auch von der VM zulassen.

Voraussetzungen

Zum Abschließen dieser Aufgabe benötigen Sie folgende Informationen:
  • Die CIDR-Blöcke für die Netzwerksegmente, mit denen die VMs in Ihrem SDDC verbunden sind. Öffnen Sie NSX Manager und klicken Sie auf Segmente, um alle SDDC-Netzwerksegmente anzuzeigen.
  • Die verbundene Amazon-VPC und das Subnetz. Öffnen Sie NSX Manager und klicken Sie auf Verbundene VPC, um die Seite Verbundene Amazon-VPC zu öffnen. Diese Informationen finden Sie unter VPC-ID und VPC-Subnetz.
  • Wenn Sie für die verbundene VPC eine verwaltete Präfixliste aktiviert haben, öffnen Sie die NSX Manager-Seite Verbundene VPC und rufen Sie den Namen, die ID der Präfixliste und die Routentabellen, die sie enthalten, ab. Sie benötigen diese Informationen zum Abschließen von Schritt e. Weitere Informationen zu verwalteten Präfixlisten und ihrer Verwendung finden Sie unter Aktivieren des Modus für verwaltete AWS-Präfixliste für die verbundene Amazon VPC.
Diese Informationen sind auch auf der VMware Cloud-Konsole-Legacy-Registerkarte Netzwerk und Sicherheit verfügbar.

Prozedur

  1. Stellen Sie die EC2-Instanz in Ihrem AWS-Konto bereit.
    Berücksichtigen Sie Folgendes beim Erstellen der EC2-Instanz:
    • Die EC2-Instanz muss sich in der VPC befinden, die Sie während der Bereitstellung des SDDC ausgewählt haben. Anderenfalls kann keine Verbindung über eine private IP-Adresse hergestellt werden.
    • Die EC2-Instanz kann in jedem Subnetz innerhalb der VPC bereitgestellt werden. Es können jedoch AZ-übergreifende Datenverkehrskosten entstehen, wenn es sich um eine andere als die AZ handelt, die während der SDDC-Bereitstellung ausgewählt wurde.
    • Wenn möglich, wählen Sie eine Sicherheitsgruppe für Ihre EC2-Instanz aus, für die bereits eine Regel für eingehenden Datenverkehr konfiguriert wurde (siehe Beschreibung unter Schritt 2).
    • AWS-Dienste oder -Instanzen, die mit dem SDDC kommunizieren, müssen entweder der Hauptroutentabelle oder einer benutzerdefinierten Routentabelle, der die verwaltete Präfixliste für die verbundene VPC hinzugefügt wurde, zugeordnet sein. Unter „Routing zwischen Ihrem SDDC und der verbundenen VPC“ unter NSX-Netzwerkkonzepte finden Sie Informationen dazu, wie Sie eine verwaltete AWS-Präfixliste verwenden können, um die Wartung dieser Routentabelle zu vereinfachen, wenn Sie geroutete Netzwerksegmente, die mit dem Standard-CGW verbunden sind, erstellen oder löschen.
    • Arbeitslast-VMs im SDDC können über die ENI-Verbindung mit allen Subnetzen im primären CIDR-Block der verbundenen VPC kommunizieren. VMC erkennt andere CIDR-Blöcke in der VPC nicht.
  2. Fügen Sie der auf die Instanz angewendeten Sicherheitsgruppe eingehende Regeln hinzu. Wählen Sie die EC2-Instanz aus, die Sie in Schritt 1 bereitgestellt haben, und konfigurieren Sie ihre Sicherheitsgruppe so, dass sie eingehenden Datenverkehr vom logischen Netzwerk oder von der mit der VM verknüpften IP-Adresse in Ihrem SDDC zulässt.
    1. Wählen Sie die Instanz aus, die Sie in Schritt 1 bereitgestellt haben.
    2. Klicken Sie in der Beschreibung der Instanz auf die Sicherheitsgruppe der Instanz und klicken Sie auf die Registerkarte Eingehend.
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie auf Regel hinzufügen.
    5. Wählen Sie im Dropdown-Menü Typ den Datenverkehrstyp aus, den Sie zulassen möchten.
    6. Wählen Sie im Textfeld Quelle die Option Benutzerdefiniert aus und geben Sie die IP-Adressen oder den CIDR-Block der VMs im SDDC ein, die mit der Instanz kommunizieren müssen, oder geben Sie einfach die verwaltete Präfixliste für die verbundene VPC an, sofern Sie eine erstellt haben.
    7. (Optional) Fügen Sie für zusätzliche CIDR-Blöcke oder den Datenverkehrstyp, die bzw. den Sie mit der Instanz von VMs in Ihrem SDDC verbinden möchten, nach Bedarf Regeln hinzu.
    8. Klicken Sie auf Speichern.
  3. (Optional) Wenn Sie Datenverkehr zulassen müssen, der von der Instanz initiiert wurde, die Sie in Schritt 1 für eine VM in Ihrem SDDC bereitgestellt haben, bearbeiten Sie die Standardsicherheitsgruppe für die verbundene Amazon-VPC, um eingehende Regeln hinzuzufügen, die die Instanzen nach CIDR-Block oder Sicherheitsgruppe identifizieren.
    1. Wählen Sie in der AWS-Konsole die Standardsicherheitsgruppe für die verbundene Amazon-VPC aus und klicken Sie auf die Registerkarte Eingehend.
    2. Klicken Sie auf Bearbeiten.
    3. Klicken Sie auf Regel hinzufügen.
    4. Wählen Sie im Dropdown-Menü Typ den Datenverkehrstyp aus, den Sie zulassen möchten.
    5. Wählen Sie im Textfeld Quelle Benutzerdefiniert aus und geben Sie die IP-Adressen oder den CIDR-Block von VMs in der SDDC ein, die mit der Instanz kommunizieren müssen.
      Wenn alle VMs derselben SDDC-Bestandslistengruppe zugeordnet sind, können Sie diese Gruppe als Quelle angeben, anstatt eine IP-Adresse oder einen CIDR-Block zu verwenden.
    6. (Optional) Fügen Sie für zusätzliche CIDR-Blöcke oder den Datenverkehrstyp, die bzw. den Sie mit der Instanz von VMs in Ihrem SDDC verbinden möchten, nach Bedarf Regeln hinzu.
    7. Klicken Sie auf Speichern.
  4. Konfigurieren Sie die erforderlichen Firewallregeln für das Computing-Gateway.
    Weitere Informationen finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway in VMware Cloud on AWS – Netzwerk und Sicherheit.
    • Um eingehenden Datenverkehr von den Instanzen in der verbundenen Amazon-VPC zuzulassen, erstellen Sie eine Regel, bei der die Quelle Verbundene VPC-Präfixe ist und das Ziel eine Bestandslistengruppe mit den VMs ist, die eingehenden Zugriff von der Instanz benötigen.
    • Um ausgehenden Datenverkehr zu Instanzen in der verbundenen Amazon-VPC zuzulassen, erstellen Sie eine Regel, bei der die Quelle eine Bestandslistengruppe mit den VMs ist, die ausgehenden Zugriff auf die Instanz erfordern, und das Ziel Verbundene VPC-Präfixe ist.
    Hinweis: In beiden Fällen können Sie den Datenverkehr zu oder von einem Teil der EC2-Instanzen begrenzen, indem Sie eine Arbeitslast-Bestandslistengruppe in Ihrem SDDC definieren, die nur die IP-Adressen oder CIDR-Blöcke für diese Instanzen enthält.
  5. (Optional) Konfigurieren Sie Regeln für verteilte Firewalls.
    Wenn eine der VMs, die mit der Instanz kommunizieren, durch eine verteilte Firewall geschützt ist, müssen Sie möglicherweise die Regeln für diese Firewall anpassen, um den erwarteten Datenverkehr zuzulassen. Weitere Informationen finden Sie unter Hinzufügen oder Ändern von Regeln für verteilte Firewalls.