Sie können auf einen S3-Bucket in Ihrem verbundenen AWS-VPC zugreifen, indem Sie einen S3-Endpoint erstellen.

Prozedur

  1. Erstellen Sie einen S3-Endpont.
    Weitere Informationen finden Sie unter Gateway-VPC-Endpoints und Endpoints für Amazon S3 im Benutzerhandbuch zu Amazon Virtual Private Cloud.
    1. Wählen Sie als Dienstkategorie AWS-Dienste aus.
    2. Wählen Sie unter Dienstname einen com.amazonaws.region-AZ.s3-Dienst vom Typ Gateway aus, wobei region-AZ der Region und der AZ entspricht, in der sich Ihr SDDC befindet. Beispiel: com.amazonaws.us-west-2.s3.
    3. Wählen Sie im Dropdown-Menü VPC die VPC aus, die mit Ihrem SDDC verbunden ist.
    4. Wählen Sie unter Routentabellen konfigurieren die Routentabellen-ID aus, bei der der Wert in der Spalte Haupt Ja ist. Diese Routentabelle wird von dem SDDC verwendet und sollte auch dem VPC-Subnetz zugeordnet werden, mit dem das SDDC verbunden ist.
    5. Unter Richtlinie wählen Sie die standardmäßige Richtlinie „Vollzugriff“ aus oder erstellen Sie eine restriktivere Richtlinie. Weitere Informationen finden Sie unter Endpoints für Amazon S3 im Benutzerhandbuch zur Amazon Virtual Private Cloud. Die Quell-IP-Adresse des Datenverkehrs vom SDDC zu S3 wird per NAT an eine IP-Adresse aus dem Subnetz weitergeleitet, die bei der SDDC-Bereitstellung ausgewählt wird. Alle Richtlinien müssen daher den Datenverkehr aus diesem Subnetz zulassen.
    6. Klicken Sie auf Endpoint erstellen, um den Endpoint zu erstellen und Routen für die öffentlichen S3-IP-Bereiche in der Region zur Hauptroutentabelle hinzuzufügen.
  2. (Optional) Konfigurieren Sie die Sicherheitsgruppe für die verbundene Amazon-VPC, um Datenverkehr zu dem Netzwerksegment zuzulassen, das mit der VM im SDDC verknüpft ist.
    Die Standardsicherheitsgruppe lässt diesen Datenverkehr zu. Sie müssen also diesen Schritt nicht durchführen, es sei denn, Sie haben die Standardsicherheitsgruppe zuvor angepasst.
    1. Wählen Sie in der AWS-Konsole die Standardsicherheitsgruppe für die verbundene Amazon-VPC aus und klicken Sie auf die Registerkarte Ausgehend.
    2. Klicken Sie auf Bearbeiten.
    3. Klicken Sie auf Regel hinzufügen.
    4. Wählen Sie im Dropdown-Menü Typ die Option HTTPS aus.
    5. Wählen Sie im Textfeld Ziel die Präfixliste aus, die dem S3-Endpoint zugeordnet ist.
      Sie finden diese Präfixliste auf der Karte Verwaltete Präfixlisten der VPC. Wenn hier mehrere Präfixlisten angezeigt werden, wählen Sie eine speziell für die Region aus, die den S3-Dienst enthält, an dem Sie interessiert sind.
    6. Klicken Sie auf Speichern.
  3. Stellen Sie sicher, dass der Zugriff auf S3 über die elastische Netzwerkschnittstelle aktiviert ist.
    Standardmäßig ist der Zugriff auf S3 über die elastische Netzwerkschnittstelle auf dem verbundenen Amazon-VPC aktiviert. Wenn Sie diesen Zugriff für S3 über das Internet-Gateway deaktiviert haben, müssen Sie ihn erneut aktivieren.
    1. Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.
    2. Klicken Sie auf > Verbundene VPC.
    3. Klicken Sie unter Dienstzugriff auf Aktivieren neben S3 Endpoint.
  4. Erstellen Sie in VMC Console eine Compute-Gateway-Firewallregel, um HTTPS-Zugriff auf die verbundene Amazon VPC zuzulassen.
    1. Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gateway-Firewall.
    2. Klicken Sie auf der Seite GATEWAY-FIREWALL auf Computing-Gateway.
    3. Klicken Sie auf REGEL HINZUFÜGEN und fügen Sie eine Regel mit den folgenden Parametern hinzu, wobei Arbeitslast-CIDR der CIDR-Block für das Segment ist, das die Arbeitslast-VMs benötigen, die auf S3 zugreifen müssen.
      Quellen Ziele Dienste Angewendet auf Aktion
      Arbeitslast-CIDR S3-Präfixe HTTPS VPC-Schnittstelle Zulassen

Ergebnisse

Arbeitslast-VMs in Ihrem SDDC können über eine HTTPS-Verbindung auf Dateien im S3-Bucket zugreifen.