Sie können auf einen S3-Bucket in Ihrem verbundenen AWS-VPC zugreifen, indem Sie einen S3-Endpoint erstellen.
Für die S3-Konnektivität über die verbundene VPC muss ein S3-Endpoint in der verbundenen VPC bereitgestellt und in der Hauptroutentabelle konfiguriert werden. Weitere Informationen finden Sie im VMware Cloud Tech Zone-Artikel Designlet: VMware Cloud on AWS Connected VPC to Native AWS.
Prozedur
- Erstellen Sie einen S3-Endpont.
Weitere Informationen finden Sie unter Gateway-VPC-Endpoints und Endpoints für Amazon S3 im Benutzerhandbuch zu Amazon Virtual Private Cloud.
- Wählen Sie als Dienstkategorie AWS-Dienste aus.
- Wählen Sie unter Dienstname einen
com.amazonaws.
region-AZ.s3
-Dienst vom Typ Gateway aus, wobei region-AZ der Region und der AZ entspricht, in der sich Ihr SDDC befindet. Beispiel:com.amazonaws.us-west-2.s3
. - Wählen Sie im Dropdown-Menü VPC die VPC aus, die mit Ihrem SDDC verbunden ist.
- Wählen Sie unter Routentabellen konfigurieren die Routentabellen-ID aus, bei der der Wert in der Spalte Haupt Ja ist. Diese Routentabelle wird von dem SDDC verwendet und sollte auch dem VPC-Subnetz zugeordnet werden, mit dem das SDDC verbunden ist.
AWS-Dienste oder -Instanzen, die mit dem SDDC kommunizieren, müssen entweder mit der Hauptroutentabelle oder mit einer benutzerdefinierten Routentabelle, der die verwaltete Präfixliste für die verbundene VPC hinzugefügt wurde, zugeordnet sein. Unter „Routing zwischen Ihrem SDDC und der verbundenen VPC“ unter NSX-Netzwerkkonzepte finden Sie Informationen dazu, wie Sie eine verwaltete AWS-Präfixliste verwenden können, um die Wartung dieser Routentabelle zu vereinfachen, wenn Sie geroutete Netzwerksegmente, die mit dem Standard-CGW verbunden sind, erstellen oder löschen.
- Unter Richtlinie wählen Sie die standardmäßige Richtlinie „Vollzugriff“ aus oder erstellen Sie eine restriktivere Richtlinie. Weitere Informationen finden Sie unter Endpoints für Amazon S3 im Benutzerhandbuch zur Amazon Virtual Private Cloud. Die Quell-IP-Adresse des Datenverkehrs vom SDDC zu S3 wird per NAT an eine IP-Adresse aus dem Subnetz weitergeleitet, die bei der SDDC-Bereitstellung ausgewählt wird. Alle Richtlinien müssen daher den Datenverkehr aus diesem Subnetz zulassen.
- Klicken Sie auf Endpoint erstellen, um den Endpoint zu erstellen und Routen für die öffentlichen S3-IP-Bereiche in der Region zur Hauptroutentabelle hinzuzufügen.
- (Optional) Konfigurieren Sie die Sicherheitsgruppe für die verbundene Amazon-VPC, um Datenverkehr zu dem Netzwerksegment zuzulassen, das mit der VM im SDDC verknüpft ist.
Die Standardsicherheitsgruppe lässt diesen Datenverkehr zu. Sie müssen also diesen Schritt nicht durchführen, es sei denn, Sie haben die Standardsicherheitsgruppe zuvor angepasst.
- Wählen Sie in der AWS-Konsole die Standardsicherheitsgruppe für die verbundene Amazon-VPC aus und klicken Sie auf die Registerkarte Ausgehend.
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Regel hinzufügen.
- Wählen Sie im Dropdown-Menü Typ die Option HTTPS aus.
- Wählen Sie im Textfeld Ziel die Präfixliste aus, die dem S3-Endpoint zugeordnet ist.
Sie finden diese Präfixliste auf der Karte Verwaltete Präfixlisten der VPC. Wenn hier mehrere Präfixlisten angezeigt werden, wählen Sie eine speziell für die Region aus, die den S3-Dienst enthält, an dem Sie interessiert sind.
- Klicken Sie auf Speichern.
- Stellen Sie sicher, dass der Zugriff auf S3 über die elastische Netzwerkschnittstelle aktiviert ist.
Standardmäßig ist der Zugriff auf S3 über die elastische Netzwerkschnittstelle auf dem verbundenen Amazon-VPC aktiviert. Wenn Sie diesen Zugriff für S3 über das Internet-Gateway deaktiviert haben, müssen Sie ihn erneut aktivieren.
- Melden Sie sich bei der VMware Cloud-Konsole unter https://vmc.vmware.com an.
- Klicken Sie auf > Verbundene VPC.
- Klicken Sie unter Dienstzugriff auf Aktivieren neben S3 Endpoint.
- Verwenden Sie den in Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway definierten Workflow, um eine Computing-Gateway-Firewallregel zu erstellen, die HTTPS-Zugriff auf die verbundene Amazon-VPC zulässt.
In diesem Beispiel wird die Verwendung von NSX Manager zum Erstellen von Bestandslistengruppen und Firewallregeln gezeigt. Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
- Klicken Sie auf der Seite Gateway-Firewall auf Computing-Gateway.
- Klicken Sie auf REGEL HINZUFÜGEN und fügen Sie eine Regel mit den folgenden Parametern hinzu, wobei Arbeitslast-CIDR der CIDR-Block für das Segment ist, das die Arbeitslast-VMs benötigen, die auf S3 zugreifen müssen.
Quellen Ziele Dienste Angewendet auf Aktion Arbeitslast-CIDR S3-Präfixe HTTPS VPC-Schnittstelle Zulassen
Ergebnisse
Arbeitslast-VMs in Ihrem SDDC können über eine HTTPS-Verbindung auf Dateien im S3-Bucket zugreifen.