Der SDDC-Bereitstellungsprozess umfasst die Verknüpfung von AWS-Konten. Für neue Kunden oder solche, die nur einige wenige SDDCs erstellen möchten, ist der Prozess einfach und erfordert in der Regel wenig oder gar keine Auseinandersetzung mit den zugrunde liegenden AWS-Objekten und -Protokollen. Administratoren, die mehrere SDDCs bereitstellen, benötigen möglicherweise ein besseres Verständnis der Details des Prozesses sowie der beteiligten AWS-Rollen und Berechtigungen.

Informationen zur AWS-Kontoverknüpfung

Die VMware Cloud on AWS CloudFormation-Vorlage (CFT) wird in der AWS-Region US West (Oregon) ausgeführt. Dies hat keine Auswirkung darauf, wo die resultierenden SDDCs erstellt werden, da die erforderlichen Berechtigungen in allen Regionen gültig sind, aber das AWS-Konto, das die CFT ausführt, darf nicht durch AWS Service Control Policies (SCP) vom Zugriff auf die Region Oregon ausgeschlossen sein. Sobald die CFT geladen ist, können Sie sie bearbeiten, um die Region zu ändern, falls erforderlich. Sie können den CFT in jeder beliebigen Region durchführen, sollten aber ein internes Dokument aufbewahren, aus dem hervorgeht, wo er durchgeführt wurde. Wenn Ihre Organisation keine Mitglieder hat, die auf die Region Oregon zugreifen können, können Sie das CFT entweder über den Link herunterladen, der bereitgestellt wird, wenn Sie auf AWS-KONSOLE MIT CLOUDFORMATION-VORLAGE ÖFFNEN klicken, oder diesen Link an einen AWS-Administrator senden, damit dieser ihn ausführt, da die Verknüpfung eines AWS-Kontos mit einer VMC-Organisation nur einmal erfolgt.

Als Teil der Kontoverknüpfung und regelmäßig während des laufenden SDDC-Betriebs nimmt das verknüpfte AWS-Konto eine Bestandsliste der VPCs und Subnetze des Unternehmens in allen Regionen auf, damit es über eine aktuelle Liste der AWS-Regionen und AZs verfügt, die dem Unternehmen zur Verfügung stehen. Dieser Vorgang kann fehlschlagen, wenn das Konto durch SCP für den Zugriff auf diese Regionen oder VPCs eingeschränkt ist. Diese Art von Fehler ist akzeptabel, wenn die eingeschränkten Regionen und VPCs nicht von VMware Cloud on AWS verwendet werden.

Wir empfehlen, vor der Verknüpfung von Konten in jedem AZ ein Subnetz anzulegen. Selbst wenn Sie später ein Teilnetz erstellen, steht ein AZ, das zum Zeitpunkt der Verknüpfung des Kontos kein Teilnetz hat, für die künftige Verwendung durch VMware Cloud on AWS nicht zur Verfügung, bis ein vom System initiierter erneuter Scan durchgeführt wird. Sie können einen erneuten Scan initiieren, indem Sie die CFT erneut ausführen. Wir empfehlen dies jedoch nicht für Unternehmen, die bereits verbunden sind und SDDCs bereitgestellt haben.

Weitere Informationen zur Kontoverknüpfung finden Sie im VMware Cloud Tech Zone Designlet VMware Cloud on AWS Connected VPC to Native AWS. Informationen zum Aufheben der Verknüpfung eines Kontos finden Sie im VMware Knowledge Base-Artikel 83400.

Von der Kontoverknüpfung verwendete AWS-Rollen

Jedes Mal, wenn Sie die VMware Cloud on AWS-CFT ausführen, wird ein neuer Satz von AWS-Rollen definiert und Ihre VMware Cloud on AWS-Organisation aktualisiert, um diese Rollen für zukünftige SDDC-Bereitstellungen zu verwenden. Die CFT gewährt mindestens einem AWS-Konto, das sich im Besitz von VMware befindet, Zugriff auf diese Rollen in Ihrem AWS-Konto:
Tabelle 1. Von der Kontoverknüpfung verwendete AWS-Rollen
Rollenname Vertrauenswürdige Entitäten Verwendet für
vmware-sddc-formation-********-*-RemoteRoleService-********* 347******669 VMware Cloud on AWS verwendet diese Konten zum Abfragen von AWS-Ressourcen wie Subnetzen und VPCs sowie für die ENI-Erstellung und -Zuordnung während der SDDC-Bereitstellung oder der Hosterweiterungen.
vmware-sddc-formation-********-***-RemoteRolePayer-********* 909******262
vmware-sddc-formation-********-****-***-RemoteRole-************* Eine 12-stellige AWS-Konto-ID, die für jede Organisation eindeutig ist. VMware Cloud on AWS verwendet dieses Konto für laufende Vorgänge wie z. B. das Aktualisieren von Routentabellen, wenn Segmente hinzugefügt oder entfernt werden oder ein(e) NSX Edge-Migration oder -Failover stattfindet.
Bestehende SDDCs verwenden weiterhin die Rollen, die bei der Erstellung des SDDCs definiert wurden. Dies kann dazu führen, dass mehrere Rollensätze (und CFTs) in Ihrem AWS-Konto aktiv sind und das Löschen einer dieser Rollen Auswirkungen auf die SDDCs hat, die sie verwenden. Die von einem SDDC verwendeten IAM-Rollen und CFT werden in NSX Manager auf der Seite Verbundene VPC angezeigt (sowie auf der Registerkarte Netzwerk und Sicherheit zum SDDC).

Die von der CFT erstellten IAM-Rollen gewähren den VMware AWS-Konten, die vom VMware Cloud on AWS Service für eine bestimmte AWS-Richtlinie verwendet werden, AWS AssumeRole-Rechte. Diese Richtlinie wird von AWS definiert und verwaltet, und aus Sicherheitsgründen hat VMware keine Rechte, sie zu ändern. Wenn Sie diese Rollen ändern oder löschen, wird die Kontoverbindung unterbrochen, die Kommunikation mit der verbundenen VPC schlägt fehl, und Sie können keine neuen SDDCs mehr bereitstellen oder neue Hosts zu bestehenden SDDCs hinzufügen, die mit diesem Konto verknüpft sind. Wenden Sie sich an den VMware Support, um Abhilfe zu schaffen.

AWS-Rollen und -Berechtigungen

Um die CloudFormation-Vorlage auszuführen, die eine VMware Cloud on AWS-Organisation mit einer AWS VPC verknüpft, muss Ihr AWS-Konto über die Berechtigungen verfügen, die unter Zum Ausführen der CFT erforderliche AWS-Berechtigungen aufgeführt sind. Die Kontoverknüpfung richtet den AWS AssumeRole-Zugriff auf die AWS-definierte Richtlinie AmazonVPCCrossAccountNetworkInterfaceOperations für die VMware-eigenen Konten ein, die im Abschnitt Von der Kontoverknüpfung verwendete AWS-Rollen genannt werden. Damit werden die Berechtigungen erteilt, die unter Für den laufenden SDDC-Betrieb erforderliche AWS-Berechtigungen aufgeführt sind.

Zum Ausführen der CFT erforderliche AWS-Berechtigungen

Das Konto, das diese Vorlage ausführt, muss über diese Berechtigungen verfügen.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}
Für den laufenden SDDC-Betrieb erforderliche AWS-Berechtigungen
Nach Abschluss der Kontoverknüpfung werden nur noch diese (über die IAM-Rollen gewährten) Berechtigungen benötigt.
Wichtig:

Sie dürfen keine dieser Rollen und Berechtigungen ändern. Wenn Sie dies tun, ist Ihr SDDC nicht mehr funktionsfähig.

Um das zugehörige Dokument "Berechtigungen für Richtlinien" anzuzeigen, melden Sie sich bei der AWS-Konsole an und öffnen Sie https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. Hier ist die zusammenfassende Beschreibung dieser Richtlinie.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Da VMware Cloud on AWS diese AWS-Rechte für die SDDC-Bereitstellung und laufende Vorgänge wie Routing-Tabellen-Updates und Host-Austausche benötigt, müssen Sie dafür sorgen, dass die Rollen die AWS AssumeRole-Funktion nach Bedarf nutzen können und nicht durch AWS-Funktionen wie Control Tower Guardrails oder Service Control Policies (SCP) blockiert werden. Die IAM-Rollen erfordern nur einen minimalen Satz von Berechtigungen, die von AWS in der Richtlinie AmazonVPCCrossAccountNetworkInterfaceOperations verwaltet werden. Dies ist der einzige Zugriff, der von den durch die Vorlage erstellten IAM-Rollen gewährt wird.

Hinweis:

Die CFT erstellt auch eine Lambda-Funktion und gewährt ihr Zugriff auf die Beschreibung von VPCs, Routentabellen und Subnetzen im Konto sowie die Rechte zum Erstellen von Protokollen. Diese Lambda-Funktion wird nur ein einziges Mal bei Ausführung der CFT verwendet. Der Zweck besteht darin, den Abschluss des Cloud-Formation-Stacks bei VMware zu registrieren und die ARNs der erstellten Rollen bereitzustellen. Wenn das Konto registriert wurde und im Dropdown-Steuerelement AWS-Konto auswählen während des Bereitstellen eines SDDC von der VMC-Konsole-Workflows angezeigt wird, können Sie bei Bedarf die Lambda-Funktion NotifyOfStatus und die vmware-sddc-formation-******-*****-BasicLambdaRole-******-Rolle löschen.