Puede utilizar una VMware Transit Connect para adjuntar una VPC de AWS a un grupo de SDDC. Esto simplifica las conexiones de red entre los SDDC del grupo y los servicios de AWS que se ejecutan en esa VPC.

Aunque VMware Transit Connect controla todo el tráfico de red de administración y la computación entre los miembros del grupo de SDDC, no configura automáticamente las tablas de rutas de AWS para enviar el tráfico que se origina desde una VPC externa u otro objeto de AWS a la instancia de VTGW del grupo de SDDC. Las topologías de red que requieren este tipo de conectividad incluyen la creación de una "VPC de seguridad" a través de la cual se enruta para su inspección todo el tráfico entre el grupo de SDDC e Internet, y tienen otros requisitos similares para permitir la comunicación entre los objetos de AWS y los miembros del grupo de SDDC. Este tipo de topología de red requiere que defina las rutas de destino para el tráfico desde la VTGW del grupo de SDDC a la VPC, como se muestra en Paso 8

La conexión de una VPC al grupo de SDDC es un proceso de varios pasos que requiere la utilización de la Consola de VMware Cloud y la consola de AWS. Utilice la Consola de VMware Cloud para que la VTGW (un recurso de AWS administrado por VMware) esté disponible para compartir. A continuación, utilice la consola de AWS para aceptar el recurso compartido y asociarlo a las VPC que desea asociar al grupo de SDDC.

Procedimiento

  1. En la página Inventario de la Consola de VMware Cloud, haga clic en Grupos de SDDC y, a continuación, haga clic en el nombre del grupo al que desea asociar la VPC.
  2. En la pestaña VPC externa del grupo, haga clic en AGREGAR CUENTA y especifique la cuenta de AWS que posee la VPC que desea asociar al grupo.
    Esto habilita el uso compartido de recursos de AWS en esa cuenta para la VTGW.
  3. En la consola de AWS, abra Administrador de acceso de recursos > Compartido conmigo para aceptar el recurso compartido de VTGW.
    El recurso Nombre tiene el formato VMC-Group-UUID y un Estado Pendiente. Haga clic en el nombre del recurso para abrir la tarjeta Resumen del recurso y, a continuación, haga clic en Aceptar recurso compartido y confirme la aceptación.
  4. En la Consola de VMware Cloud, vuelva a la pestaña Conectividad de VPC del grupo y espere a que el campo Estado del recurso compartido que aceptó en Paso 3 cambie de ASOCIANDO a ASOCIADO.
    La asociación de recursos de VPC puede tardar hasta diez minutos. Una vez completada la asociación de VPC, puede asociar la VTGW.
  5. Vuelva a Administrador de acceso de recursos en la consola de AWS para buscar el identificador de recurso del recurso compartido de VTGW.
    Aparecerá en Compartido conmigo: Recursos compartidos con un Identificador de recurso con el formato TGW-UUID y un Tipo de recurso de ec2:TransitGateway.
  6. Cree la asociación de puerta de enlace de tránsito.
    1. Seleccione el Identificador de puerta de enlace de tránsito identificado en Paso 5 y especifique un Tipo de asociación de VPC, y seleccione el Identificador de VPC que desee conectar al grupo de SDDC.
    2. Seleccione un Identificador de subred en cada zona de disponibilidad (Availability Zone, AZ) que requiera conectividad con el grupo.
      Solo puede seleccionar una subred por AZ, pero los miembros del grupo de SDDC pueden comunicarse con todas las subredes de VPC de esa AZ.
    3. Si la VPC es una VPC FSx como se describe en Configurar Amazon FSx para NetApp ONTAP como almacenamiento externo, también debe seleccionar Compatibilidad con DNS.
    4. Haga clic en Crear asociación de puerta de enlace de tránsito para crear la asociación.
  7. En Consola de VMware Cloud, vuelva a la pestaña VPC externa del grupo y haga clic para ACEPTAR la asociación de VPC compartida.

    Cuando el estado de la VPC cambie a PENDING_ACCEPTANCE, haga clic en ACEPTAR para aceptarlo. El estado cambia a DISPONIBLE después de que se complete el proceso de aceptación. La aceptación puede tardar hasta 10 minutos.

  8. Configure rutas adicionales a la VPC.

    En la consola de AWS, identifique las tablas de rutas asociadas con cualquier subred de la VPC conectada a la VTGW compartida y que necesite comunicarse con el grupo de SDDC. En la pestaña Rutas de la tabla de rutas, haga clic en Editar rutas y agregue los CIDR del grupo de SDDC como destino con el destino establecido en el identificador de VTGW que identificó en Paso 5. La lista de CIDR para el grupo de SDDC se puede encontrar en la consola de VMC para el grupo de SDDC en la pestaña Enrutamiento si selecciona Externo en el menú desplegable Tabla de rutas.

    Como alternativa a la edición manual de las rutas, considere la posibilidad de crear una lista de prefijos administrados y agregarla a la tabla de rutas principal asociada con la VPC. Consulte Usar una lista de prefijos compartidos para simplificar el enrutamiento de objetos de VPC y TGW externos.

  9. (opcional) Configure rutas de destino adicionales a la VPC.
    Cuando se crea un grupo de SDDC, el sistema crea rutas para el CIDR principal de la VPC y cualquier CIDR secundario. Si necesita tener destinos más allá de la VPC enrutada a través de ella (algo que podría necesitar para una VPC de seguridad o una VPC de tránsito), puede definir bloques CIDR adicionales para enrutar a la VPC asociada.

    Para crear o modificar el enrutamiento desde la VTGW del grupo a la VPC externa, abra la pestaña VPC externa y seleccione el Identificador de cuenta de AWS que posee la VPC y expanda la fila. Si no se especificó ninguna ruta, haga clic en AGREGAR RUTAS en la columna Rutas para abrir la página Editar rutas y agregar una o varias rutas que utilicen esta VPC como Destino. De lo contrario, la columna Rutas muestra la primera ruta y el número de rutas adicionales. Haga clic en el icono de lápiz (icono de lápiz) para abrir la página Editar rutas a fin de poder editar esta lista. Cada prefijo define una ruta desde la VTGW del grupo hasta la VPC que se muestra en la columna ID de VPC. Cada prefijo también aparece como un Destino en la pestaña Enrutamiento del grupo. Puede especificar hasta 100 rutas a cada VPC asociada.

Qué hacer a continuación

  • En la consola de AWS, cree ACL de red para administrar el tráfico entre las VPC que agregó al grupo y otros miembros del grupo. Si desea acceder a un servicio de AWS que se ejecuta en la VPC, es posible que deba modificar la directiva de seguridad de AWS para el servicio. Consulte Acceder a un contenedor S3 mediante un endpoint S3 para obtener un ejemplo de configuración de la directiva de seguridad de AWS para el servicio S3.