Puede implementar una instancia de EC2 en la instancia conectada de Amazon VPC, y configurar reglas de firewall de puerta de enlace de cómputo y directivas de seguridad de AWS para permitir conectarse con sus máquinas virtuales de carga de trabajo.

Aunque este tema se centra en habilitar el tráfico entre las cargas de trabajo del SDDC y una instancia de EC2 en la VPC conectada, las modificaciones detalladas en Paso 2 y Paso 3 también habilitan el tráfico entre la instancia de EC2 y la red de administración del SDDC. Las modificaciones similares del grupo de seguridad de AWS deben habilitar la conectividad del SDDC con todos los servicios de AWS nativos a los que se pueda acceder desde una dirección IP en el CIDR principal de la VPC conectada.

El grupo de seguridad de AWS predeterminado en la instancia de VPC conectada controla el tráfico que proviene de instancias de EC2 en la VPC y se dirige a máquinas virtuales en el SDDC. Este tráfico también debe pasar por el firewall de la puerta de enlace de cómputo (y, si se usa uno, por el firewall distribuido). Para establecer la conexión, todos estos controles deben configurarse para permitir el tráfico previsto.

Cuando se implementa una instancia de EC2, el asistente de inicio de EC2 la asocia a un nuevo grupo de seguridad, a menos que se haya especificado otro grupo. Un nuevo grupo de seguridad de AWS permite todo el tráfico que sale de la instancia, pero no el que entra a ella. Para permitir una conexión entre una instancia de EC2 y una máquina virtual en el SDDC, generalmente solo es necesario crear reglas de entrada.
  • Para permitir que el tráfico se inicie en la instancia de EC2 y se dirija a una máquina virtual en el SDDC, cree una regla de entrada en el grupo de seguridad predeterminado.
  • Para permitir que el tráfico se inicie en la máquina virtual y se dirija a la instancia de EC2, cree una regla de entrada en el grupo de seguridad que se aplica a la instancia de EC2.
En el artículo 76577 de la base de conocimientos de VMware, se ofrece información adicional que se aplica a los casos en los que falte una regla para permitir todo en el grupo de seguridad de AWS predeterminado para el tráfico saliente, o bien en los que dicha regla esté alterada.

Tenga en cuenta que, cuando se utiliza el grupo de seguridad predeterminado de AWS con la instancia, sus reglas de entrada se aplican al tráfico cuando pasa por la instancia de EC2 o cuando pasa por el SDDC. Si desea que el tráfico iniciado por la máquina virtual en el SDDC o por la instancia de EC2 pueda ir de una a la otra, las reglas de entrada deben permitir el tráfico entrante que viene de la instancia de EC2 y el que viene de la máquina virtual.

Requisitos previos

Para completar esta tarea, necesitará la siguiente información:
  • Los bloques CIDR de los segmentos de red a los que están conectadas las máquinas virtuales en el SDDC. Abra NSX Manager y haga clic en Segmentos para enumerar todos los segmentos de red del SDDC.
  • La subred y la instancia de Amazon VPC conectadas. Abra NSX Manager y haga clic en VPC conectada para abrir la página Amazon VPC conectada, que proporciona esta información en ID de VPC y Subred de VPC.
  • Si habilitó una lista de prefijos administrados para la VPC conectada, abra la página VPC conectada de NSX Manager y recupere el nombre de la lista de prefijos, el ID y las tablas de rutas que la incluyen. Necesitará esta información para completar Paso e. Consulte Habilitar el modo de lista de prefijos administrados de AWS para la instancia de Amazon VPC conectada para obtener más información sobre las listas de prefijos administrados y cómo utilizarlas.
Esta información también está disponible en la pestaña heredada Consola de VMware Cloud Redes y seguridad.

Procedimiento

  1. Implemente la instancia de EC2 en su cuenta de AWS.
    Tenga en cuenta lo siguiente al crear la instancia de EC2:
    • La instancia de EC2 debe estar en la instancia de VPC que seleccionó durante la implementación del SDDC para que se pueda establecer una conexión a través de una dirección IP privada.
    • La instancia de EC2 puede implementarse en cualquier subred dentro de la nube virtual privada (virtual private cloud, VPC), pero puede derivar en gastos de tráfico cruzado de zonas de disponibilidad (Availability Zone, AZ) si se trata de una zona de disponibilidad diferente de la que seleccionó durante la implementación del centro de datos definido por software (software defined datacenter, SDDC).
    • Si es posible, seleccione un grupo de seguridad para la instancia de EC2 que ya tenga una regla de tráfico entrante configurada, como se describe en Paso 2.
    • Las instancias o los servicios de AWS que se comunican con el SDDC deben estar asociadas a la tabla de rutas principal o a una tabla de rutas personalizada que tenga agregada la lista de prefijos administrados para la VPC conectada. Consulte "Enrutamiento entre el SDDC y la instancia de VPC conectada" en Conceptos de redes NSX para obtener información sobre cómo utilizar una lista de prefijos administrados de AWS para simplificar el mantenimiento de esta tabla de rutas al crear o eliminar segmentos de red enrutados conectados a la CGW predeterminada.
    • Las máquinas virtuales de carga de trabajo en el SDDC se pueden comunicar a través de la conexión de ENI con todas las subredes del bloque CIDR principal de la instancia de VPC conectada. VMC no detecta otros bloques CIDR en la instancia de VPC.
  2. Agregue reglas de entrada al grupo de seguridad aplicado a la instancia. Seleccione la instancia de EC2 que implementó en Paso 1 y configure su grupo de seguridad para permitir el tráfico entrante desde la red lógica o la dirección IP asociada a la máquina virtual en el SDDC.
    1. Seleccione la instancia que implementó en Paso 1.
    2. En la descripción de la instancia, haga clic en el grupo de seguridad de la instancia y en la pestaña Entrante.
    3. Haga clic en Editar.
    4. Haga clic en Agregar regla.
    5. En el menú desplegable Tipo, seleccione el tipo de tráfico que desea permitir.
    6. En el cuadro de texto Origen, seleccione Personalizado e introduzca las direcciones IP o el bloque CIDR de las máquinas virtuales del SDDC que necesitan comunicarse con la instancia, o solo especifique la lista de prefijos administrados para la VPC conectada si creó una.
    7. (opcional) Agregue las reglas que necesite para más bloques CIDR o el tipo de tráfico que desee conectar a la instancia desde las máquinas virtuales del SDDC.
    8. Haga clic en Guardar.
  3. (opcional) Si necesita permitir el tráfico iniciado por la instancia que implementó en Paso 1 a una máquina virtual en el SDDC, edite el grupo de seguridad predeterminado de la instancia de Amazon VPC conectada para agregar reglas de entrada que identifiquen las instancias por bloque CIDR o por grupo de seguridad.
    1. En la consola de AWS, seleccione el grupo de seguridad predeterminado de la instancia de Amazon VPC conectada y haga clic en la pestaña Entrante.
    2. Haga clic en Editar.
    3. Haga clic en Agregar regla.
    4. En el menú desplegable Tipo, seleccione el tipo de tráfico que desea permitir.
    5. En el cuadro de texto Origen, seleccione Personalizado e introduzca las direcciones IP o el bloque CIDR de las máquinas virtuales en el SDDC que deben comunicarse con la instancia.
      Si todas las máquinas virtuales están asociadas al mismo grupo de inventario de SDDC, puede especificar ese grupo como Origen en lugar de utilizar una dirección IP o un bloque CIDR.
    6. (opcional) Agregue las reglas que necesite para más bloques CIDR o el tipo de tráfico que desee conectar a la instancia desde las máquinas virtuales del SDDC.
    7. Haga clic en Guardar.
  4. Configure las reglas de firewall de puerta de enlace de cómputo que sean necesarias.
    Consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo en Redes y seguridad de VMware Cloud on AWS.
    • Para permitir el tráfico entrante desde las instancias de la instancia de Amazon VPC conectada, cree una regla donde Origen sea Prefijos de VPC conectada y donde Destino sea un grupo de inventario que contiene las máquinas virtuales que requieren acceso entrante desde la instancia.
    • Para permitir el tráfico saliente desde las instancias de la instancia de Amazon VPC conectada, cree una regla donde Origen sea un grupo de inventario que contiene las máquinas virtuales que requieren acceso saliente desde la instancia y donde Destino sea Prefijos de VPC conectada.
    Nota: En cualquier caso, el tráfico hacia o desde un subconjunto de instancias de EC2 se puede limitar; para ello, defina un grupo de inventario de carga de trabajo en el SDDC que incluya solo las direcciones IP o los bloques CIDR de dichas instancias.
  5. (opcional) Configure reglas de firewall distribuido.
    Si alguna de las máquinas virtuales que se comunican con la instancia está protegida por un firewall distribuido, es posible que deba ajustar las reglas de ese firewall para permitir el tráfico esperado. Consulte Agregar o modificar reglas de firewall distribuido.