Puede implementar una instancia de EC2 en la instancia conectada de Amazon VPC, y configurar reglas de firewall de puerta de enlace de cómputo y directivas de seguridad de AWS para permitir una conexión entre dicha instancia y las máquinas virtuales en el SDDC.

El grupo de seguridad de AWS predeterminado en la instancia de VPC conectada controla el tráfico que proviene de instancias de EC2 en la VPC y se dirige a máquinas virtuales en el SDDC. Este tráfico también debe pasar por el firewall de la puerta de enlace de cómputo (y, si se usa uno, por el firewall distribuido). Para establecer la conexión, todos estos controles deben configurarse para permitir el tráfico previsto.

Cuando se implementa una instancia de EC2, el asistente de inicio de EC2 la asocia a un nuevo grupo de seguridad, a menos que se haya especificado otro grupo. Un nuevo grupo de seguridad de AWS permite todo el tráfico que sale de la instancia, pero no el que entra a ella. Para permitir una conexión entre una instancia de EC2 y una máquina virtual en el SDDC, generalmente solo es necesario crear reglas de entrada.
  • Para permitir que el tráfico se inicie en la instancia de EC2 y se dirija a una máquina virtual en el SDDC, cree una regla de entrada en el grupo de seguridad predeterminado.
  • Para permitir que el tráfico se inicie en la máquina virtual y se dirija a la instancia de EC2, cree una regla de entrada en el grupo de seguridad que se aplica a la instancia de EC2.
En el artículo 76577 de la base de conocimientos de VMware, se ofrece información adicional que se aplica a los casos en los que falte una regla para permitir todo en el grupo de seguridad de AWS predeterminado para el tráfico saliente, o bien en los que dicha regla esté alterada.

Tenga en cuenta que, cuando se utiliza el grupo de seguridad predeterminado de AWS con la instancia, sus reglas de entrada se aplican al tráfico cuando pasa por la instancia de EC2 o cuando pasa por el SDDC. Si desea que el tráfico iniciado por la máquina virtual en el SDDC o por la instancia de EC2 pueda ir de una a la otra, las reglas de entrada deben permitir el tráfico entrante que viene de la instancia de EC2 y el que viene de la máquina virtual.

Requisitos previos

Para completar esta tarea, necesita la siguiente información:

  • Los bloques CIDR de los segmentos de red a los que están conectadas las máquinas virtuales en el SDDC. Haga clic en Segmentos en la pestaña Redes y seguridad para enumerar todos los segmentos.
  • La subred y la instancia de Amazon VPC conectadas. Haga clic en VPC conectada en la categoría Sistema de la pestaña Redes y seguridad para abrir la página Amazon VPC conectada, donde encontrará esta información en Identificador de VPC y Subred de VPC.

Procedimiento

  1. Implemente la instancia de EC2 en su cuenta de AWS.
    Tenga en cuenta lo siguiente al crear la instancia de EC2:
    • La instancia de EC2 debe estar en la instancia de VPC que seleccionó durante la implementación del SDDC para que se pueda establecer una conexión a través de una dirección IP privada.
    • La instancia de EC2 puede implementarse en cualquier subred dentro de la nube virtual privada (virtual private cloud, VPC), pero puede derivar en gastos de tráfico cruzado de zonas de disponibilidad (Availability Zone, AZ) si se trata de una zona de disponibilidad diferente de la que seleccionó durante la implementación del centro de datos definido por software (software defined datacenter, SDDC).
    • Si es posible, seleccione un grupo de seguridad para la instancia de EC2 que ya tenga una regla de tráfico entrante configurada, como se describe en Paso 2.
    • Las subredes de VPC que se utilizan para el SDDC, así como las subredes de VPC en las que los servicios o las instancias de AWS se comunican con el SDDC, deben estar asociadas a la tabla de rutas principal de la VPC.
    • Las máquinas virtuales de carga de trabajo en el SDDC se pueden comunicar a través de la conexión de ENI con todas las subredes del bloque CIDR principal de la instancia de VPC conectada. VMC no detecta otros bloques CIDR en la instancia de VPC.
  2. Agregue reglas de entrada al grupo de seguridad aplicado a la instancia. Seleccione la instancia de EC2 que implementó en Paso 1 y configure su grupo de seguridad para permitir el tráfico entrante desde la red lógica o la dirección IP asociada a la máquina virtual en el SDDC.
    1. Seleccione la instancia que implementó en Paso 1.
    2. En la descripción de la instancia, haga clic en el grupo de seguridad de la instancia y en la pestaña Entrante.
    3. Haga clic en Editar.
    4. Haga clic en Agregar regla.
    5. En el menú desplegable Tipo, seleccione el tipo de tráfico que desea permitir.
    6. En el cuadro de texto Origen, seleccione Personalizado e introduzca las direcciones IP o el bloque CIDR de las máquinas virtuales en el SDDC que deben comunicarse con la instancia.
    7. (opcional) Agregue las reglas que necesite para más bloques CIDR o el tipo de tráfico que desee conectar a la instancia desde las máquinas virtuales del SDDC.
    8. Haga clic en Guardar.
  3. (opcional) Si necesita permitir el tráfico iniciado por la instancia que implementó en Paso 1 a una máquina virtual en el SDDC, edite el grupo de seguridad predeterminado de la instancia de Amazon VPC conectada para agregar reglas de entrada que identifiquen las instancias por bloque CIDR o por grupo de seguridad.
    1. En la consola de AWS, seleccione el grupo de seguridad predeterminado de la instancia de Amazon VPC conectada y haga clic en la pestaña Entrante.
    2. Haga clic en Editar.
    3. Haga clic en Agregar regla.
    4. En el menú desplegable Tipo, seleccione el tipo de tráfico que desea permitir.
    5. En el cuadro de texto Origen, seleccione Personalizado e introduzca las direcciones IP o el bloque CIDR de las máquinas virtuales en el SDDC que deben comunicarse con la instancia.
      Si todas las máquinas virtuales están asociadas al mismo grupo de inventario de SDDC, puede especificar ese grupo como Origen en lugar de utilizar una dirección IP o un bloque CIDR.
    6. (opcional) Agregue las reglas que necesite para más bloques CIDR o el tipo de tráfico que desee conectar a la instancia desde las máquinas virtuales del SDDC.
    7. Haga clic en Guardar.
  4. Configure las reglas de firewall de puerta de enlace de cómputo que sean necesarias.
    Consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo en Redes y seguridad de VMware Cloud on AWS.
    • Para permitir el tráfico entrante desde las instancias de la instancia de Amazon VPC conectada, cree una regla donde Origen sea Prefijos de VPC conectada y donde Destino sea un grupo de inventario que contiene las máquinas virtuales que requieren acceso entrante desde la instancia.
    • Para permitir el tráfico saliente desde las instancias de la instancia de Amazon VPC conectada, cree una regla donde Origen sea un grupo de inventario que contiene las máquinas virtuales que requieren acceso saliente desde la instancia y donde Destino sea Prefijos de VPC conectada.
    Nota: En cualquier caso, el tráfico hacia o desde un subconjunto de instancias de EC2 se puede limitar; para ello, defina un grupo de inventario de carga de trabajo en el SDDC que incluya solo las direcciones IP o los bloques CIDR de dichas instancias.
  5. (opcional) Configure reglas de firewall distribuido.
    Si alguna de las máquinas virtuales que se comunican con la instancia está protegida por un firewall distribuido, es posible que deba ajustar las reglas de ese firewall para permitir el tráfico esperado. Consulte Agregar o modificar reglas de firewall distribuido.