Puede acceder a un contenedor S3 de la VPC de AWS conectada mediante la creación de un endpoint S3.
La conectividad de S3 a través de la VPC conectada requiere que se implemente un endpoint S3 en la VPC conectada y se configure en la tabla de rutas principal. Para obtener más información, consulte el artículo de VMware Cloud Tech Zone Designlet: VMware Cloud on AWS Connected VPC to Native AWS.
Procedimiento
- Cree un endpoint S3.
Consulte Puntos de conexión de la VPC de gateway y Puntos de enlace para Amazon S3 en la Guía del usuario de Amazon Virtual Private Cloud.
- Para Categoría de servicio, seleccione los servicios de AWS.
- En Nombre del servicio, seleccione un servicio
com.amazonaws.
region-AZ.s3
del tipo Puerta de enlace en el que region-AZ coincide con la región y la zona de disponibilidad es las que se encuentra el SDDC. Por ejemplo,com.amazonaws.us-west-2.s3
. - En el menú desplegable VPC, seleccione la VPC que está conectada al SDDC.
- En Configurar tablas de rutas, seleccione el Identificador de la tabla de rutas en el que el valor de la columna Principal sea Sí. El SDDC utiliza la tabla de rutas y también debe asociarse con la subred de la VPC a la que está conectado el SDDC.
Las instancias o los servicios de AWS que se comunican con el SDDC deben estar asociadas a la tabla de rutas principal o a una tabla de rutas personalizada que tenga agregada la lista de prefijos administrados para la VPC conectada. Consulte "Enrutamiento entre el SDDC y la instancia de VPC conectada" en Conceptos de redes NSX para obtener información sobre cómo utilizar una lista de prefijos administrados de AWS para simplificar el mantenimiento de esta tabla de rutas al crear o eliminar segmentos de red enrutados conectados a la CGW predeterminada.
- En Directiva, seleccione la directiva predeterminada de pleno acceso o cree una más restrictiva. Consulte Puntos de enlace para Amazon S3 en la Guía del usuario de Amazon Virtual Private Cloud. La IP de origen del tráfico a S3 proveniente del SDDC se reescribirá mediante NAT como una IP de la subred seleccionada en la implementación del SDDC, por lo que todas las directivas deben permitir el tráfico de esa subred.
- Haga clic en Crear endpoint para crear el endpoint y agregar rutas para los rangos de IP públicas de S3 en la región a la tabla de rutas principal.
- (opcional) Configure el grupo de seguridad para la instancia de Amazon VPC conectada con el fin de permitir el tráfico saliente hacia el segmento de red asociado con la máquina virtual del SDDC.
El grupo de seguridad predeterminado permite este tráfico, por lo que no es necesario realizar este paso, a menos que haya personalizado previamente el grupo de seguridad predeterminado.
- En la consola de AWS, seleccione el grupo de seguridad predeterminado para la instancia conectada de Amazon VPC y haga clic en la pestaña Saliente.
- Haga clic en Editar.
- Haga clic en Agregar regla.
- En el menú desplegable Tipo, seleccione HTTPS.
- En el cuadro de texto Destino, seleccione la lista de prefijos asociados con el endpoint S3.
Puede encontrar esta lista de prefijos en la tarjeta Listas de prefijos administradas de la VPC. Si ve varias listas de prefijos aquí, elija una que sea específica para la región que contiene el servicio S3 que le interesa.
- Haga clic en Guardar.
- Asegúrese de que el acceso a S3 a través de la interfaz de red flexible esté habilitado.
De forma predeterminada, el acceso a S3 a través de la interfaz de red flexible en la VPC de Amazon conectada está habilitado. Si deshabilitó esta opción con el fin de permitir el acceso a S3 a través de la puerta de enlace de Internet, debe volver a habilitarla.
- Inicie sesión en la Consola de VMware Cloud en https://vmc.vmware.com.
- Haga clic en > VPC conectada.
- En Acceso al servicio, haga clic en Habilitar junto a Endpoint S3.
- Utilice el flujo de trabajo definido en Agregar o modificar reglas de firewall de puerta de enlace de cómputo para crear una regla de firewall de puerta de enlace de cómputo a fin de permitir el acceso HTTPS a la Amazon VPC conectada.
En este ejemplo se muestra cómo utilizar NSX Manager para crear grupos de inventario y reglas de firewall. También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo. Consulte Administración de redes de SDDC con NSX Manager.
- En la página Firewall de puerta de enlace, haga clic en Puerta de enlace de cómputo.
- Haga clic en AGREGAR REGLA y agregue una regla con los siguientes parámetros, donde Workload-CIDR es el bloque CIDR del segmento que las máquinas virtuales de carga de trabajo necesitan para acceder a S3.
Orígenes Destinos Servicios Se aplica a Acción Workload-CIDR Prefijos S3 HTTPS Interfaz de VPC Permitir
Resultados
Las máquinas virtuales de carga de trabajo del SDDC pueden acceder a los archivos en el contenedor S3 a través de una conexión HTTPS.