Vous pouvez utiliser VMware Transit Connect pour attacher un VPC AWS à un groupe de SDDC. Cela simplifie les connexions réseau entre les SDDC du groupe et les services AWS qui s'exécutent dans ce VPC.

Bien que VMware Transit Connect gère tout le trafic réseau de calcul et de gestion entre les membres du groupe de SDDC, il ne configure pas automatiquement les tables de routage AWS pour envoyer le trafic provenant d'un VPC externe ou d'un autre objet AWS vers la VTGW du groupe de SDDC. Les topologies réseau qui nécessitent ce type de connectivité incluent la création d'un « VPC de sécurité » via lequel tout le trafic entre le groupe de SDDC et Internet est routé pour inspection, ainsi que toute exigence similaire pour activer la communication entre les objets AWS et les membres du groupe de SDDC. Ce type de topologie réseau nécessite que vous définissiez les routes de destination pour le trafic de la VTGW du groupe de SDDC vers le VPC, comme indiqué dans Étape 8.

L'attachement d'un VPC au groupe de SDDC est un processus en plusieurs étapes qui nécessite que vous utilisiez la Console VMware Cloud et la console AWS. Vous devez utiliser la Console VMware Cloud pour rendre la passerelle VTGW (une ressource AWS gérée par VMware) disponible pour le partage. Vous devez ensuite utiliser la console AWS pour accepter la ressource partagée et l'associer aux VPC que vous souhaitez attacher au groupe de SDDC.

Procédure

  1. Sur la page Inventaire de la Console VMware Cloud, cliquez sur Groupes de SDDC, puis sur le Nom du groupe auquel vous souhaitez attacher le VPC.
  2. Dans l'onglet VPC externe du groupe, cliquez sur AJOUTER UN COMPTE et spécifiez le compte AWS auquel appartient le VPC que vous souhaitez attacher au groupe.
    Cela permet d'activer le partage de ressources AWS dans ce compte pour la passerelle VTGW.
  3. Dans la console AWS, ouvrez Gestionnaire d'accès aux ressource > Partagé avec moi pour accepter la ressource VTGW partagée.
    La ressource Nom est au format VMC-Group-UUID et a l' État En attente. Cliquez sur le nom de la ressource pour ouvrir la carte Résumé de la ressource, puis cliquez sur Accepter le partage de ressources et confirmez l'acceptation.
  4. Dans la Console VMware Cloud, revenez à l'onglet Connectivité VPC pour le groupe et attendez que le partage de ressources que vous avez accepté dans Étape 3 passe de l'État EN COURS D'ASSOCIATION à ASSOCIÉ.
    L'association de ressource VPC peut prendre jusqu'à dix minutes. Une fois l'association de VPC terminée, vous pouvez attacher la passerelle VTGW.
  5. Revenez au Gestionnaire d'accès aux ressources de la console AWS pour trouver l'ID de la ressource VTGW partagée.
    Elle est répertoriée sous l'option Partagé avec moi : Ressources partagées, avec un ID de ressource au format TGW-UUID et le Type de ressource ec2:TransitGateway.
  6. Créez l'association à la passerelle de transit.
    1. Sélectionnez l'ID de passerelle de transit identifié dans Étape 5 et spécifiez le Type d'association VPC, puis sélectionnez l'ID de VPC que vous souhaitez connecter au groupe de SDDC.
    2. Dans chaque zone de disponibilité qui nécessite une connectivité au groupe, sélectionnez un ID de sous-réseau.
      Vous ne pouvez sélectionner qu'un seul sous-réseau par zone de disponibilité, mais les membres du groupe de SDDC peuvent communiquer avec tous les sous-réseaux de VPC dans cette zone de disponibilité.
    3. Si le VPC est un VPC FSx, comme décrit dans la section Configurer Amazon FSx pour NetApp ONTAP en tant que stockage externe, vous devez également sélectionner Prise en charge de DNS.
    4. Cliquez sur Créer une association à la passerelle de transit pour créer l'association.
  7. Dans la Console VMware Cloud, revenez à l'onglet VPC externe du groupe et choisissez d'ACCEPTER l'association du VPC partagé.

    Lorsque l'état du VPC passe à EN COURS D'ACCEPTATION, cliquez sur ACCEPTER pour l'accepter. L'état passe à DISPONIBLE une fois le processus d'acceptation terminé. Cette opération peut durer jusqu'à dix minutes.

  8. Configurez des routes supplémentaires vers le VPC.

    Dans la console AWS, identifiez les tables de routage associées à tous les sous-réseaux dans le VPC connecté à l'instance partagée de VTGW qui doivent communiquer avec le groupe de SDDC. Dans l'onglet Routes de la table de routage, cliquez sur Modifier les routes et ajoutez tous les CIDR du groupe de SDDC en tant que destination avec la cible définie sur l'ID de VTGW que vous avez identifié dans Étape 5. La liste des CIDR pour le groupe de SDDC est disponible dans la console VMC du groupe de SDDC dans l'onglet Routage, en sélectionnant Externe dans le menu déroulant Table de routage.

    Plutôt que de modifier manuellement les routes, envisagez de créer une liste de préfixes gérés et de l'ajouter à la table de routage principale associée au VPC. Reportez-vous à la section Utiliser une liste de préfixes partagés pour simplifier le routage des objets VPC et TGW externes.

  9. (Facultatif) Configurez des routes de destination supplémentaires vers le VPC.
    Lorsque vous créez un groupe de SDDC, le système crée des routes pour le CIDR principal du VPC et tous les CIDR secondaires. Si vous avez besoin que des destinations au-delà du VPC soient acheminées via celui-ci (ce dont vous pouvez avoir besoin pour un VPC de sécurité ou un VPC de transit), vous pouvez définir des blocs CIDR supplémentaires à acheminer vers le VPC attaché.

    Pour créer ou modifier le routage de la VTGW du groupe vers le VPC externe, ouvrez l'onglet VPC externe et sélectionnez l'ID de compte AWS propriétaire du VPC, puis développez la ligne. Si aucune route n'a été spécifiée, cliquez sur AJOUTER DES ROUTES dans la colonne Routes pour ouvrir la page Modifier les routes et ajoutez une ou plusieurs routes qui utilisent ce VPC comme Cible. Sinon, la colonne Routes affiche la première route et le nombre de routes supplémentaires. Cliquez sur l'icône en forme de crayon (icône en forme de crayon) pour ouvrir la page Modifier les routes afin de pouvoir modifier cette liste. Chaque préfixe définit une route entre la VTGW du groupe et le VPC répertorié dans la colonne ID de VPC. Chaque préfixe s'affiche également en tant que cible dans l'onglet Routage du groupe. Vous pouvez spécifier jusqu'à 100 routes vers chaque VPC attaché.

Que faire ensuite

  • Dans la console AWS, créez des ACL réseau pour gérer le trafic entre les VPC que vous avez ajoutés au groupe et les autres membres du groupe. Si vous souhaitez accéder à un service AWS qui s'exécute dans le VPC, vous devrez peut-être modifier la stratégie de sécurité AWS pour ce service. Pour obtenir un exemple de configuration de stratégie de sécurité AWS pour le service S3, reportez-vous à la section Accéder à un compartiment S3 à l'aide d'un point de terminaison S3.