Vous pouvez déployer une instance EC2 dans votre VPC Amazon connecté et configurer des stratégies de sécurité AWS et des règles de pare-feu de passerelle de calcul afin de l'autoriser à se connecter à vos machines virtuelles de charge de travail.

Bien que cette rubrique se concentre sur l'activation du trafic entre vos charges de travail de SDDC et une instance d'EC2 dans le VPC connecté, les modifications détaillées dans Étape 2 et Étape 3 activent également le trafic entre l'instance d'EC2 et le réseau de gestion du SDDC. Des modifications similaires apportées au groupe de sécurité AWS doivent activer la connectivité du SDDC à n'importe quel service AWS natif accessible à une adresse IP dans le CIDR principal du VPC connecté.

Le groupe de sécurité AWS par défaut dans le VPC connecté contrôle le trafic des instances EC2 du VPC vers les machines virtuelles dans le SDDC. Ce trafic doit également traverser le pare-feu de la passerelle de calcul (et le pare-feu distribué si vous l'utilisez). Tous ces contrôles doivent être configurés pour permettre la mise en place du trafic, sans quoi la connexion ne peut pas être établie.

Lorsque vous déployez une instance EC2, l'Assistant de lancement EC2 l'associe à un nouveau groupe de sécurité, sauf si vous avez spécifié un autre groupe. Un nouveau groupe de sécurité AWS autorise tout le trafic sortant à partir de l'instance, mais aucun trafic entrant vers cette instance. Pour autoriser une connexion entre une instance EC2 et une machine virtuelle dans votre SDDC, vous devez généralement uniquement créer des règles entrantes.
  • Pour permettre d'initier le trafic à partir de l'instance EC2 vers une machine virtuelle dans le SDDC, créez une règle entrante sur le groupe de sécurité par défaut.
  • Pour permettre d'initier le trafic depuis la machine virtuelle vers l'instance EC2, créez une règle entrante sur le groupe de sécurité appliqué à l'instance EC2.
L'article  76577 de la base de connaissances VMware contient des informations supplémentaires qui s'appliquent lorsque le groupe de sécurité AWS par défaut a une règle Autoriser tout manquante ou modifiée pour le trafic sortant.

Gardez à l'esprit que lorsque vous utilisez le groupe de sécurité AWS par défaut avec l'instance, ses règles entrantes sont appliquées au trafic lorsqu'il transite par l'instance EC2 et lorsqu'il transite par le SDDC. Pour permettre au trafic initié par la machine virtuelle dans le SDDC ou l'instance EC2 d'atteindre l'autre, les règles entrantes doivent autoriser le trafic entrant à partir de l'instance EC2 et de la machine virtuelle.

Conditions préalables

Pour effectuer cette tâche, vous aurez besoin des informations suivantes :
  • Les blocs CIDR des segments de réseaux auxquels les machines virtuelles de votre SDDC sont connectées. Ouvrez NSX Manager et cliquez sur Segments pour répertorier tous les segments de réseau SDDC.
  • Le VPC et le sous-réseau Amazon connectés. Ouvrez NSX Manager et cliquez sur VPC connecté pour ouvrir la page Amazon VPC connecté, qui fournit ces informations sous ID de VPC et Sous-réseau VPC.
  • Si vous avez activé une liste de préfixes gérés pour le VPC connecté, ouvrez la page VPC connecté de NSX Manager et récupérez le nom de la liste de préfixes, l'ID et les tables de routage qui l'incluent. Vous aurez besoin de ces informations pour terminer Étape e. Pour plus d'informations sur les listes de préfixes gérés et la manière de les utiliser, reportez-vous à la section Activer le mode Liste de préfixes gérés AWS pour le VPC Amazon connecté.
Ces informations sont accessibles également sous l'onglet Mise en réseau et sécurité de la Console VMware Cloud.

Procédure

  1. Déployez l'instance EC2 dans votre compte AWS.
    Prenez note des éléments suivants lors de la création de l'instance EC2 :
    • L'instance EC2 doit se trouver dans le VPC sélectionné lors du déploiement de votre SDDC, ou la connexion ne pourra pas être établie sur une adresse IP privée.
    • L'instance EC2 peut être déployée dans n'importe quel sous-réseau du VPC, mais vous pouvez faire l'objet de frais de trafic inter-zones de disponibilité s'il s'agit d'une zone de disponibilité autre que celle sélectionnée lors du déploiement de SDDC.
    • Si possible, sélectionnez un groupe de sécurité pour votre instance EC2 possédant déjà une règle de trafic entrant configurée comme décrit à la section Étape 2.
    • Les services ou les instances d'AWS qui communiquent avec le SDDC doivent être associés à la table de routage principale ou à une table de routage personnalisée disposant de la liste de préfixes gérés pour le VPC connecté. Reportez-vous à la section « Routage entre votre SDDC et le VPC connecté » dans Concepts de mise en réseau NSX pour plus d'informations sur l'utilisation d'une liste de préfixes gérés AWS pour simplifier la maintenance de cette table de routage lorsque vous créez ou supprimez des segments de réseau routés connectés à la passerelle de calcul (CGW) par défaut.
    • Les machines virtuelles de charge de travail dans le SDDC peuvent communiquer sur la connexion ENI avec tous les sous-réseaux du bloc CIDR principal du VPC connecté. VMC ignore les autres blocs CIDR du VPC.
  2. Ajoutez des règles entrantes au groupe de sécurité appliqué à l'instance. Sélectionnez l'instance EC2 que vous avez déployée dans Étape 1 et configurez son groupe de sécurité pour autoriser le trafic entrant à partir du réseau logique ou de l'adresse IP associée à la machine virtuelle dans votre SDDC.
    1. Sélectionnez l'instance que vous avez déployée dans Étape 1.
    2. Dans la description de l'instance, cliquez sur le groupe de sécurité de l'instance et cliquez sur l'onglet Entrant.
    3. Cliquez sur Modifier.
    4. Cliquez sur Ajouter une règle.
    5. Dans le menu déroulant Type, sélectionnez le type de trafic que vous souhaitez autoriser.
    6. Dans la zone de texte Source, sélectionnez Personnalisé et entrez les adresses IP ou le bloc CIDR des machines virtuelles dans le SDDC qui doivent communiquer avec l'instance, ou spécifiez simplement la liste de préfixes gérés pour le VPC connecté si vous en avez créé une.
    7. (Facultatif) Ajoutez des règles si nécessaire pour les blocs CIDR supplémentaires ou le type de trafic que vous souhaitez connecter à l'instance à partir de machines virtuelles dans votre SDDC.
    8. Cliquez sur Enregistrer.
  3. (Facultatif) Si vous devez autoriser le trafic initié par l'instance que vous avez déployée dans Étape 1 vers une machine virtuelle dans votre SDDC, modifiez le groupe de sécurité par défaut pour le VPC Amazon connecté afin d'ajouter des règles entrantes qui identifient les instances par un bloc CIDR ou un groupe de sécurité.
    1. Dans la console AWS, sélectionnez le groupe de sécurité par défaut pour le VPC Amazon connecté et cliquez sur l'onglet Entrant.
    2. Cliquez sur Modifier.
    3. Cliquez sur Ajouter une règle.
    4. Dans le menu déroulant Type, sélectionnez le type de trafic que vous souhaitez autoriser.
    5. Dans la zone de texte Source, sélectionnez Personnalisé et entrez les adresses IP ou le bloc CIDR des machines virtuelles dans le SDDC qui doivent communiquer avec l'instance.
      Si toutes les machines virtuelles sont associées au même groupe d'inventaire SDDC, vous pouvez spécifier ce groupe comme étant la source plutôt que d'utiliser une adresse IP ou un bloc CIDR.
    6. (Facultatif) Ajoutez des règles si nécessaire pour les blocs CIDR supplémentaires ou le type de trafic que vous souhaitez connecter à l'instance à partir de machines virtuelles dans votre SDDC.
    7. Cliquez sur Enregistrer.
  4. Configurez les règles de pare-feu de la passerelle de calcul nécessaires.
    Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de calcul dans Mise en réseau et sécurité de VMware Cloud on AWS.
    • Pour autoriser le trafic entrant à partir des instances dans le VPC Amazon connecté, créez une règle dans laquelle la Source est Préfixes de VPC connecté et la Destination est un groupe d'inventaire contenant les machines virtuelles qui nécessitent un accès entrant à partir de l'instance.
    • Pour autoriser le trafic sortant vers des instances du VPC Amazon connecté, créez une règle dans laquelle la Source est un groupe d'inventaire contenant les machines virtuelles qui nécessitent un accès sortant à l'instance et la Destination est Préfixes de VPC connecté.
    Note : Dans les deux cas, vous pouvez limiter le trafic vers ou depuis un sous-ensemble d'instances EC2 en définissant un groupe d'inventaire de charge de travail dans votre SDDC qui inclut uniquement les adresses IP ou les blocs CIDR de ces instances.
  5. (Facultatif) Configurez des règles de pare-feu distribué.
    Si une machine virtuelle qui communique avec l'instance est protégée par le pare-feu distribué, vous devrez peut-être ajuster les règles de ce pare-feu pour autoriser le trafic attendu. Reportez-vous à la section Ajouter ou modifier des règles de pare-feu distribué.