Vous pouvez déployer une instance EC2 dans votre VPC Amazon connecté et configurer des stratégies de sécurité AWS et des règles de pare-feu de passerelle de calcul afin d'autoriser une connexion entre cette instance et des machines virtuelles de votre SDDC.

Le groupe de sécurité AWS par défaut dans le VPC connecté contrôle le trafic des instances EC2 du VPC vers les machines virtuelles dans le SDDC. Ce trafic doit également traverser le pare-feu de la passerelle de calcul (et le pare-feu distribué si vous l'utilisez). Tous ces contrôles doivent être configurés pour permettre la mise en place du trafic, sans quoi la connexion ne peut pas être établie.

Lorsque vous déployez une instance EC2, l'Assistant de lancement EC2 l'associe à un nouveau groupe de sécurité, sauf si vous avez spécifié un autre groupe. Un nouveau groupe de sécurité AWS autorise tout le trafic sortant à partir de l'instance, mais aucun trafic entrant vers cette instance. Pour autoriser une connexion entre une instance EC2 et une machine virtuelle dans votre SDDC, vous devez généralement uniquement créer des règles entrantes.
  • Pour permettre d'initier le trafic à partir de l'instance EC2 vers une machine virtuelle dans le SDDC, créez une règle entrante sur le groupe de sécurité par défaut.
  • Pour permettre d'initier le trafic depuis la machine virtuelle vers l'instance EC2, créez une règle entrante sur le groupe de sécurité appliqué à l'instance EC2.
L'article  76577 de la base de connaissances VMware contient des informations supplémentaires qui s'appliquent lorsque le groupe de sécurité AWS par défaut a une règle Autoriser tout manquante ou modifiée pour le trafic sortant.

Gardez à l'esprit que lorsque vous utilisez le groupe de sécurité AWS par défaut avec l'instance, ses règles entrantes sont appliquées au trafic lorsqu'il transite par l'instance EC2 et lorsqu'il transite par le SDDC. Pour permettre au trafic initié par la machine virtuelle dans le SDDC ou l'instance EC2 d'atteindre l'autre, les règles entrantes doivent autoriser le trafic entrant à partir de l'instance EC2 et de la machine virtuelle.

Conditions préalables

Pour exécuter cette tâche, vous avez besoin des informations suivantes :

  • Les blocs CIDR des segments de réseaux auxquels les machines virtuelles de votre SDDC sont connectées. Cliquez sur Segments dans l'onglet Mise en réseau et sécurité pour répertorier tous les segments.
  • Le VPC et le sous-réseau Amazon connectés. Cliquez sur VPC connecté dans la catégorie Système dans l'onglet Mise en réseau et sécurité pour ouvrir la page VPC Amazon connecté, qui fournit cette information sous ID du VPC et Sous-réseau VPC.

Procédure

  1. Déployez l'instance EC2 dans votre compte AWS.
    Prenez note des éléments suivants lors de la création de l'instance EC2 :
    • L'instance EC2 doit se trouver dans le VPC sélectionné lors du déploiement de votre SDDC, ou la connexion ne pourra pas être établie sur une adresse IP privée.
    • L'instance EC2 peut être déployée dans n'importe quel sous-réseau du VPC, mais vous pouvez faire l'objet de frais de trafic inter-zones de disponibilité s'il s'agit d'une zone de disponibilité autre que celle sélectionnée lors du déploiement de SDDC.
    • Si possible, sélectionnez un groupe de sécurité pour votre instance EC2 possédant déjà une règle de trafic entrant configurée comme décrit à la section Étape 2.
    • Le ou les sous-réseaux VPC utilisés pour le SDDC, ainsi que les sous-réseaux VPC sur lesquels les services AWS ou les instances d'AWS communiquent avec le SDDC doivent être associés à la table de routage principale du VPC.
    • Les machines virtuelles de charge de travail dans le SDDC peuvent communiquer sur la connexion ENI avec tous les sous-réseaux du bloc CIDR principal du VPC connecté. VMC ignore les autres blocs CIDR du VPC.
  2. Ajoutez des règles entrantes au groupe de sécurité appliqué à l'instance. Sélectionnez l'instance EC2 que vous avez déployée dans Étape 1 et configurez son groupe de sécurité pour autoriser le trafic entrant à partir du réseau logique ou de l'adresse IP associée à la machine virtuelle dans votre SDDC.
    1. Sélectionnez l'instance que vous avez déployée dans Étape 1.
    2. Dans la description de l'instance, cliquez sur le groupe de sécurité de l'instance et cliquez sur l'onglet Entrant.
    3. Cliquez sur Modifier.
    4. Cliquez sur Ajouter une règle.
    5. Dans le menu déroulant Type, sélectionnez le type de trafic que vous souhaitez autoriser.
    6. Dans la zone de texte Source, sélectionnez Personnalisé et entrez les adresses IP ou le bloc CIDR des machines virtuelles dans le SDDC qui doivent communiquer avec l'instance.
    7. (Facultatif) Ajoutez des règles si nécessaire pour les blocs CIDR supplémentaires ou le type de trafic que vous souhaitez connecter à l'instance à partir de machines virtuelles dans votre SDDC.
    8. Cliquez sur Enregistrer.
  3. (Facultatif) Si vous devez autoriser le trafic initié par l'instance que vous avez déployée dans Étape 1 vers une machine virtuelle dans votre SDDC, modifiez le groupe de sécurité par défaut pour le VPC Amazon connecté afin d'ajouter des règles entrantes qui identifient les instances par un bloc CIDR ou un groupe de sécurité.
    1. Dans la console AWS, sélectionnez le groupe de sécurité par défaut pour le VPC Amazon connecté et cliquez sur l'onglet Entrant.
    2. Cliquez sur Modifier.
    3. Cliquez sur Ajouter une règle.
    4. Dans le menu déroulant Type, sélectionnez le type de trafic que vous souhaitez autoriser.
    5. Dans la zone de texte Source, sélectionnez Personnalisé et entrez les adresses IP ou le bloc CIDR des machines virtuelles dans le SDDC qui doivent communiquer avec l'instance.
      Si toutes les machines virtuelles sont associées au même groupe d'inventaire SDDC, vous pouvez spécifier ce groupe comme étant la source plutôt que d'utiliser une adresse IP ou un bloc CIDR.
    6. (Facultatif) Ajoutez des règles si nécessaire pour les blocs CIDR supplémentaires ou le type de trafic que vous souhaitez connecter à l'instance à partir de machines virtuelles dans votre SDDC.
    7. Cliquez sur Enregistrer.
  4. Configurez les règles de pare-feu de la passerelle de calcul nécessaires.
    Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de calcul dans Mise en réseau et sécurité de VMware Cloud on AWS.
    • Pour autoriser le trafic entrant à partir des instances dans le VPC Amazon connecté, créez une règle dans laquelle la Source est Préfixes de VPC connecté et la Destination est un groupe d'inventaire contenant les machines virtuelles qui nécessitent un accès entrant à partir de l'instance.
    • Pour autoriser le trafic sortant vers des instances du VPC Amazon connecté, créez une règle dans laquelle la Source est un groupe d'inventaire contenant les machines virtuelles qui nécessitent un accès sortant à l'instance et la Destination est Préfixes de VPC connecté.
    Note : Dans les deux cas, vous pouvez limiter le trafic vers ou depuis un sous-ensemble d'instances EC2 en définissant un groupe d'inventaire de charge de travail dans votre SDDC qui inclut uniquement les adresses IP ou les blocs CIDR de ces instances.
  5. (Facultatif) Configurez des règles de pare-feu distribué.
    Si une machine virtuelle qui communique avec l'instance est protégée par le pare-feu distribué, vous devrez peut-être ajuster les règles de ce pare-feu pour autoriser le trafic attendu. Reportez-vous à la section Ajouter ou modifier des règles de pare-feu distribué.