Vous pouvez accéder à un compartiment S3 dans votre VPC AWS connecté en créant un point de terminaison S3.

La connectivité S3 via le VPC connecté requiert le déploiement d'un point de terminaison S3 dans le VPC connecté et sa configuration sur la table de routage principale. Pour plus d'informations, reportez-vous à l'article de la zone technique VMware Cloud Designlet : VPC VMware Cloud on AWS connecté à AWS natif.

Procédure

  1. Créez un point de terminaison S3.
    Reportez-vous aux rubriques Points de terminaison VPC de passerelle et Points de terminaison pour Amazon S3 dans le Guide de l'utilisateur d'Amazon Virtual Private Cloud.
    1. Pour Catégorie de service, sélectionnez Services AWS.
    2. Sous Nom du service, sélectionnez un service com.amazonaws.region-AZ.s3 de type Passerelleregion-AZ correspond à la région et AZ à la zone de disponibilité dans laquelle votre SDDC se trouve. Par exemple, com.amazonaws.us-west-2.s3.
    3. Dans le menu déroulant VPC, sélectionnez le VPC connecté à votre SDDC.
    4. Sous Configurer les tables de routage, sélectionnez l'ID de table de routage pour lequel la valeur de la colonne Principale est Oui. Cette table de routage est utilisée par le SDDC et doit également être associée au sous-réseau VPC auquel le SDDC est connecté.
      Les services ou les instances d'AWS qui communiquent avec le SDDC doivent être associés à la table de routage principale ou à une table de routage personnalisée disposant de la liste de préfixes gérés pour le VPC connecté. Reportez-vous à la section « Routage entre votre SDDC et le VPC connecté » dans Concepts de mise en réseau NSX pour plus d'informations sur l'utilisation d'une liste de préfixes gérés AWS pour simplifier la maintenance de cette table de routage lorsque vous créez ou supprimez des segments de réseau routés connectés à la passerelle de calcul (CGW) par défaut.
    5. Sous Stratégie, sélectionnez la stratégie Accès complet par défaut ou créez-en une plus restrictive. Reportez-vous à la rubrique Points de terminaison pour Amazon S3 dans le Guide de l'utilisateur d'Amazon Virtual Private Cloud. Le trafic vers S3 depuis le SDDC aura son adresse IP source connectée en NAT à une adresse IP depuis le sous-réseau sélectionné dans le déploiement de SDDC, de sorte qu'une stratégie doit autoriser le trafic provenant de ce sous-réseau.
    6. Cliquez sur Créer un point de terminaison pour créer le point de terminaison et ajouter des routes pour les plages d'adresses IP publiques S3 dans la région à la table de routage principale.
  2. (Facultatif) Configurez le groupe de sécurité pour votre VPC Amazon connecté à autoriser le trafic sortant vers le segment de réseau associé à la machine virtuelle dans votre SDDC.
    Le groupe de sécurité par défaut autorise ce trafic, vous n'aurez donc pas à suivre cette étape, sauf si vous avez précédemment personnalisé le groupe de sécurité par défaut.
    1. Dans la console AWS, sélectionnez le groupe de sécurité par défaut pour le VPC Amazon connecté et cliquez sur l'onglet Sortant.
    2. Cliquez sur Modifier.
    3. Cliquez sur Ajouter une règle.
    4. Dans le menu déroulant Type, sélectionnez HTTPS.
    5. Dans la zone de texte Destination, sélectionnez la liste de préfixes associée au point de terminaison S3.
      Vous pouvez trouver cette liste de préfixes dans la carte Liste de préfixes gérés du VPC. Si vous voyez plusieurs listes de préfixes ici, choisissez une liste spécifique de la région qui contient le service S3 qui vous intéresse.
    6. Cliquez sur Enregistrer.
  3. Assurez-vous que l'accès à S3 via l'interface réseau élastique est activé.
    Par défaut, l'accès S3 via l'interface réseau élastique dans le VPC Amazon connecté est activé. Si vous avez désactivé cet accès pour autoriser l'accès S3 via la passerelle Internet, vous devez le réactiver.
    1. Connectez-vous à la Console VMware Cloud à l'adresse https://vmc.vmware.com.
    2. Cliquez sur > VPC connecté
    3. Sous Accès aux services, cliquez sur Activer en regard de Point de terminaison S3.
  4. Utilisez le workflow défini dans Ajouter ou modifier des règles de pare-feu de passerelle de calcul pour créer une règle de pare-feu de passerelle de calcul afin d'autoriser l'accès HTTPS au dispositif Amazon VPC connecté.

    Cet exemple montre comment utiliser NSX Manager pour créer des groupes d'inventaire et des règles de pare-feu. Vous pouvez également utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour ce workflow. Reportez-vous à la section Administration du réseau SDDC avec NSX Manager.

    1. Sur la page Pare-feu de passerelle, cliquez sur Passerelle de calcul.
    2. Cliquez sur AJOUTER UNE RÈGLE et ajoutez une règle avec les paramètres suivants, où Workload-CIDR est le bloc CIDR du segment sur lequel les machines virtuelles de charge de travail doivent accéder à S3.
      Sources Destinations Services Appliqué à Action
      Workload-CIDR Préfixes S3 HTTPS Interface VPC Autoriser

Résultats

Les machines virtuelles de charge de travail de votre SDDC peuvent accéder à des fichiers du compartiment S3 sur une connexion HTTPS.