È possibile utilizzare VMware Transit Connect per collegare un VPC AWS a un gruppo di SDDC. Ciò semplifica le connessioni di rete tra gli SDDC del gruppo e i servizi AWS eseguiti in tale VPC.

Anche se VMware Transit Connect gestisce tutto il traffico della rete di elaborazione e gestione tra i membri del gruppo di SDDC, non configura automaticamente le tabelle di route di AWS per inviare il traffico proveniente da un VPC esterno o da un altro oggetto AWS al VTGW del gruppo di SDDC. Le topologie di rete che richiedono questo tipo di connettività includono la creazione di un "VPC di sicurezza" attraverso cui viene instradato tutto il traffico tra il gruppo di SDDC e Internet per l'ispezione e qualsiasi altro requisito simile per consentire la comunicazione tra gli oggetti AWS e i membri del gruppo di SDDC. Questo tipo di topologia di rete richiede la definizione delle route di destinazione per il traffico dal VTGW del gruppo di SDDC al VPC, come illustrato in Passaggio 8.

Il collegamento di un VPC al gruppo di SDDC è un processo in più fasi che richiede l'utilizzo sia della Console di VMware Cloud sia della console AWS. Utilizzare la Console di VMware Cloud per rendere disponibili alla condivisione i VTGW (una risorsa AWS gestita da VMware). Utilizzare quindi la console di AWS per accettare la risorsa condivisa e associarla ai VPC che si desidera collegare al gruppo di SDDC.

Procedura

  1. Nella pagina Inventario di Console di VMware Cloud, fare clic su Gruppi di SDDC e quindi sul Nome del gruppo a cui si desidera collegare il VPC.
  2. Nella scheda VPC esterno del gruppo, fare clic su AGGIUNGI ACCOUNT e specificare l'account AWS proprietario del VPC che si desidera collegare al gruppo.
    In tal modo si abilita la condivisione delle risorse AWS in tale account per VTGW.
  3. Nella console AWS, aprire il Manager di accesso risorse > Condivise con me per accettare la risorsa VTGW condivisa.
    Il Nome della risorsa presenta il formato VMC-Group-UUID e uno Stato In sospeso. Fare clic sul nome della risorsa per aprire la scheda Riepilogo della risorsa, quindi selezionare Accetta condivisione risorsa e confermare l'accettazione.
  4. Nella Console di VMware Cloud, tornare alla scheda Connettività VPC per il gruppo e attendere che lo Stato della condivisione di risorsa accettata in Passaggio 3 cambi da ASSOCIAZIONE IN CORSO ad ASSOCIATO.
    L'associazione di risorse VPC può richiedere fino a dieci minuti. Una volta completata l'associazione di VPC, è possibile collegare il VTGW.
  5. Tornare al Manager di accesso risorse della console AWS per trovare l'ID risorsa della risorsa VTGW condivisa.
    Verrà elencata in Condivisa con me: Risorse condivise con un ID risorsa con formato TGW-UUID e un Tipo di risorsa di ec2:TransitGateway.
  6. Creare il collegamento del gateway di transito.
    1. Selezionare l'ID gateway di transito identificato in Passaggio 5 e specificare un Tipo di collegamento di VPC, quindi selezionare l'ID VPC che si desidera connettere al gruppo di SDDC.
    2. Selezionare un ID subnet in ogni zona di disponibilità (ZD) che richiede la connettività al gruppo.
      È possibile selezionare una sola subnet per ZD, ma i membri del gruppo dell'SDDC possono comunicare con tutte le subnet VPC in tale ZD.
    3. Se il VPC è un VPC FSx, come descritto in Configurazione di Amazon FSx for NetApp ONTAP come storage esterno, è necessario selezionare anche il supporto DNS.
    4. Fare clic su Crea collegamento gateway di transito per creare il collegamento.
  7. Nella Console di VMware Cloud, tornare alla scheda VPC esterno per il gruppo e ACCETTA il collegamento VPC condiviso.

    Quando lo stato del VPC passa a IN_ATTESA_DI_ACCETTAZIONE, fare clic su ACCETTA per accettarlo. Lo stato diventa DISPONIBILE una volta completato il processo di accettazione. L'accettazione può richiedere fino a dieci minuti.

  8. Configurare route aggiuntive verso il VPC.

    Nella console AWS, identificare le tabelle di routing associate a tutte le subnet nel VPC connesso al VTGW condiviso e che devono comunicare con il gruppo di SDDC. Nella scheda Route della tabella di routing, fare clic su Modifica route e aggiungere eventuali CIDR nel gruppo di SDDC come destinazione, con la destinazione impostata sull'ID VTGW identificato nella Passaggio 5. L'elenco dei CIDR per il gruppo di SDDC si trova nella console di VMC per il gruppo di SDDC nella scheda Routing selezionando Esterno nel menu a discesa Tabella di route.

    In alternativa alla modifica manuale delle route, è consigliabile creare un elenco di prefissi gestiti e aggiungerlo alla tabella di route principale associata al VPC. Vedere Utilizzo di un elenco di prefissi condiviso per semplificare il routing per gli oggetti VPC e TGW esterni.

  9. (Facoltativo) Configurare route di destinazione aggiuntive per il VPC.
    Quando si crea un gruppo di SDDC, il sistema crea route per il CIDR primario del VPC e per tutti i CIDR secondari. Se sono necessarie destinazioni oltre al VPC instradato tramite il CIDR (potrebbe essere necessario per un VPC di sicurezza o un VPC di transito), è possibile definire blocchi CIDR aggiuntivi da instradare al VPC collegato.

    Per creare o modificare il routing dal VTGW del gruppo al VPC esterno, aprire la scheda VPC esterno, selezionare l'ID account AWS proprietario del VPC ed espandere la riga. Se non è stata specificata alcuna route, fare clic su AGGIUNGI ROUTE nella colonna Route per aprire la pagina Modifica route e aggiungere una o più route che utilizzano questo VPC come Destinazione. Diversamente, la colonna Route indica la prima route e il numero di route aggiuntive. Fare clic sull'icona a forma di matita (Icona a forma di matita) per aprire la pagina Modifica route e modificare l'elenco. Ogni prefisso definisce una route dal VTGW del gruppo al VPC elencato nella colonna ID VPC. Questo prefisso viene visualizzato anche come Destinazione nella scheda Routing del gruppo. È possibile specificare fino a 100 route per ogni VPC collegato.

Operazioni successive

  • Nella console AWS, creare ACL di rete per gestire il traffico tra i VPC aggiunti al gruppo e gli altri membri del gruppo. Se si desidera accedere a un servizio AWS in esecuzione nel VPC, potrebbe essere necessario modificare il criterio di protezione di AWS per il servizio. Vedere Accesso a un bucket S3 tramite un endpoint S3 per un esempio di configurazione del criterio di sicurezza di AWS per il servizio S3.