È possibile distribuire un'istanza EC2 nell'Amazon VPC connesso, nonché configurare i criteri di protezione di AWS e le regole firewall del gateway di elaborazione per consentire una connessione tra le macchine virtuali nell'SDDC e tale istanza.

Il gruppo di sicurezza AWS predefinito nel VPC connesso controlla il traffico proveniente dalle istanze EC2 nel VPC rivolto verso macchine virtuali nell'SDDC. Questo traffico deve anche passare attraverso il firewall del gateway di elaborazione (e il firewall distribuito, se lo si utilizza). Tutti questi controlli devono essere configurati per consentire il traffico previsto. In caso contrario, la connessione non potrà essere stabilita.

Quando si distribuisce un'istanza EC2, la procedura guidata di avvio di EC2 la associa a un nuovo gruppo di sicurezza, a meno che non sia stato specificato un altro gruppo. Un nuovo gruppo di sicurezza AWS consente tutto il traffico in uscita dall'istanza e nessun traffico in entrata. Per consentire la connessione tra un'istanza EC2 e una macchina virtuale nell'SDDC, è solitamente necessario creare solo regole in entrata.
  • Per consentire l'avvio del traffico dall'istanza EC2 a una macchina virtuale nell'SDDC, creare una regola in entrata nel gruppo di sicurezza predefinito.
  • Per consentire l'avvio del traffico dalla macchina virtuale all'istanza EC2, creare una regola in entrata nel gruppo di sicurezza applicato all'istanza EC2.
L'articolo della Knowledge Base di VMware 76577 contiene informazioni aggiuntive applicabili ai casi in cui il gruppo di sicurezza AWS predefinito non contiene una regola allow-all mancante o modificata per il traffico in uscita.

Tenere presente che quando si utilizza il gruppo di sicurezza AWS predefinito con l'istanza, le relative regole in entrata vengono applicate al traffico sia quando esso transita nell'istanza EC2 sia quando transita nell'SDDC. Per consentire al traffico avviato dalla macchina virtuale nell'SDDC o dall'istanza EC2 di raggiungere un'altra macchina virtuale, le regole in entrata devono consentire il traffico in entrata sia dall'istanza EC2 che dalla macchina virtuale.

Prerequisiti

Per completare questa attività, sono necessarie le seguenti informazioni:

  • I blocchi CIDR dei segmenti di rete a cui sono connesse le macchine virtuali nell'SDDC. Fare clic su Segmenti nella scheda Rete e sicurezza per elencare tutti i segmenti.
  • L'Amazon VPC e la subnet connessi. Fare clic VPC connesso nella categoria Sistema della scheda Rete e sicurezza per aprire la pagina Amazon VPC connesso, la quale fornisce queste informazioni in ID VPC e Subnet VPC.

Procedura

  1. Distribuire l'istanza EC2 nell'account AWS.
    Durante la creazione dell'istanza EC2, tenere presente quanto segue:
    • L'istanza EC2 deve trovarsi nel VPC selezionato durante la distribuzione dell'SDDC. In caso contrario, non sarà possibile stabilire una connessione su un indirizzo IP privato.
    • L'istanza EC2 può essere distribuita in qualsiasi subnet all'interno del VPC. È tuttavia possibile che si verifichino addebiti per il traffico tra ZD se si tratta di una ZD diversa da quella selezionata durante la distribuzione dell'SDDC.
    • Se possibile, selezionare un gruppo di sicurezza per l'istanza EC2 in cui è già configurata una regola di traffico in entrata in base a quanto descritto in Passaggio 2.
    • Le subnet VPC utilizzate per l'SDDC, nonché tutte le subnet VPC su cui i servizi AWS o le istanze comunicano con l'SDDC, devono essere tutte associate alla tabella di route principale del VPC.
    • Le macchine virtuali del carico di lavoro nell'SDDC possono comunicare tramite la connessione ENI con tutte le subnet nel blocco CIDR primario del VPC connesso. Il VMC non è a conoscenza di altri blocchi CIDR nel VPC.
  2. Aggiungere regole in entrata al gruppo di sicurezza applicato all'istanza. Selezionare l'istanza EC2 distribuita in Passaggio 1 e configurarne il gruppo di sicurezza per consentire il traffico in entrata dalla rete logica o dall'indirizzo IP associato alla macchina virtuale nell'SDDC.
    1. Selezionare l'istanza distribuita in Passaggio 1.
    2. Nella descrizione dell'istanza, fare clic sul gruppo di sicurezza dell'istanza, quindi sulla scheda In entrata.
    3. Fare clic su Modifica.
    4. Fare clic su Aggiungi regola.
    5. Nel menu a discesa Tipo, selezionare il tipo di traffico che si desidera consentire.
    6. Nella casella di testo Origine, selezionare Personalizzato e immettere gli indirizzi IP o il blocco CIDR delle macchine virtuali nell'SDDC che dovrà comunicare con l'istanza.
    7. (Facoltativo) Aggiungere le regole in base alle proprie esigenze per ulteriori blocchi CIDR o per il tipo di traffico che si desidera connettere all'istanza dalle macchine virtuali nell'SDDC.
    8. Fare clic su Salva.
  3. (Facoltativo) Se è necessario consentire il traffico avviato dall'istanza distribuita in Passaggio 1 a una macchina virtuale nell'SDDC, modificare il gruppo di sicurezza predefinito per l'Amazon VPC connesso in modo da aggiungere regole in entrata che consentano di identificare le istanze in base al blocco CIDR o al gruppo di sicurezza.
    1. Nella console AWS, selezionare il gruppo di sicurezza predefinito per l'Amazon VPC connesso e fare clic sulla scheda In entrata.
    2. Fare clic su Modifica.
    3. Fare clic su Aggiungi regola.
    4. Nel menu a discesa Tipo, selezionare il tipo di traffico che si desidera consentire.
    5. Nella casella di testo Origine, selezionare Personalizzato e immettere gli indirizzi IP o il blocco CIDR delle macchine virtuali nell'SDDC che dovrà comunicare con l'istanza.
      Se tutte le macchine virtuali sono associate allo stesso gruppo di inventario dell'SDDC, è possibile specificare tale gruppo come Origine anziché utilizzare un indirizzo IP o un blocco CIDR.
    6. (Facoltativo) Aggiungere le regole in base alle proprie esigenze per ulteriori blocchi CIDR o per il tipo di traffico che si desidera connettere all'istanza dalle macchine virtuali nell'SDDC.
    7. Fare clic su Salva.
  4. Configurare le regole firewall del gateway di elaborazione necessarie.
    Vedere Aggiunta o modifica delle regole del firewall del gateway di elaborazione in Rete e sicurezza di VMware Cloud on AWS.
    • Per consentire il traffico in entrata dalle istanze nell'Amazon VPC connesso, creare una regola in cui l'origine sia Prefissi VPC connessi e la destinazione sia un gruppo di inventario contenente le macchine virtuali che richiedono l'accesso in entrata dall'istanza.
    • Per consentire il traffico in uscita verso le istanze nell'Amazon VPC connesso, creare una regola in cui l'origine sia un gruppo di inventario contenente le macchine virtuali che richiedono l'accesso in uscita all'istanza e in cui la destinazione siano i prefissi VPC connessi.
    Nota: In entrambi i casi, è possibile limitare il traffico verso o da un sottoinsieme di istanze EC2 definendo un gruppo di inventario del carico di lavoro nel proprio SDDC che includa solo gli indirizzi IP o i blocchi CIDR per tali istanze.
  5. (Facoltativo) Configurare le regole firewall distribuite.
    Se una delle macchine virtuali che comunicano con l'istanza è protetta da un firewall distribuito, potrebbe essere necessario modificare le regole di tale firewall per consentire il traffico previsto. Vedere Aggiunta o modifica delle regole firewall distribuite.