È possibile distribuire un'istanza EC2 nell'Amazon VPC connesso, nonché configurare i criteri di protezione di AWS e le regole del firewall del gateway di elaborazione per consentirne la connessione con le macchine virtuali del carico di lavoro.

Questo argomento è incentrato sull'abilitazione del traffico tra i carichi di lavoro dell'SDDC e un'istanza di EC2 nel VPC connesso, ma anche le modifiche illustrate dettagliatamente in Passaggio 2 e Passaggio 3 consentono il traffico tra l'istanza di EC2 e la rete di gestione dell'SDDC. Modifiche simili del gruppo di sicurezza AWS abilitano la connettività SDDC a qualsiasi servizio AWS nativo raggiungibile a un indirizzo IP nel CIDR primario del VPC connesso.

Il gruppo di sicurezza AWS predefinito nel VPC connesso controlla il traffico proveniente dalle istanze EC2 nel VPC rivolto verso macchine virtuali nell'SDDC. Questo traffico deve anche passare attraverso il firewall del gateway di elaborazione (e il firewall distribuito, se lo si utilizza). Tutti questi controlli devono essere configurati per consentire il traffico previsto. In caso contrario, la connessione non potrà essere stabilita.

Quando si distribuisce un'istanza EC2, la procedura guidata di avvio di EC2 la associa a un nuovo gruppo di sicurezza, a meno che non sia stato specificato un altro gruppo. Un nuovo gruppo di sicurezza AWS consente tutto il traffico in uscita dall'istanza e nessun traffico in entrata. Per consentire la connessione tra un'istanza EC2 e una macchina virtuale nell'SDDC, è solitamente necessario creare solo regole in entrata.
  • Per consentire l'avvio del traffico dall'istanza EC2 a una macchina virtuale nell'SDDC, creare una regola in entrata nel gruppo di sicurezza predefinito.
  • Per consentire l'avvio del traffico dalla macchina virtuale all'istanza EC2, creare una regola in entrata nel gruppo di sicurezza applicato all'istanza EC2.
L'articolo della Knowledge Base di VMware 76577 contiene informazioni aggiuntive applicabili ai casi in cui il gruppo di sicurezza AWS predefinito non contiene una regola allow-all mancante o modificata per il traffico in uscita.

Tenere presente che quando si utilizza il gruppo di sicurezza AWS predefinito con l'istanza, le relative regole in entrata vengono applicate al traffico sia quando esso transita nell'istanza EC2 sia quando transita nell'SDDC. Per consentire al traffico avviato dalla macchina virtuale nell'SDDC o dall'istanza EC2 di raggiungere un'altra macchina virtuale, le regole in entrata devono consentire il traffico in entrata sia dall'istanza EC2 che dalla macchina virtuale.

Prerequisiti

Per completare questa attività, sono necessarie le seguenti informazioni:
  • I blocchi CIDR dei segmenti di rete a cui sono connesse le macchine virtuali nell'SDDC. Aprire NSX Manager e fare clic su Segmenti per visualizzare l'elenco di tutti i segmenti di rete dell'SDDC.
  • L'Amazon VPC e la subnet connessi. Aprire NSX Manager e fare clic su VPC connesso per aprire la pagina Amazon VPC connesso, che fornisce queste informazioni in ID VPC e Subnet del VPC.
  • Se è stato abilitato un elenco di prefissi gestiti per il VPC connesso, aprire la pagina VPC connesso di NSX Manager e recuperare il nome, l'ID e le tabelle di route dell'elenco dei prefissi che lo contengono. Queste informazioni sono necessarie per completare il passaggio Passaggio e. Vedere Abilitazione della modalità elenco prefissi gestiti da AWS per Amazon VPC connesso per ulteriori informazioni sull'elenco dei prefissi gestiti e sul loro utilizzo.
Queste informazioni sono disponibili anche nella scheda legacy Console di VMware Cloud Rete e sicurezza.

Procedura

  1. Distribuire l'istanza EC2 nell'account AWS.
    Durante la creazione dell'istanza EC2, tenere presente quanto segue:
    • L'istanza EC2 deve trovarsi nel VPC selezionato durante la distribuzione dell'SDDC. In caso contrario, non sarà possibile stabilire una connessione su un indirizzo IP privato.
    • L'istanza EC2 può essere distribuita in qualsiasi subnet all'interno del VPC. È tuttavia possibile che si verifichino addebiti per il traffico tra ZD se si tratta di una ZD diversa da quella selezionata durante la distribuzione dell'SDDC.
    • Se possibile, selezionare un gruppo di sicurezza per l'istanza EC2 in cui è già configurata una regola di traffico in entrata in base a quanto descritto in Passaggio 2.
    • Le istanze o i servizi AWS che comunicano con l'SDDC devono essere associati alla tabella di route principale o a una tabella di route personalizzata che abbia aggiunto l'elenco di prefissi gestiti per il VPC connesso. Vedere "Routing tra l'SDDC e il VPC connesso" in Concetti relativi alla rete di NSX per informazioni su come utilizzare un elenco di prefissi gestiti da AWS per semplificare la manutenzione di questa tabella di route quando si creano o si eliminano segmenti di rete instradati connessi al CGW predefinito.
    • Le macchine virtuali del carico di lavoro nell'SDDC possono comunicare tramite la connessione ENI con tutte le subnet nel blocco CIDR primario del VPC connesso. Il VMC non è a conoscenza di altri blocchi CIDR nel VPC.
  2. Aggiungere regole in entrata al gruppo di sicurezza applicato all'istanza. Selezionare l'istanza EC2 distribuita in Passaggio 1 e configurarne il gruppo di sicurezza per consentire il traffico in entrata dalla rete logica o dall'indirizzo IP associato alla macchina virtuale nell'SDDC.
    1. Selezionare l'istanza distribuita in Passaggio 1.
    2. Nella descrizione dell'istanza, fare clic sul gruppo di sicurezza dell'istanza, quindi sulla scheda In entrata.
    3. Fare clic su Modifica.
    4. Fare clic su Aggiungi regola.
    5. Nel menu a discesa Tipo, selezionare il tipo di traffico che si desidera consentire.
    6. Nella casella di testo Origine, selezionare Personalizzato e immettere gli indirizzi IP o il blocco CIDR delle macchine virtuali nell'SDDC che comunicano con l'istanza, oppure specificare semplicemente l'elenco di prefissi gestiti per il VPC connesso (se ne è stato creato uno).
    7. (Facoltativo) Aggiungere le regole in base alle proprie esigenze per ulteriori blocchi CIDR o per il tipo di traffico che si desidera connettere all'istanza dalle macchine virtuali nell'SDDC.
    8. Fare clic su Salva.
  3. (Facoltativo) Se è necessario consentire il traffico avviato dall'istanza distribuita in Passaggio 1 a una macchina virtuale nell'SDDC, modificare il gruppo di sicurezza predefinito per l'Amazon VPC connesso in modo da aggiungere regole in entrata che consentano di identificare le istanze in base al blocco CIDR o al gruppo di sicurezza.
    1. Nella console AWS, selezionare il gruppo di sicurezza predefinito per l'Amazon VPC connesso e fare clic sulla scheda In entrata.
    2. Fare clic su Modifica.
    3. Fare clic su Aggiungi regola.
    4. Nel menu a discesa Tipo, selezionare il tipo di traffico che si desidera consentire.
    5. Nella casella di testo Origine, selezionare Personalizzato e immettere gli indirizzi IP o il blocco CIDR delle macchine virtuali nell'SDDC che dovrà comunicare con l'istanza.
      Se tutte le macchine virtuali sono associate allo stesso gruppo di inventario dell'SDDC, è possibile specificare tale gruppo come Origine anziché utilizzare un indirizzo IP o un blocco CIDR.
    6. (Facoltativo) Aggiungere le regole in base alle proprie esigenze per ulteriori blocchi CIDR o per il tipo di traffico che si desidera connettere all'istanza dalle macchine virtuali nell'SDDC.
    7. Fare clic su Salva.
  4. Configurare le regole firewall del gateway di elaborazione necessarie.
    Vedere Aggiunta o modifica delle regole del firewall del gateway di elaborazione in Rete e sicurezza di VMware Cloud on AWS.
    • Per consentire il traffico in entrata dalle istanze nell'Amazon VPC connesso, creare una regola in cui l'origine sia Prefissi VPC connessi e la destinazione sia un gruppo di inventario contenente le macchine virtuali che richiedono l'accesso in entrata dall'istanza.
    • Per consentire il traffico in uscita verso le istanze nell'Amazon VPC connesso, creare una regola in cui l'origine sia un gruppo di inventario contenente le macchine virtuali che richiedono l'accesso in uscita all'istanza e in cui la destinazione siano i prefissi VPC connessi.
    Nota: In entrambi i casi, è possibile limitare il traffico verso o da un sottoinsieme di istanze EC2 definendo un gruppo di inventario del carico di lavoro nel proprio SDDC che includa solo gli indirizzi IP o i blocchi CIDR per tali istanze.
  5. (Facoltativo) Configurare le regole firewall distribuite.
    Se una delle macchine virtuali che comunicano con l'istanza è protetta da un firewall distribuito, potrebbe essere necessario modificare le regole di tale firewall per consentire il traffico previsto. Vedere Aggiunta o modifica delle regole firewall distribuite.