È possibile accedere a un bucket S3 nel VPC AWS collegato creando un endpoint S3.

La connettività S3 tramite il VPC connesso richiede la distribuzione di un endpoint S3 nel VPC connesso e la configurazione nella tabella di route principale. Per ulteriori informazioni, vedere l'articolo di VMware Cloud Tech Zone Designlet: VMware Cloud on AWS ha connesso VPC ad AWS nativo.

Procedura

  1. Creare un endpoint S3.
    Vedere Endpoint VPC Gateway e Endpoint per Amazon S3 nella Guida per l'utente di Amazon Virtual Private Cloud.
    1. Per categoria di servizi, selezionare i servizi AWS.
    2. In Nome servizio, selezionare un servizio della com.amazonaws.ZD della regione.s3 di tipo Gateway in cui la zona di disponibilità della regione corrisponda alla regione e la zona di disponibilità all'SDDC contenuto in essa. Ad esempio com.amazonaws.us-west-2.s3.
    3. Nell'elenco a discesa VPC, selezionare il VPC connesso all'SDDC.
    4. In Configura tabelle di route, selezionare l'ID della tabella di route in cui il valore nella colonna Principale corrisponda a . Questa tabella di route viene utilizzata dall'SDDC e deve essere associata anche alla subnet VPC a cui è collegato l'SDDC.
      Le istanze o i servizi AWS che comunicano con l'SDDC devono essere associati alla tabella di route principale o a una tabella di route personalizzata che abbia aggiunto l'elenco di prefissi gestiti per il VPC connesso. Vedere "Routing tra l'SDDC e il VPC connesso" in Concetti relativi alla rete di NSX per informazioni su come utilizzare un elenco di prefissi gestiti da AWS per semplificare la manutenzione di questa tabella di route quando si creano o si eliminano segmenti di rete instradati connessi al CGW predefinito.
    5. In Criterio, selezionare il criterio di accesso completo predefinito o crearne uno più restrittivo. Vedere Endpoint per Amazon S3 nella Guida per l'utente di Amazon Virtual Private Cloud. Il traffico verso S3 dall'SDDC avrà il NAT dell'IP di origine indirizzato verso un IP dalla subnet selezionata durante la distribuzione dell'SDDC, pertanto qualsiasi criterio dovrà consentire il traffico da tale subnet.
    6. Fare clic su Crea endpoint per creare l'endpoint e aggiungere alla tabella di route principale le route per gli intervalli di IP pubblici S3 nella regione.
  2. (Facoltativo) Configurare il gruppo di sicurezza per l'Amazon VPC connesso al fine di consentire il traffico in uscita verso il segmento di rete associato alla macchina virtuale nell'SDDC.
    Il gruppo di sicurezza predefinito consente questo traffico, pertanto non sarà necessario eseguire questo passaggio a meno che il gruppo di sicurezza predefinito non sia stato precedentemente personalizzato.
    1. Nella console AWS, selezionare il Gruppo di sicurezza predefinito per l'Amazon VPC collegato e fare clic sulla scheda In uscita.
    2. Fare clic su Modifica.
    3. Fare clic su Aggiungi regola.
    4. Nel menu a discesa Tipo, selezionare HTTPS.
    5. Nella casella di testo Destinazione, selezionare l'elenco di prefissi associato all'endpoint S3.
      Questo elenco di prefissi è disponibile nella scheda Elenchi di prefissi gestiti di VPC. Se sono presenti più elenchi di prefissi, sceglierne uno specifico per la regione contenente il servizio S3 che si desidera utilizzare.
    6. Fare clic su Salva.
  3. Assicurarsi che l'accesso a S3 tramite l'interfaccia della rete elastica sia abilitato.
    Per impostazione predefinita, l'accesso a S3 tramite l'interfaccia della rete elastica nell'Amazon VPC connesso è abilitato. Se l'accesso è stato disabilitato per consentire l'accesso S3 tramite il gateway Internet, è necessario riattivarlo.
    1. Accedere a Console di VMware Cloud all'indirizzo https://vmc.vmware.com.
    2. Fare clic su > VPC connesso.
    3. In Accesso al servizio, fare clic su Abilita accanto all' Endpoint S3.
  4. Utilizzare il workflow definito in Aggiunta o modifica delle regole del firewall del gateway di elaborazione per creare una regola del firewall del gateway di elaborazione che consenta l'accesso HTTPS ad Amazon VPC connesso.

    In questo esempio viene illustrato come utilizzare NSX Manager per creare gruppi di inventario e regole del firewall. Per questo workflow, è inoltre possibile utilizzare la scheda Rete e sicurezza della Console di VMware Cloud. Vedere Amministrazione della rete dell'SDDC con NSX Manager.

    1. Nella pagina Firewall del gateway fare clic su Gateway di elaborazione.
    2. Fare clic su Aggiungi regola e aggiungere una regola con i seguenti parametri, dove Workload-CIDR corrisponde al blocco CIDR per il segmento a cui le macchine virtuali del carico di lavoro devono accedere a S3.
      Fonti Destinazioni Servizi Si applica a Azione
      Workload-CIDR Prefissi S3 HTTPS Interfaccia VPC Consenti

risultati

Le macchine virtuali del carico di lavoro nell'SDDC possono accedere ai file nel bucket S3 tramite una connessione HTTPS.