AWS VPC を SDDC グループに接続するには、VMware Transit Connect を使用します。これにより、グループ内の SDDC とその VPC で実行される AWS サービスとの間でネットワーク接続を簡単に行うことができます。

VMware Transit Connect は SDDC グループ メンバー間のすべてのコンピューティングおよび管理ネットワーク トラフィックを処理しますが、外部 VPC または他の AWS オブジェクトから SDDC グループの VTGW にトラフィックを送信するように AWS ルート テーブルが自動的に設定されることはありません。この種の接続を必要とするネットワーク トポロジには、「セキュリティ VPC」(これを介して SDDC グループとインターネットとの間のすべてのトラフィックが検査用にルーティングされます)の作成および AWS オブジェクトと SDDC グループ メンバー間の通信を有効にするための同様の要件が含まれます。この種のネットワーク トポロジでは、手順 8に示すように、SDDC グループの VTGW から VPC へのトラフィックの宛先ルートを定義する必要があります。

SDDC グループに VPC を接続するには、複数のステップを実行する必要があります。また、このプロセスでは、VMware Cloud コンソールと AWS コンソールの両方を使用する必要があります。最初に、VMware Cloud コンソールを使用して、VTGW(VMware で管理される AWS リソース)を共有できるようにします。次に、AWS コンソールを使用して、共有リソースを受け入れ、SDDC グループに接続する VPC に関連付けます。

手順

  1. VMware Cloud コンソール[インベントリ] 画面で [SDDC グループ] をクリックし、VPC を接続するグループの [名前] をクリックします。
  2. グループの [外部 VPC] タブで [アカウントの追加] をクリックし、グループに接続する VPC を所有する AWS アカウントを指定します。
    これにより、 VTGW 用にそのアカウントで AWS リソースを共有できるようになります。
  3. AWS コンソールで、[Resource Access Manager] > [Shared with me] の順に開き、共有 VTGW リソースを受け入れます。
    リソースの [Name] の形式は VMC-Group-UUID で、 [Pending][Status] です。リソース名をクリックしてリソースの [Summary] カードを開き、 [Accept resource share] をクリックして受け入れを確定します。
  4. VMware Cloud コンソールで、グループの [VPC 接続] タブに戻り、手順 3 で受け入れたリソース共有の [ステータス][関連付け] から [関連付け済み] に変化するまで待ちます。
    VPC リソースの関連付けには、最大で 10 分かかることがあります。VPC の関連付けが完了したら、 VTGW を接続できます。
  5. AWS コンソールの [Resource Access Manager] に戻り、共有 VTGW リソースのリソース ID を確認します。
    これは、 [Shared with me: Shared resources] に、 TGW-UUID 形式の [Resource ID]ec2:TransitGateway[リソース タイプ] が表示されます。
  6. Transit Gateway の接続を作成します。
    1. 手順 5で特定した [Transit Gateway ID] を選択し、VPC の [Attachment type] を指定して、SDDC グループに接続する [VPC ID] を選択します。
    2. グループへの接続を必要とする各アベイラビリティ ゾーン (AZ) で [サブネット ID] を選択します。
      AZ あたりの選択できるサブネットは 1 つのみですが、SDDC グループ メンバーはその AZ 内のすべての VPC サブネットと通信できます。
    3. 外部ストレージとしての Amazon FSx for NetApp ONTAP の構成」に記載されているように、VPC が FSx VPC の場合は、[DNS support] も選択する必要があります。
    4. [Create Transit Gateway Attachment] をクリックして接続を作成します。
  7. VMware Cloud コンソールで、グループの [外部 VPC] タブに戻り、共有 VPC 接続を [承諾] します。

    VPC のステータスが [承諾の保留中] に変化したら、[承諾] をクリックして受け入れます。承諾プロセスが完了すると、ステータスが [使用可能] に変化します。承諾には、最大で 10 分ほどかかる場合があります。

  8. VPC への追加のルートを構成します。

    AWS コンソールで、共有 VTGW に接続されている VPC のすべてのサブネットに関連付けられ、SDDC グループとの通信が必要なルート テーブルを特定します。ルート テーブルの [ルート] タブで、[ルートの編集] をクリックし、SDDC グループ内のすべての CIDR を、手順 5で特定した VTGW ID に設定したターゲットとともに宛先として追加します。SDDC グループの CIDR のリストは、SDDC グループの VMC コンソールの [ルーティング] タブで [ルート テーブル] ドロップダウンの [外部] を選択して確認できます。

    ルートを手動で編集する代わりに、管理対象プリフィックス リストを作成して、VPC に関連付けられているメイン ルート テーブルに追加することを検討してください。共有プリフィックス リストを使用した外部 VPC および TGW オブジェクトのルーティングの簡素化を参照してください。

  9. (オプション) VPC への追加の宛先ルートを構成します。
    SDDC グループを作成すると、VPC のプライマリ CIDR とすべてのセカンダリ CIDR のルートがシステムによって作成されます。宛先を VPC 経由した外部にする必要がある場合(セキュリティ VPC またはトランジット VPC で必要な場合など)は、接続された VPC にルーティングする追加の CIDR ブロックを定義できます。

    グループの VTGW から外部 VPC へのルーティングを作成または変更するには、[外部 VPC] タブを開き、VPC を所有する [AWS アカウント ID] を選択し、行を展開します。ルートが指定されていない場合は、[ルート] 列の [ルートの追加] をクリックして [ルートの編集] 画面を開き、この VPC を [ターゲット] として使用する 1 つ以上のルートを追加します。それ以外の場合、[ルート] 列に最初のルートと追加ルートの数が表示されます。鉛筆アイコン (鉛筆アイコン) をクリックして [ルートの編集] 画面を開き、このリストを編集できます。各プリフィックスは、グループの VTGW から [VPC ID] 列にリストされている VPC へのルートを定義します。また、各プリフィックスは、グループの [ルーティング] タブに [ターゲット] として表示されます。接続された各 VPC に対して最大 100 個のルートを指定できます。

次のタスク

  • AWS コンソールで、グループに追加した VPC と他のグループ メンバーとの間のトラフィックを管理するネットワーク ACL を作成します。VPC で実行している AWS サービスにアクセスする場合は、サービスの AWS セキュリティ ポリシーの変更が必要になる場合があります。S3 サービスの AWS セキュリティ ポリシー構成の例については、「S3 エンドポイントを使用した S3 バケットへのアクセス」を参照してください。