接続されている Amazon VPC に EC2 インスタンスを展開し、AWS セキュリティ ポリシーとコンピューティング ゲートウェイのファイアウォール ルールを構成して、ワークロード仮想マシンに接続することができます。

このトピックでは、SDDC ワークロードと、接続中の VPC 内の EC2 インスタンスとの間のトラフィックを有効にすることに注目していますが、手順 2手順 3で説明されている変更により、EC2 インスタンスと SDDC 管理ネットワークとの間のトラフィックも有効になります。AWS セキュリティ グループに対する同様の変更により、接続中の VPC のプライマリ CIDR に含まれる任意の IP アドレスでアクセス可能なネイティブ AWS サービスに対して、SDDC 接続が有効になります。

接続されている VPC 内のデフォルトの AWS セキュリティ グループによって、VPC 内の EC2 インスタンスから SDDC 内の仮想マシンへのトラフィックが制御されます。このトラフィックは、コンピューティング ゲートウェイ ファイアウォールを(分散ファイアウォールを使用している場合は、分散ファイアウォールも)通過する必要があります。これらのすべてのコントロールは、目的のトラフィックを許可するように設定する必要があります。設定しない場合は接続を確立できません。

EC2 インスタンスを展開すると、別のグループを指定していない限り、EC2 起動ウィザードによって新しいセキュリティ グループに関連付けられます。新しい AWS セキュリティ グループでは、このインスタンスからのすべての送信トラフィックを許可し、このインスタンスへの受信トラフィックはすべて許可しません。EC2 インスタンスと SDDC 内の仮想マシンの間の接続を許可するには、通常、受信ルールを作成するのみで十分です。
  • EC2 インスタンスから SDDC 内の仮想マシンへのトラフィックを許可するには、デフォルトのセキュリティ グループの受信ルールを作成します。
  • 仮想マシンから EC2 インスタンスへのトラフィックを許可するには、EC2 インスタンスに適用されるセキュリティ グループの受信ルールを作成します。
VMware ナレッジベースの記事 KB76577には、デフォルトの AWS セキュリティ グループに送信トラフィック用の allow-all ルールが設定されていない場合、またはこれらのルールが変更されている場合に適用される追加情報が記載されています。

このインスタンスでデフォルトの AWS セキュリティ グループを使用する場合は、その受信ルールが EC2 インスタンスを送信するときと SDDC を送信するときの両方のトラフィックに適用されることに注意してください。SDDC 内の仮想マシンと EC2 インスタンスのどちらか一方から、もう一方へのトラフィックを許可するには、受信ルールで EC2 インスタンスと仮想マシンの両方からの受信トラフィックが許可されている必要があります。

前提条件

このタスクを実行するには、次の情報が必要です。
  • SDDC 内の仮想マシンが接続しているネットワーク セグメントの CIDR ブロック。NSX Manager を開き、[セグメント] をクリックして、SDDC のすべてのネットワーク セグメントを一覧表示します。
  • 接続している Amazon VPC およびサブネット。NSX Manager を開き、[接続中の VPC] をクリックして [接続中の Amazon VPC] 画面を開くと、この情報が [VPC ID][VPC のサブネット] に表示されます。
  • 接続中の VPC の管理対象プリフィックス リストを有効にした場合は、NSX Manager[接続中の VPC] 画面を開き、その VPC を含むプリフィックス リスト名、ID、およびルート テーブルを取得します。手順 e を完了するには、この情報が必要です。管理対象プリフィックス リストとその使用方法の詳細については、「接続中の Amazon VPC の AWS 管理対象プリフィックス リスト モードの有効化」を参照してください。
この情報は、レガシー VMware Cloud コンソール[ネットワークとセキュリティ] タブでも確認できます。

手順

  1. AWS アカウントに EC2 インスタンスを展開します。
    EC2 インスタンスを作成する際は、以下の点に留意してください。
    • EC2 インスタンスは、SDDC の展開時に選択した VPC に配置する必要があります。そうでない場合は、プライベート IP アドレスによる接続を確立できません。
    • EC2 インスタンスは、VPC 内のすべてのサブネットに展開できますが、SDDC の展開時に選択したものとは異なるアベイラビリティ ゾーンである場合は、アベイラビリティ ゾーン間のトラフィック料金が発生する場合があります。
    • 可能であれば、手順 2に記載されているとおりに設定された受信トラフィック ルールを持つ EC2 インスタンスのセキュリティ グループを選択します。
    • SDDC と通信する AWS サービスまたは インスタンスは、メイン ルート テーブル、または接続中の VPC の管理対象プリフィックス リストが追加されたカスタム ルート テーブルに関連付ける必要があります。デフォルト CGW に接続されたルーティング ネットワーク セグメントを作成または削除するときに AWS 管理対象プリフィックス リストを使用してこのルート テーブルのメンテナンスを簡素化する方法については、「NSX ネットワークの概念」の「SDDC と接続中の VPC の間のルーティング」を参照してください。
    • SDDC 内のワークロード仮想マシンは、接続されている VPC のプライマリ CIDR ブロック内にあるすべてのサブネットと、ENI 接続を介して通信できます。VMC では、VPC 内の他の CIDR ブロックは認識されません。
  2. インスタンスに適用されているセキュリティ グループに受信ルールを追加します。手順 1で展開した EC2 インスタンスを選択し、SDDC 内の仮想マシンに関連付けられている論理ネットワークまたは IP アドレスからの受信トラフィックを許可するように、そのセキュリティ グループを構成します。
    1. 手順 1で展開したインスタンスを選択します。
    2. インスタンスの説明で、インスタンスのセキュリティ グループをクリックし、[受信] タブをクリックします。
    3. [編集] をクリックします。
    4. [ルールの追加] をクリックします。
    5. [タイプ] ドロップ ダウン メニューで、許可するトラフィックのタイプを選択します。
    6. [送信元] テキスト ボックスで、[カスタム] を選択し、インスタンスと通信する必要がある SDDC 内の仮想マシンの IP アドレスまたは CIDR ブロックを入力するか、接続中の VPC の管理対象プリフィックス リスト(作成済みの場合)を指定します。
    7. (オプション) 必要に応じて、SDDC 内の仮想マシンのインスタンスに接続する追加の CIDR ブロックまたはトラフィック タイプに関するルールを追加します。
    8. [保存] をクリックします。
  3. (オプション) 手順 1に展開したインスタンスからのトラフィックを SDDC 内の仮想マシンに許可する必要がある場合は、接続されている Amazon VPC のデフォルトのセキュリティ グループを編集して、CIDR ブロックまたはセキュリティ グループによってインスタンスを識別する受信ルールを追加します。
    1. AWS コンソールで、接続されている Amazon VPC のデフォルトのセキュリティ グループを選択し、[受信] タブをクリックします。
    2. [編集] をクリックします。
    3. [ルールの追加] をクリックします。
    4. [タイプ] ドロップ ダウン メニューで、許可するトラフィックのタイプを選択します。
    5. [送信元] テキスト ボックスで、[カスタム] を選択し、インスタンスと通信する必要がある SDDC 内の仮想マシンの IP アドレスまたは CIDR ブロックを入力します。
      すべての仮想マシンが同じ SDDC インベントリ グループに関連付けられている場合は、IP アドレスまたは CIDR ブロックを使用するのではなく、そのグループを [送信元] として指定できます。
    6. (オプション) 必要に応じて、SDDC 内の仮想マシンのインスタンスに接続する追加の CIDR ブロックまたはトラフィック タイプに関するルールを追加します。
    7. [保存] をクリックします。
  4. 必要に応じてコンピューティング ゲートウェイのファイアウォール ルールを構成します。
    VMware Cloud on AWS Networking and Security』の コンピューティング ゲートウェイのファイアウォール ルールの追加または変更を参照してください。
    • 接続されている Amazon VPC 内のインスタンスからの受信トラフィックを許可するには、[送信元][接続されている VPC プリフィックス][宛先] がインスタンスからの受信アクセスを必要とする仮想マシンを含むインベントリ グループであるルールを作成します。
    • 接続されている Amazon VPC 内のインスタンスへの送信トラフィックを許可するには、[送信元] がインスタンスへの送信アクセスが必要な仮想マシンを含むインベントリ グループ、[宛先][接続されている VPC プリフィックス] であるルールを作成します。
    注: いずれの場合も、EC2 インスタンスのサブセットで送受信されるトラフィックを制限できます。それには、目的のインスタンスの IP アドレスまたは CIDR ブロックのみを含むワークロード インベントリ グループを SDDC 内に定義します。
  5. (オプション) 分散ファイアウォール ルールを構成します。
    このインスタンスと通信する仮想マシンのいずれかが分散ファイアウォールによって保護されている場合は、目的のトラフィックを許可するためにファイアウォール ルールの調整が必要な場合があります。 分散ファイアウォール ルールの追加または変更を参照してください。