接続されている Amazon VPC に EC2 インスタンスを展開し、AWS セキュリティ ポリシーとコンピューティング ゲートウェイのファイアウォール ルールを設定して、SDDC 内の仮想マシンとそのインスタンスの間の接続を確立できます。

接続されている VPC 内のデフォルトの AWS セキュリティ グループによって、VPC 内の EC2 インスタンスから SDDC 内の仮想マシンへのトラフィックが制御されます。このトラフィックは、コンピューティング ゲートウェイ ファイアウォールを(分散ファイアウォールを使用している場合は、分散ファイアウォールも)通過する必要があります。これらのすべてのコントロールは、目的のトラフィックを許可するように設定する必要があります。設定しない場合は接続を確立できません。

EC2 インスタンスを展開すると、別のグループを指定していない限り、EC2 起動ウィザードによって新しいセキュリティ グループに関連付けられます。新しい AWS セキュリティ グループでは、このインスタンスからのすべての送信トラフィックを許可し、このインスタンスへの受信トラフィックはすべて許可しません。EC2 インスタンスと SDDC 内の仮想マシンの間の接続を許可するには、通常、受信ルールを作成するのみで十分です。
  • EC2 インスタンスから SDDC 内の仮想マシンへのトラフィックを許可するには、デフォルトのセキュリティ グループの受信ルールを作成します。
  • 仮想マシンから EC2 インスタンスへのトラフィックを許可するには、EC2 インスタンスに適用されるセキュリティ グループの受信ルールを作成します。
VMware ナレッジベースの記事 KB76577には、デフォルトの AWS セキュリティ グループに送信トラフィック用の allow-all ルールが設定されていない場合、またはこれらのルールが変更されている場合に適用される追加情報が記載されています。

このインスタンスでデフォルトの AWS セキュリティ グループを使用する場合は、その受信ルールが EC2 インスタンスを送信するときと SDDC を送信するときの両方のトラフィックに適用されることに注意してください。SDDC 内の仮想マシンと EC2 インスタンスのどちらか一方から、もう一方へのトラフィックを許可するには、受信ルールで EC2 インスタンスと仮想マシンの両方からの受信トラフィックが許可されている必要があります。

前提条件

このタスクを実行するには、次の情報が必要です。

  • SDDC 内の仮想マシンが接続しているネットワーク セグメントの CIDR ブロック。[ネットワークとセキュリティ] タブで [セグメント] をクリックすると、すべてのセグメントが一覧表示されます。
  • 接続している Amazon VPC およびサブネット。[ネットワークとセキュリティ] タブの [システム] カテゴリにある [接続されている VPC] をクリックして、[接続されている Amazon VPC] ページを開くと、[VPC ID] および [VPC サブネット] の下にこの情報があります。

手順

  1. AWS アカウントに EC2 インスタンスを展開します。
    EC2 インスタンスを作成する際は、以下の点に留意してください。
    • EC2 インスタンスは、SDDC の展開時に選択した VPC に配置する必要があります。そうでない場合は、プライベート IP アドレスによる接続を確立できません。
    • EC2 インスタンスは、VPC 内のすべてのサブネットに展開できますが、SDDC の展開時に選択したものとは異なるアベイラビリティ ゾーンである場合は、アベイラビリティ ゾーン間のトラフィック料金が発生する場合があります。
    • 可能であれば、手順 2に記載されているとおりに設定された受信トラフィック ルールを持つ EC2 インスタンスのセキュリティ グループを選択します。
    • SDDC に使用する VPC サブネットや、AWS サービスまたはインスタンスが SDDC との通信に使用する VPC サブネットはすべて、VPC のメイン ルート テーブルに関連付けられている必要があります。
    • SDDC 内のワークロード仮想マシンは、接続されている VPC のプライマリ CIDR ブロック内にあるすべてのサブネットと、ENI 接続を介して通信できます。VMC では、VPC 内の他の CIDR ブロックは認識されません。
  2. インスタンスに適用されているセキュリティ グループに受信ルールを追加します。手順 1で展開した EC2 インスタンスを選択し、SDDC 内の仮想マシンに関連付けられている論理ネットワークまたは IP アドレスからの受信トラフィックを許可するように、そのセキュリティ グループを設定します。
    1. 手順 1で展開したインスタンスを選択します。
    2. インスタンスの説明で、インスタンスのセキュリティ グループをクリックし、[受信] タブをクリックします。
    3. [編集] をクリックします。
    4. [ルールの追加] をクリックします。
    5. [タイプ] ドロップ ダウン メニューで、許可するトラフィックのタイプを選択します。
    6. [送信元] テキスト ボックスで、[カスタム] を選択し、インスタンスと通信する必要がある SDDC 内の仮想マシンの IP アドレスまたは CIDR ブロックを入力します。
    7. (オプション) 必要に応じて、SDDC 内の仮想マシンのインスタンスに接続する追加の CIDR ブロックまたはトラフィック タイプに関するルールを追加します。
    8. [保存] をクリックします。
  3. (オプション) 手順 1に展開したインスタンスからのトラフィックを SDDC 内の仮想マシンに許可する必要がある場合は、接続されている Amazon VPC のデフォルトのセキュリティ グループを編集して、CIDR ブロックまたはセキュリティ グループによってインスタンスを識別する受信ルールを追加します。
    1. AWS コンソールで、接続されている Amazon VPC のデフォルトのセキュリティ グループを選択し、[受信] タブをクリックします。
    2. [編集] をクリックします。
    3. [ルールの追加] をクリックします。
    4. [タイプ] ドロップ ダウン メニューで、許可するトラフィックのタイプを選択します。
    5. [送信元] テキスト ボックスで、[カスタム] を選択し、インスタンスと通信する必要がある SDDC 内の仮想マシンの IP アドレスまたは CIDR ブロックを入力します。
      すべての仮想マシンが同じ SDDC インベントリ グループに関連付けられている場合は、IP アドレスまたは CIDR ブロックを使用するのではなく、そのグループを [送信元] として指定できます。
    6. (オプション) 必要に応じて、SDDC 内の仮想マシンのインスタンスに接続する追加の CIDR ブロックまたはトラフィック タイプに関するルールを追加します。
    7. [保存] をクリックします。
  4. 必要に応じてコンピューティング ゲートウェイのファイアウォール ルールを設定します。
    VMware Cloud on AWS Networking and Security』の コンピューティング ゲートウェイのファイアウォール ルールの追加または変更を参照してください。
    • 接続されている Amazon VPC 内のインスタンスからの受信トラフィックを許可するには、[送信元][接続されている VPC プリフィックス][宛先] がインスタンスからの受信アクセスを必要とする仮想マシンを含むインベントリ グループであるルールを作成します。
    • 接続されている Amazon VPC 内のインスタンスへの送信トラフィックを許可するには、[送信元] がインスタンスへの送信アクセスが必要な仮想マシンを含むインベントリ グループ、[宛先][接続されている VPC プリフィックス] であるルールを作成します。
    注: いずれの場合も、EC2 インスタンスのサブセットで送受信されるトラフィックを制限できます。それには、目的のインスタンスの IP アドレスまたは CIDR ブロックのみを含むワークロード インベントリ グループを SDDC 内に定義します。
  5. (オプション) 分散ファイアウォール ルールを設定します。
    このインスタンスと通信する仮想マシンのいずれかが分散ファイアウォールによって保護されている場合は、目的のトラフィックを許可するためにファイアウォール ルールの調整が必要な場合があります。 分散ファイアウォール ルールの追加または変更を参照してください。