AWS VPC を SDDC グループに接続するには、VMware Transit Connect を使用します。これにより、グループ内の SDDC とその VPC で実行される AWS サービスとの間でネットワーク接続を簡単に行うことができます。

SDDC グループに VPC を接続するには、複数のステップを実行する必要があります。また、このプロセスでは、VMC コンソールと AWS コンソールの両方を使用する必要があります。最初に、VMC コンソールを使用して、VTGW(VMware で管理される AWS リソース)を共有できるようにします。次に、AWS コンソールを使用して、共有リソースを受け入れ、SDDC グループに接続する VPC に関連付けます。

手順

  1. VMC コンソール[Software-Defined Data Center (SDDC)] 画面で [SDDC グループ] をクリックし、VPC を接続するグループの [名前] をクリックします。
  2. グループの [外部 VPC] タブで [アカウントの追加] をクリックし、グループに接続する VPC を所有する AWS アカウントを指定します。
    これにより、 VTGW 用にそのアカウントで AWS リソースを共有できるようになります。
  3. AWS コンソールで、[Resource Access Manager] > [Shared with me] の順に開き、共有 VTGW リソースを受け入れます。
    リソースの [Name] の形式は VMC-Group-UUID で、 [Pending][Status] です。リソース名をクリックしてリソースの [Summary] カードを開き、 [Accept resource share] をクリックして受け入れを確定します。
  4. VMC コンソールで、グループの [VPC 接続] タブに戻り、手順 3 で受け入れたリソース共有の [ステータス][関連付け] から [関連付け済み] に変化するまで待ちます。
    VPC リソースの関連付けには、最大で 10 分かかることがあります。VPC の関連付けが完了したら、 VTGW を接続できます。
  5. AWS コンソールの [Resource Access Manager] に戻り、共有 VTGW リソースのリソース ID を確認します。
    これは、 [Shared with me: Shared resources] に、 TGW-UUID 形式の [Resource ID]ec2:TransitGateway[リソース タイプ] が表示されます。
  6. Transit Gateway の接続を作成します。
    AWS コンソールで [Transit Gateway Attachments] に移動し、 [Create Transit Gateway Attachment] をクリックします。 手順 5で特定した [Transit Gateway ID] を選択し、VPC の [Attachment type] を指定して、SDDC グループに接続する [VPC ID] を選択します。グループへの接続を必要とする各アベイラビリティ ゾーン (AZ) で [サブネット ID] を選択します。AZ あたりの選択できるサブネットは 1 つのみですが、SDDC グループ メンバーはその AZ 内のすべての VPC サブネットと通信できます。
  7. VMC コンソールで、グループの [外部 VPC] タブに戻り、共有 VPC 接続を [承諾] します。

    VPC のステータスが [承諾の保留中] に変化したら、[承諾] をクリックして受け入れます。承諾プロセスが完了すると、ステータスが [使用可能] に変化します。承諾には、最大で 10 分ほどかかる場合があります。

  8. VPC への追加の送信元ルートを構成します。
    AWS コンソールで、共有 VTGW に接続されている VPC のすべてのサブネットに関連付けられ、SDDC グループとの通信が必要なルート テーブルを特定します。ルート テーブルの [ルート] タブで、 [ルートの編集] をクリックし、SDDC グループ内のすべての CIDR を、 手順 5で特定した VTGW ID に設定したターゲットとともに宛先として追加します。SDDC グループの CIDR のリストは、SDDC グループの VMC コンソールの [ルーティング] タブで [ルート テーブル] ドロップダウンの [外部] を選択して確認できます。
  9. (オプション) VPC への追加の宛先ルートを構成します。
    SDDC グループを作成すると、VPC のプライマリ CIDR とすべてのセカンダリ CIDR のルートがシステムによって作成されます。宛先を VPC 経由した外部にする必要がある場合(セキュリティ VPC またはトランジット VPC で必要な場合など)は、VPC 行で [ルートの追加] をクリックし [ルートの編集] ページを開いて、接続された VPC にルーティングする CIDR ブロックを定義できます。 外部 VPC へのルーティングの管理を参照してください。

次のタスク

  • AWS コンソールで、グループに追加した VPC と他のグループ メンバーとの間のトラフィックを管理するネットワーク ACL を作成します。VPC で実行している AWS サービスにアクセスする場合は、サービスの AWS セキュリティ ポリシーの変更が必要になる場合があります。S3 サービスの AWS セキュリティ ポリシー構成の例については、S3 エンドポイントを使用した S3 バケットへのアクセスを参照してください。