S3 エンドポイントを作成して、接続されている AWS VPC の S3 バケットにアクセスできます。
接続中の VPC を介した S3 接続では、S3 エンドポイントを接続中の VPC に展開し、メイン ルート テーブルで構成する必要があります。詳細については、VMware Cloud Tech Zone の記事「Designlet: VMware Cloud on AWS Connected VPC to Native AWS」を参照してください。
手順
- S3 エンドポイントを作成します。
『 Amazon Virtual Private Cloud User Guide』の Gateway VPC Endpointsと Endpoints for Amazon S3を参照してください。
- [サービス カテゴリ] で、AWS サービスを選択します。
- [サービス名] で、タイプが [ゲートウェイ] の
com.amazonaws.
region-AZ.s3
サービスを選択します。ここで、region-AZ は、SDDC があるリージョンおよび AZ と一致します。例えば、com.amazonaws.us-west-2.s3
です。 - [VPC] ドロップダウンで、SDDC に接続されている VPC を選択します。
- [ルート テーブルの設定] で、[メイン] 列の値が [はい] である [ルート テーブル ID] を選択します。このルート テーブルは SDDC によって使用され、SDDC が接続されている VPC サブネットにも関連付けられている必要があります。
SDDC と通信する AWS サービスまたは インスタンスは、メイン ルート テーブル、または接続中の VPC の管理対象プリフィックス リストが追加されたカスタム ルート テーブルに関連付ける必要があります。デフォルト CGW に接続されたルーティング ネットワーク セグメントを作成または削除するときに AWS 管理対象プリフィックス リストを使用してこのルート テーブルのメンテナンスを簡素化する方法については、「 NSX ネットワークの概念」の「SDDC と接続中の VPC の間のルーティング」を参照してください。
- [ポリシー] で、デフォルトのフル アクセス ポリシーを選択するか、より制限されたポリシーを作成します。『Amazon Virtual Private Cloud User Guide』のEndpoints for Amazon S3を参照してください。SDDC から S3 へのトラフィックでは、送信元 IP アドレスが、SDDC 展開で選択されたサブネットの IP アドレスにネットワーク アドレス変換 (NAT) されるため、すべてのポリシーでそのサブネットからのトラフィックを許可する必要があります。
- [エンドポイントの作成] をクリックしてエンドポイントを作成し、リージョン内の S3 パブリック IP アドレス範囲のルートをメイン ルート テーブルに追加します。
- (オプション) 接続されている Amazon VPC のセキュリティ グループを構成して、SDDC 内の仮想マシンに関連付けられているネットワーク セグメントへの送信トラフィックを許可するようにします。
デフォルトのセキュリティ グループはこのトラフィックを許可するため、デフォルトのセキュリティ グループを事前にカスタマイズしていない限り、この手順を実行する必要はありません。
- AWS コンソールで、接続されている Amazon VPC のデフォルトのセキュリティ グループを選択し、[送信] タブをクリックします。
- [編集] をクリックします。
- [ルールの追加] をクリックします。
- [タイプ] ドロップ ダウン メニューで、[HTTPS] を選択します。
- [宛先] テキスト ボックスで、S3 エンドポイントに関連付けられているプリフィックス リストを選択します。
このプリフィックス リストは、VPC の [管理されたプリフィックス リスト] カードにあります。ここに複数のプリフィックス リストが表示されている場合は、必要な S3 サービスを含むリージョンに固有のプリフィックス リストを 1 つ選択します。
- [保存] をクリックします。
- Elastic Network Interface (ENI) を介した S3 アクセスが有効になっていることを確認します。
接続されている Amazon VPC の ENI を介した S3 アクセスは、デフォルトで有効になっています。インターネット ゲートウェイを介した S3 アクセスを可能にするため、ENI を介した S3 アクセスを無効にしている場合は、これを再度有効にする必要があります。
- https://vmc.vmware.com から VMware Cloud コンソール にログインします。
- [] > [接続中の VPC] をクリックします。
- [サービス アクセス] で、[S3 エンドポイント] の横にある [有効] をクリックします。
- コンピューティング ゲートウェイのファイアウォール ルールの追加または変更で定義されているワークフローを使用して、接続されている Amazon VPC への HTTPS アクセスを許可するコンピューティング ゲートウェイ ファイアウォール ルールを作成します。
この例では、NSX Manager を使用してインベントリ グループとファイアウォール ルールを作成する方法を示します。このワークフローでは、VMware Cloud コンソールの [ネットワークとセキュリティ] タブを使用することもできます。NSX Manager による SDDC ネットワーク管理を参照してください。
- [ゲートウェイ ファイアウォール] 画面で、[コンピューティング ゲートウェイ] をクリックします。
- [ルールの追加] をクリックし、次のパラメータを含むルールを追加します。ここで、Workload-CIDR は、S3 にアクセスする必要があるワークロード仮想マシンのセグメントの CIDR ブロックです。
送信元 宛先 サービス 適用先 操作 Workload-CIDR [S3 プリフィックス] [HTTPS] [VPC インターフェイス] [許可]
結果
SDDC 内のワークロード仮想マシンは、HTTPS 接続経由で S3 バケット内のファイルにアクセスできます。