接続されている Amazon VPC には、SDDC とそのすべてのネットワークが含まれています。この VPC に関する情報(アクティブな ENI、VPC サブネット、VPC ID など)は、[接続中の VPC] 画面で確認できます。
VMware Cloud on AWS は、AWS アカウントのリンクと AWS CloudFormation を使用して、AWS アカウントへのアクセスに必要な権限を取得します。アカウントがリンクされている場合、VMware Cloud on AWS は IAM ロールを作成する CloudFormation テンプレートを実行し、いくつかの VMware アカウントにこれらのロールを引き継ぐための権限を付与します。ロール名は、SDDC の [接続中の VPC] 画面に一覧表示されます。これらのロールと権限の詳細は、『VMware Cloud on AWS Operations Guide』のAWS のロールおよび権限で公開されています。
これらのロールが、
VMware Cloud on AWS に、ENI の作成、削除、割り当てと、VPC 内のルート テーブルの変更を行う権限を付与する場合を考えます。ロールでは、
VMware Cloud on AWS が使用可能なリソースをマッピングし、SDDC 作成プロセスで提供できるように、アカウント内のサブネットと VPC の列挙も許可されます。これらの機能は、SDDC のアップグレードの際には必ず、SDDC の作成ワークフローの開始時に必要になります。また、SDDC の存続期間に、VPC とそのサブネットの検証が必要な場合や、ルート テーブルと ENI の調査や変更が必要な場合に必要になることもあります。組織のメンバーが IAM ロールの削除や変更、メイン ルート テーブルの変更などの操作を行って接続中の VPC の安全性を侵害した場合、SDDC の操作が次のような影響を受けることがあります。
- VMware Cloud on AWS で、SDDC 管理クラスタ内のホストの追加、置き換え、削除ができません。
- アップグレード中にルートが変更されたり、アクティブな NSX Edge でホストが変更されたりした場合でも、VMware Cloud on AWS でメインのルート テーブルを更新できません。これにより、SDDC とネイティブの AWS サービス間の接続が切断される可能性があります。詳細については、SDDC と接続中の VPC の間のルーティングを参照してください。
- 影響を受ける組織は、アカウントにリンクされた SDDC を展開できなくなります。
注:
VMware Cloud on AWS CloudFormation テンプレートを再実行しても、既存の SDDC には影響しないため、
[接続中の Amazon VPC] ページに表示されている IAM ロールが引き続き使用されます。既存の SDDC でこれらの症状のいずれかが発生している場合は、VMware のサポートに確認してください。