VMware Transit Connect를 사용하여 SDDC 그룹에 AWS VPC를 연결할 수 있습니다. 그러면 그룹 내 SDDC와 해당 VPC에서 실행되는 AWS 서비스 간 네트워크 연결이 간소화됩니다.

VMware Transit Connect는 SDDC 그룹 멤버 간의 모든 계산 및 관리 네트워크 트래픽을 처리하지만 외부 VPC 또는 다른 AWS 개체에서 발생하는 트래픽을 SDDC 그룹의 VTGW로 보내도록 AWS 경로 테이블을 자동으로 구성하지 않습니다. 이런 종류의 연결이 필요한 네트워크 토폴로지에는 SDDC 그룹과 인터넷 간의 모든 트래픽이 검사를 위해 라우팅되는 "보안 VPC" 생성 및 AWS 개체와 SDDC 그룹 멤버 간의 통신이 가능하도록 설정하기 위한 유사한 요구 사항이 포함됩니다. 이러한 종류의 네트워크 토폴로지를 사용하려면 단계 8에 표시된 대로 SDDC 그룹의 VTGW에서 VPC로의 트래픽의 대상 경로를 정의해야 합니다.

VPC를 SDDC 그룹에 연결하는 것은 VMware Cloud 콘솔과 AWS 콘솔을 모두 사용해야 하는 다단계 프로세스입니다. VMware Cloud 콘솔을 사용하여 VTGW(VMware에서 관리하는 AWS 리소스)를 공유에 사용할 수 있도록 합니다. 그런 다음 AWS 콘솔을 사용하여 공유 리소스를 수락하고 이를 SDDC 그룹에 연결할 VPC에 연결합니다.

프로시저

  1. VMware Cloud 콘솔인벤토리 페이지에서 SDDC 그룹을 클릭한 다음 VPC를 연결할 그룹의 이름을 클릭합니다.
  2. 그룹의 외부 VPC 탭에서 계정 추가를 클릭하고 그룹에 연결하려는 VPC를 소유하는 AWS 계정을 지정합니다.
    이를 통해 해당 계정에서 VTGW에 대해 AWS 리소스 공유를 사용하도록 설정할 수 있습니다.
  3. AWS 콘솔에서 리소스 액세스 관리자 > 나와 공유를 열고 공유 VTGW 리소스를 수락합니다.
    리소스 이름의 형식은 VMC-Group-UUID이고 상태보류 중입니다. 리소스 이름을 클릭하여 리소스 요약 카드를 연 다음 리소스 공유 수락을 클릭하고 수락을 확인합니다.
  4. VMware Cloud 콘솔에서 그룹의 VPC 연결 탭으로 돌아간 후 단계 3에서 수락한 리소스 공유의 상태연결 중에서 연결됨으로 변경될 때까지 기다립니다.
    VPC 리소스 연결에는 최대 10분이 소요될 수 있습니다. VPC 연결이 완료되면 VTGW를 연결할 수 있습니다.
  5. AWS 콘솔 리소스 액세스 관리자로 돌아가서 공유 VTGW 리소스의 리소스 ID를 찾습니다.
    리소스는 나와 공유: 공유 리소스 아래에 나열되며 리소스 ID의 형식은 TGW-UUID, 리소스 유형ec2:TransitGateway입니다.
  6. Transit Gateway 연결을 생성합니다.
    1. 단계 5에서 식별된 Transit Gateway ID를 선택하고 VPC의 연결 유형을 지정한 다음 SDDC 그룹에 연결하려는 VPC ID를 선택합니다.
    2. 그룹에 연결해야 하는 각 AZ(가용성 영역)에서 서브넷 ID를 선택합니다.
      AZ당 하나의 서브넷만 선택할 수 있지만 SDDC 그룹 멤버는 해당 AZ의 모든 VPC 서브넷과 통신할 수 있습니다.
    3. VPC가 Amazon FSx for NetApp ONTAP를 외부 스토리지로 구성에 설명된 대로 FSx VPC인 경우 DNS 지원도 선택해야 합니다.
    4. Transport Gateway 연결 생성을 클릭하여 연결을 생성합니다.
  7. VMware Cloud 콘솔에서 그룹의 외부 VPC 탭으로 돌아간 후 공유 VPC 연결을 수락합니다.

    VPC 상태가 수락 보류 중으로 변경되면 수락을 클릭하여 수락합니다. 수락 프로세스가 완료되면 상태가 사용 가능으로 변경됩니다. 수락에는 최대 10분이 소요될 수 있습니다.

  8. VPC에 대한 추가 경로를 구성합니다.

    AWS 콘솔에서 공유 VTGW에 연결되고 SDDC 그룹과 통신해야 하는 VPC의 서브넷과 연결된 경로 테이블을 식별합니다. 경로 테이블의 경로 탭에서 경로 편집을 클릭하고 대상이 단계 5에서 식별한 VTGW ID로 설정된 대상으로 SDDC 그룹의 CIDR을 추가합니다. SDDC 그룹에 대한 CIDR 목록은 라우팅 탭의 SDDC 그룹에 대한 VMC 콘솔에서 찾을 수 있습니다. 경로 테이블 드롭다운에서 외부를 선택하면 됩니다.

    경로를 수동으로 편집하는 대신 관리형 접두사 목록을 생성하여 VPC와 연결된 기본 경로 테이블에 추가하는 것이 좋습니다. 공유 접두사 목록을 사용하여 외부 VPC 및 TGW 개체에 대한 라우팅 간소화의 내용을 참조하십시오.

  9. (선택 사항) VPC에 대한 추가 대상 경로를 구성합니다.
    SDDC 그룹을 생성하면 시스템에서 VPC의 기본 CIDR 및 모든 보조 CIDR에 대한 경로가 생성됩니다. VPC를 통해 라우팅되는 VPC 이외의 대상이 필요한 경우(보안 VPC 또는 전송 VPC에 필요할 수 있음) 연결된 VPC로 라우팅할 추가 CIDR 블록을 정의할 수 있습니다.

    그룹의 VTGW에서 외부 VPC로의 라우팅을 생성하거나 수정하려면 외부 VPC 탭을 열고 VPC를 소유하는 AWS 계정 ID를 선택한 후 행을 확장합니다. 경로가 지정되지 않은 경우 경로 열에서 경로 추가를 클릭하여 경로 편집 페이지를 열고 이 VPC를 대상으로 사용하는 하나 이상의 경로를 추가합니다. 그렇지 않으면 경로 열에 첫 번째 경로와 추가 경로 수가 표시됩니다. 이 목록을 편집할 수 있도록 연필 아이콘(연필 아이콘)을 클릭하여 경로 편집 페이지를 엽니다. 각 접두사는 그룹의 VTGW에서 VPC ID 열에 나열된 VPC로의 경로를 정의합니다. 각 접두사는 그룹의 라우팅 탭에 대상으로도 나타납니다. 연결된 VPC마다 최대 100개 경로를 지정할 수 있습니다.

다음에 수행할 작업

  • AWS 콘솔에서 네트워크 ACL을 생성하여 그룹 및 기타 그룹 멤버에 추가한 VPC 간의 트래픽을 관리합니다. VPC에서 실행되는 AWS 서비스에 액세스하려면 서비스에 대한 AWS 보안 정책을 수정해야 할 수 있습니다. S3 서비스에 대한 AWS 보안 정책 구성의 예는 S3 끝점을 사용한 S3 버킷 액세스를 참조하십시오.