연결된 Amazon VPC에서 EC2 인스턴스를 배포하고 AWS 보안 정책과 계산 게이트웨이 방화벽 규칙을 구성하여 인스턴스와 워크로드 VM을 연결할 수 있습니다.
이 항목에서는 SDDC 워크로드와 연결된 VPC의 EC2 인스턴스 간의 트래픽을 사용하도록 설정하는 데 중점을 두지만 단계 2 및 단계 3에 자세히 설명된 수정 사항에서도 EC2 인스턴스와 SDDC 관리 네트워크 간의 트래픽을 사용하도록 설정할 수 있습니다. 유사한 AWS 보안 그룹 수정은 연결된 VPC의 기본 CIDR에 있는 IP 주소에서 연결할 수 있는 모든 네이티브 AWS 서비스에 대한 SDDC 연결을 사용하도록 설정해야 합니다.
연결된 VPC의 기본 AWS 보안 그룹은 VPC의 EC2 인스턴스에서 SDDC의 VM으로 이동하는 트래픽을 제어합니다. 이 트래픽은 계산 게이트웨이 방화벽(및 분산 방화벽, 사용하는 경우)을 통과해야 합니다. 이러한 모든 제어는 필요한 트래픽을 허용하도록 구성되어야 합니다. 그렇지 않으면 연결을 설정할 수 없습니다.
EC2 인스턴스를 배포할 때 다른 그룹을 지정하지 않는 한 EC2 시작 마법사는 EC2 인스턴스를 새 보안 그룹에 연결합니다. 새 AWS 보안 그룹은 인스턴스의 모든 아웃바운드 트래픽을 허용하며 인바운드 트래픽은 허용하지 않습니다. SDDC에서 EC2 인스턴스와 VM 간의 연결을 허용하려면 일반적으로 인바운드 규칙만 생성하면 됩니다.
- EC2 인스턴스에서 SDDC의 VM으로 트래픽을 시작할 수 있도록 허용하려면 기본 보안 그룹에 대한 인바운드 규칙을 생성합니다.
- VM에서 EC2 인스턴스로 트래픽을 시작하도록 허용하려면 EC2 인스턴스에 적용된 보안 그룹에 대한 인바운드 규칙을 생성합니다.
인스턴스에 기본 AWS 보안 그룹을 사용하는 경우, 인바운드 규칙은 EC2 인스턴스를 통과할 때와 SDDC를 통과할 때 모두의 트래픽에 적용됩니다. SDDC의 VM 또는 EC2 인스턴스에 의해 시작된 트래픽이 다른 인스턴스에 도달하도록 허용하려면 인바운드 규칙이 EC2 인스턴스와 VM 모두의 인바운드 트래픽을 허용해야 합니다.
사전 요구 사항
이 작업을 완료하려면 다음 정보가 필요합니다.
- SDDC의 VM이 연결된 네트워크 세그먼트의 CIDR 블록. NSX Manager를 열고 세그먼트를 클릭하여 모든 SDDC 네트워크 세그먼트를 나열합니다.
- 연결된 Amazon VPC 및 서브넷. NSX Manager를 열고 연결된 VPC를 클릭하여 연결된 Amazon VPC 페이지를 엽니다. 그러면 VPC ID 및 VPC 서브넷 아래에 이 정보가 제공됩니다.
- 연결된 VPC에 대해 관리 접두사 목록을 사용하도록 설정한 경우 NSX Manager 연결된 VPC 페이지를 열고 접두사 목록 이름, ID 및 이를 포함하는 경로 테이블을 검색합니다. 단계 e를 완료하려면 이 정보가 필요합니다. 관리 접두사 목록 및 그 사용 방법에 대한 자세한 내용은 연결된 Amazon VPC에 대해 AWS 관리 접두사 목록 모드 사용을 참조하십시오.