연결된 Amazon VPC에서 EC2 인스턴스를 배포하고 AWS 보안 정책과 계산 게이트웨이 방화벽 규칙을 구성하여 인스턴스와 워크로드 VM을 연결할 수 있습니다.

이 항목에서는 SDDC 워크로드와 연결된 VPC의 EC2 인스턴스 간의 트래픽을 사용하도록 설정하는 데 중점을 두지만 단계 2단계 3에 자세히 설명된 수정 사항에서도 EC2 인스턴스와 SDDC 관리 네트워크 간의 트래픽을 사용하도록 설정할 수 있습니다. 유사한 AWS 보안 그룹 수정은 연결된 VPC의 기본 CIDR에 있는 IP 주소에서 연결할 수 있는 모든 네이티브 AWS 서비스에 대한 SDDC 연결을 사용하도록 설정해야 합니다.

연결된 VPC의 기본 AWS 보안 그룹은 VPC의 EC2 인스턴스에서 SDDC의 VM으로 이동하는 트래픽을 제어합니다. 이 트래픽은 계산 게이트웨이 방화벽(및 분산 방화벽, 사용하는 경우)을 통과해야 합니다. 이러한 모든 제어는 필요한 트래픽을 허용하도록 구성되어야 합니다. 그렇지 않으면 연결을 설정할 수 없습니다.

EC2 인스턴스를 배포할 때 다른 그룹을 지정하지 않는 한 EC2 시작 마법사는 EC2 인스턴스를 새 보안 그룹에 연결합니다. 새 AWS 보안 그룹은 인스턴스의 모든 아웃바운드 트래픽을 허용하며 인바운드 트래픽은 허용하지 않습니다. SDDC에서 EC2 인스턴스와 VM 간의 연결을 허용하려면 일반적으로 인바운드 규칙만 생성하면 됩니다.
  • EC2 인스턴스에서 SDDC의 VM으로 트래픽을 시작할 수 있도록 허용하려면 기본 보안 그룹에 대한 인바운드 규칙을 생성합니다.
  • VM에서 EC2 인스턴스로 트래픽을 시작하도록 허용하려면 EC2 인스턴스에 적용된 보안 그룹에 대한 인바운드 규칙을 생성합니다.
VMware 기술 자료 문서 76577에는 기본 AWS 보안 그룹에 아웃바운드 트래픽에 대한 누락되거나 변경된 모두 허용 규칙이 있는 경우에 적용되는 추가 정보가 있습니다.

인스턴스에 기본 AWS 보안 그룹을 사용하는 경우, 인바운드 규칙은 EC2 인스턴스를 통과할 때와 SDDC를 통과할 때 모두의 트래픽에 적용됩니다. SDDC의 VM 또는 EC2 인스턴스에 의해 시작된 트래픽이 다른 인스턴스에 도달하도록 허용하려면 인바운드 규칙이 EC2 인스턴스와 VM 모두의 인바운드 트래픽을 허용해야 합니다.

사전 요구 사항

이 작업을 완료하려면 다음 정보가 필요합니다.
  • SDDC의 VM이 연결된 네트워크 세그먼트의 CIDR 블록. NSX Manager를 열고 세그먼트를 클릭하여 모든 SDDC 네트워크 세그먼트를 나열합니다.
  • 연결된 Amazon VPC 및 서브넷. NSX Manager를 열고 연결된 VPC를 클릭하여 연결된 Amazon VPC 페이지를 엽니다. 그러면 VPC IDVPC 서브넷 아래에 이 정보가 제공됩니다.
  • 연결된 VPC에 대해 관리 접두사 목록을 사용하도록 설정한 경우 NSX Manager 연결된 VPC 페이지를 열고 접두사 목록 이름, ID 및 이를 포함하는 경로 테이블을 검색합니다. 단계 e를 완료하려면 이 정보가 필요합니다. 관리 접두사 목록 및 그 사용 방법에 대한 자세한 내용은 연결된 Amazon VPC에 대해 AWS 관리 접두사 목록 모드 사용을 참조하십시오.
이 정보는 레거시 VMware Cloud 콘솔 네트워킹 및 보안 탭에서도 사용할 수 있습니다.

프로시저

  1. AWS 계정에서 EC2 인스턴스를 배포합니다.
    EC2 인스턴스를 생성할 때 다음 사항을 고려합니다.
    • EC2 인스턴스가 SDDC의 배포 도중 선택한 VPC에 있어야 하며 그렇지 않으면 개인 IP 주소를 통해 연결을 설정할 수 없습니다.
    • EC2 인스턴스는 VPC 내의 모든 서브넷에 배포될 수 있지만 해당 서브넷이 SDDC 배포 중에 선택한 AZ와 다를 경우 크로스 AZ 트래픽 비용이 발생할 수 있습니다.
    • 가능하면 이미 단계 2에 설명된 대로 구성된 인바운드 트래픽 규칙이 있는 EC2 인스턴스에 대한 보안 그룹을 선택합니다.
    • SDDC와 통신하는 AWS 서비스 또는 인스턴스는 기본 경로 테이블 또는 연결된 VPC에 대한 관리 접두사 목록이 추가된 사용자 지정 경로 테이블에 연결되어야 합니다. 기본 CGW에 연결된 라우팅된 네트워크 세그먼트를 생성하거나 삭제할 때 AWS 관리 접두사 목록을 사용하여 이 경로 테이블의 유지 보수를 간소화하는 방법에 대한 자세한 내용은 NSX 네트워킹 개념에서 "SDDC 및 연결된 VPC 간 라우팅"을 참조하십시오.
    • SDDC의 워크로드 VM은 연결된 VPC의 기본 CIDR 블록에 있는 모든 서브넷과 ENI 연결을 통해 통신할 수 있습니다. VMC는 VPC의 다른 CIDR 블록을 인식하지 못합니다.
  2. 인스턴스에 적용된 보안 그룹에 인바운드 규칙을 추가합니다. 단계 1에서 배포한 EC2 인스턴스를 선택하고 SDDC의 VM과 연결된 논리적 네트워크 또는 IP 주소의 인바운드 트래픽을 허용하도록 해당 보안 그룹을 구성합니다.
    1. 단계 1에서 배포한 인스턴스를 선택합니다.
    2. 인스턴스 설명에서 인스턴스의 보안 그룹을 클릭하고 인바운드 탭을 클릭합니다.
    3. 편집을 클릭합니다.
    4. 규칙 추가를 클릭합니다.
    5. 유형 드롭다운 메뉴에서 허용할 트래픽의 유형을 선택합니다.
    6. 소스 텍스트 상자에서 사용자 지정을 선택하고 인스턴스와 통신해야 하는 SDDC에 있는 VM의 IP 주소 또는 CIDR 블록을 입력하거나 연결된 VPC에 대한 관리 접두사 목록을 지정합니다(생성한 경우).
    7. (선택 사항) SDDC의 VM에서 인스턴스에 연결할 트래픽 유형 또는 추가 CIDR 블록에 대해 필요에 따라 규칙을 추가합니다.
    8. 저장을 클릭합니다.
  3. (선택 사항) 단계 1에 배포한 인스턴스에 의해 시작된 트래픽을 SDDC의 VM에 허용해야 하는 경우, 연결된 Amazon VPC의 기본 보안 그룹을 편집하여 CIDR 블록이나 보안 그룹별로 인스턴스를 식별하는 인바운드 규칙을 추가합니다.
    1. AWS 콘솔에서 연결된 Amazon VPC에 대한 기본 보안 그룹을 선택하고 인바운드 탭을 클릭합니다.
    2. 편집을 클릭합니다.
    3. 규칙 추가를 클릭합니다.
    4. 유형 드롭다운 메뉴에서 허용할 트래픽의 유형을 선택합니다.
    5. 소스 텍스트 상자에서 사용자 지정을 선택하고 인스턴스와 통신해야 하는 SDDC VM의 IP 주소 또는 CIDR 블록을 입력합니다.
      모든 VM이 동일한 SDDC 인벤토리 그룹과 연결된 경우 IP 주소 또는 CIDR 블록을 사용하는 대신 해당 그룹을 소스로 지정할 수 있습니다.
    6. (선택 사항) SDDC의 VM에서 인스턴스에 연결할 트래픽 유형 또는 추가 CIDR 블록에 대해 필요에 따라 규칙을 추가합니다.
    7. 저장을 클릭합니다.
  4. 필요한 계산 게이트웨이 방화벽 규칙을 구성합니다.
    " VMware Cloud on AWS 네트워킹 및 보안 " 에서 계산 게이트웨이 방화벽 규칙 추가 또는 수정을 참조하십시오.
    • 연결된 Amazon VPC의 인스턴스에서 인바운드 트래픽을 허용하려면 소스연결된 VPC 접두사이고 대상이 인스턴스에서 인바운드 액세스가 필요한 VM이 포함된 인벤토리 그룹인 규칙을 생성합니다.
    • 연결된 Amazon VPC의 인스턴스로 아웃바운드 트래픽을 허용하려면 소스가 인스턴스에 대한 아웃바운드 액세스가 필요한 VM이 포함된 인벤토리 그룹이고 대상연결된 VPC 접두사인 규칙을 생성합니다.
    참고: 두 경우 모두 SDDC에서 해당 인스턴스에 대한 IP 주소 또는 CIDR 블록만 포함하는 워크로드 인벤토리 그룹을 정의하여 EC2 인스턴스 하위 집합의 송신 및 수신 트래픽을 제한할 수 있습니다.
  5. (선택 사항) 분산 방화벽 규칙을 구성합니다.
    인스턴스와 통신하는 VM이 분산 방화벽으로 보호되는 경우에는 예상되는 트래픽을 허용하도록 해당 방화벽에 대한 규칙을 조정해야 할 수도 있습니다. 분산 방화벽 규칙 추가 또는 수정을 참조하십시오.