S3 끝점을 생성하여 연결된 AWS VPC에서 S3 버킷에 액세스할 수 있습니다.

연결된 VPC를 통한 S3 연결을 사용하려면 S3 끝점을 연결된 VPC에 배포하고 기본 경로 테이블에 구성해야 합니다. 자세한 내용은 VMware Cloud Tech Zone 문서 Designlet: 네이티브 AWS에 대한 VMware Cloud on AWS 연결된 VPC를 참조하십시오.

프로시저

  1. S3 끝점을 생성합니다.
    " Amazon Virtual Private Cloud 사용자 가이드" 에서 게이트웨이 VPC 엔드포인트Amazon S3에 대한 엔드포인트를 참조하십시오.
    1. 서비스 범주로 AWS 서비스를 선택합니다.
    2. 서비스 이름에서 게이트웨이 유형의 com.amazonaws.region-AZ.s3 서비스를 선택합니다. 여기서 region-AZ는 SDDC가 있는 지역 및 AZ와 일치해야 합니다. 예: com.amazonaws.us-west-2.s3
    3. VPC 드롭다운에서 SDDC에 연결된 VPC를 선택합니다.
    4. 경로 테이블 구성에서 기본 열의 값이 경로 테이블 ID를 선택합니다. 이 경로 테이블은 SDDC에서 사용되며, SDDC가 연결되어 있는 VPC 서브넷과도 연결되어 있어야 합니다.
      SDDC와 통신하는 AWS 서비스 또는 인스턴스는 기본 경로 테이블 또는 연결된 VPC에 대한 관리 접두사 목록이 추가된 사용자 지정 경로 테이블에 연결되어야 합니다. 기본 CGW에 연결된 라우팅된 네트워크 세그먼트를 생성하거나 삭제할 때 AWS 관리 접두사 목록을 사용하여 이 경로 테이블의 유지 보수를 간소화하는 방법에 대한 자세한 내용은 NSX 네트워킹 개념에서 "SDDC 및 연결된 VPC 간 라우팅"을 참조하십시오.
    5. 정책에서 기본 전체 액세스 정책을 선택하거나 더 제한적인 정책을 생성합니다. "Amazon Virtual Private Cloud 사용자 가이드" 에서 Amazon S3에 대한 엔드포인트를 참조하십시오. SDDC에서 S3로의 트래픽은 해당 소스 IP가 SDDC 배포에서 선택된 서브넷의 IP로 네트워크 주소 변환되므로 모든 정책에서 해당 서브넷의 트래픽을 허용해야 합니다.
    6. 끝점 생성을 클릭하여 끝점을 생성하고 해당 지역의 S3 공용 IP 범위에 대한 경로를 기본 경로 테이블에 추가합니다.
  2. (선택 사항) SDDC의 VM과 연결된 네트워크 세그먼트에 전송되는 아웃바운드 트래픽을 허용하도록 연결된 Amazon VPC에 대한 보안 그룹을 구성합니다.
    기본 보안 그룹은 이 트래픽을 허용하므로 이전에 기본 보안 그룹을 사용자 지정한 경우가 아니면 이 단계를 수행할 필요가 없습니다.
    1. AWS 콘솔에서 연결된 Amazon VPC에 대한 기본 보안 그룹을 선택하고 아웃바운드 탭을 클릭합니다.
    2. 편집을 클릭합니다.
    3. 규칙 추가를 클릭합니다.
    4. 유형 드롭다운 메뉴에서 HTTPS를 선택합니다.
    5. 대상 텍스트 상자에서 S3 끝점과 연결된 접두사 목록을 선택합니다.
      이 접두사 목록은 VPC의 관리형 접두사 목록 카드에서 찾을 수 있습니다. 접두사 목록이 여러 개 표시되면 관심 있는 S3 서비스가 포함된 지역에 해당하는 항목을 선택합니다.
    6. 저장을 클릭합니다.
  3. ENI(Elastic Network Interface)를 통한 S3 액세스가 사용되는지 확인하십시오.
    기본적으로 연결된 Amazon VPC의 ENI(Elastic Network Interface)를 통한 S3 액세스는 사용하도록 설정됩니다. 인터넷 게이트웨이를 통한 S3 액세스를 허용하도록 이 액세스를 사용하지 않도록 설정한 경우 다시 사용하도록 설정해야 합니다.
    1. https://vmc.vmware.com에서 VMware Cloud 콘솔에 로그인합니다.
    2. > 연결된 VPC를 클릭합니다.
    3. 서비스 액세스에서 S3 끝점 옆에 있는 사용을 클릭합니다.
  4. 계산 게이트웨이 방화벽 규칙 추가 또는 수정에 정의된 워크플로를 사용하여 연결된 Amazon VPC에 대한 HTTPS 액세스를 허용하는 계산 게이트웨이 방화벽 규칙을 생성합니다.

    이 예에서는 NSX Manager를 사용하여 인벤토리 그룹 및 방화벽 규칙을 생성하는 방법을 보여줍니다. 이 워크플로에 대해 VMware Cloud 콘솔 네트워킹 및 보안 탭을 사용할 수도 있습니다. NSX Manager를 사용하여 SDDC 네트워크 관리를 참조하십시오.

    1. 게이트웨이 방화벽 페이지에서 계산 게이트웨이를 클릭합니다.
    2. 규칙 추가를 클릭하고 다음 매개 변수가 있는 규칙을 추가합니다. 여기서 Workload-CIDR은 워크로드 VM이 S3에 액세스해야 하는 세그먼트에 대한 CIDR 블록입니다.
      소스 대상 서비스 적용 대상 작업
      Workload-CIDR S3 접두사 HTTPS VPC 인터페이스 허용

결과

SDDC의 워크로드 VM은 HTTPS 연결을 통해 S3 버킷의 파일에 액세스할 수 있습니다.