已連線的 Amazon VPC 中包含 SDDC 及其所有網路。在已連線 VPC 頁面中提供了此 VPC 的相關資訊,其中包括作用中的 ENI、VPC 子網路與 VPC 識別碼。
VMware Cloud on AWS 使用 AWS 帳戶連結和 AWS CloudFormation 取得存取您的 AWS 帳戶所需的權限。連結帳戶後,VMware Cloud on AWS 執行 CloudFormation 範本,該範本可建立 IAM 角色,並為多個 VMware 帳戶授與承擔這些角色的權限。角色名稱將在 SDDC 的已連線 VPC 頁面上列出。如需有關這些角色和權限的詳細資料,請參閱 VMware Cloud on AWS 作業指南中的〈AWS 角色和權限〉。
假設這些角色授與
VMware Cloud on AWS 在您的 VPC 中建立、刪除和指派 ENI 以及修改路由表的權限。這些角色還允許列舉帳戶中的子網路和 VPC,以便
VMware Cloud on AWS 可以對應可用資源並在 SDDC 建立程序中呈現這些資源。無論何時升級 SDDC,在 SDDC 建立工作流程開始時都需要使用這些功能,在 SDDC 生命週期的其他時間,在需要驗證 VPC 及其子網路,以及需要檢查和修改路由表和 ENI 時,也可能需要使用這些功能。如果組織成員透過執行刪除或修改 IAM 角色或修改主要路由表等操作來危害已連線 VPC,則可能會對 SDDC 作業產生多種影響,包括:
- VMware Cloud on AWS 將無法在 SDDC 管理叢集中新增、取代或移除主機。
- 如果路由發生變更或作用中 NSX Edge 在升級期間變更主機,VMware Cloud on AWS 將無法更新主路由表。這可能會中斷 SDDC 和本機 AWS 服務之間的連線。如需詳細資料,請參閱 您的 SDDC 與已連線的 VPC 之間的路由。
- 受影響的組織將無法再部署連結到該帳戶的 SDDC。
備註: 重新執行
VMware Cloud on AWS CloudFormation 範本不會影響現有的 SDDC,這些 SDDC 將繼續使用其
已連線 Amazon VPC 頁面上顯示的 IAM 角色。如果現有 SDDC 出現上述任何症狀,請連絡 VMware 支援。