可以使用 VMware Transit Connect 將 AWS VPC 連結至 SDDC 群組。這樣一來,可簡化群組中的 SDDC 與該 VPC 中執行的 AWS 服務之間的網路連線。

雖然 VMware Transit Connect 會處理 SDDC 群組成員之間的所有計算和管理網路流量,但它不會自動設定 AWS 路由表以將來自外部 VPC 或其他 AWS 物件的流量傳送到 SDDC 群組的 VTGW。需要此類連線的網路拓撲包括建立「安全性 VPC」,SDDC 群組與網際網路之間的所有流量將透過此安全性 VPC 路由以進行檢查,還包括在 AWS 物件和 SDDC 群組成員之間實現通訊的任何類似要求。此類網路拓撲要求您為從 SDDC 群組的 VTGW 到 VPC 的流量定義目的地路由,如步驟 8中所示

將 VPC 連結至 SDDC 群組的程序包含多個步驟,該程序要求您同時使用 VMware Cloud 主控台 和 AWS 主控台。可以利用 VMware Cloud 主控台 使 VTGW (由 VMware 管理的 AWS 資源) 可供共用。然後,您可以使用 AWS 主控台接受共用資源,並將其與您要連結至 SDDC 群組的 VPC 相關聯。

程序

  1. VMware Cloud 主控台詳細目錄頁面上,按一下 SDDC 群組,然後按一下要將 VPC 連結到的群組的名稱
  2. 在群組的外部 VPC 索引標籤上,按一下新增帳戶,然後指定擁有要連結至群組的 VPC 的 AWS 帳戶。
    這將允許在該帳戶中針對 VTGW 共用 AWS 資源。
  3. 在 AWS 主控台中,開啟資源存取管理程式 > 與我共用以接受共用 VTGW 資源。
    資源 名稱的格式為 VMC-Group-UUID狀態擱置中。按一下資源名稱以開啟資源 摘要卡,然後按一下 接受資源共用並確認接受。
  4. VMware Cloud 主控台中,返回群組的 VPC 連線索引標籤,然後等待您在步驟 3 中接受的資源共用的狀態正在建立關聯變更為已關聯
    VPC 資源關聯可能需要長達十分鐘的時間。VPC 關聯完成後,可以連結 VTGW
  5. 返回 AWS 主控台的資源存取管理程式以尋找共用 VTGW 資源的資源識別碼。
    它將列在 與我共用: 共用資源下, 資源識別碼 的格式為 TGW-UUID資源類型ec2:TransitGateway
  6. 建立 Transit Gateway 連結。
    1. 選取在步驟 5 中識別的 Transit Gateway 識別碼,並指定 VPC 的連結類型,然後選取您要連線到 SDDC 群組的 VPC 識別碼
    2. 在需要連線到群組的每個可用性區域 (AZ) 中選取一個子網路識別碼
      每個 AZ 只能選取一個子網路,但 SDDC 群組成員可以與該 AZ 中的所有 VPC 子網路進行通訊。
    3. 如果 VPC 是 FSx VPC,如〈將 Amazon FSx for NetApp ONTAP 設定為外部儲存區〉中所述,則還必須選取 DNS 支援
    4. 按一下建立 Transit Gateway 連結以建立連結。
  7. VMware Cloud 主控台 中,返回群組的外部 VPC 索引標籤,並接受共用的 VPC 連結。

    當 VPC 狀態變更為 PENDING_ACCEPTANCE 時,按一下接受以接受此項。接受程序完成後,狀態會變更為可用。接受可能需要長達十分鐘的時間。

  8. 設定到 VPC 的其他路由。

    在 AWS 主控台中,確定與連線到共用 VTGW 的 VPC 中的任何子網路相關聯的路由表,並且需要與 SDDC 群組進行通訊。在路由表的路由索引標籤上,按一下編輯路由並將 SDDC 群組中的任何 CIDR 新增為目的地,並將目標設定為您在步驟 5 中識別的 VTGW 識別碼。透過在路由表下拉式清單中選取外部,可在 SDDC 群組之 VMC 主控台中的路由索引標籤上找到 SDDC 群組的 CIDR 清單。

    作為手動編輯路由的替代方法,可以考慮建立受管首碼清單,並將其新增到與 VPC 相關聯的主要路由表。請參閱使用共用首碼清單簡化外部 VPC 和 TGW 物件的路由

  9. (選擇性) 設定到 VPC 的其他目的地路由。
    建立 SDDC 群組時,系統會為 VPC 的主要 CIDR 和任何次要 CIDR 建立路由。如果需要透過 VPC 路由超過 VPC 的目的地 (可能需要使用安全性 VPC 或 Transit VPC),您可以定義其他 CIDR 區塊以路由到連結的 VPC。

    若要建立或修改從群組的 VTGW 到外部 VPC 的路由,請開啟外部 VPC 索引標籤,然後選取擁有 VPC 的 AWS 帳戶識別碼並展開資料列。如果尚未指定路由,請按一下路由資料行中的新增路由以開啟編輯路由頁面,並新增將此 VPC 用作目標的一或多個路由。否則,路由資料行會顯示第一個路由和其他路由數目。按一下鉛筆圖示 (鉛筆圖示) 開啟編輯路由頁面,以便您可以編輯此清單。每個首碼均定義了從群組的 VTGWVPC 識別碼資料行中列出的 VPC 的路由。每個首碼還會在群組的路由索引標籤上顯示為目標。對於每個已連結 VPC,最多可以指定 100 個路由。

下一步

  • 在 AWS 主控台中,建立網路 ACL 以管理新增至群組的 VPC 和其他群組成員之間的流量。如果您想要存取在 VPC 中執行的 AWS 服務,則可能需要修改服務的 AWS 安全性原則。如需 S3 服務的 AWS 安全性原則組態範例,請參閱〈使用 S3 端點存取 S3 值區〉