您可以在已連線的 Amazon VPC 中部署 EC2 執行個體,並設定 AWS 安全性原則和計算閘道防火牆規則以允許 SDDC 中的虛擬機器與該執行個體進行連線。

已連線的 VPC 中的預設 AWS 安全群組會控制從 VPC 中的 EC2 執行個體到 SDDC 中的虛擬機器的流量。此流量還必須經過計算閘道防火牆 (以及 Distributed Firewall,如果您使用的話)。所有這些控制都必須設定為允許預期流量,否則,將無法建立連線。

當您部署 EC2 執行個體時,EC2 啟動精靈會將其與新安全群組建立關聯,除非您已指定另一個群組。新 AWS 安全群組允許此執行個體的所有輸出流量,但不允許其輸入流量。若要允許在 EC2 執行個體和 SDDC 中的虛擬機器之間建立連線,通常只需建立輸入規則。
  • 若要允許起始從 EC2 執行個體到 SDDC 中的虛擬機器的流量,請在預設安全群組上建立輸入規則。
  • 若要允許起始從虛擬機器到 EC2 執行個體的流量,請在套用至 EC2 執行個體的安全群組上建立輸入規則。
VMware 知識庫文章 76577 還包含其他資訊,適用於預設 AWS 安全群組遺失或已更改輸出流量之全部允許規則的情況。

請記住,當預設 AWS 安全群組與執行個體一起使用時,其輸入規則會同時套用至傳送 EC2 執行個體及傳送 SDDC 時的流量。若要允許 SDDC 中的虛擬機器或 EC2 執行個體所起始的流量連線到其他流量,則輸入規則必須允許來自 EC2 執行個體和虛擬機器的輸入流量。

必要條件

若要完成此工作,您需要下列資訊:

  • 您 SDDC 中的虛擬機器連線之網路區段的 CIDR 區塊。按一下網路與安全性索引標籤上的區段以列出所有區段。
  • 連線的 Amazon VPC 和子網路。在網路與安全性索引標籤上的系統類別中按一下已連線的 VPC,以開啟已連線的 Amazon VPC 頁面,將在 VPC 識別碼VPC 子網路下提供此資訊。

程序

  1. 在 AWS 帳戶中部署 EC2 執行個體。
    建立 EC2 執行個體時請記住下列事項:
    • EC2 執行個體必須位於部署 SDDC 期間所選取的 VPC 中,否則將無法透過私人 IP 位址建立連線。
    • EC2 執行個體可以部署在 VPC 內的任何子網路中,但如果部署在 SDDC 部署期間所選 AZ 以外的 AZ,則可能會產生跨 AZ 流量費用。
    • 如果可能,請為 EC2 執行個體選取已設定輸入流量規則的安全群組,如步驟 2所述。
    • 用於 SDDC 的 VPC 子網路,以及 AWS 服務或執行個體與 SDDC 通訊所在的任何 VPC 子網路,必須全部與 VPC 的主要路由表相關聯。
    • SDDC 中的工作負載虛擬機器可以透過 ENI 連線,與已連線的 VPC 的主要 CIDR 區塊中的所有子網路進行通訊。VMC 無法感知 VPC 中的其他 CIDR 區塊。
  2. 將輸入規則新增至套用到執行個體的安全群組。選取您在步驟 1 中部署的 EC2 執行個體並設定其安全群組,以允許來自與 SDDC 中的虛擬機器相關聯的邏輯網路或 IP 位址的輸入流量。
    1. 選取您在步驟 1 中部署的執行個體。
    2. 在執行個體說明中,按一下執行個體的安全群組,然後按一下輸入索引標籤。
    3. 按一下編輯
    4. 按一下新增規則
    5. 類型下拉式功能表中,選取您想要允許的流量類型。
    6. 來源文字方塊中選取自訂,然後輸入 SDDC 中需要與執行個體通訊的虛擬機器的 IP 位址或 CIDR 區塊。
    7. (選擇性) 視需要為要從 SDDC 中的虛擬機器連線至執行個體的其他 CIDR 區塊或流量類型新增規則。
    8. 按一下儲存
  3. (選擇性) 如果需要允許步驟 1 中部署的執行個體所起始的流量流向 SDDC 中的虛擬機器,請編輯已連線的 Amazon VPC 的預設安全群組,按 CIDR 區塊或安全群組新增識別執行個體的輸入規則。
    1. 在 AWS 主控台中,為已連線的 Amazon VPC 選取預設安全群組,然後按一下輸入索引標籤。
    2. 按一下編輯
    3. 按一下新增規則
    4. 類型下拉式功能表中,選取您想要允許的流量類型。
    5. 來源文字方塊中選取自訂,然後輸入 SDDC 中需要與執行個體通訊的虛擬機器的 IP 位址或 CIDR 區塊。
      如果所有虛擬機器均與同一個 SDDC 詳細目錄群組相關聯,您可以指定該群組為 來源,而不是使用 IP 位址或 CIDR 區塊。
    6. (選擇性) 視需要為要從 SDDC 中的虛擬機器連線至執行個體的其他 CIDR 區塊或流量類型新增規則。
    7. 按一下儲存
  4. 設定必要的計算閘道防火牆規則。
    請參閱 VMware Cloud on AWS 網路與安全性中的 〈新增或修改計算閘道防火牆規則〉
    • 若要允許來自已連線 Amazon VPC 中執行個體的輸入流量,請建立一個規則,其中來源已連線的 VPC 首碼,而目的地是包含需要執行個體輸入存取的虛擬機器的詳細目錄群組。
    • 若要允許到已連線 Amazon VPC 中執行個體的輸出流量,請建立一個規則,其中來源是包含需要執行個體輸出存取的虛擬機器的詳細目錄群組,而目的地已連線的 VPC 首碼
    備註: 在任何情況下,您都可以透過在 SDDC 中定義僅包含部分 EC2 執行個體之 IP 位址或 CIDR 區塊的工作負載詳細目錄群組,來限制這些 EC2 執行個體的進出流量。
  5. (選擇性) 設定 Distributed Firewall 規則。
    如果任何與執行個體進行通訊的虛擬機器受到 Distributed Firewall 保護,您可能需要調整該防火牆的規則以允許預期流量。請參閱 〈新增或修改 Distributed Firewall 規則〉