您可以在已連線的 Amazon VPC 中部署 EC2 執行個體,並設定 AWS 安全性原則和計算閘道防火牆規則,以允許該執行個體與工作負載虛擬機器之間建立連線。

雖然本主題重點介紹允許 SDDC 工作負載與已連線 VPC 中的 EC2 執行個體之間的流量,但步驟 2步驟 3 中詳述的修改也允許 EC2 執行個體與 SDDC 管理網路之間的流量。類似的 AWS 安全群組修改應允許 SDDC 連線到可透過已連線 VPC 的主 CIDR 中的 IP 位址連線的任何原生 AWS 服務。

已連線的 VPC 中的預設 AWS 安全群組會控制從 VPC 中的 EC2 執行個體到 SDDC 中的虛擬機器的流量。此流量還必須經過計算閘道防火牆 (以及 Distributed Firewall,如果您使用的話)。所有這些控制都必須設定為允許預期流量,否則,將無法建立連線。

當您部署 EC2 執行個體時,EC2 啟動精靈會將其與新安全群組建立關聯,除非您已指定另一個群組。新 AWS 安全群組允許此執行個體的所有輸出流量,但不允許其輸入流量。若要允許在 EC2 執行個體和 SDDC 中的虛擬機器之間建立連線,通常只需建立輸入規則。
  • 若要允許起始從 EC2 執行個體到 SDDC 中的虛擬機器的流量,請在預設安全群組上建立輸入規則。
  • 若要允許起始從虛擬機器到 EC2 執行個體的流量,請在套用至 EC2 執行個體的安全群組上建立輸入規則。
VMware 知識庫文章 76577 還包含其他資訊,適用於預設 AWS 安全群組遺失或已更改輸出流量之全部允許規則的情況。

請記住,當預設 AWS 安全群組與執行個體一起使用時,其輸入規則會同時套用至傳送 EC2 執行個體及傳送 SDDC 時的流量。若要允許 SDDC 中的虛擬機器或 EC2 執行個體所起始的流量連線到其他流量,則輸入規則必須允許來自 EC2 執行個體和虛擬機器的輸入流量。

必要條件

若要完成此工作,您將需要下列資訊:
  • 您 SDDC 中的虛擬機器連線之網路區段的 CIDR 區塊。開啟 NSX Manager,然後按一下區段,可列出所有 SDDC 網路區段。
  • 連線的 Amazon VPC 和子網路。開啟 NSX Manager,然後按一下已連線 VPC,可開啟已連線 Amazon VPC 頁面,在該頁面的 VPC 識別碼VPC 子網路下提供了此資訊。
  • 如果為已連線 VPC 啟用了受管首碼清單,請開啟 NSX Manager 已連線 VPC 頁面,然後擷取首碼清單名稱、識別碼和包含該首碼清單的路由表。需要這些資訊才能完成 步驟 e。如需有關受管首碼清單及其使用方法的詳細資訊,請參閱〈為已連線 Amazon VPC 啟用 AWS 受管首碼清單模式〉
也可從舊版 VMware Cloud 主控台網路與安全性索引標籤中取得此資訊。

程序

  1. 在 AWS 帳戶中部署 EC2 執行個體。
    建立 EC2 執行個體時請記住下列事項:
    • EC2 執行個體必須位於部署 SDDC 期間所選取的 VPC 中,否則將無法透過私人 IP 位址建立連線。
    • EC2 執行個體可以部署在 VPC 內的任何子網路中,但如果部署在 SDDC 部署期間所選 AZ 以外的 AZ,則可能會產生跨 AZ 流量費用。
    • 如果可能,請為 EC2 執行個體選取已設定輸入流量規則的安全群組,如步驟 2所述。
    • 與 SDDC 通訊的 AWS 服務或執行個體必須與主要路由表相關聯,或者與新增了已連線 VPC 的受管首碼清單的自訂路由表相關聯。如需如何在建立或刪除連線到預設 CGW 的路由網路區段時使用 AWS 受管首碼清單簡化此路由表維護的相關資訊,請參閱〈NSX 網路概念〉中的「在 SDDC 與已連線的 VPC 之間路由」。
    • SDDC 中的工作負載虛擬機器可以透過 ENI 連線,與已連線的 VPC 的主要 CIDR 區塊中的所有子網路進行通訊。VMC 無法感知 VPC 中的其他 CIDR 區塊。
  2. 將輸入規則新增至套用到執行個體的安全群組。選取您在步驟 1 中部署的 EC2 執行個體並設定其安全群組,以允許來自與 SDDC 中的虛擬機器相關聯的邏輯網路或 IP 位址的輸入流量。
    1. 選取您在步驟 1 中部署的執行個體。
    2. 在執行個體說明中,按一下執行個體的安全群組,然後按一下輸入索引標籤。
    3. 按一下編輯
    4. 按一下新增規則
    5. 類型下拉式功能表中,選取您想要允許的流量類型。
    6. 來源文字方塊中,選取自訂,然後輸入 SDDC 中需要與執行個體通訊的虛擬機器的 IP 位址或 CIDR 區塊,或直接指定已連線 VPC (如果已建立) 的受管首碼清單。
    7. (選擇性) 視需要為要從 SDDC 中的虛擬機器連線至執行個體的其他 CIDR 區塊或流量類型新增規則。
    8. 按一下儲存
  3. (選擇性) 如果需要允許步驟 1 中部署的執行個體所起始的流量流向 SDDC 中的虛擬機器,請編輯已連線的 Amazon VPC 的預設安全群組,按 CIDR 區塊或安全群組新增識別執行個體的輸入規則。
    1. 在 AWS 主控台中,為已連線的 Amazon VPC 選取預設安全群組,然後按一下輸入索引標籤。
    2. 按一下編輯
    3. 按一下新增規則
    4. 類型下拉式功能表中,選取您想要允許的流量類型。
    5. 來源文字方塊中選取自訂,然後輸入 SDDC 中需要與執行個體通訊的虛擬機器的 IP 位址或 CIDR 區塊。
      如果所有虛擬機器均與同一個 SDDC 詳細目錄群組相關聯,您可以指定該群組為 來源,而不是使用 IP 位址或 CIDR 區塊。
    6. (選擇性) 視需要為要從 SDDC 中的虛擬機器連線至執行個體的其他 CIDR 區塊或流量類型新增規則。
    7. 按一下儲存
  4. 設定必要的計算閘道防火牆規則。
    請參閱 VMware Cloud on AWS 網路與安全性中的 〈新增或修改計算閘道防火牆規則〉
    • 若要允許來自已連線 Amazon VPC 中執行個體的輸入流量,請建立一個規則,其中來源已連線的 VPC 首碼,而目的地是包含需要執行個體輸入存取的虛擬機器的詳細目錄群組。
    • 若要允許到已連線 Amazon VPC 中執行個體的輸出流量,請建立一個規則,其中來源是包含需要執行個體輸出存取的虛擬機器的詳細目錄群組,而目的地已連線的 VPC 首碼
    備註: 在任何情況下,您都可以透過在 SDDC 中定義僅包含部分 EC2 執行個體之 IP 位址或 CIDR 區塊的工作負載詳細目錄群組,來限制這些 EC2 執行個體的進出流量。
  5. (選擇性) 設定 Distributed Firewall 規則。
    如果任何與執行個體進行通訊的虛擬機器受到 Distributed Firewall 保護,您可能需要調整該防火牆的規則以允許預期流量。請參閱 〈新增或修改 Distributed Firewall 規則〉