您可以在已連線的 Amazon VPC 中部署 EC2 執行個體,並設定 AWS 安全性原則和計算閘道防火牆規則,以允許該執行個體與工作負載虛擬機器之間建立連線。
雖然本主題重點介紹允許 SDDC 工作負載與已連線 VPC 中的 EC2 執行個體之間的流量,但步驟 2 和步驟 3 中詳述的修改也允許 EC2 執行個體與 SDDC 管理網路之間的流量。類似的 AWS 安全群組修改應允許 SDDC 連線到可透過已連線 VPC 的主 CIDR 中的 IP 位址連線的任何原生 AWS 服務。
已連線的 VPC 中的預設 AWS 安全群組會控制從 VPC 中的 EC2 執行個體到 SDDC 中的虛擬機器的流量。此流量還必須經過計算閘道防火牆 (以及 Distributed Firewall,如果您使用的話)。所有這些控制都必須設定為允許預期流量,否則,將無法建立連線。
當您部署 EC2 執行個體時,EC2 啟動精靈會將其與新安全群組建立關聯,除非您已指定另一個群組。新 AWS 安全群組允許此執行個體的所有輸出流量,但不允許其輸入流量。若要允許在 EC2 執行個體和 SDDC 中的虛擬機器之間建立連線,通常只需建立輸入規則。
- 若要允許起始從 EC2 執行個體到 SDDC 中的虛擬機器的流量,請在預設安全群組上建立輸入規則。
- 若要允許起始從虛擬機器到 EC2 執行個體的流量,請在套用至 EC2 執行個體的安全群組上建立輸入規則。
請記住,當預設 AWS 安全群組與執行個體一起使用時,其輸入規則會同時套用至傳送 EC2 執行個體及傳送 SDDC 時的流量。若要允許 SDDC 中的虛擬機器或 EC2 執行個體所起始的流量連線到其他流量,則輸入規則必須允許來自 EC2 執行個體和虛擬機器的輸入流量。
必要條件
若要完成此工作,您將需要下列資訊:
- 您 SDDC 中的虛擬機器連線之網路區段的 CIDR 區塊。開啟 NSX Manager,然後按一下區段,可列出所有 SDDC 網路區段。
- 連線的 Amazon VPC 和子網路。開啟 NSX Manager,然後按一下已連線 VPC,可開啟已連線 Amazon VPC 頁面,在該頁面的 VPC 識別碼和 VPC 子網路下提供了此資訊。
- 如果為已連線 VPC 啟用了受管首碼清單,請開啟 NSX Manager 已連線 VPC 頁面,然後擷取首碼清單名稱、識別碼和包含該首碼清單的路由表。需要這些資訊才能完成 步驟 e。如需有關受管首碼清單及其使用方法的詳細資訊,請參閱〈為已連線 Amazon VPC 啟用 AWS 受管首碼清單模式〉。