您可以透過建立 S3 端點存取已連線 AWS VPC 帳戶中的 S3 值區。
透過已連線 VPC 的 S3 連線需要在已連線 VPC 中部署 S3 端點,並在主要路由表中設定該端點。如需詳細資訊,請參閱 VMware Cloud 技術區文章〈Designlet:透過 VMware Cloud on AWS 已連線 VPC 與原生 AWS 建立連線〉。
程序
- 建立 S3 端點。
請參閱 《Amazon Virtual Private Cloud 使用者指南》中的 〈閘道 VPC 端點〉和 〈Amazon S3 的端點〉。
- 針對服務類別,選取 AWS 服務。
- 在服務名稱下,選取類型為閘道的
com.amazonaws.
region-AZ.s3
服務,其中 region-AZ 與您的 SDDC 所在的區域和 AZ 相符。例如,com.amazonaws.us-west-2.s3
。 - 在 VPC 下拉式功能表中,選取已連線至 SDDC 的 VPC。
- 在設定路由表下,選取主要資料行中的值為是的路由表識別碼。此路由表由 SDDC 使用,同時應與 SDDC 所連線的 VPC 子網路相關聯。
與 SDDC 通訊的 AWS 服務或執行個體必須與主要路由表相關聯,或者與新增了已連線 VPC 的受管首碼清單的自訂路由表相關聯。如需如何在建立或刪除連線到預設 CGW 的路由網路區段時使用 AWS 受管首碼清單簡化此路由表維護的相關資訊,請參閱 〈NSX 網路概念〉中的「在 SDDC 與已連線的 VPC 之間路由」。
- 在原則下,選取預設的完整存取原則,或建立一個更嚴格的原則。請參閱《Amazon Virtual Private Cloud 使用者指南》中的〈Amazon S3 的端點〉。從 SDDC 流入 S3 的流量會將其來源 IP NATted 設為在 SDDC 部署中選取的子網路中的 IP,因此,任何原則都必須允許來自該子網路的流量。
- 按一下建立端點以建立端點,並將區域中 S3 公用 IP 範圍的路由新增至主要路由表。
- (選擇性) 為已連線的 Amazon VPC 設定安全群組,以允許輸出流量流入與 SDDC 中虛擬機器相關聯的網路區段。
預設安全群組允許此流量,因此您不需要採取此步驟,除非先前已自訂預設安全群組。
- 在 AWS 主控台中,為已連線的 Amazon VPC 選取預設安全群組,然後按一下輸出索引標籤。
- 按一下編輯。
- 按一下新增規則。
- 在類型下拉式功能表中,選取 HTTPS。
- 在目的地文字方塊中,選取與 S3 端點相關聯的首碼清單。
可以在 VPC 的 受管理首碼清單卡中找到此首碼清單。如果在此處看到多個首碼清單,請選擇一個特定於包含您感興趣的 S3 服務的區域的清單。
- 按一下儲存。
- 確保已啟用透過彈性網路介面存取 S3 的權限。
依預設,會啟用透過已連線 Amazon VPC 中的彈性網路介面存取 S3 的權限。如果您已停用此存取權以允許透過網際網路閘道存取 S3,必須將其重新啟用。
- 登入 VMware Cloud 主控台,網址為 https://vmc.vmware.com。
- 按一下 > 已連線的 VPC
- 在服務存取權下,按一下 S3 端點旁邊的啟用。
- 使用〈新增或修改計算閘道防火牆規則〉中定義的工作流程建立計算閘道防火牆規則,允許對已連線 Amazon VPC 進行 HTTPS 存取。
此範例顯示了如何使用 NSX Manager 建立詳細目錄群組和防火牆規則。也可以使用 VMware Cloud 主控台的網路與安全性索引標籤執行此工作流程。請參閱使用 NSX Manager 的 SDDC 網路管理。
- 在閘道防火牆頁面上,按一下計算閘道。
- 按一下新增規則,然後新增具有下列參數的規則,其中 Workload-CIDR 是工作負載虛擬機器需要存取 S3 之區段的 CIDR 區塊。
來源 目的地 服務 套用至 動作 Workload-CIDR S3 首碼 HTTPS VPC 介面 允許
結果
SDDC 中的工作負載虛擬機器可透過 HTTPS 連線存取 S3 值區中的檔案。