您可以透過建立 S3 端點存取已連線 AWS VPC 帳戶中的 S3 值區。

透過已連線 VPC 的 S3 連線需要在已連線 VPC 中部署 S3 端點,並在主要路由表中設定該端點。如需詳細資訊,請參閱 VMware Cloud 技術區文章〈Designlet:透過 VMware Cloud on AWS 已連線 VPC 與原生 AWS 建立連線〉

程序

  1. 建立 S3 端點。
    請參閱 《Amazon Virtual Private Cloud 使用者指南》中的 〈閘道 VPC 端點〉〈Amazon S3 的端點〉
    1. 針對服務類別,選取 AWS 服務。
    2. 服務名稱下,選取類型為閘道com.amazonaws.region-AZ.s3 服務,其中 region-AZ 與您的 SDDC 所在的區域和 AZ 相符。例如,com.amazonaws.us-west-2.s3
    3. VPC 下拉式功能表中,選取已連線至 SDDC 的 VPC。
    4. 設定路由表下,選取主要資料行中的值為路由表識別碼。此路由表由 SDDC 使用,同時應與 SDDC 所連線的 VPC 子網路相關聯。
      與 SDDC 通訊的 AWS 服務或執行個體必須與主要路由表相關聯,或者與新增了已連線 VPC 的受管首碼清單的自訂路由表相關聯。如需如何在建立或刪除連線到預設 CGW 的路由網路區段時使用 AWS 受管首碼清單簡化此路由表維護的相關資訊,請參閱 〈NSX 網路概念〉中的「在 SDDC 與已連線的 VPC 之間路由」。
    5. 原則下,選取預設的完整存取原則,或建立一個更嚴格的原則。請參閱《Amazon Virtual Private Cloud 使用者指南》中的〈Amazon S3 的端點〉。從 SDDC 流入 S3 的流量會將其來源 IP NATted 設為在 SDDC 部署中選取的子網路中的 IP,因此,任何原則都必須允許來自該子網路的流量。
    6. 按一下建立端點以建立端點,並將區域中 S3 公用 IP 範圍的路由新增至主要路由表。
  2. (選擇性) 為已連線的 Amazon VPC 設定安全群組,以允許輸出流量流入與 SDDC 中虛擬機器相關聯的網路區段。
    預設安全群組允許此流量,因此您不需要採取此步驟,除非先前已自訂預設安全群組。
    1. 在 AWS 主控台中,為已連線的 Amazon VPC 選取預設安全群組,然後按一下輸出索引標籤。
    2. 按一下編輯
    3. 按一下新增規則
    4. 類型下拉式功能表中,選取 HTTPS
    5. 目的地文字方塊中,選取與 S3 端點相關聯的首碼清單。
      可以在 VPC 的 受管理首碼清單卡中找到此首碼清單。如果在此處看到多個首碼清單,請選擇一個特定於包含您感興趣的 S3 服務的區域的清單。
    6. 按一下儲存
  3. 確保已啟用透過彈性網路介面存取 S3 的權限。
    依預設,會啟用透過已連線 Amazon VPC 中的彈性網路介面存取 S3 的權限。如果您已停用此存取權以允許透過網際網路閘道存取 S3,必須將其重新啟用。
    1. 登入 VMware Cloud 主控台,網址為 https://vmc.vmware.com
    2. 按一下 > 已連線的 VPC
    3. 服務存取權下,按一下 S3 端點旁邊的啟用
  4. 使用〈新增或修改計算閘道防火牆規則〉中定義的工作流程建立計算閘道防火牆規則,允許對已連線 Amazon VPC 進行 HTTPS 存取。

    此範例顯示了如何使用 NSX Manager 建立詳細目錄群組和防火牆規則。也可以使用 VMware Cloud 主控台網路與安全性索引標籤執行此工作流程。請參閱使用 NSX Manager 的 SDDC 網路管理

    1. 閘道防火牆頁面上,按一下計算閘道
    2. 按一下新增規則,然後新增具有下列參數的規則,其中 Workload-CIDR 是工作負載虛擬機器需要存取 S3 之區段的 CIDR 區塊。
      來源 目的地 服務 套用至 動作
      Workload-CIDR S3 首碼 HTTPS VPC 介面 允許

結果

SDDC 中的工作負載虛擬機器可透過 HTTPS 連線存取 S3 值區中的檔案。