维护 SDDC 管理基础架构的安全至关重要。默认情况下,管理网关会阻止从所有源到所有管理网络目标的流量。

配置对 SDDC 管理基础架构的访问时,请务必创建仅允许对 SDDC 管理网络进行必要访问的管理网关防火墙规则。要访问管理网关,可以在 SDDC 和内部部署数据中心之间配置 AWS Direct Connect在 SDDC 和内部部署数据中心之间配置 VPN 连接或同时执行这两项操作。Direct Connect(在企业和 SDDC 之间提供专用连接)可以单独使用,也可以与 IPsec VPN 一起用来加密流量。

如果无法使用 Direct Connect、VMware 受管传输网关或 VPN,则可以使用公用 DNS 和 vCenter Server 公用 IP 直接通过 Internet 访问 SDDC vCenter Server。如果执行此操作,则必须创建管理网关防火墙规则,以防止不受信任的源访问管理网络。VPN 通过加密和身份验证协议提供了额外的安全性。

管理网关防火墙规则根据源地址和目标地址以及服务端口指定要对网络流量执行的操作。源或目标必须是系统定义的清单组。有关查看或修改清单组的信息,请参见 使用清单组
重要说明: 默认管理网关防火墙规则会拒绝所有流量,因此必须至少创建一个用户定义的管理网关防火墙规则,以便能够访问 vCenter Server Appliance 以及其他管理虚拟机和设备。要在通过公用 Internet 访问管理网关时提供适当的安全性,请配置管理网关防火墙规则,该规则仅允许来自您拥有或信任的 IP 地址的流量,并始终将源 IP 范围(包括内部和外部 IP)限制为尽可能小的 IP 集。例如,如果企业从 CIDR 块 93.184.216.34/30 中的地址访问 Internet,应创建一个管理网关规则,仅允许具有 CIDR 93.184.216.34/30 的流量访问管理目标,如 管理网关防火墙规则示例中所示。从 SDDC 版本 1.22 开始,无法发布允许来自 (包括 任意或 0.0.0.0/0)的流量的管理网关防火墙规则。有关提供对 SDDC 管理基础架构的安全访问的更多信息,请参见 VMware 知识库文章 84154
有两种类型的防火墙规则:
  • 预定义的防火墙规则由 VMware Cloud on AWS 创建和管理。无法修改或重新排序这些规则。有一个预定义的管理网关防火墙规则:
    表 1. 预定义的管理网关防火墙规则
    名称 目标 服务 操作
    默认全部拒绝 任意 任意 任意 丢弃
    由于此规则在默认拒绝模式下运行,因此仅允许客户定义的规则明确允许的流量。
  • 客户定义的防火墙规则按照您指定的顺序进行处理,并且始终在预定义的规则之前进行处理。这些规则要求源或目标是系统定义的组,并且可用端口和服务列表是由 VMware 管理的有限列表。当是系统定义的组时,服务必须为任意。由于这些规则必须具有允许操作,因此规则顺序通常不重要。

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理
    也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。
  4. 网关防火墙卡视图上,单击管理网关,然后单击添加规则并为新规则提供名称
  5. 输入新规则的参数。
    参数将初始化为其默认值(例如, 目标会初始化为为 任意)。要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标 ( 铅笔图标) 以打开参数特定的编辑器。
    选项 描述
    输入源地址的任意组合(CIDR 块或管理组名称)。
    重要说明:

    虽然可以在防火墙规则中选择任意作为源地址,但在目标为 vCenter 时,不能使用任意或通配符 0.0.0.0/0 作为源地址。如果这样做,可能会使 vCenter Server 遭受攻击,并可能导致您的 SDDC 受到威胁。

    选择系统定义的组,然后选择以下源选项之一:

    • ESXi,以允许来自 SDDC 的 ESXi 主机的流量。
    • NSX Manager,以允许来自 SDDC 的 NSX 设备的流量。
    • vCenter,以允许来自 SDDC 的 vCenter Server 的流量。
    • 在 SDDC 中启用的其他集成服务。

    选择用户定义的组,以使用您定义的管理组。请参见使用清单组
    目标

    选择任意以允许流入任意目标地址或地址范围的流量。

    选择 系统定义的组,然后选择以下目标选项之一:
    • ESXi,以允许流入 SDDC 的 ESXi 管理的流量。
    • NSX Manager,以允许流向 SDDC 的 NSX 设备的流量。
    • vCenter,以允许流入 SDDC 的 vCenter Server 的流量。
    • 在 SDDC 中启用的其他集成服务。
    服务

    选择规则应用到的服务类型。服务类型列表取决于所选择的目标
    操作 对新管理网关防火墙规则唯一可用的操作是允许
    新规则会默认处于启用状态。将开关滑到左侧可将其禁用。
  6. 单击发布以创建规则。

    系统会为新规则提供一个整数 ID 值,该值在规则生成的日志条目中使用。

    防火墙规则将按从上到下的顺序应用。由于默认的丢弃规则位于底部,上面的规则始终为允许规则,因此管理网关防火墙规则顺序对流量没有影响。

示例: 创建管理网关防火墙规则

要创建允许内部部署 ESXi 主机到 SDDC 中 ESXi 主机的 vMotion 流量的防火墙规则,请执行以下操作:
  1. 创建一个管理清单组,其中包含要为通过 vMotion 迁移到 SDDC 启用的内部部署 ESXi 主机。
  2. ESXi 作为源以及将内部部署 ESXi 主机作为目标,创建管理网关规则。
  3. 通过将内部部署 ESXi 主机组作为源以及将具有 vMotion 服务的 ESXi 作为目标,创建另一个管理网关规则。

下一步做什么

可以查看除“默认全部拒绝”规则之外的任何其他规则的规则命中数统计信息流统计信息

  • 单击齿轮图标 (齿轮图标) 以查看或修改规则日志记录设置。日志条目将发送到 VMware VMware Aria Operations for Logs 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 VMware Aria Operations for Logs

  • 单击图形图标 ( 图形图标) 以查看规则的规则命中数统计信息和流统计信息。
    表 2. 规则命中数统计信息
    热度指数 过去 24 小时内触发规则的次数。
    命中计数 规则自创建以来触发的次数。
    表 3. 流统计信息
    数据包计数 流经此规则的数据包总数。
    字节计数 流经此规则的字节总数。
    只要一启用规则,统计信息便开始累积。