必须为组中每个 SDDC 的计算网关创建防火墙规则。如果没有这些规则,则在组成员上运行的工作负载将无法使用 VMware Transit Connect 相互通信。

由于 SDDC 组的所有成员都由同一个 VMware Cloud on AWS 组织所有,因此,可以将组成员之间的网络流量安全地视为东西向流量,而不是可能具有外部源或目标的南北向流量。但由于 SDDC 计算网关的默认防火墙规则拒绝外部流量,因此需要创建允许通过组中每个 SDDC 的计算网关的流量的防火墙规则。(SDDC 组当前不需要路由网络流量通过成员的管理网关。)

VMware Cloud on AWS 系统定义了一组适用于在计算网关防火墙规则中使用的清单组,这些规则可对组成员之间的流量提供高级别控制。这些组包含通过 VMware Transit Connect 发现的路由的前缀(CIDR 块)以及 SDDC 的 AWS 帐户所有者拥有的任何 AWS Transit Gateway。
Transit Connect 客户 TGW 前缀
从客户拥有的 AWS Transit Gateway 中发现的路由。
Transit Connect DGW 前缀
从组的 Direct Connect 网关发现的路由。
Transit Connect 本机 VPC 前缀
从组的已连接 VPC 发现的路由。
Transit Connect 其他 SDDC 前缀
从组中的其他 SDDC 发现的路由。
其中每个组中的前缀都随着组成员资格的变化和新路由的发现而自动添加、移除和更新。

有关详细信息,请参见添加或修改计算网关防火墙规则使用清单组

过程

  1. 使用添加或修改计算网关防火墙规则中定义的工作流创建所需的清单组和计算网关防火墙规则。
    系统定义的清单组对于在组成员和已连接的 VPC 之间创建高性能连接非常有用。如果需要创建更精细的防火墙规则以应用于成员 SDDC 中的各个工作负载分段,则需要创建定义这些分段的清单组,如以下示例中所示。
  2. 单击网关防火墙 > 计算网关,然后单击添加规则
    系统定义的清单组以及您定义的任何计算组均列为 目标页面中的选项。要实现不受限制的组连接,可以添加如下类似的规则,该规则允许从其他组成员到此 SDDC 的入站流量。
    名称 目标 服务 已应用于 操作
    从其他 SDDC 入站 Transit Connect 其他 SDDC 前缀 任意 任意 Direct Connect 接口 允许
    如果使用本地工作负载分段的 CIDR 块创建清单组,则可以使用这些组创建具有更高优先级的规则,从而对此流量应用更精细的控制。

示例: 具有用户定义的清单组的 CGW 防火墙规则,以允许组成员之间的工作负载流量

这些示例说明了如何使用 NSX Manager 创建清单组和防火墙规则。也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。请参见使用 NSX Manager 的 SDDC 网络管理

创建组
在 NSX Manager 中,单击 清单 > 计算组,然后单击 添加组并创建三个组。可以为这些组使用所需的任何名称。此处显示的只是示例而已。
  • 一个组名为本地工作负载,其中包括 SDDC 自身工作负载分段的分段前缀。
  • 一个组名为对等工作负载,其中包括组中其他 SDDC 的工作负载分段的分段前缀。
  • 一个组名为对等 SDDC vCenter,其中包括组中每个 SDDC 的 vCenter 的专用 IP 地址。

对于每个组,单击计算成员列中的设置,打开设置成员工具。在此工具中,可以单击添加条件,然后输入组成员的 IP 地址MAC 地址。也可以单击操作 > 导入,从文件导入这些值。

创建规则
步骤 2 中所示,打开 网关防火墙卡视图,单击 计算网关,然后单击 添加规则,以创建使用为其 目标创建的清单组的新规则。可以为这些规则使用所需的任何名称。此处显示的只是示例而已。
名称 目标 服务
本地工作负载到对等工作负载 本地工作负载 对等工作负载 从本地工作负载到其他组成员中工作负载的出站流量需要应用
对等工作负载到本地工作负载 对等工作负载 本地工作负载 从其他组成员中的工作负载到本地工作负载的入站流量需要应用
监管通过计算网关防火墙的 SDDC 组成员流量的所有规则都应该应用于 所有上行链路并具有 允许操作。