必须为组中每个 SDDC 的计算网关创建防火墙规则。如果没有这些规则,则在组成员上运行的工作负载将无法使用 VMware Transit Connect 相互通信。

由于 SDDC 组的所有成员都由同一个 VMware Cloud on AWS 组织所有,因此,可以将组成员之间的网络流量安全地视为东西向流量,而不是可能具有外部源或目标的南北向流量。但由于 SDDC 计算网关的默认防火墙规则拒绝外部流量,因此需要创建允许通过组中每个 SDDC 的计算网关的流量的防火墙规则。(SDDC 组当前不需要路由网络流量通过成员的管理网关。)

系统定义了一组适用于在计算网关防火墙规则中使用的清单组,这些规则可对组成员之间的流量提供高级别控制。这些组包含通过 VMware Transit Connect 发现的路由的前缀(CIDR 块)。
部署组 DGW 前缀
从组的 Direct Connect 网关发现的路由。
部署组本机 VPC 前缀
从组的已连接 VPC 发现的路由。
部署组其他 SDDC 前缀
从组中的其他 SDDC 发现的路由。
其中每个组中的前缀都随着组成员资格的变化和新路由的发现而自动添加、移除和更新。

有关详细信息,请参见《VMware Cloud on AWS 网络和安全》文档中的添加或修改计算网关防火墙规则

过程

  1. 网络与安全选项卡上,单击网关防火墙
  2. 根据需要定义清单组,以提供工作负载流量的源和目标。
    系统定义的清单组对于在组成员和已连接的 VPC 之间创建高性能连接非常有用。如果需要创建更精细的防火墙规则以应用于成员 SDDC 中的各个工作负载分段,则需要创建定义这些分段的清单组,如以下示例中所示。
  3. 网关防火墙卡视图上,单击计算网关,然后单击添加规则
    系统定义的清单组以及您定义的任何计算组均列为 目标下拉列表中的选项。要实现不受限制的组连接,可以添加如下类似的规则,该规则允许从其他组成员到此 SDDC 的入站流量。
    名称 目标 服务 已应用于 操作
    从其他 SDDC 入站 部署组其他 SDDC 前缀 任意 任意 Direct Connect 接口 允许
    如果使用本地工作负载分段的 CIDR 块创建清单组,则可以使用这些组创建具有更高优先级的规则,从而对此流量应用更精细的控制。

示例: 具有用户定义的清单组的 CGW 防火墙规则,以允许组成员之间的工作负载流量

创建组
卡视图上,单击 计算组,然后单击 添加组并创建三个组。可以为这些组使用所需的任何名称。此处显示的只是示例而已。
  • 一个组名为本地工作负载,其中包括 SDDC 自身工作负载分段的分段前缀。
  • 一个组名为对等工作负载,其中包括组中其他 SDDC 的工作负载分段的分段前缀。
  • 一个组名为对等 SDDC vCenter,其中包括组中每个 SDDC 的 vCenter 的专用 IP 地址。

对于每个组,单击设置成员以打开选择成员工具。在此工具中,可以单击添加条件,然后输入组成员的 IP 地址MAC 地址。也可以单击操作 > 导入,从文件导入这些值。

创建规则
步骤 3 中所示,打开 网关防火墙卡视图,单击 计算网关,然后单击 添加规则,以创建使用为其 目标创建的清单组的新规则。可以为这些规则使用所需的任何名称。此处显示的只是示例而已。
名称 目标 服务
本地工作负载到对等工作负载 本地工作负载 对等工作负载 从本地工作负载到其他组成员中工作负载的出站流量需要应用
对等工作负载到本地工作负载 对等工作负载 本地工作负载 从其他组成员中的工作负载到本地工作负载的入站流量需要应用
监管通过计算网关防火墙的 SDDC 组成员流量的所有规则都应该应用于 所有上行链路并具有 允许操作。