维护 SDDC 管理基础架构的安全至关重要。默认情况下,管理网关会阻止从所有源到所有管理网络目标的流量。必须添加管理网关防火墙规则,以允许来自受信任源的安全流量。
配置对 SDDC 管理基础架构的访问时,评估可用连接选项、配置所需的连接选项并创建管理网关防火墙规则,防止对 SDDC 管理网络进行未经授权的访问,这一点至关重要。
- 在 SDDC 和内部部署数据中心之间配置 AWS Direct Connect
此选项在企业和 SDDC 之间提供专用连接,可与 IPsec VPN 一起用来加密流量。
- 在 SDDC 和内部部署数据中心之间配置 VPN 连接
此选项在企业与 SDDC 之间提供加密连接。
-
如果无法使用 Direct Connect 或 VPN,您可以通过公用 Internet 访问 SDDC 管理网络,并依赖管理网关防火墙规则,防止不受信任的源进行访问。此选项可能适用于一些用例,但本身的安全性低于其他选项。
管理网关防火墙规则指定了对从指定源到指定目标的网络流量执行的操作。源或目标必须是系统定义的清单组。有关查看或修改清单组的信息,请参见
添加管理组。
重要事项: 如果必须通过公共 Internet 访问管理网关,则配置管理网关规则,仅允许来自您拥有或信任的 IP 地址的流量,这一点至关重要。例如,如果企业从 CIDR 块 93.184.216.34/30 中的地址访问 Internet,应创建一个管理网关规则,仅允许具有
源 CIDR 93.184.216.34/30 的流量访问管理系统,包括
vCenter Server、
ESXi 和
NSX-T。不要将管理网关防火墙规则配置为允许来自
任意地址的流量。有关提供对 SDDC 管理基础架构的安全访问的更多信息,请参见 VMware 知识库文章
84154。
过程
示例: 创建管理网关防火墙规则
要创建允许内部部署
ESXi 主机到 SDDC 中
ESXi 主机的 vMotion 流量的防火墙规则,请执行以下操作:
- 创建一个管理清单组,其中包含要为通过 vMotion 迁移到 SDDC 启用的内部部署 ESXi 主机。
- 将 ESXi 作为源以及将内部部署 ESXi 主机作为目标,创建管理网关规则。
- 通过将内部部署 ESXi 主机组作为源以及将具有 vMotion 服务的 ESXi 作为目标,创建另一个管理网关规则。
后续步骤
可以对现有防火墙规则执行以下任何或所有可选操作。
-
单击齿轮图标
以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud”。
-
单击图形图标
以查看规则的规则命中数统计信息和流统计信息。
表 1. 规则命中数统计信息 热度指数 过去 24 小时内触发规则的次数。 命中计数 规则自创建以来触发的次数。 表 2. 流统计信息 数据包计数 流经此规则的数据包总数。 字节计数 流经此规则的字节总数。