维护 SDDC 管理基础架构的安全至关重要。默认情况下,管理网关会阻止从所有源到所有管理网络目标的流量。必须添加管理网关防火墙规则,以允许来自受信任源的安全流量。

配置对 SDDC 管理基础架构的访问时,评估可用连接选项、配置所需的连接选项并创建管理网关防火墙规则,防止对 SDDC 管理网络进行未经授权的访问,这一点至关重要。
管理网关防火墙规则指定了对从指定源到指定目标的网络流量执行的操作。源或目标必须是系统定义的清单组。有关查看或修改清单组的信息,请参见 添加管理组
重要事项: 如果必须通过公共 Internet 访问管理网关,则配置管理网关规则,仅允许来自您拥有或信任的 IP 地址的流量,这一点至关重要。例如,如果企业从 CIDR 块 93.184.216.34/30 中的地址访问 Internet,应创建一个管理网关规则,仅允许具有 CIDR 93.184.216.34/30 的流量访问管理系统,包括 vCenter ServerESXiNSX-T。不要将管理网关防火墙规则配置为允许来自 任意地址的流量。有关提供对 SDDC 管理基础架构的安全访问的更多信息,请参见 VMware 知识库文章 84154

过程

  1. 登录到位于 https://vmc.vmware.comVMC 控制台
  2. 网络与安全选项卡上,单击网关防火墙
  3. 网关防火墙卡视图上,单击管理网关,然后单击添加规则并为新规则提供名称
  4. 输入新规则的参数。
    参数将初始化为其默认值(例如, 目标会初始化为为 全部)。要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标 ( ) 以打开参数特定的编辑器。
    选项 描述
    选择 任意以允许来自任意源地址或地址范围的流量。
    重要事项:

    尽管您可以选择 Any 作为防火墙规则中的源地址,但使用 Any 作为此防火墙规则中的源地址可能会对您的 vCenter Server 发起攻击,并可能导致 SDDC 受损。最佳做法是,将此防火墙规则配置为仅允许从受信任的源地址访问。请参见 VMware 知识库文章 84154

    选择系统定义的组,然后选择以下源选项之一:

    • ESXi,以允许来自 SDDC 的 ESXi 主机的流量。
    • NSX Manager,以允许来自 SDDC 的 NSX-T 管理器设备的流量。
    • vCenter,以允许来自 SDDC 的 vCenter Server 的流量。

    选择用户定义的组,以使用您定义的管理组。请参见添加管理组

    目标

    选择任意以允许流入任意目标地址或地址范围的流量。

    选择 系统定义的组,然后选择以下目标选项之一:
    • ESXi,以允许流入 SDDC 的 ESXi 管理的流量。
    • NSX Manager,以允许流入 SDDC 的 NSX-T 的流量。
    • vCenter,以允许流入 SDDC 的 vCenter Server 的流量。
    服务

    选择规则应用到的服务类型。服务类型列表取决于所选择的目标

    操作 对新管理网关防火墙规则唯一可用的操作是允许
    新规则会默认处于启用状态。将开关滑到左侧可将其禁用。
  5. 单击发布以创建规则。

    系统会为新规则提供一个整数 ID 值,该值在规则生成的日志条目中使用。

    防火墙规则将按从上到下的顺序应用。由于默认的丢弃规则位于底部,上面的规则始终为允许规则,因此管理网关防火墙规则顺序对流量没有影响。

示例: 创建管理网关防火墙规则

要创建允许内部部署 ESXi 主机到 SDDC 中 ESXi 主机的 vMotion 流量的防火墙规则,请执行以下操作:
  1. 创建一个管理清单组,其中包含要为通过 vMotion 迁移到 SDDC 启用的内部部署 ESXi 主机。
  2. ESXi 作为源以及将内部部署 ESXi 主机作为目标,创建管理网关规则。
  3. 通过将内部部署 ESXi 主机组作为源以及将具有 vMotion 服务的 ESXi 作为目标,创建另一个管理网关规则。

后续步骤

可以对现有防火墙规则执行以下任何或所有可选操作。

  • 单击齿轮图标 以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud

  • 单击图形图标 以查看规则的规则命中数统计信息和流统计信息。
    表 1. 规则命中数统计信息
    热度指数 过去 24 小时内触发规则的次数。
    命中计数 规则自创建以来触发的次数。
    表 2. 流统计信息
    数据包计数 流经此规则的数据包总数。
    字节计数 流经此规则的字节总数。
    只要一启用规则,统计信息便开始累积。