默认情况下,管理网关会阻止从所有源到所有目标的流量。可以根据需要添加管理网关防火墙规则以允许流量出入。

管理网关防火墙规则指定了对从指定源到指定目标的网络流量执行的操作。源和目标可以定义为任意或者系统定义或用户定义的清单组的成员,但源或目标之中必须有一个是系统定义的。有关查看或修改清单组的信息,请参见添加管理组

过程

  1. 登录到位于 https://vmc.vmware.comVMC 控制台
  2. 网络与安全选项卡上,单击网关防火墙
  3. 网关防火墙卡视图上,单击管理网关,然后单击添加规则并为新规则提供名称
  4. 输入新规则的参数。
    参数将初始化为其默认值(例如, 目标会初始化为为 全部)。要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标 ( ) 以打开参数特定的编辑器。
    选项 描述

    选择任意以允许来自任意源地址或地址范围的流量。

    选择系统定义的组,然后选择以下源选项之一:

    • ESXi,以允许来自 SDDC 的 ESXi 主机的流量。
    • NSX Manager,以允许来自 SDDC 的 NSX-T 管理器设备的流量。
    • vCenter,以允许来自 SDDC 的 vCenter Server 的流量。

    选择用户定义的组,以使用您定义的管理组。请参见添加管理组
    目标

    选择任意以允许流入任意目标地址或地址范围的流量。

    选择 系统定义的组,然后选择以下目标选项之一:
    • ESXi,以允许流入 SDDC 的 ESXi 管理的流量。
    • NSX Manager,以允许流入 SDDC 的 NSX-T 的流量。
    • vCenter,以允许流入 SDDC 的 vCenter Server 的流量。
    服务

    选择规则应用到的服务类型。服务类型列表取决于所选择的目标
    操作 对新管理网关防火墙规则唯一可用的操作是允许
    新规则会默认处于启用状态。将开关滑到左侧可将其禁用。
  5. 单击发布以创建规则。

    系统会为新规则提供一个整数 ID 值,该值在规则生成的日志条目中使用。

    防火墙规则将按从上到下的顺序应用。由于默认的丢弃规则位于底部,上面的规则始终为允许规则,因此管理网关防火墙规则顺序对流量没有影响。

示例: 创建管理网关防火墙规则

要创建允许内部部署 ESXi 主机到 SDDC 中 ESXi 主机的 vMotion 流量的防火墙规则,请执行以下操作:
  1. 创建一个管理清单组,其中包含要为通过 vMotion 迁移到 SDDC 启用的内部部署 ESXi 主机。
  2. ESXi 作为源以及将内部部署 ESXi 主机作为目标,创建管理网关规则。
  3. 通过将内部部署 ESXi 主机组作为源以及将具有 vMotion 服务的 ESXi 作为目标,创建另一个管理网关规则。

后续步骤

可以对现有防火墙规则执行以下任何或所有可选操作。

  • 单击齿轮图标 以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud

  • 单击图形图标 以查看规则的规则命中数统计信息和流统计信息。
    表 1. 规则命中数统计信息
    热度指数 过去 24 小时内触发规则的次数。
    命中计数 规则自创建以来触发的次数。
    表 2. 流统计信息
    数据包计数 流经此规则的数据包总数。
    字节计数 流经此规则的字节总数。
    只要一启用规则,统计信息便开始累积。