默认情况下,计算网关会阻止传输到所有上行链路的流量。可以根据需要添加计算网关防火墙规则以允许流量出入。
计算网关防火墙规则指定了对从指定源到指定目标的网络流量执行的操作。操作可以是允许(允许流量),也可以是丢弃(丢弃与指定源和目标匹配的所有数据包)。源和目标可以从物理网络接口列表中进行选择,也可以是通用规范
所有上行链路,即应用于传出网关并传入 VPC 接口、Internet 接口或 Direct Connect 接口的所有流量。
注: 应用于
所有上行链路的防火墙规则不会应用于
VPN 隧道接口 (VTI),VTI 是一个虚拟接口,不是物理上行链路。必须在管理通过基于路由的 VPN 进行工作负载虚拟机通信的任何防火墙规则的
应用对象参数中明确指定
VPN 隧道接口。
计算网关包括一个
默认 VTI 规则(该规则将丢弃传入 VTI 的所有流量)和一个
默认上行链路规则(该规则将丢弃传入
所有上行链路的流量)。要使工作负载虚拟机能够通过 VTI 进行通信,请修改此规则,或者将其移至规则层次结构中的较低等级(即放在限制性更弱的规则之后)。
尝试通过防火墙的所有流量按规则表中显示的顺序遵循规则,从顶部开始。第一个规则允许的数据包传递给第二个规则,依此类推向后传递,直到数据包被丢弃、拒绝或命中默认规则。
前提条件
计算网关 防火墙规则需要源和目标值的命名清单组。请参见添加或修改计算组。
过程
后续步骤
可以对现有防火墙规则执行以下任何或所有可选操作。
-
单击齿轮图标
以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud”。
-
单击图形图标
以查看规则的规则命中数统计信息和流统计信息。
表 1. 规则命中数统计信息 热度指数 过去 24 小时内触发规则的次数。 命中计数 规则自创建以来触发的次数。 表 2. 流统计信息 数据包计数 流经此规则的数据包总数。 字节计数 流经此规则的字节总数。 - 对防火墙规则重新排序。
使用添加新规则按钮创建的规则将放置在规则列表的顶部。防火墙规则将按从上到下的顺序应用。要更改规则在列表中的位置,请选择该规则并将其拖动到新位置。单击发布以发布更改。