默认情况下,计算网关会阻止进出 SDDC 计算网络的流量。可以根据需要添加计算网关防火墙规则以允许流量出入。

默认计算网关和您创建的任何其他 Tier-1 网关的防火墙规则指定了对从指定源到指定目标和服务的网络流量执行的操作。操作可以是以下项之一:
  • 允许(允许匹配的流量)
  • 丢弃(静默丢弃匹配的流量)
  • 拒绝(丢弃匹配的流量并通知源)
规则可以应用于从物理网络接口列表中选择的接口,也可以应用于通用规范 所有上行链路,即应用于传出网关以及传入 VPC 接口、Internet 接口 或 Intranet (Direct Connect) 接口的所有流量。
注: 应用于 所有上行链路的防火墙规则不会应用于 VPN 隧道接口 (VTI),VTI 是一个虚拟接口,不是物理上行链路。必须在管理通过基于路由的 VPN 进行工作负载虚拟机通信的任何防火墙规则的 应用对象参数中明确指定 VPN 隧道接口

尝试通过防火墙的所有流量按规则表中显示的顺序由规则进行评估。与第一个规则匹配的流量遵循其操作(允许、丢弃或拒绝),且评估停止。与第一个规则不匹配的流量传递到后续规则。符合匹配规则时,将根据规则操作指定的方式允许、丢弃或拒绝流量,并停止进一步的规则评估。与客户定义的任何规则都不匹配的流量由默认规则处理。

有两种类型的防火墙规则:
  • 预定义的防火墙规则由 VMware Cloud on AWS 创建。有两个预定义的计算网关防火墙规则:
    表 1. 预定义的计算网关防火墙规则
    名称 目标 服务 已应用于 操作
    默认 VTI 规则 任意 任意 任意 VPN 隧道接口 丢弃 *
    默认上行链路规则 任意 任意 任意 所有上行链路 丢弃
    * 默认 VTI 规则丢弃所有基于路由的 VPN 流量(通过虚拟隧道接口),因此,要使工作负载虚拟机能够通过基于路由的 VPN 进行通信,请将此规则修改为允许流量或将其移至规则层次结构中的较低等级(即放在限制性更弱的规则之后)。无法修改或重新排序默认上行链路规则
  • 客户定义的防火墙规则按照您指定的顺序进行处理,并且始终在默认上行链路规则之前进行处理。

前提条件

计算网关防火墙规则需要源和目标值的命名清单组。请参见使用清单组

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理
    也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。
  4. 网关防火墙页面上,单击计算网关
  5. 要添加规则,请单击添加规则,并为新规则指定名称
  6. 输入新规则的参数。
    参数将初始化为其默认值(例如, 目标会初始化为为 全部)。要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标 ( 铅笔图标) 以打开参数特定的编辑器。
    选项 描述
    列中单击任意,然后为源网络流量选择一个清单组,或单击添加组,创建新的用户定义清单组以用于此规则。单击保存
    目标 目标列中单击任意,然后为目标网络流量选择一个清单组,或单击添加组以创建新的用户定义清单组以用于此规则。单击保存
    服务 服务列中单击任意,然后从列表中选择一个服务,或单击添加服务,创建新的用户定义服务以用于此规则。单击保存
    应用对象 定义将应用规则的流量类型:
    • 如果要将规则应用于通过基于路由的 VPN 传输的流量,请选择 VPN 隧道接口
    • 如果要将规则应用于通过已链接 Amazon VPC 连接传输的流量,请选择 VPC 接口
    • 如果要将规则应用于通过 SDDC 的 Internet 网关传输的流量(包括通过使用公用 IP 端点的基于策略的 VPN 传输的流量),请选择 Internet 接口
    • 如果您希望规则允许通过 AWS Direct Connect、VMware Transit Connect使用专用 IP 的基于策略的 VPN 传输的流量,请选择 Intranet 接口
    • 如果要将规则应用于 VPC 接口Internet 接口Intranet 接口,但不应用于 VPN 隧道接口,请选择所有上行链路
      注: VPN 隧道接口未划入上行链路类别。
    操作
    • 选择允许会允许所有 L3 流量通过防火墙。
    • 选择丢弃,以丢弃与任何指定的目标服务匹配的数据包。这是静默操作,不会通知源或目标系统。丢弃数据包会重试连接,直到达到重试阈值。
    • 选择拒绝,以拒绝与任何指定的目标服务匹配的数据包。此操作会向发送方返回“无法到达目标的消息”。对于 TCP 数据包,响应包括 TCP RST 消息。对于 UDP、ICMP 和其他协议,响应包含“管理禁止”代码(9 或 10)。无法建立连接时,会立即通知发送方(不会执行任何重试操作)。
    新规则会默认处于启用状态。将开关滑到左侧可将其禁用。
  7. 单击发布以创建规则。

    系统会为新规则提供一个整数 ID 值,该值在规则生成的日志条目中使用。

下一步做什么

可以对现有防火墙规则执行以下任何或所有可选操作。

  • 单击齿轮图标 (齿轮图标) 以查看或修改规则日志记录设置。日志条目将发送到 VMware VMware Aria Operations for Logs 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 VMware Aria Operations for Logs

  • 单击图形图标 ( 图形图标) 以查看规则的规则命中数统计信息和流统计信息。
    表 2. 规则命中数统计信息
    热度指数 过去 24 小时内触发规则的次数。
    命中计数 规则自创建以来触发的次数。
    表 3. 流统计信息
    数据包计数 流经此规则的数据包总数。
    字节计数 流经此规则的字节总数。
    只要一启用规则,统计信息便开始累积。
  • 对防火墙规则重新排序。

    使用添加新规则按钮创建的规则将放置在规则列表的顶部。防火墙规则将按从上到下的顺序应用。要更改规则在列表中的位置,请选择该规则并将其拖动到新位置。单击发布以发布更改。