Die Sicherheit Ihrer SDDC-Verwaltungsinfrastruktur ist von entscheidender Bedeutung. Standardmäßig blockiert das Verwaltungs-Gateway den Datenverkehr zu allen Verwaltungsnetzwerkzielen aus allen Quellen.

Beim Konfigurieren des Zugriffs auf die SDDC-Verwaltungsinfrastruktur ist es wichtig, dass Sie Firewallregeln für das Verwaltungs-Gateway erstellen, die nur den erforderlichen Zugriff auf das SDDC-Verwaltungsnetzwerk zulassen. Auf das Verwaltungs-Gateway können Sie mit den folgenden Vorgängen zugreifen: Konfigurieren von AWS Direct Connect zwischen Ihrem SDDC und dem lokalen Datencenter und/oder Konfigurieren einer VPN-Verbindung zwischen Ihrem SDDC und dem lokalen Datencenter. Direct Connect bietet private Konnektivität zwischen Ihrem Unternehmen und dem SDDC und kann allein oder in Verbindung mit einem IPsec-VPN zur Verschlüsselung des Datenverkehrs verwendet werden.

Wenn Sie Direct Connect, VMware Managed Transit Gateway, oder ein VPN nicht verwenden können können Sie über das Internet direkt auf den SDDC-vCenter Server zugreifen, indem Sie öffentliches DNS und die öffentliche vCenter Server-IP verwenden. In diesem Fall müssen Sie Firewallregeln für das Verwaltungs-Gateway erstellen, die verhindern, dass nicht vertrauenswürdige Quellen auf das Verwaltungsnetzwerk zugreifen. Ein VPN bietet zusätzliche Sicherheit durch Verschlüsselungs- und Authentifizierungsprotokolle.

Firewallregeln für das Verwaltungs-Gateway geben Aktionen an, die auf der Grundlage der Quell- und Zieladressen und des Dienstports für den Netzwerkdatenverkehr ausgeführt werden sollen. Entweder die Quelle oder das Ziel muss eine systemdefinierte Bestandsliste sein. Informationen zum Anzeigen oder Ändern von Bestandslistengruppen finden Sie unter Arbeiten mit Bestandslistengruppen.
Wichtig: Die Standard-Firewallregel für das Verwaltungs-Gateway verweigert den gesamten Datenverkehr. Daher müssen Sie mindestens eine benutzerdefinierte Firewallregel für das Verwaltungs-Gateway erstellen, um Zugriff auf die vCenter Server Appliance und andere Verwaltungs-VMs und -Appliances zu gewähren. konfigurieren Sie zur Bereitstellung angemessener Sicherheit beim Zugriff auf das Verwaltungs-Gateway über das öffentliche Internet eine Firewallregel für das Verwaltungs-Gateway, die nur Datenverkehr von IP-Adressen zulässt, die Sie besitzen oder denen Sie vertrauen. Begrenzen Sie die internen und externen Quell-IP-Bereiche immer auf den kleinsten möglichen Satz. Beispiel: Ein Unternehmen, das über eine Adresse im CIDR-Block 93.184.216.34/30 auf das Internet zugreift, sollte eine Firewallregel für das Verwaltungs-Gateway erstellen, die nur Datenverkehr mit einem Quellen-CIDR von 93.184.216.34/30 zulässt, um auf Verwaltungsziele wie die in Firewallregeln für das Verwaltungs-Gateway – Beispiel gezeigten zuzugreifen. Ab SDDC-Version 1.22 können Sie keine Firewallregel für das Verwaltungs-Gateway veröffentlichen, die Datenverkehr aus Quellen zulässt, die Alle oder 0.0.0.0/0. enthalten. Weitere Informationen zum Bereitstellen eines sicheren Zugriffs auf Ihre SDDC-Verwaltungsinfrastruktur finden Sie im Vmware Knowledgebase-Artikel 84154.
Es gibt zwei Arten von Firewallregeln:
  • Vordefinierte Firewallregeln werden von VMware Cloud on AWS erstellt und verwaltet. Sie können diese Regeln nicht ändern oder neu anordnen. Es gibt eine vordefinierte Firewallregel für das Verwaltungs-Gateway:
    Tabelle 1. Vordefinierte Firewallregeln für das Verwaltungs-Gateway
    Name Quellen Ziele Dienste Aktion
    Standardeinstellung – Alle ablehnen Alle Alle Alle Verwerfen
    Da diese Regel in einem Standardverweigerungsmodus arbeitet, ist nur Datenverkehr zulässig, der explizit von kundendefinierten Regeln zugelassen wird.
  • Kundendefinierte Firewallregeln werden in der von Ihnen angegebenen Reihenfolge verarbeitet und immer vor vordefinierten Regeln verarbeitet. Für diese Regeln muss entweder die Quelle oder das Ziel eine systemdefinierte Gruppe sein, und die Liste der verfügbaren Ports und Dienste ist begrenzt und wird von VMware verwaltet. Wenn Quellen eine systemdefinierte Gruppe ist, muss Dienste gleich Alle sein. Da diese Regeln die Aktion Zulassen aufweisen müssen, ist die Regelreihenfolge im Allgemeinen unwichtig.

Prozedur

  1. Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
  2. Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
  3. Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der SDDC-Seite Einstellungen angezeigt wird. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
    Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden.
  4. Klicken Sie auf der Karte Gateway-Firewall auf Verwaltungs-Gateway, dann auf REGEL HINZUFÜGEN und geben Sie unter Name einen neuen Namen für die Regel ein.
  5. Geben Sie die Parameter für die neue Regel ein.
    Parameter werden auf ihre Standardwerte initialisiert (zum Beispiel Alle für Quellen und Ziele). Zum Bearbeiten eines Parameters bewegen Sie den Mauszeiger über den Parameterwert und klicken auf das Stiftsymbol ( Stiftsymbol), um einen parameterspezifischen Editor zu öffnen.
    Option Beschreibung
    Quellen
    Geben Sie eine beliebige Kombination von Quelladressen (CIDR-Blöcke oder Verwaltungsgruppennamen) ein.
    Wichtig:

    Obwohl Sie Alle als Quelladresse in einer Firewallregel auswählen können, können Sie Alle oder den Platzhalter 0.0.0.0/0 nicht als Quelladresse verwenden, wenn das Ziel vCenter ist. Dies kann Angriffe auf Ihren vCenter Server ermöglichen und zu einer Kompromittierung Ihres SDDC führen.

    Wählen Sie Systemdefinierte Gruppen und wählen Sie eine der folgenden Quelloptionen aus:

    • ESXi, um den Datenverkehr von den ESXi-Hosts Ihres SDDCs zuzulassen.
    • NSX Manager, um den Datenverkehr von der NSX-Appliance Ihres SDDC zuzulassen.
    • vCenter, um Datenverkehr von vCenter Server in Ihrem SDDC zuzulassen
    • Andere integrierte Dienste, die im SDDC aktiviert sind.

    Wählen Sie Benutzerdefinierte Gruppen aus, um eine von Ihnen definierte Verwaltungsgruppe zu verwenden. Weitere Informationen hierzu finden Sie unter Arbeiten mit Bestandslistengruppen.

    Ziele

    Wählen Sie Beliebig, um den gesamten Datenverkehr zu einer beliebigen Zieladresse oder einem beliebigen Adressbereich zuzulassen.

    Wählen Sie Systemdefinierte Gruppen und wählen Sie eine der folgenden Zieloptionen aus:
    • ESXi, um den Datenverkehr zu Ihrer SDDC-ESXi-Verwaltung zuzulassen.
    • NSX Manager, um den Datenverkehr zur NSX-Appliance Ihres SDDC zuzulassen.
    • vCenter, um Datenverkehr zu vCenter Server in Ihrem SDDC zuzulassen
    • Andere integrierte Dienste, die im SDDC aktiviert sind.
    Dienste

    Wählen Sie die Diensttypen aus, für die die Regel gilt. Die Liste der Diensttypen richtet sich nach der Auswahl für Quellen und Ziele.

    Aktion Die einzige verfügbare Aktion für eine neue Firewallregel im Verwaltungs-Gateway ist Zulassen.
    Die neue Regel ist standardmäßig aktiviert. Schieben Sie den Umschalter nach links, um sie zu deaktivieren.
  6. Klicken Sie auf VERÖFFENTLICHEN, um die Regel zu erstellen.

    Das System gibt der neuen Regel einen Ganzzahl-ID-Wert, der in den von der Regel generierten Protokolleinträgen verwendet wird.

    Firewallregeln werden in der Reihenfolge von oben nach unten angewendet. Da es unten eine Standardregel vom Typ Verwerfen gibt und die darüber liegenden Regeln immer Regeln vom Typ Zulassen sind, hat die Regelreihenfolge im Verwaltungs-Gateway keine Auswirkungen auf den Datenverkehrsfluss.

Beispiel: Erstellen einer Firewallregel im Verwaltungs-Gateway

So erstellen Sie eine Firewallregel im Verwaltungs-Gateway, die vMotion-Datenverkehr von den lokalen ESXi-Hosts zu den ESXi-Hosts im SDDC ermöglicht:
  1. Erstellen Sie eine Verwaltungs-Bestandslistengruppe, die die lokalen ESXi-Hosts enthält, die Sie für vMotion auf dem SDDC aktivieren möchten.
  2. Erstellen Sie eine Verwaltungs-Gateway-Regel mit ESXi-Quellhosts und lokalen ESXi-Zielhosts.
  3. Erstellen Sie mit einem vMotion-Dienst eine andere Verwaltungs-Gateway-Regel mit lokalen ESXi-Quellhostgruppen und ESXi-Zielhosts.

Nächste Maßnahme

Sie können Statistiken Regeltreffer und Datenstromstatistiken für jede Regel außer der Standardregel „Alle ablehnen“ anzeigen.

  • Klicken Sie auf das Zahnradsymbol Zahnradsymbol, um die Protokollierungseinstellungen für die Regel anzuzeigen oder zu ändern. Protokolleinträge werden an den VMware VMware Aria Operations for Logs-Dienst gesendet. Weitere Informationen finden Sie unter Verwenden von VMware Aria Operations for Logs im VMware Cloud on AWS Operations Guide.

  • Klicken Sie auf das Diagrammsymbol Diagrammsymbol, um Regeltreffer und Datenstromstatistiken für die Regel zu sehen.
    Tabelle 2. Statistiken Regeltreffer
    Beliebtheitsindex Häufigkeit, mit der die Regel in den letzten 24 Stunden ausgelöst wurde.
    Anzahl der Treffer Häufigkeit, mit der die Regel seit ihrer Erstellung ausgelöst wurde.
    Tabelle 3. Datenstromstatistiken
    Paketanzahl Gesamtpaketdurchlauf durch diese Regel.
    Byteanzahl Gesamter Bytedurchlauf durch diese Regel.
    Statistiken werden erfasst, sobald die Regel aktiviert ist.