Sie müssen Firewallregeln für das Computing-Gateway jedes SDDCs in der Gruppe erstellen. Ohne diese Regeln können Arbeitslasten, die auf Gruppenmitgliedern ausgeführt werden, VMware Transit Connect nicht verwenden, um miteinander zu kommunizieren.

Da alle Mitglieder einer-SDDC-Gruppe derselben VMware Cloud on AWS-Organisation gehören, kann der Netzwerkdatenverkehr zwischen den Gruppenmitgliedern sicher als horizontaler Datenverkehrs und nicht als vertikaler Datenverkehr angesehen werden, der möglicherweise eine externe Quelle oder ein externes Ziel hat. Doch da die Standard-Firewallregeln eines SDDC-Computing-Gateways externen Datenverkehr ablehnen, müssen Sie Firewallregeln erstellen, die den Datenverkehr über das Computing-Gateway jedes SDDCs in der Gruppe ermöglichen. (SDDC-Gruppen müssen zurzeit den Netzwerkdatenverkehr nicht über Verwaltungs-Gateways von Mitgliedern leiten).

VMware Cloud on AWS definiert eine Gruppe von Bestandslistengruppen, die für die Verwendung in Firewallregeln für das Computing-Gateway bestimmt sind, die einen hohen Grad an Kontrolle über den Datenverkehr zwischen Gruppenmitgliedern bieten. Diese Gruppen enthalten die Präfixe (CIDR-Blöcke) für über VMware Transit Connect erlernte Routen und alle AWS-Transit-Gateways, die dem AWS-Kontobesitzer des SDDC gehören.
Präfixe für Transit Connect-Kunden-TGW
Von kundeneigenen AWS-Transit-Gateways erlernte Routen.
Präfixe für Transit Connect-DGW
Über das Direct Connect-Gateway der Gruppe erlernte Routen.
Präfixe für native Transit Connect-VPCs
Routen, die von den angehängten VPCs der Gruppe erlernt wurden.
Präfixe für andere Transit Connect-SDDCs
Routen, die von anderen SDDCs in der Gruppe erlernt wurden.
Präfixe in jeder dieser Gruppen werden automatisch hinzugefügt, entfernt und aktualisiert, wenn Änderungen an der Gruppenmitgliedschaft durchgeführt und neue Routen erlernt werden.

Weitere Informationen finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway und Arbeiten mit Bestandslistengruppen.

Prozedur

  1. Verwenden Sie den in Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway definierten Workflow, um die benötigten Bestandslistengruppen und Computing-Gateway-Firewallregeln zu erstellen.
    Die systemdefinierten Bestandslistengruppen sind nützlich, um eine grundlegende Konnektivität zwischen Gruppenmitgliedern und angehängten VPCs zu erstellen. Wenn Sie detailliertere Firewallregeln erstellen müssen, die auf einzelne Arbeitslastsegmente in den Mitglieds-SDDCs angewendet werden sollen, müssen Sie Bestandslistengruppen erstellen, die diese Segmente definieren, wie im folgenden Beispiel dargestellt.
  2. Klicken Sie auf Gateway-Firewall > Computing-Gateway und dann auf REGEL HINZUFÜGEN.
    Die systemdefinierten Bestandslistengruppen sind zusammen mit den von Ihnen definierten Computing-Gruppen als Auswahlmöglichkeiten auf den Seiten Quellen und Ziele verfügbar. Um die uneingeschränkte Gruppenkonnektivität zu ermöglichen, können Sie eine Regel wie diese hinzufügen, die den eingehenden Datenverkehr von anderen Gruppenmitgliedern zu diesem SDDC zulässt.
    Name Quellen Ziele Dienste Angewendet auf Aktion
    Eingehend von anderen SDDCs Präfixe für andere Transit Connect-SDDCs Alle Alle Direct Connect-Schnittstelle Zulassen
    Wenn Sie Bestandslistengruppen mit den CIDR-Blöcken Ihrer lokalen Arbeitslastsegmente erstellt haben, können Sie diese verwenden, um Regeln mit einer höheren Priorität zu erstellen, die detailliertere Kontrollelemente auf diesen Datenverkehr anwenden.

Beispiel: CGW-Firewallregeln mit benutzerdefinierten Bestandslistengruppen, um Arbeitslastdatenverkehr zwischen Gruppenmitgliedern zuzulassen

In diesen Beispielen wird die Verwendung von NSX Manager zum Erstellen von Bestandslistengruppen und Firewallregeln gezeigt. Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.

Gruppen erstellen
Klicken Sie in NSX Manager auf Bestandsliste > Computing-Gruppen. Klicken Sie dann auf GRUPPE HINZUFÜGEN und erstellen Sie drei Gruppen. Sie können für die Gruppen alle Namen verwenden, die Sie möchten. Die hier aufgeführten werden beispielhaft angezeigt.
  • Eine Gruppe mit dem Namen Lokale Arbeitslasten, die Segmentpräfixe für die Arbeitslastsegmente des eigenen SDDCs enthält.
  • Eine Gruppe mit dem Namen Peer-Arbeitslasten, die Segmentpräfixe für Arbeitslastsegmente anderer SDDCs in der Gruppe enthält.
  • Eine Gruppe mit dem Namen Peer-SDDC-vCenter, die die Privat-IP-Adresse des vCenter in jedem SDDC in der Gruppe enthält.

Klicken Sie für jede Gruppe auf Festlegen in der Spalte Computing-Mitglieder, um das Tool Mitglieder festlegen zu öffnen. In diesem Tool können Sie auf KRITERIEN HINZUFÜGEN klicken und die IP-Adressen oder MAC-Adressen von Gruppenmitgliedern eingeben. Sie können auch auf AKTIONEN > Import klicken, um diese Werte aus einer Datei zu importieren.

Regeln erstellen
Öffnen Sie, wie in Schritt 2 gezeigt, die Karte Gateway-Firewall, klicken Sie auf Computing-Gateway und klicken Sie dann auf REGEL HINZUFÜGEN, um neue Regeln zu erstellen, die die für ihre Quellen und Zieleerstellten Bestandslistengruppen verwenden. Sie können für die Regeln alle Namen verwenden, die Sie möchten. Die hier aufgeführten werden beispielhaft angezeigt.
Name Quellen Ziele Dienste
Lokale Arbeitslast zu Peer-Arbeitslast Lokale Arbeitslasten Peer-Arbeitslasten Je nach Bedarf für ausgehenden Datenverkehr von lokalen Arbeitslasten zu Arbeitslasten in anderen Gruppenmitgliedern
Peer-Arbeitslast zu lokaler Arbeitslast Peer-Arbeitslasten Lokale Arbeitslasten Je nach Bedarf für Datenverkehr zu lokalen Arbeitslasten von Arbeitslasten in anderen Gruppenmitgliedern
Alle Regeln, die den Datenverkehr von SDDC-Gruppenmitgliedern über die Firewall des Computing-Gateways regeln, sollten auf Alle Uplinks angewendet werden und eine Aktion von Zulassen haben.