Sie müssen Firewallregeln für das Computing-Gateway jedes SDDCs in der Gruppe erstellen. Ohne diese Regeln können Arbeitslasten, die auf Gruppenmitgliedern ausgeführt werden, VMware Transit Connect nicht verwenden, um miteinander zu kommunizieren.

Da alle Mitglieder einer-SDDC-Gruppe derselben VMware Cloud on AWS-Organisation gehören, kann der Netzwerkdatenverkehr zwischen den Gruppenmitgliedern sicher als horizontaler Datenverkehrs und nicht als vertikaler Datenverkehr angesehen werden, der möglicherweise eine externe Quelle oder ein externes Ziel hat. Doch da die Standard-Firewallregeln eines SDDC-Computing-Gateways externen Datenverkehr ablehnen, müssen Sie Firewallregeln erstellen, die den Datenverkehr über das Computing-Gateway jedes SDDCs in der Gruppe ermöglichen. (SDDC-Gruppen müssen zurzeit den Netzwerkdatenverkehr nicht über Verwaltungs-Gateways von Mitgliedern leiten).

Das System definiert eine Gruppe von Bestandslistengruppen, die für die Verwendung in Firewallregeln für das Computing-Gateway bestimmt sind, die eine grundlegende Kontrolle über den Datenverkehr zwischen Gruppenmitgliedern bieten. Diese Gruppen enthalten die Präfixe (CIDR-Blöcke) für Routen, die über VMware Transit Connect erlernt wurden.
DGW-Präfixe der Bereitstellungsgruppe
Über das Direct Connect-Gateway der Gruppe erlernte Routen.
Präfixe für native VPCs der Bereitstellungsgruppe
Routen, die von den angehängten VPCs der Gruppe erlernt wurden.
Präfixe für andere SDDCs der Bereitstellungsgruppe
Routen, die von anderen SDDCs in der Gruppe erlernt wurden.
Präfixe in jeder dieser Gruppen werden automatisch hinzugefügt, entfernt und aktualisiert, wenn Änderungen an der Gruppenmitgliedschaft durchgeführt und neue Routen erlernt werden.

Weitere Informationen finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway in der Dokumentation Netzwerk und Sicherheit von VMware Cloud on AWS.

Prozedur

  1. Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gateway-Firewall.
  2. Definieren Sie bei Bedarf Bestandslistengruppen, um Quellen und Ziele für den Arbeitslastdatenverkehr bereitzustellen.
    Die systemdefinierten Bestandslistengruppen sind nützlich, um eine grundlegende Konnektivität zwischen Gruppenmitgliedern und angehängten VPCs zu erstellen. Wenn Sie detailliertere Firewallregeln erstellen müssen, die auf einzelne Arbeitslastsegmente in den Mitglieds-SDDCs angewendet werden sollen, müssen Sie Bestandslistengruppen erstellen, die diese Segmente definieren, wie im folgenden Beispiel dargestellt.
  3. Klicken Sie auf der Karte Gateway-Firewall auf Computing-Gateway und klicken Sie dann auf REGEL HINZUFÜGEN.
    Die systemdefinierten Bestandslistengruppen sind zusammen mit den von Ihnen definierten Computing-Gruppen als Auswahlmöglichkeiten in den Dropdown-Listen Quellen und Ziele verfügbar. Um die uneingeschränkte Gruppenkonnektivität zu ermöglichen, können Sie eine Regel wie diese hinzufügen, die den eingehenden Datenverkehr von anderen Gruppenmitgliedern zu diesem SDDC zulässt.
    Name Quellen Ziele Dienste Angewendet auf Aktion
    Eingehend von anderen SDDCs Präfixe für andere SDDCs der Bereitstellungsgruppe Alle Alle Direct Connect-Schnittstelle Zulassen
    Wenn Sie Bestandslistengruppen mit den CIDR-Blöcken Ihrer lokalen Arbeitslastsegmente erstellt haben, können Sie diese verwenden, um Regeln mit einer höheren Priorität zu erstellen, die detailliertere Kontrollelemente auf diesen Datenverkehr anwenden.

Beispiel: CGW-Firewallregeln mit benutzerdefinierten Bestandslistengruppen, um Arbeitslastdatenverkehr zwischen Gruppenmitgliedern zuzulassen

Gruppen erstellen
Klicken Sie auf der Karte Gruppen auf COMPUTING-GRUPPEN, klicken Sie dann auf GRUPPE HINZUFÜGEN und erstellen Sie drei Gruppen. Sie können für die Gruppen alle Namen verwenden, die Sie möchten. Die hier aufgeführten werden beispielhaft angezeigt.
  • Eine Gruppe mit dem Namen Lokale Arbeitslasten, die Segmentpräfixe für die Arbeitslastsegmente des eigenen SDDCs enthält.
  • Eine Gruppe mit dem Namen Peer-Arbeitslasten, die Segmentpräfixe für Arbeitslastsegmente anderer SDDCs in der Gruppe enthält.
  • Eine Gruppe mit dem Namen Peer-SDDC-vCenter, die die Privat-IP-Adresse des vCenter in jedem SDDC in der Gruppe enthält.

Klicken Sie bei jeder Gruppe auf Mitglieder festlegen, um das Tool Mitglieder auswählen zu öffnen. In diesem Tool können Sie auf KRITERIEN HINZUFÜGEN klicken und die IP-Adressen oder MAC-Adressen von Gruppenmitgliedern eingeben. Sie können auch auf AKTIONEN > Import klicken, um diese Werte aus einer Datei zu importieren.

Regeln erstellen
Öffnen Sie, wie in Schritt 3 gezeigt, die Karte Gateway-Firewall, klicken Sie auf Computing-Gateway und klicken Sie dann auf REGEL HINZUFÜGEN, um neue Regeln zu erstellen, die die für ihre Quellen und Zieleerstellten Bestandslistengruppen verwenden. Sie können für die Regeln alle Namen verwenden, die Sie möchten. Die hier aufgeführten werden beispielhaft angezeigt.
Name Quellen Ziele Dienste
Lokale Arbeitslast zu Peer-Arbeitslast Lokale Arbeitslasten Peer-Arbeitslasten Je nach Bedarf für ausgehenden Datenverkehr von lokalen Arbeitslasten zu Arbeitslasten in anderen Gruppenmitgliedern
Peer-Arbeitslast zu lokaler Arbeitslast Peer-Arbeitslasten Lokale Arbeitslasten Je nach Bedarf für Datenverkehr zu lokalen Arbeitslasten von Arbeitslasten in anderen Gruppenmitgliedern
Alle Regeln, die den Datenverkehr von SDDC-Gruppenmitgliedern über die Firewall des Computing-Gateways regeln, sollten auf Alle Uplinks angewendet werden und eine Aktion von Zulassen haben.