Die Sicherheit Ihrer SDDC-Verwaltungsinfrastruktur ist von entscheidender Bedeutung. Standardmäßig blockiert das Verwaltungs-Gateway den Datenverkehr zu allen Verwaltungsnetzwerkzielen aus allen Quellen. Sie müssen Firewallregeln für das Verwaltungs-Gateway hinzufügen, um sicheren Datenverkehr von vertrauenswürdigen Quellen zu ermöglichen.

Beim Konfigurieren des Zugriffs auf die SDDC-Verwaltungsinfrastruktur ist es wichtig, die verfügbaren Konnektivitätsoptionen zu bewerten, die benötigten zu konfigurieren und Firewallregeln für das Verwaltungs-Gateway zu erstellen, die den unbefugten Zugriff auf das SDDC-Verwaltungsnetzwerk verhindern.
  • Konfigurieren von AWS Direct Connect zwischen Ihrem SDDC und dem lokalen Datencenter

    Diese Option bietet dedizierte Konnektivität zwischen Ihrem Unternehmen und dem SDDC und kann in Verbindung mit einem IPsec-VPN zum Verschlüsseln des Datenverkehrs verwendet werden.

  • Konfigurieren einer VPN-Verbindung zwischen Ihrem SDDC und dem lokalen Datencenter

    Diese Option bietet eine verschlüsselte Konnektivität zwischen Ihrem Unternehmen und dem SDDC.

  • Wenn Sie Direct Connect oder ein VPN nicht verwenden können, können Sie über das öffentliche Internet auf das SDDC-Verwaltungsnetzwerk zugreifen und sich auf die Firewallregeln des Verwaltungs-Gateways verlassen, um den Zugriff durch nicht vertrauenswürdige Quellen zu verhindern. Diese Option kann für einige Anwendungsfälle geeignet sein, ist jedoch von Natur aus weniger sicher als die anderen.

Firewallregeln für das Verwaltungs-Gateway geben die Aktionen an, die zur Steuerung des Netzwerkdatenverkehrs von einer bestimmten Quelle zu einem bestimmten Ziel durchgeführt werden sollen. Entweder die Quelle oder das Ziel muss eine systemdefinierte Bestandsliste sein. Informationen zum Anzeigen oder Ändern von Bestandslistengruppen finden Sie unter Hinzufügen einer Verwaltungsgruppe.
Wichtig: Wenn Sie über das öffentliche Internet auf das Verwaltungs-Gateway zugreifen müssen, ist es wichtig, eine Verwaltungs-Gateway-Firewallregel zu konfigurieren, die nur Datenverkehr von IP-Adressen zulässt, die Sie besitzen oder denen Sie vertrauen. Beispiel: Ein Unternehmen, das über eine Adresse im CIDR-Block 93.184.216.34/30 auf das Internet zugreift, sollte eine Verwaltungs-Gateway-Firewallregel erstellen, die nur Datenverkehr mit einem Quellen-CIDR von 93.184.216.34/30 zulässt, einschließlich vCenter Server, ESXi und NSX-T. Konfigurieren Sie niemals eine Firewallregel für das Verwaltungs-Gateway, um Datenverkehr zu Beliebig zu erlauben. Weitere Informationen zum Bereitstellen eines sicheren Zugriffs auf Ihre SDDC-Verwaltungsinfrastruktur finden Sie im Vmware Knowledgebase-Artikel 84154.

Prozedur

  1. Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.
  2. Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gateway-Firewall.
  3. Klicken Sie auf der Karte Gateway-Firewall auf Verwaltungs-Gateway, dann auf REGEL HINZUFÜGEN und geben Sie unter Name einen neuen Namen für die Regel ein.
  4. Geben Sie die Parameter für die neue Regel ein.
    Parameter werden mit ihren Standardwerten initialisiert (z. B. Alle für Quellen und Ziele). Zum Bearbeiten eines Parameters bewegen Sie den Mauszeiger über den Parameterwert und klicken auf das Stiftsymbol ( ), um einen parameterspezifischen Editor zu öffnen.
    Option Beschreibung
    Quellen
    Wählen Sie Beliebig, um den gesamten Datenverkehr von einer beliebigen Quelladresse oder einem beliebigen Adressbereich zuzulassen.
    Wichtig:

    Obwohl Sie in einer Firewallregel als Quelladresse Beliebig auswählen können, kann die Verwendung von Beliebig als Quelladresse in dieser Firewallregel Angriffe auf Ihr vCenter Server ermöglichen und zu einer Kompromittierung Ihres SDDC führen. Als bewährtes Verfahren sollten Sie diese Firewallregel so konfigurieren, dass der Zugriff nur von vertrauenswürdigen Quelladressen zugelassen wird. Weitere Informationen hierzu finden Sie im VMware-Knowledgebase-Artikel 84154.

    Wählen Sie Systemdefinierte Gruppen und wählen Sie eine der folgenden Quelloptionen aus:

    • ESXi, um den Datenverkehr von den ESXi-Hosts Ihres SDDCs zuzulassen.
    • NSX Manager, um den Datenverkehr von der NSX-T-Verwaltungs-Appliance Ihres SDDCs zuzulassen.
    • vCenter, um Datenverkehr von vCenter Server in Ihrem SDDC zuzulassen

    Wählen Sie Benutzerdefinierte Gruppen aus, um eine von Ihnen definierte Verwaltungsgruppe zu verwenden. Weitere Informationen hierzu finden Sie unter Hinzufügen einer Verwaltungsgruppe.

    Ziele

    Wählen Sie Beliebig, um den gesamten Datenverkehr zu einer beliebigen Zieladresse oder einem beliebigen Adressbereich zuzulassen.

    Wählen Sie Systemdefinierte Gruppen und wählen Sie eine der folgenden Zieloptionen aus:
    • ESXi, um den Datenverkehr zu Ihrer SDDC-ESXi-Verwaltung zuzulassen.
    • NSX Manager, um den Datenverkehr zu Ihrem SDDC-NSX-T zuzulassen.
    • vCenter, um Datenverkehr zu vCenter Server in Ihrem SDDC zuzulassen
    Dienste

    Wählen Sie die Diensttypen aus, für die die Regel gilt. Die Liste der Diensttypen richtet sich nach der Auswahl für Quellen und Ziele.

    Aktion Die einzige verfügbare Aktion für eine neue Firewallregel im Verwaltungs-Gateway ist Zulassen.
    Die neue Regel ist standardmäßig aktiviert. Schieben Sie den Umschalter nach links, um sie zu deaktivieren.
  5. Klicken Sie auf VERÖFFENTLICHEN, um die Regel zu erstellen.

    Das System gibt der neuen Regel einen Ganzzahl-ID-Wert, der in den von der Regel generierten Protokolleinträgen verwendet wird.

    Firewallregeln werden in der Reihenfolge von oben nach unten angewendet. Da es unten eine Standardregel vom Typ Verwerfen gibt und die darüber liegenden Regeln immer Regeln vom Typ Zulassen sind, hat die Regelreihenfolge im Verwaltungs-Gateway keine Auswirkungen auf den Datenverkehrsfluss.

Beispiel: Erstellen einer Firewallregel im Verwaltungs-Gateway

So erstellen Sie eine Firewallregel im Verwaltungs-Gateway, die vMotion-Datenverkehr von den lokalen ESXi-Hosts zu den ESXi-Hosts im SDDC ermöglicht:
  1. Erstellen Sie eine Verwaltungs-Bestandslistengruppe, die die lokalen ESXi-Hosts enthält, die Sie für vMotion auf dem SDDC aktivieren möchten.
  2. Erstellen Sie eine Verwaltungs-Gateway-Regel mit ESXi-Quellhosts und lokalen ESXi-Zielhosts.
  3. Erstellen Sie mit einem vMotion-Dienst eine andere Verwaltungs-Gateway-Regel mit lokalen ESXi-Quellhostgruppen und ESXi-Zielhosts.

Nächste Maßnahme

Sie können eine oder alle dieser optionalen Aktionen mit einer vorhandenen Firewallregel durchführen.

  • Klicken Sie auf das Zahnradsymbol , um die Protokollierungseinstellungen für die Regel anzuzeigen oder zu ändern. Protokolleinträge werden an den VMware vRealize Log Insight Cloud-Dienst gesendet. Weitere Informationen finden Sie unter Verwenden von vRealize Log Insight Cloud im VMware Cloud on AWS Operations Guide.

  • Klicken Sie auf das Diagrammsymbol , um Regeltreffer und Datenstromstatistiken für die Regel zu sehen.
    Tabelle 1. Statistiken Regeltreffer
    Beliebtheitsindex Häufigkeit, mit der die Regel in den letzten 24 Stunden ausgelöst wurde.
    Anzahl der Treffer Häufigkeit, mit der die Regel seit ihrer Erstellung ausgelöst wurde.
    Tabelle 2. Datenstromstatistiken
    Paketanzahl Gesamtpaketdurchlauf durch diese Regel.
    Byteanzahl Gesamter Bytedurchlauf durch diese Regel.
    Statistiken werden erfasst, sobald die Regel aktiviert ist.