Standardmäßig blockiert das Verwaltungs-Gateway den Datenverkehr zu allen Zielen aus allen Quellen. Fügen Sie Verwaltungs-Gateway-Firewallregeln hinzu, um Datenverkehr nach Bedarf zuzulassen.

Firewallregeln für das Verwaltungs-Gateway geben die Aktionen an, die zur Steuerung des Netzwerkdatenverkehrs von einer bestimmten Quelle zu einem bestimmten Ziel durchgeführt werden sollen. Quellen und Ziele können als Beliebig oder als Mitglieder einer systemdefinierten oder benutzerdefinierten Bestandslistengruppe definiert werden, jedoch muss entweder die Quelle oder das Ziel vom System definiert sein. Informationen zum Anzeigen oder Ändern von Bestandslistengruppen finden Sie unter Hinzufügen einer Verwaltungsgruppe.

Prozedur

  1. Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.
  2. Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gateway-Firewall.
  3. Klicken Sie auf der Karte Gateway-Firewall auf Verwaltungs-Gateway, dann auf REGEL HINZUFÜGEN und geben Sie unter Name einen neuen Namen für die Regel ein.
  4. Geben Sie die Parameter für die neue Regel ein.
    Parameter werden mit ihren Standardwerten initialisiert (z. B. Alle für Quellen und Ziele). Zum Bearbeiten eines Parameters bewegen Sie den Mauszeiger über den Parameterwert und klicken auf das Stiftsymbol ( ), um einen parameterspezifischen Editor zu öffnen.
    Option Beschreibung
    Quellen

    Wählen Sie Beliebig, um den gesamten Datenverkehr von einer beliebigen Quelladresse oder einem beliebigen Adressbereich zuzulassen.

    Wählen Sie Systemdefinierte Gruppen und wählen Sie eine der folgenden Quelloptionen aus:

    • ESXi, um den Datenverkehr von den ESXi-Hosts Ihres SDDCs zuzulassen.
    • NSX Manager, um den Datenverkehr von der NSX-T-Verwaltungs-Appliance Ihres SDDCs zuzulassen.
    • vCenter, um Datenverkehr von vCenter Server in Ihrem SDDC zuzulassen

    Wählen Sie Benutzerdefinierte Gruppen aus, um eine von Ihnen definierte Verwaltungsgruppe zu verwenden. Weitere Informationen hierzu finden Sie unter Hinzufügen einer Verwaltungsgruppe.

    Ziele

    Wählen Sie Beliebig, um den gesamten Datenverkehr zu einer beliebigen Zieladresse oder einem beliebigen Adressbereich zuzulassen.

    Wählen Sie Systemdefinierte Gruppen und wählen Sie eine der folgenden Zieloptionen aus:
    • ESXi, um den Datenverkehr zu Ihrer SDDC-ESXi-Verwaltung zuzulassen.
    • NSX Manager, um den Datenverkehr zu Ihrem SDDC-NSX-T zuzulassen.
    • vCenter, um Datenverkehr zu vCenter Server in Ihrem SDDC zuzulassen
    Dienste

    Wählen Sie die Diensttypen aus, für die die Regel gilt. Die Liste der Diensttypen richtet sich nach der Auswahl für Quellen und Ziele.

    Aktion Die einzige verfügbare Aktion für eine neue Firewallregel im Verwaltungs-Gateway ist Zulassen.
    Die neue Regel ist standardmäßig aktiviert. Schieben Sie den Umschalter nach links, um sie zu deaktivieren.
  5. Klicken Sie auf VERÖFFENTLICHEN, um die Regel zu erstellen.

    Das System gibt der neuen Regel einen Ganzzahl-ID-Wert, der in den von der Regel generierten Protokolleinträgen verwendet wird.

    Firewallregeln werden in der Reihenfolge von oben nach unten angewendet. Da es unten eine Standardregel vom Typ Verwerfen gibt und die darüber liegenden Regeln immer Regeln vom Typ Zulassen sind, hat die Regelreihenfolge im Verwaltungs-Gateway keine Auswirkungen auf den Datenverkehrsfluss.

Beispiel: Erstellen einer Firewallregel im Verwaltungs-Gateway

So erstellen Sie eine Firewallregel im Verwaltungs-Gateway, die vMotion-Datenverkehr von den lokalen ESXi-Hosts zu den ESXi-Hosts im SDDC ermöglicht:
  1. Erstellen Sie eine Verwaltungs-Bestandslistengruppe, die die lokalen ESXi-Hosts enthält, die Sie für vMotion auf dem SDDC aktivieren möchten.
  2. Erstellen Sie eine Verwaltungs-Gateway-Regel mit ESXi-Quellhosts und lokalen ESXi-Zielhosts.
  3. Erstellen Sie mit einem vMotion-Dienst eine andere Verwaltungs-Gateway-Regel mit lokalen ESXi-Quellhostgruppen und ESXi-Zielhosts.

Nächste Maßnahme

Sie können eine oder alle dieser optionalen Aktionen mit einer vorhandenen Firewallregel durchführen.

  • Klicken Sie auf das Zahnradsymbol , um die Protokollierungseinstellungen für die Regel anzuzeigen oder zu ändern. Protokolleinträge werden an den VMware vRealize Log Insight Cloud-Dienst gesendet. Weitere Informationen finden Sie unter Verwenden von vRealize Log Insight Cloud im VMware Cloud on AWS Operations Guide.

  • Klicken Sie auf das Diagrammsymbol , um Regeltreffer und Datenstromstatistiken für die Regel zu sehen.
    Tabelle 1. Statistiken Regeltreffer
    Beliebtheitsindex Häufigkeit, mit der die Regel in den letzten 24 Stunden ausgelöst wurde.
    Anzahl der Treffer Häufigkeit, mit der die Regel seit ihrer Erstellung ausgelöst wurde.
    Tabelle 2. Datenstromstatistiken
    Paketanzahl Gesamtpaketdurchlauf durch diese Regel.
    Byteanzahl Gesamter Bytedurchlauf durch diese Regel.
    Statistiken werden erfasst, sobald die Regel aktiviert ist.