Standardmäßig blockiert das Computing-Gateway den Datenverkehr für das SDDC-Computing-Netzwerk. Fügen Sie nach Bedarf Firewallregeln für das Computing-Gateway hinzu, um Datenverkehr zuzulassen.

Firewallregeln für das Standard-Computing-Gateway und alle weiteren von Ihnen erstellten Tier-1-Gateways enthalten Aktionen, die für den Netzwerkdatenverkehr aus einer bestimmten Quelle an ein angegebenes Ziel und einen angegebenen Dienst ausgeführt werden sollen. Folgende Aktionen sind möglich:
  • Zulassen (übereinstimmenden Datenverkehr zulassen)
  • Verwerfen (übereinstimmenden Datenverkehr im Hintergrund verwerfen)
  • Ablehnen (übereinstimmenden Datenverkehr verwerfen und Quelle benachrichtigen)
Regeln können auf eine Auswahl aus einer Liste mit physischen Netzwerkschnittstellen oder die generische Spezifikation Alle Uplinks ausgewählt werden, die sich auf den gesamten Datenverkehr bezieht, der vom Gateway zur VPC-, Internet- oder Intranet-(Direct Connect-)Schnittstelle.
Hinweis: Eine Firewallregel, die auf Alle Uplinks angewendet wird, gilt nicht für die VPN-Tunnelschnittstelle (VPN Tunnel Interface, VTI), die eine virtuelle Schnittstelle und kein physischer Uplink ist. Die VPN-Tunnelschnittstelle muss explizit im Parameter Angewendet auf einer Firewallregel angegeben werden, die die Kommunikation von Arbeitslast-VMs über ein routenbasiertes VPN verwaltet.

Der gesamte Datenverkehr, der versucht, die Firewall zu passieren, wird von den Regeln in der Reihenfolge ausgewertet, die in der Regeltabelle angegeben ist. Für den Datenverkehr, der der ersten Regel entspricht, wird die entsprechende Aktion (Zulassen, Verwerfen oder Ablehnen) ausgeführt, und die Auswertung wird beendet. Datenverkehr, der nicht mit der ersten Regel übereinstimmt, wird an nachfolgende Regeln weitergegeben. Wenn eine Übereinstimmung erzielt wird, wird der Datenverkehr gemäß der Regelaktion zugelassen, verworfen oder abgelehnt, und die weitere Regelauswertung wird beendet. Datenverkehr, der keiner kundendefinierten Regel entspricht, wird gemäß einer Standardregel gehandhabt.

Es gibt zwei Arten von Firewallregeln:
  • Vordefinierte Firewallregeln werden von VMware Cloud on AWS erstellt. Es gibt zwei vordefinierte Firewallregeln für das Computing-Gateway:
    Tabelle 1. Vordefinierte Firewallregeln für das Computing-Gateway
    Name Quellen Ziele Dienste Angewendet auf Aktion
    VTI-Standardregel Alle Alle Alle VPN-Tunnelschnittstelle Verwerfen*
    Uplink-Standardregel Alle Alle Alle Alle Uplinks Verwerfen
    * Die VTI-Standardregel verwirft den gesamten routenbasierten VPN-Datenverkehr (über die virtuelle Tunnelschnittstelle). Um also die Kommunikation von Arbeitslast-VMs über ein routenbasiertes VPN zu ermöglichen, ändern Sie diese Regel so, dass sie den Datenverkehr zulässt, oder verschieben Sie sie in der Regelhierarchie an eine niedrigere Stelle nach den Regeln mit höherer Zulässigkeit. Sie können die Uplink-Standardregel nicht ändern oder neu anordnen.
  • Kundendefinierte Firewallregeln werden in der von Ihnen angegebenen Reihenfolge verarbeitet und immer vor der Uplink-Standardregel verarbeitet.

Voraussetzungen

Firewallregeln für das Computing-Gateway erfordern benannte Bestandslistengruppen für Quell- und Zielwerte. Weitere Informationen hierzu finden Sie unter Arbeiten mit Bestandslistengruppen.

Prozedur

  1. Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
  2. Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
  3. Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der SDDC-Seite Einstellungen angezeigt wird. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
    Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden.
  4. Klicken Sie auf der Seite GATEWAY-FIREWALL auf Computing-Gateway.
  5. Klicken Sie zum Hinzufügen einer Regel auf REGEL HINZUFÜGEN und geben Sie unter Name einen neuen Namen für die Regel ein.
  6. Geben Sie die Parameter für die neue Regel ein.
    Parameter werden mit ihren Standardwerten initialisiert (z. B. Alle für Quellen und Ziele). Zum Bearbeiten eines Parameters bewegen Sie den Mauszeiger über den Parameterwert und klicken auf das Stiftsymbol ( Stiftsymbol), um einen parameterspezifischen Editor zu öffnen.
    Option Beschreibung
    Quellen Klicken Sie auf Alle in der Spalte Quellen und wählen Sie eine Bestandslistengruppe für den Datenverkehr des Quellnetzwerks aus, oder klicken Sie auf GRUPPE HINZUFÜGEN, um eine neue benutzerdefinierte Bestandslistengruppe zur Verwendung für diese Regel zu erstellen. Klicken Sie auf SPEICHERN.
    Ziele Klicken Sie auf Alle in der Spalte Ziele und wählen Sie eine Bestandslistengruppe für den Datenverkehr des Zielnetzwerks aus, oder klicken Sie auf GRUPPE HINZUFÜGEN, um eine neue benutzerdefinierte Bestandslistengruppe zur Verwendung für diese Regel zu erstellen. Klicken Sie auf SPEICHERN.
    Dienste Klicken Sie in der Spalte Dienste auf Alle und wählen Sie einen Dienst in der Liste aus oder klicken Sie auf DIENST HINZUFÜGEN, um einen neuen benutzerdefinierten Dienst zur Verwendung für diese Regel hinzuzufügen. Klicken Sie auf SPEICHERN.
    Angewendet auf Definieren Sie den Datenverkehrstyp, für den die Regel gilt:
    • Wählen Sie VPN-Tunnelschnittstelle aus, wenn die Regeln für Datenverkehr über das routenbasierte VPN gelten soll.
    • Wählen Sie VPC-Schnittstelle aus, wenn die Regel den Datenverkehr über die verlinkte AWS-VPC-Verbindung zulassen soll.
    • Wählen Sie Internetschnittstelle aus, wenn die Regel für den Datenverkehr über das Internet-Gateways des SDDC gelten soll, einschließlich des Datenverkehrs über richtlinienbasierte VPNs, die den öffentlichen IP-Endpoint verwenden.
    • Wählen Sie Intranetschnittstelle aus, wenn die Regel Datenverkehr über AWS Direct Connect, VMware Transit Connect und richtlinienbasierte VPNs unter Verwendung einer privaten IP zulassen soll.
    • Alle Uplinks, wenn Sie möchten, dass die Regel auf die VPC-Schnittstelle, die Internetschnittstelle und die Intranetschnittstelle angewendet wird, aber nicht auf die VPN-Tunnelschnittstelle.
      Hinweis: Die VPN-Tunnel-Schnittstelle ist nicht als Uplink klassifiziert.
    Aktion
    • Wählen Sie Zulassen aus, um zuzulassen, dass der gesamte L3-Datenverkehr durch die Firewall geleitet wird.
    • Wählen Sie Verwerfen aus, um Pakete zu verwerfen, die mit den angegebenen Quellen, Zielen und Diensten übereinstimmen. Dies ist eine im Hintergrund laufende Aktion ohne Benachrichtigung des Quell- oder Zielsystems. Wenn Sie das Paket verwerfen, wird die Verbindungsherstellung erneut versucht, bis der Schwellenwert für Wiederholungen erreicht ist.
    • Wählen Sie Ablehnen aus, um Pakete abzulehnen, die mit den angegebenen Quellen, Zielen und Diensten übereinstimmen. Die Aktion gibt eine Meldung vom Typ „Ziel nicht erreichbar“ an den Absender zurück. Bei TCP-Paketen enthält die Antwort eine TCP-RST-Meldung. Bei UDP-, ICMP- und andere Protokolle enthält die Antwort einen „administrativ verbotenen“ Code (9 oder 10). Der Absender wird sofort benachrichtigt (ohne erneute Versuche), wenn die Verbindung nicht hergestellt werden kann.
    Die neue Regel ist standardmäßig aktiviert. Schieben Sie den Umschalter nach links, um sie zu deaktivieren.
  7. Klicken Sie auf VERÖFFENTLICHEN, um die Regel zu erstellen.

    Das System gibt der neuen Regel einen Ganzzahl-ID-Wert, der in den von der Regel generierten Protokolleinträgen verwendet wird.

Nächste Maßnahme

Sie können eine oder alle dieser optionalen Aktionen mit einer vorhandenen Firewallregel durchführen.

  • Klicken Sie auf das Zahnradsymbol Zahnradsymbol, um die Protokollierungseinstellungen für die Regel anzuzeigen oder zu ändern. Protokolleinträge werden an den VMware VMware Aria Operations for Logs-Dienst gesendet. Weitere Informationen finden Sie unter Verwenden von VMware Aria Operations for Logs im VMware Cloud on AWS Operations Guide.

  • Klicken Sie auf das Diagrammsymbol Diagrammsymbol, um Regeltreffer und Datenstromstatistiken für die Regel zu sehen.
    Tabelle 2. Statistiken Regeltreffer
    Beliebtheitsindex Häufigkeit, mit der die Regel in den letzten 24 Stunden ausgelöst wurde.
    Anzahl der Treffer Häufigkeit, mit der die Regel seit ihrer Erstellung ausgelöst wurde.
    Tabelle 3. Datenstromstatistiken
    Paketanzahl Gesamtpaketdurchlauf durch diese Regel.
    Byteanzahl Gesamter Bytedurchlauf durch diese Regel.
    Statistiken werden erfasst, sobald die Regel aktiviert ist.
  • Ordnen Sie die Firewallregeln neu.

    Eine Regel, die über die Schaltfläche NEUE REGEL HINZUFÜGEN erstellt wurde, wird oben in der Liste der Regeln platziert. Firewallregeln werden in der Reihenfolge von oben nach unten angewendet. Um die Position einer Regel in der Liste zu ändern, wählen Sie sie aus und ziehen sie an eine neue Position. Klicken Sie auf VERÖFFENTLICHEN, um die Änderung zu veröffentlichen.