El mantenimiento de la seguridad y protección de la infraestructura de administración de SDDC es crítico. De forma predeterminada, la puerta de enlace de administración bloquea el tráfico a todos los destinos de red de administración de todos los orígenes.

Al configurar el acceso a la infraestructura de administración del SDDC, es importante crear reglas de firewall de puerta de enlace de administración que permitan solo el acceso necesario a la red de administración del SDDC. Para acceder a la puerta de enlace de administración, puede Configurar AWS Direct Connect entre el SDDC y el centro de datos local, Configurar una conexión VPN entre el SDDC y el centro de datos local, o ambas. Direct Connect, que proporciona conectividad privada entre la empresa y el SDDC, puede utilizarse sola o junto con una VPN de IPsec para cifrar el tráfico.

Si no puede utilizar Direct Connect, Puerta de enlace de tránsito administrada por VMware, o una VPN, puede acceder al vCenter Server del SDDC directamente a través de Internet mediante el DNS público y la IP pública de vCenter Server. Si hace eso, deberá crear reglas de firewall de puerta de enlace de administración que eviten que orígenes que no sean de confianza accedan a la red de administración. Una VPN proporciona seguridad adicional a través de protocolos de cifrado y autenticación.

Las reglas de firewall de puerta de enlace de administración especifican las acciones que se deben realizar en el tráfico de red en función de las direcciones de origen y destino, y el puerto de servicio. El origen o el destino deben ser un grupo de inventario definido por el sistema. Consulte Trabajar con grupos de inventario para obtener información sobre cómo ver o modificar grupos de inventario.
Importante: La regla de firewall de puerta de enlace de administración predeterminada deniega todo el tráfico, por lo que debe crear al menos una regla de firewall de puerta de enlace de administración definida por el usuario para proporcionar acceso al vCenter Server Appliance y a otros dispositivos y máquinas virtuales de administración. Para proporcionar una seguridad adecuada al acceder a la puerta de enlace de administración a través de Internet pública, configure una regla de firewall de puerta de enlace de administración que permita el tráfico solo desde las direcciones IP de su propiedad o de confianza y que siempre limite los rangos de IP de origen, tanto internos como externos, al conjunto más pequeño posible. Por ejemplo, una empresa que accede a Internet desde una dirección en el bloque CIDR 93.184.216.34/30 debe crear una regla de firewall de puerta de enlace de administración que permita solo el tráfico con un CIDR de Orígenes de 93.184.216.34/30 para acceder a los destinos de administración como los que se muestran en Ejemplo de reglas de firewall de puerta de enlace de administración. A partir de SDDC versión 1.22, no se puede publicar una regla de firewall de puerta de enlace de administración que permita el tráfico desde Orígenes que incluya Cualquiera o 0.0.0.0/0. Consulte el artículo de la base de conocimientos de VMware 84154 para obtener más información sobre cómo proporcionar acceso seguro a la infraestructura de administración de SDDC.
Hay dos tipos de reglas de firewall:
  • Las reglas de firewall predefinidas se crean y administran mediante VMware Cloud on AWS. No puede modificar ni reordenar estas reglas. Hay una regla de firewall de puerta de enlace de administración predefinida:
    Tabla 1. Reglas de firewall de puerta de enlace de administración predefinidas
    Nombre Orígenes Destinos Servicios Acción
    Denegar todo (predeterminada) Cualquiera Cualquiera Cualquiera Descarte
    Debido a que esta regla funciona en modo de denegación de modo predeterminado, solo se permite el tráfico permitido explícitamente por las reglas definidas por el cliente.
  • Las reglas de firewall definidas por el cliente se procesan en el orden especificado y siempre se procesan antes que las reglas predefinidas. Estas reglas requieren que el origen o el destino sean un grupo definido por el sistema, y la lista de puertos y servicios disponibles es del tipo limitado y está administrada por VMware. Cuando Orígenes es un grupo definido por el sistema, Servicios debe ser Cualquiera. Y debido a que estas reglas deben tener una acción Permitir, el orden de las reglas normalmente no es importante.

Procedimiento

  1. Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
  3. Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
    También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo.
  4. En la tarjeta Firewall de puerta de enlace, haga clic en Puerta de enlace de administración y, a continuación, en AGREGAR REGLA y asigne un nombre a la nueva regla.
  5. Introduzca los parámetros de la nueva regla.
    Los parámetros se inicializan a sus valores predeterminados (por ejemplo, Cualquiera para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga clic en el icono de lápiz ( icono de lápiz) para abrir un editor específico del parámetro.
    Opción Descripción
    Orígenes
    Introduzca cualquier combinación de direcciones de origen (bloques CIDR o nombres de grupos de administración).
    Importante:

    Aunque se puede seleccionar Cualquiera como dirección de origen en una regla de firewall, no se puede utilizar Cualquiera ni el comodín 0.0.0.0/0 como dirección de origen cuando el destino es vCenter. Hacerlo de ese modo podría habilitar ataques al vCenter Server y comprometer el SDDC.

    Seleccione Grupos definidos por el sistema y seleccione una de las siguientes opciones de origen:

    • ESXi para permitir el tráfico desde los hosts ESXi del SDDC.
    • NSX Manager para permitir el tráfico desde el dispositivo de NSX del SDDC.
    • vCenter para permitir el tráfico desde la instancia de vCenter Server del SDDC.
    • Otros servicios integrados habilitados en el SDDC.

    Seleccione Grupos definidos por el usuario para utilizar un grupo de administración que haya definido. Consulte Trabajar con grupos de inventario.

    Destinos

    Seleccione Cualquiera para permitir el tráfico a cualquier dirección o rango de direcciones de destino.

    Seleccione Grupos definidos por el sistema y seleccione una de las siguientes opciones de destino:
    • ESXi, para permitir el tráfico a la instancia de administración de ESXi del SDDC.
    • NSX Manager para permitir el tráfico al dispositivo de NSX del SDDC.
    • vCenter para permitir el tráfico dirigido a la instancia de vCenter Server del SDDC.
    • Otros servicios integrados habilitados en el SDDC.
    Servicios

    Seleccione los tipos de servicio a los que se aplica la regla. La lista de tipos de servicio depende de las elecciones que se hagan para Orígenes y Destinos.

    Acción La única acción disponible para una nueva regla de firewall de puerta de enlace de administración es Permitir.
    La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
  6. Haga clic en PUBLICAR para crear la regla.

    El sistema proporciona a la nueva regla un valor entero de ID, que se utiliza en las entradas de registro generadas por la regla.

    Las reglas de firewall se aplican en orden descendente. Debido a que se muestra una regla Quitar predeterminada en la parte inferior y las reglas superiores siempre son de tipo Permitir, el orden de las reglas de firewall de puerta de enlace de administración no tiene ningún impacto sobre el flujo de tráfico.

Ejemplo: Crear una regla de firewall de puerta de enlace de administración

Para crear una regla de firewall de puerta de enlace de administración que permita el tráfico de vMotion desde los hosts ESXi locales hacia los hosts ESXi en el SDDC, haga lo siguiente:
  1. Cree un grupo de inventario de administración que contenga los hosts ESXi locales que desea habilitar para vMotion en el SDDC.
  2. Cree una regla de puerta de enlace de administración con los hosts ESXi de origen y los hosts ESXi de destino locales.
  3. Cree otra regla de puerta de enlace de administración con el grupo de hosts ESXi de origen locales y ESXi de destino con un servicio vMotion.

Qué hacer a continuación

Puede ver Estadísticas de aciertos de reglas y Estadísticas de flujo para cualquier regla que no sea la regla Denegar todo predeterminada.

  • Haga clic en el icono de engranaje icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware VMware Aria Operations for Logs. Consulte Usar VMware Aria Operations for Logs en la Guía de operaciones de VMware Cloud on AWS.

  • Haga clic en el icono de gráfico icono de gráfico para ver los aciertos de reglas y las estadísticas de flujo de la regla.
    Tabla 2. Estadísticas de aciertos de reglas
    Índice de popularidad Número de veces que se activó la regla en las últimas 24 horas.
    Recuento de aciertos Número de veces que se activó la regla desde que se creó.
    Tabla 3. Estadísticas de flujo
    Recuento de paquetes Flujo total de paquetes a través de esta regla.
    Recuento de bytes Flujo total de bytes a través de esta regla.
    Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.