El mantenimiento de la seguridad y protección de la infraestructura de administración de SDDC es crítico. De forma predeterminada, la puerta de enlace de administración bloquea el tráfico a todos los destinos de red de administración de todos los orígenes. Debe agregar reglas de firewall de puerta de enlace de administración para permitir el tráfico seguro desde orígenes de confianza.

Al configurar el acceso a la infraestructura de administración de SDDC, es crítico evaluar las opciones de conectividad disponibles, configurar las que necesita y crear reglas de firewall de puerta de enlace de administración que impidan el acceso no autorizado a la red de administración del SDDC.
  • Configurar AWS Direct Connect entre el SDDC y el centro de datos local

    Esta opción proporciona conectividad dedicada entre la empresa y el SDDC, y se puede utilizar junto con una VPN de IPsec para cifrar el tráfico.

  • Configurar una conexión VPN entre el SDDC y el centro de datos local

    Esta opción proporciona conectividad cifrada entre la empresa y el SDDC.

  • Si no puede usar Direct Connect o una VPN, puede acceder a la red de administración del SDDC a través de la Internet pública y confiar en reglas de firewall de puerta de enlace de administración para evitar el acceso de orígenes que no sean de confianza. Esta opción puede ser adecuada para algunos casos prácticos, pero es inherentemente menos segura que otras.

Las reglas de firewall de puerta de enlace de administración especifican las acciones que deben realizarse en cuanto al tráfico de red que proviene de un origen determinado y se dirige a un destino especificado. El origen o el destino deben ser un grupo de inventario definido por el sistema. Consulte Agregar un grupo de administración para obtener información sobre cómo ver o modificar grupos de inventario.
Importante: Si debe acceder a la puerta de enlace de administración a través de la Internet pública, es crítico configurar una regla de firewall de puerta de enlace de administración que permita el tráfico solo desde direcciones IP de su propiedad o de confianza. Por ejemplo, una empresa que accede a Internet desde una dirección en el bloque CIDR 93.184.216.34/30 debe crear una regla de firewall de puerta de enlace de administración que permita solo el tráfico con un CIDR de Orígenes de 93.184.216.34/30 para acceder a los sistemas de administración, incluidos vCenter Server, ESXi y NSX-T. Nunca configure una regla de firewall de puerta de enlace de administración para permitir tráfico que se origine en una dirección Cualquiera. Consulte el artículo de la base de conocimientos de VMware 84154 para obtener más información sobre cómo proporcionar acceso seguro a la infraestructura de administración de SDDC.

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. En la pestaña Redes y seguridad, haga clic en Firewall de puerta de enlace.
  3. En la tarjeta Firewall de puerta de enlace, haga clic en Puerta de enlace de administración y, a continuación, en AGREGAR REGLA y asigne un nombre a la nueva regla.
  4. Introduzca los parámetros de la nueva regla.
    Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga clic en el icono de lápiz ( ) para abrir un editor específico del parámetro.
    Opción Descripción
    Orígenes
    Seleccione Cualquiera para permitir el tráfico desde cualquier dirección o rango de direcciones de origen.
    Importante:

    Aunque puede seleccionar Cualquiera como la dirección de origen en una regla de firewall, utilizar Cualquiera como dirección de origen en esta regla de firewall puede permitir ataques en vCenter Server y puede comprometer el SDDC. Como práctica recomendada, configure esta regla de firewall para permitir el acceso solo desde direcciones de origen de confianza. Consulte el artículo 84154 de la base de conocimientos de VMware.

    Seleccione Grupos definidos por el sistema y seleccione una de las siguientes opciones de origen:

    • ESXi para permitir el tráfico desde los hosts ESXi del SDDC.
    • NSX Manager para permitir el tráfico desde el dispositivo de NSX-T Manager del SDDC.
    • vCenter para permitir el tráfico desde la instancia de vCenter Server del SDDC.

    Seleccione Grupos definidos por el usuario para utilizar un grupo de administración que haya definido. Consulte Agregar un grupo de administración.

    Destinos

    Seleccione Cualquiera para permitir el tráfico a cualquier dirección o rango de direcciones de destino.

    Seleccione Grupos definidos por el sistema y seleccione una de las siguientes opciones de destino:
    • ESXi, para permitir el tráfico a la instancia de administración de ESXi del SDDC.
    • NSX Manager, para permitir el tráfico a NSX-T en el SDDC.
    • vCenter para permitir el tráfico dirigido a la instancia de vCenter Server del SDDC.
    Servicios

    Seleccione los tipos de servicio a los que se aplica la regla. La lista de tipos de servicio depende de las elecciones que se hagan para Orígenes y Destinos.

    Acción La única acción disponible para una nueva regla de firewall de puerta de enlace de administración es Permitir.
    La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
  5. Haga clic en PUBLICAR para crear la regla.

    El sistema proporciona a la nueva regla un valor entero de ID, que se utiliza en las entradas de registro generadas por la regla.

    Las reglas de firewall se aplican en orden descendente. Debido a que se muestra una regla Quitar predeterminada en la parte inferior y las reglas superiores siempre son de tipo Permitir, el orden de las reglas de firewall de puerta de enlace de administración no tiene ningún impacto sobre el flujo de tráfico.

Ejemplo: Crear una regla de firewall de puerta de enlace de administración

Para crear una regla de firewall de puerta de enlace de administración que permita el tráfico de vMotion desde los hosts ESXi locales hacia los hosts ESXi en el SDDC, haga lo siguiente:
  1. Cree un grupo de inventario de administración que contenga los hosts ESXi locales que desea habilitar para vMotion en el SDDC.
  2. Cree una regla de puerta de enlace de administración con los hosts ESXi de origen y los hosts ESXi de destino locales.
  3. Cree otra regla de puerta de enlace de administración con el grupo de hosts ESXi de origen locales y ESXi de destino con un servicio vMotion.

Qué hacer a continuación

Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.

  • Haga clic en el icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware vRealize Log Insight Cloud. Consulte Usar vRealize Log Insight Cloud en la Guía de operaciones de VMware Cloud on AWS.

  • Haga clic en el icono de gráfico para ver los aciertos de reglas y las estadísticas de flujo de la regla.
    Tabla 1. Estadísticas de aciertos de reglas
    Índice de popularidad Número de veces que se activó la regla en las últimas 24 horas.
    Recuento de aciertos Número de veces que se activó la regla desde que se creó.
    Tabla 2. Estadísticas de flujo
    Recuento de paquetes Flujo total de paquetes a través de esta regla.
    Recuento de bytes Flujo total de bytes a través de esta regla.
    Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.