Debe crear reglas de firewall para la puerta de enlace de cómputo de cada SDDC del grupo. Sin estas reglas, las cargas de trabajo que se ejecutan en los miembros del grupo no pueden utilizar VMware Transit Connect para comunicarse entre sí.

Debido a que todos los miembros de un grupo de SDDC son propiedad de la misma organización de VMware Cloud on AWS, el tráfico de red entre los miembros del grupo se puede tratar de forma segura como tráfico de este a oeste, en lugar de norte a sur, lo que puede tener un origen o un destino externos. Sin embargo, debido a que las reglas de firewall predeterminadas de una puerta de enlace de cómputo de SDDC rechazan el tráfico externo, deberá crear reglas de firewall que permitan el tráfico a través de la puerta de enlace de cómputo de cada SDDC del grupo. (Los grupos de SDDC actualmente no necesitan enrutar el tráfico de red a través de las puertas de enlace de administración de los miembros).

VMware Cloud on AWS define un conjunto de grupos de inventario que se van a utilizar en las reglas de firewall de puerta de enlace de cómputo que proporcionan control de alto nivel sobre el tráfico entre miembros del grupo. Estos grupos contienen los prefijos (bloques CIDR) para las rutas aprendidas a través de VMware Transit Connect y todas las puertas de enlace de tránsito de AWS que sean propiedad del propietario de la cuenta de AWS del SDDC.
Prefijos de TGW del cliente de Transit Connect
Rutas conocidas de las puertas de enlace de tránsito de AWS que son propiedad del cliente.
Prefijos de DGW de Transit Connect
Rutas conocidas de la puerta de enlace de Direct Connect del grupo.
Prefijos de VPC nativas de Transit Connect
Rutas conocidas de las VPC conectadas del grupo.
Otros prefijos de SDDC de Transit Connect
Las rutas conocidas de otros SDDC del grupo.
Los prefijos de cada uno de estos grupos se agregan, se eliminan y se actualizan automáticamente como cambios de pertenencia a grupos y se aprenden nuevas rutas.

Para obtener más información, consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo y Trabajar con grupos de inventario.

Procedimiento

  1. Utilice el flujo de trabajo definido en Agregar o modificar reglas de firewall de puerta de enlace de cómputo para crear los grupos de inventario y las reglas de firewall de puerta de enlace de cómputo que necesite.
    Los grupos de inventario definidos por el sistema son útiles para crear una conectividad de alto nivel entre los miembros del grupo y las VPC conectadas. Si necesita crear reglas de firewall más detalladas que se apliquen a segmentos de carga de trabajo individuales en SDDC de miembros, tendrá que crear grupos de inventario que definan esos segmentos, como se muestra en el siguiente ejemplo.
  2. Haga clic en Firewall de puerta de enlace > Puerta de enlace de cómputo y haga clic en AGREGAR REGLA.
    Los grupos de inventario definidos por el sistema, junto con grupos de cálculo que definió, están disponibles como opciones en las páginas Orígenes y Destinos. Para habilitar la conectividad de grupo sin restricciones, puede agregar una regla como esta, que permite el tráfico entrante a este SDDC desde otros miembros del grupo.
    Nombre Orígenes Destinos Servicios Se aplica a Acción
    Entrante de otros SDDC Otros prefijos de SDDC de Transit Connect Cualquiera Cualquiera Interfaz de Direct Connect Permitir
    Si creó grupos de inventario con los bloques CIDR de los segmentos de carga de trabajo locales, puede utilizarlos para crear reglas con una prioridad más alta que apliquen controles más precisos sobre este tráfico.

Ejemplo: Reglas de firewall de CGW con grupos de inventario definidos por el usuario para permitir el tráfico de carga de trabajo entre los miembros del grupo

Estos ejemplos muestran cómo utilizar NSX Manager para crear grupos de inventario y reglas de firewall. También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo. Consulte Administración de redes de SDDC con NSX Manager.

Crear los grupos
En NSX Manager, haga clic en Inventario > Grupos de cálculo y después haga clic en AGREGAR GRUPO y cree tres grupos. Puede utilizar cualquier nombre que desee para los grupos. Los que se muestran aquí son solamente ejemplos.
  • Un grupo denominado Cargas de trabajo locales que incluya prefijos de segmentos para los segmentos de carga de trabajo propios del SDDC.
  • Un grupo denominado Cargas de trabajo del mismo nivel que incluya prefijos de segmentos para segmentos de carga de trabajo de otros SDDC del grupo.
  • Un grupo denominado vCenters de SDDC del mismo nivel que incluya la dirección IP privada del vCenter en cada SDDC del grupo.

Para cada grupo, haga clic en Establecer en la columna Miembros de cálculo para abrir la herramienta Establecer miembros. En esta herramienta, puede hacer clic en AGREGAR CRITERIOS e introducir las direcciones IP o las direcciones MAC de los miembros del grupo. También puede hacer clic en ACCIONES > Importar para importar estos valores desde un archivo.

Crear las reglas
Como se muestra en Paso 2, abra la tarjeta Firewall de puerta de enlace, haga clic en Puerta de enlace de cómputo y, a continuación, haga clic en AGREGAR REGLA para crear nuevas reglas que utilicen los grupos de inventario que creó para sus orígenes y destinos. Puede utilizar cualquier nombre que desee para las reglas. Los que se muestran aquí son solamente ejemplos.
Nombre Orígenes Destinos Servicios
Carga de trabajo local a carga de trabajo del mismo nivel Cargas de trabajo locales Cargas de trabajo del mismo nivel Según sea necesario para tráfico saliente desde cargas de trabajo locales a cargas de trabajo de otros miembros del grupo
Carga de trabajo del mismo nivel a carga de trabajo local Cargas de trabajo del mismo nivel Cargas de trabajo locales Según sea necesario para tráfico hacia cargas de trabajo locales desde cargas de trabajo de otros miembros del grupo
Todas las reglas que rigen el tráfico de miembros del grupo de SDDC a través del firewall de puerta de enlace de cómputo deben aplicarse a Todos los vínculos superiores y tener una acción de Permitir.