Debe crear reglas de firewall para la puerta de enlace de cómputo de cada SDDC del grupo. Sin estas reglas, las cargas de trabajo que se ejecutan en los miembros del grupo no pueden utilizar VMware Transit Connect para comunicarse entre sí.

Debido a que todos los miembros de un grupo de SDDC son propiedad de la misma organización de VMware Cloud on AWS, el tráfico de red entre los miembros del grupo se puede tratar de forma segura como tráfico de este a oeste, en lugar de norte a sur, lo que puede tener un origen o un destino externos. Sin embargo, debido a que las reglas de firewall predeterminadas de una puerta de enlace de cómputo de SDDC rechazan el tráfico externo, deberá crear reglas de firewall que permitan el tráfico a través de la puerta de enlace de cómputo de cada SDDC del grupo. (Los grupos de SDDC actualmente no necesitan enrutar el tráfico de red a través de las puertas de enlace de administración de los miembros).

El sistema define un conjunto de grupos de inventario que se van a utilizar en las reglas de firewall de puerta de enlace de cómputo que proporcionan control de alto nivel sobre el tráfico entre miembros del grupo. Estos grupos contienen los prefijos (bloques CIDR) de las rutas conocidas en VMware Transit Connect.
Prefijos de DGW de grupo de implementación
Rutas conocidas de la puerta de enlace de Direct Connect del grupo.
Prefijos de VPC nativas del grupo de implementación
Rutas conocidas de las VPC conectadas del grupo.
Otros prefijos de SDCC del grupo de implementación
Las rutas conocidas de otros SDDC del grupo.
Los prefijos de cada uno de estos grupos se agregan, se eliminan y se actualizan automáticamente como cambios de pertenencia a grupos y se aprenden nuevas rutas.

Para obtener más información, consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo en la documentación de Redes y seguridad de VMware Cloud on AWS.

Procedimiento

  1. En la pestaña Redes y seguridad, haga clic en Firewall de puerta de enlace.
  2. Defina los grupos de inventario según sea necesario para proporcionar orígenes y destinos para el tráfico de carga de trabajo.
    Los grupos de inventario definidos por el sistema son útiles para crear una conectividad de alto nivel entre los miembros del grupo y las VPC conectadas. Si necesita crear reglas de firewall más detalladas que se apliquen a segmentos de carga de trabajo individuales en SDDC de miembros, tendrá que crear grupos de inventario que definan esos segmentos, como se muestra en el siguiente ejemplo.
  3. En la tarjeta Firewall de puerta de enlace, haga clic en Puerta de enlace de cómputo y, a continuación, en AGREGAR REGLA.
    Los grupos de inventario definidos por el sistema, junto con grupos de cálculo que definió, están disponibles como opciones en los menús desplegables Orígenes y Destinos. Para habilitar la conectividad de grupo sin restricciones, puede agregar una regla como esta, que permite el tráfico entrante a este SDDC desde otros miembros del grupo.
    Nombre Orígenes Destinos Servicios Se aplica a Acción
    Entrante de otros SDDC Otros prefijos de SDDC del grupo de implementación Cualquiera Cualquiera Interfaz de Direct Connect Permitir
    Si creó grupos de inventario con los bloques CIDR de los segmentos de carga de trabajo locales, puede utilizarlos para crear reglas con una prioridad más alta que apliquen controles más precisos sobre este tráfico.

Ejemplo: Reglas de firewall de CGW con grupos de inventario definidos por el usuario para permitir el tráfico de carga de trabajo entre los miembros del grupo

Crear los grupos
En la tarjeta Grupos, haga clic en GRUPOS DE CÁLCULO, a continuación, haga clic en AGREGAR GRUPO y cree tres grupos. Puede utilizar cualquier nombre que desee para los grupos. Los que se muestran aquí son solamente ejemplos.
  • Un grupo denominado Cargas de trabajo locales que incluya prefijos de segmentos para los segmentos de carga de trabajo propios del SDDC.
  • Un grupo denominado Cargas de trabajo del mismo nivel que incluya prefijos de segmentos para segmentos de carga de trabajo de otros SDDC del grupo.
  • Un grupo denominado vCenters de SDDC del mismo nivel que incluya la dirección IP privada del vCenter en cada SDDC del grupo.

Para cada grupo, haga clic en Establecer miembros para abrir la herramienta Seleccionar miembros. En esta herramienta, puede hacer clic en AGREGAR CRITERIOS e introducir las direcciones IP o las direcciones MAC de los miembros del grupo. También puede hacer clic en ACCIONES > Importar para importar estos valores desde un archivo.

Crear las reglas
Como se muestra en Paso 3, abra la tarjeta Firewall de puerta de enlace, haga clic en Puerta de enlace de cómputo y, a continuación, haga clic en AGREGAR REGLA para crear nuevas reglas que utilicen los grupos de inventario que creó para sus orígenes y destinos. Puede utilizar cualquier nombre que desee para las reglas. Los que se muestran aquí son solamente ejemplos.
Nombre Orígenes Destinos Servicios
Carga de trabajo local a carga de trabajo del mismo nivel Cargas de trabajo locales Cargas de trabajo del mismo nivel Según sea necesario para tráfico saliente desde cargas de trabajo locales a cargas de trabajo de otros miembros del grupo
Carga de trabajo del mismo nivel a carga de trabajo local Cargas de trabajo del mismo nivel Cargas de trabajo locales Según sea necesario para tráfico hacia cargas de trabajo locales desde cargas de trabajo de otros miembros del grupo
Todas las reglas que rigen el tráfico de miembros del grupo de SDDC a través del firewall de puerta de enlace de cómputo deben aplicarse a Todos los vínculos superiores y tener una acción de Permitir.