De forma predeterminada, la puerta de enlace de administración bloquea el tráfico a todos los destinos de todos los orígenes. Agregue reglas de firewall de puerta de enlace de administración para permitir el tráfico según sea necesario.

Las reglas de firewall de puerta de enlace de administración especifican las acciones que deben realizarse en cuanto al tráfico de red que proviene de un origen determinado y se dirige a un destino especificado. Los orígenes y los destinos pueden definirse en Cualquiera o como miembros de un grupo de inventario definido por el sistema o definido por el usuario. Consulte Agregar un grupo de administración para obtener información sobre cómo ver o modificar grupos de inventario.

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. En la pestaña Redes y seguridad, haga clic en Firewall de puerta de enlace.
  3. En la tarjeta Firewall de puerta de enlace, haga clic en Puerta de enlace de administración y, a continuación, en AGREGAR REGLA y asigne un nombre a la nueva regla.
  4. Introduzca los parámetros de la nueva regla.
    Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga clic en el icono de lápiz ( ) para abrir un editor específico del parámetro.
    Opción Descripción
    Orígenes

    Seleccione Cualquiera para permitir el tráfico desde cualquier dirección o rango de direcciones de origen.

    Seleccione Grupos definidos por el sistema y seleccione una de las siguientes opciones de origen:

    • ESXi para permitir el tráfico desde los hosts ESXi del SDDC.
    • NSX Manager para permitir el tráfico desde el dispositivo de NSX-T Manager del SDDC.
    • vCenter para permitir el tráfico desde la instancia de vCenter Server del SDDC.

    Seleccione Grupos definidos por el usuario para utilizar un grupo de administración que haya definido. Consulte Agregar un grupo de administración.

    Destinos

    Seleccione Cualquiera para permitir el tráfico a cualquier dirección o rango de direcciones de destino.

    Seleccione Grupos definidos por el sistema y seleccione una de las siguientes opciones de destino:
    • ESXi, para permitir el tráfico a la instancia de administración de ESXi del SDDC.
    • NSX Manager, para permitir el tráfico a NSX-T en el SDDC.
    • vCenter para permitir el tráfico dirigido a la instancia de vCenter Server del SDDC.
    Servicios

    Seleccione los tipos de servicio a los que se aplica la regla. La lista de tipos de servicio depende de las elecciones que se hagan para Orígenes y Destinos.

    Acción La única acción disponible para una nueva regla de firewall de puerta de enlace de administración es Permitir.
    La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
  5. Haga clic en PUBLICAR para crear la regla.
    Las reglas de firewall se aplican en orden descendente. Debido a que se muestra una regla Quitar predeterminada en la parte inferior y las reglas superiores siempre son de tipo Permitir, el orden de las reglas de firewall de puerta de enlace de administración no tiene ningún impacto sobre el flujo de tráfico.

Ejemplo: Crear una regla de firewall de puerta de enlace de administración

Para crear una regla de firewall de puerta de enlace de administración que permita el tráfico de vMotion desde los hosts ESXi locales hacia los hosts ESXi en el SDDC, haga lo siguiente:
  1. Cree un grupo de inventario de administración que contenga los hosts ESXi locales que desea habilitar para vMotion en el SDDC.
  2. Cree una regla de puerta de enlace de administración con los hosts ESXi de origen y los hosts ESXi de destino locales.
  3. Cree otra regla de puerta de enlace de administración con el grupo de hosts ESXi de origen locales y ESXi de destino con un servicio vMotion.

Qué hacer a continuación

Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.

  • Haga clic en el icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware vRealize Log Insight Cloud. Consulte Usar vRealize Log Insight Cloud en la Guía de operaciones de VMware Cloud on AWS.

  • Haga clic en el icono de gráfico para ver las estadísticas de la regla, incluido lo siguiente:
    Índice de popularidad
    Número de veces que se activó la regla en las últimas 24 horas.
    Recuento de aciertos
    Número de veces que se activó la regla desde que se creó.
    Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.