Par défaut, la passerelle de calcul bloque le trafic entrant et sortant du réseau de calcul du SDDC. Ajoutez des règles de pare-feu de passerelle de calcul pour autoriser le trafic si nécessaire.

Les règles de pare-feu pour la passerelle de calcul par défaut et toutes les passerelles de niveau 1 supplémentaires que vous créez spécifient les actions à effectuer sur le trafic réseau d'une source spécifiée vers une destination et un service spécifiés. Les actions peuvent être l'une des suivantes :
  • autoriser (autoriser le trafic correspondant)
  • abandonner (abandonner silencieusement le trafic correspondant)
  • rejeter (abandonner le trafic correspondant et notifier la source)
Les sources peuvent s'appliquer à une sélection dans une liste d'interfaces réseau physiques ou à la spécification générique Toutes les liaisons montantes, qui s'applique à tout le trafic quittant la passerelle vers l' interface VPC, l'interface Internet ou l'interface Intranet (Direct Connect).
Note : Une règle de pare-feu appliquée à Toutes les liaisons montantes ne s'applique pas à l' interface de tunnel VPN (VTI), car il s'agit d'une interface virtuelle et non d'une liaison montante physique. L' interface de tunnel VPN doit être explicitement spécifiée dans le paramètre Appliqué à de chaque règle de pare-feu qui gère des communications de machines virtuelles de charge de travail sur un VPN basé sur les routes.

Tout le trafic tentant de transiter par le pare-feu est évalué par les règles dans l'ordre indiqué dans le tableau de règles. Le trafic correspondant à la première règle suit son action (autoriser, annuler ou rejeter) et l'évaluation s'arrête. Le trafic ne correspondant pas à la première règle est transmis aux règles suivantes. Lorsqu'il atteint une correspondance, le trafic est autorisé, abandonné ou rejeté comme spécifié par l'action de règle, et l'évaluation supplémentaire de la règle est arrêtée. Le trafic qui ne correspond à aucune règle définie par le client est géré par une règle par défaut.

Il existe deux types de règles de pare-feu :
  • Les règles de pare-feu prédéfinies sont créées par VMware Cloud on AWS. Il existe deux règles de pare-feu de passerelle de calcul prédéfinies :
    Tableau 1. Règles de pare-feu de passerelle de calcul prédéfinies
    Nom Sources Destinations Services Appliqué à Action
    Règle VTI par défaut Tous Tous Tous Interface de tunnel VPN Annuler*
    Règle de liaison montante par défaut Tous Tous Tous Toutes les liaisons montantes Annuler
    * La Règle VTI par défau abandonne tout le trafic VPN basé sur les routes (sur l'interface de tunnel virtuel). Pour permettre aux machines virtuelles de charge de travail de communiquer sur un VPN basé sur les routes, modifiez cette règle pour Autoriser le trafic ou déplacez-la vers un rang inférieur dans la hiérarchie de règles, après des règles plus permissives. Vous ne pouvez pas modifier ou réorganiser la Règle de liaison montante par défaut.
  • Les règles de pare-feu définies par le client sont traitées dans l'ordre que vous spécifiez et sont toujours traitées avant la Règle de liaison montante par défaut.

Conditions préalables

Les règles de pare-feu de la passerelle de calcul nécessitent des groupes d'inventaire nommés pour les valeurs source et de destination. Reportez-vous à la section Utilisation des groupes d'inventaire.

Procédure

  1. Connectez-vous à VMware Cloud Services à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur AFFICHER LES DÉTAILS.
  3. Cliquez sur OUVRIR NSX MANAGER et connectez-vous avec le Compte d'utilisateur Admin NSX Manager affiché sur la page Paramètres du SDDC. Reportez-vous à la section Administration du réseau SDDC avec NSX Manager.
    Vous pouvez également utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour ce workflow.
  4. Sur la page PARE-FEU DE PASSERELLE, cliquez sur Passerelle de calcul.
  5. Pour ajouter une règle, cliquez sur AJOUTER UNE RÈGLE et donnez un Nom à la nouvelle règle.
  6. Entrez les paramètres de la nouvelle règle.
    Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour les Sources et les Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur la valeur du paramètre et cliquez sur l'icône en forme de crayon ( icône en forme de crayon) pour ouvrir un éditeur spécifique au paramètre.
    Option Description
    Sources Cliquez sur Toutes dans la colonne Sources et sélectionnez un groupe d'inventaire pour le trafic réseau source ou cliquez sur AJOUTER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
    Destinations Cliquez sur Toutes dans la colonne Destinations et sélectionnez un groupe d'inventaire pour le trafic réseau de destination ou cliquez sur AJOUTER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
    Services Cliquez sur Toutes dans la colonne Services et sélectionnez un service dans la liste ou cliquez sur AJOUTER UN SERVICE afin de créer un service défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
    Appliqué à Définissez le type de trafic auquel la règle s'applique :
    • Sélectionnez Interface de tunnel VPN si vous souhaitez que la règle s'applique au trafic sur le VPN basé sur les routes.
    • Sélectionnez Interface VPC si vous souhaitez que la règle s'applique au trafic sur la connexion VPC AWS.
    • Sélectionnez Interface Internet si vous souhaitez que la règle s'applique au trafic sur la passerelle Internet du SDDC, y compris sur les VPN basés sur les stratégies utilisant le point de terminaison de l'adresse IP publique.
    • Sélectionnez Interface externe si vous souhaitez que la règle autorise le trafic sur AWS Direct Connect, VMware Transit Connect, et utilisant une adresse IP privée.
    • Toutes les liaisons montantes si vous souhaitez que la règle s'applique à l'interface VPC, l'interface Internet et l'interface Intranet, mais pas à l'interface de tunnel VPN.
      Note : L' interface de tunnel VPN n'est pas classée en tant que liaison montante.
    Action
    • Sélectionnez Autoriser pour permettre à tout le trafic L3 de traverser le pare-feu.
    • Sélectionnez Abandonner pour abandonner les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Il s'agit d'une action silencieuse sans notification aux systèmes source ou de destination. L'abandon du paquet entraîne de nouvelles tentatives de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    • Sélectionnez Rejeter pour rejeter les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Cette action renvoie un message de destination inaccessible à l'expéditeur. Pour les paquets TCP, la réponse inclut un message TCP RST. Pour les protocoles UDP, ICMP et autres, la réponse inclut un code administrativement interdit (9 ou 10). L'expéditeur est immédiatement notifié (sans nouvelle tentative) lorsque la connexion ne peut pas être établie.
    La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
  7. Cliquez sur PUBLIER pour créer la règle.

    Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée dans les entrées de journal générées par la règle.

Que faire ensuite

Vous pouvez effectuer n'importe laquelle ou la totalité de ces actions facultatives avec une règle de pare-feu existante.

  • Cliquez sur l'icône d'engrenage icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware VMware Aria Operations for Logs. Reportez-vous à Utilisation de VMware Aria Operations for Logs dans Guide des opérations de VMware Cloud on AWS.

  • Cliquez sur l'icône de graphique icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
    Tableau 2. Statistiques d'accès à la règle
    Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
    Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
    Tableau 3. Statistiques de flux
    Nombre de paquets Flux total de paquets via cette règle.
    Nombre d'octets Flux total d'octets via cette règle.
    Les statistiques commencent à s'accumuler dès l'activation de la règle.
  • Réorganisez les règles de pare-feu.

    Une règle créée à partir du bouton AJOUTER UNE NOUVELLE RÈGLE est placée en haut de la liste des règles. Les règles de pare-feu sont appliquées de haut en bas. Pour modifier la position d'une règle dans la liste, sélectionnez-la et faites-la glisser vers un nouvel emplacement. Cliquez sur PUBLIER pour publier la modification.