Vous devez créer des règles de pare-feu pour la passerelle de calcul de chaque SDDC dans ce groupe. Sans ces règles, les charges de travail en cours d'exécution sur les membres du groupe ne peuvent pas utiliser la passerelle VMware Transit Connect pour communiquer entre elles.

Étant donné que tous les membres d'un groupe de SDDC appartiennent à la même organisation VMware Cloud on AWS, le trafic réseau entre les membres du groupe peut être traité en toute sécurité en tant que trafic est-ouest, plutôt que trafic nord-sud avec une potentielle source ou destination externe. Étant donné que les règles de pare-feu par défaut d'une passerelle de calcul SDDC refusent le trafic externe, vous devez créer des règles de pare-feu autorisant ce trafic via la passerelle de calcul de chaque SDDC du groupe. (Les groupes de SDDC n'ont actuellement pas besoin de router le trafic réseau via les passerelles de gestion des membres.)

VMware Cloud on AWS définit un ensemble de groupes d'inventaire destinés à être utilisés dans les règles de pare-feu de la passerelle de calcul, qui fournissent un contrôle de haut niveau sur le trafic entre les membres du groupe. Ces groupes contiennent les préfixes (blocs CIDR) pour les routes apprises sur VMware Transit Connect et les éventuelles passerelles de transit AWS détenues par le propriétaire du compte AWS du SDDC.
Préfixes de TGW du client Transit Connect
Routes apprises à partir des passerelles de transit AWS appartenant au client.
Préfixes de DGW de Transit Connect
Routes apprises à partir de la passerelle Direct Connect du groupe.
Préfixes de VPC natifs de Transit Connect
Routes apprises à partir des VPC attachés du groupe.
Autres préfixes de SDDC de Transit Connect
Routes apprises à partir d'autres SDDC dans le groupe.
Les préfixes de chacun de ces groupes sont automatiquement ajoutés, supprimés et mis à jour en tant que modifications de l'appartenance au groupe et de nouvelles routes sont apprises.

Pour plus d'informations, reportez-vous aux sections Ajouter ou modifier des règles de pare-feu de passerelle de calcul et Utilisation des groupes d'inventaire.

Procédure

  1. Utilisez le workflow défini dans Ajouter ou modifier des règles de pare-feu de passerelle de calcul pour créer les groupes d'inventaires et les règles de pare-feu de passerelle de calcul dont vous avez besoin.
    Les groupes d'inventaire définis par le système sont utiles pour créer une connectivité de haut niveau entre les membres du groupe et les VPC attachés. Si vous avez besoin de créer des règles de pare-feu plus précises qui doivent s'appliquer à des segments de charge de travail individuels dans les SDDC membres, vous devez créer des groupes d'inventaire qui définissent ces segments, comme indiqué dans l'exemple ci-dessous.
  2. Cliquez sur Pare-feu de passerelle > Passerelle de calcul, puis cliquez sur AJOUTER UNE RÈGLE.
    Les groupes d'inventaire définis par le système et les groupes de calcul que vous avez définis sont disponibles en tant que choix dans les pages Sources et Destinations. Pour activer la connectivité non restreinte des groupes, vous pouvez ajouter une règle semblable à celle-ci, ce qui permet de router le trafic entrant vers ce SDDC à partir d'autres membres du groupe.
    Nom Sources Destinations Services Appliqué à Action
    Entrant à partir d'autres SDDC Autres préfixes de SDDC de Transit Connect Tous Tous Interface Direct Connect Autoriser
    Si vous avez créé des groupes d'inventaire avec les blocs CIDR de vos segments de charge de travail locaux, vous pouvez les utiliser pour créer des règles à une priorité plus élevée afin d'appliquer des contrôles plus précis sur ce trafic.

Exemple : Règles de pare-feu de CGW avec des groupes d'inventaire définis par l'utilisateur pour autoriser le trafic de charge de travail entre les membres du groupe

Ces exemples montrent comment utiliser NSX Manager pour créer des groupes d'inventaires et des règles de pare-feu. Vous pouvez également utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour ce workflow. Reportez-vous à la section Administration du réseau SDDC avec NSX Manager.

Créer les groupes
Dans NSX Manager, cliquez sur Inventaire > Groupes de calcul, puis cliquez sur AJOUTER UN GROUPE et créez trois groupes. Vous pouvez utiliser n'importe quel nom pour ces groupes. Ceux que nous présentons ici sont donnés à titre d'exemple.
  • Un groupe nommé Charges de travail locales qui inclut des préfixes de segment pour les segments de charge de travail du SDDC.
  • Un groupe nommé Charges de travail homologues qui inclut des préfixes de segment pour les segments de charge de travail des autres SDDC du groupe.
  • Un groupe nommé Instances de vCenter des SDDC homologues qui inclut l'adresse IP privée de l'instance de vCenter dans chaque SDDC du groupe.

Pour chaque groupe, cliquez sur Définir dans la colonne Membres du groupe de calcul pour ouvrir l'outil Définir les membres. Dans cet outil, vous pouvez cliquer sur AJOUTER DES CRITÈRES et entrer les Adresses IP ou les Adresses MAC des membres du groupe. Vous pouvez également cliquer sur ACTIONS > Importer pour importer ces valeurs à partir d'un fichier.

Créer les règles
Comme indiqué dans la section Étape 2, ouvrez la carte Pare-feu de passerelle, cliquez sur Passerelle de calcul, puis cliquez sur AJOUTER UNE RÈGLE pour créer de nouvelles règles qui utilisent les groupes d'inventaire que vous avez créés pour leurs Sources et Destinations. Vous pouvez utiliser n'importe quel nom pour ces règles. Ceux que nous présentons ici sont donnés à titre d'exemple.
Nom Sources Destinations Services
Charge de travail locale vers charge de travail homologue Charges de travail locales Charges de travail homologues Si nécessaire pour le trafic sortant des charges de travail locales vers les charges de travail situées dans d'autres membres du groupe
Charge de travail homologue vers charge de travail locale Charges de travail homologues Charges de travail locales Si nécessaire pour le trafic entrant vers des charges de travail locales depuis des charges de travail situées dans d'autres membres du groupe
Toutes les règles régissant le trafic des membres du groupe de SDDC via le pare-feu de la passerelle de calcul doivent s'appliquer à Toutes les liaisons montantes et avoir une action Autoriser.