Vous devez créer des règles de pare-feu pour la passerelle de calcul de chaque SDDC dans ce groupe. Sans ces règles, les charges de travail en cours d'exécution sur les membres du groupe ne peuvent pas utiliser la passerelle VMware Transit Connect pour communiquer entre elles.

Étant donné que tous les membres d'un groupe de SDDC appartiennent à la même organisation VMware Cloud on AWS, le trafic réseau entre les membres du groupe peut être traité en toute sécurité en tant que trafic est-ouest, plutôt que trafic nord-sud avec une potentielle source ou destination externe. Étant donné que les règles de pare-feu par défaut d'une passerelle de calcul SDDC refusent le trafic externe, vous devez créer des règles de pare-feu autorisant ce trafic via la passerelle de calcul de chaque SDDC du groupe. (Les groupes de SDDC n'ont actuellement pas besoin de router le trafic réseau via les passerelles de gestion des membres.)

Le système définit un ensemble de groupes d'inventaire destinés à être utilisés dans les règles de pare-feu de la passerelle de calcul, qui fournissent un contrôle de haut niveau sur le trafic entre les membres du groupe. Ces groupes contiennent les préfixes (blocs CIDR) pour les routes apprises via la passerelle VMware Transit Connect.
Préfixes des DGW du groupe de déploiement
Routes apprises à partir de la passerelle Direct Connect du groupe.
Préfixes des VPC natifs du groupe de déploiement
Routes apprises à partir des VPC attachés du groupe.
Préfixes des autres SDDC du groupe de déploiement
Routes apprises à partir d'autres SDDC dans le groupe.
Les préfixes de chacun de ces groupes sont automatiquement ajoutés, supprimés et mis à jour en tant que modifications de l'appartenance au groupe et de nouvelles routes sont apprises.

Pour plus d'informations, reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de calcul dans la documentation Mise en réseau et sécurité de VMware Cloud on AWS.

Procédure

  1. Dans l'onglet Mise en réseau et sécurité, cliquez sur Pare-feu de la passerelle.
  2. Définissez des groupes d'inventaire si nécessaire pour fournir des sources et des destinations pour le trafic de charge de travail.
    Les groupes d'inventaire définis par le système sont utiles pour créer une connectivité de haut niveau entre les membres du groupe et les VPC attachés. Si vous avez besoin de créer des règles de pare-feu plus précises qui doivent s'appliquer à des segments de charge de travail individuels dans les SDDC membres, vous devez créer des groupes d'inventaire qui définissent ces segments, comme indiqué dans l'exemple ci-dessous.
  3. Sur la fiche Pare-feu de la passerelle, cliquez sur Passerelle de calcul, puis sur AJOUTER UNE RÈGLE.
    Les groupes d'inventaire définis par le système et les groupes de calcul que vous avez définis sont disponibles en tant que choix dans les listes déroulantes Sources et Destinations. Pour activer la connectivité non restreinte des groupes, vous pouvez ajouter une règle semblable à celle-ci, ce qui permet de router le trafic entrant vers ce SDDC à partir d'autres membres du groupe.
    Nom Sources Destinations Services Appliqué à Action
    Entrant à partir d'autres SDDC Préfixes des autres SDDC du groupe de déploiement Tous Tous Interface Direct Connect Autoriser
    Si vous avez créé des groupes d'inventaire avec les blocs CIDR de vos segments de charge de travail locaux, vous pouvez les utiliser pour créer des règles à une priorité plus élevée pour appliquer des contrôles plus précis sur ce trafic.

Exemple : Règles de pare-feu CGW avec des groupes d'inventaire définis par l'utilisateur pour autoriser le trafic de charge de travail entre les membres du groupe

Créer les groupes
Sur la fiche Groupes, cliquez sur GROUPES DE CALCUL, puis sur AJOUTER UN GROUPE et créez trois groupes. Vous pouvez utiliser n'importe quel nom pour ces groupes. Ceux que nous présentons ici sont donnés à titre d'exemple.
  • Un groupe nommé Charges de travail locales qui inclut des préfixes de segment pour les segments de charge de travail du SDDC.
  • Un groupe nommé Charges de travail homologues qui inclut des préfixes de segment pour les segments de charge de travail des autres SDDC du groupe.
  • Un groupe nommé Instances de vCenter des SDDC homologues qui inclut l'adresse IP privée de l'instance de vCenter dans chaque SDDC du groupe.

Pour chaque groupe, cliquez sur Définir les membres pour ouvrir l'outil Sélectionner les membres. Dans cet outil, vous pouvez cliquer sur AJOUTER DES CRITÈRES et entrer les Adresses IP ou les Adresses MAC des membres du groupe. Vous pouvez également cliquer sur ACTIONS > Importer pour importer ces valeurs à partir d'un fichier.

Créer les règles
Comme indiqué dans la section Étape 3, ouvrez la carte Pare-feu de passerelle, cliquez sur Passerelle de calcul, puis cliquez sur AJOUTER UNE RÈGLE pour créer de nouvelles règles qui utilisent les groupes d'inventaire que vous avez créés pour leurs Sources et Destinations. Vous pouvez utiliser n'importe quel nom pour ces règles. Ceux que nous présentons ici sont donnés à titre d'exemple.
Nom Sources Destinations Services
Charge de travail locale vers charge de travail homologue Charges de travail locales Charges de travail homologues Si nécessaire pour le trafic sortant des charges de travail locales vers les charges de travail situées dans d'autres membres du groupe
Charge de travail homologue vers charge de travail locale Charges de travail homologues Charges de travail locales Si nécessaire pour le trafic entrant vers des charges de travail locales depuis des charges de travail situées dans d'autres membres du groupe
Toutes les règles régissant le trafic des membres du groupe de SDDC via le pare-feu de la passerelle de calcul doivent s'appliquer à Toutes les liaisons montantes et avoir une action Autoriser.