Par défaut, la passerelle de gestion bloque le trafic vers toutes les destinations depuis toutes les sources. Ajoutez des règles de pare-feu de passerelle de gestion pour autoriser le trafic si nécessaire.

Les règles de pare-feu de la passerelle de gestion définissent les actions à effectuer sur le trafic réseau depuis une source spécifiée vers une destination spécifiée. Les sources et les destinations peuvent être définies sur Toutes ou en tant que membres d'un groupe d'inventaire défini par le système ou défini par l'utilisateur, mais la source ou la destination doit être définie par le système. Consultez Ajouter un groupe de gestion pour plus d'informations sur l'affichage ou la modification des groupes d'inventaire.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Dans l'onglet Mise en réseau et sécurité, cliquez sur Pare-feu de la passerelle.
  3. Sur la carte Pare-feu de passerelle, cliquez sur Passerelle de gestion, puis cliquez sur AJOUTER UNE RÈGLE et donnez un Nom à la nouvelle règle.
  4. Entrez les paramètres de la nouvelle règle.
    Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour les Sources et les Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur la valeur du paramètre et cliquez sur l'icône en forme de crayon ( ) pour ouvrir un éditeur spécifique au paramètre.
    Option Description
    Sources

    Sélectionnez Tous pour autoriser le trafic à partir de n'importe quelle adresse ou plage d'adresses source.

    Sélectionnez Groupes définis par le système et sélectionnez l'une des options de source suivantes :

    • ESXi pour autoriser le trafic depuis les hôtes ESXi de votre SDDC.
    • NSX Manager pour autoriser le trafic depuis le dispositif de gestion NSX-T de votre SDDC.
    • vCenter pour autoriser le trafic provenant de votre SDDCvCenter Server.

    Sélectionnez Groupes définis par l'utilisateur pour utiliser un groupe de gestion que vous avez défini. Reportez-vous à la section Ajouter un groupe de gestion.

    Destinations

    Sélectionnez Tous pour autoriser le trafic vers n'importe quelle adresse ou plage d'adresses de destination.

    Sélectionnez Groupes définis par système et sélectionnez l'une des options de destination suivantes :
    • ESXi pour autoriser le trafic vers la gestion ESXi de votre SDDC.
    • NSX Manager pour autoriser le trafic vers NSX-T de votre SDDC.
    • vCenter pour autoriser le trafic vers votre SDDCvCenter Server.
    Services

    Sélectionnez les types de services auxquels la règle s'applique. La liste des types de services dépend de vos choix pour les Sources et les Destinations.

    Action La seule action disponible pour la nouvelle règle de pare-feu d'une passerelle de gestion est Autoriser.
    La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
  5. Cliquez sur PUBLIER pour créer la règle.

    Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée dans les entrées de journal générées par la règle.

    Les règles de pare-feu sont appliquées de haut en bas. Étant donné qu'il y existe une règle Abandonner par défaut en bas et que les règles du dessus sont toujours des règles Autoriser, l'ordre des règles de pare-feu de passerelle de gestion n'a aucun impact sur le flux de trafic.

Exemple : Créer une règle de pare-feu de passerelle de gestion

Pour créer une règle de pare-feu de passerelle de gestion qui active le trafic vMotion des hôtes ESXi sur site vers les hôtes ESXi dans le SDDC :
  1. Créez un groupe d'inventaire de gestion contenant les hôtes ESXi sur site que vous souhaitez activer pour vMotion sur le SDDC.
  2. Créez une règle de passerelle de gestion avec des hôtes ESXi sources et des hôtes ESXi sur site de destination.
  3. Créez une autre règle de passerelle de gestion avec un groupe d'hôtes ESXi sur site source et un hôte ESXi de destination avec un service vMotion.

Que faire ensuite

Vous pouvez effectuer n'importe laquelle ou la totalité de ces actions facultatives avec une règle de pare-feu existante.

  • Cliquez sur l'icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware vRealize Log Insight Cloud. Reportez-vous à Utilisation de vRealize Log Insight Cloud dans Guide des opérations de VMware Cloud on AWS.

  • Cliquez sur l'icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
    Tableau 1. Statistiques d'accès à la règle
    Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
    Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
    Tableau 2. Statistiques de flux
    Nombre de paquets Flux total de paquets via cette règle.
    Nombre d'octets Flux total d'octets via cette règle.
    Les statistiques commencent à s'accumuler dès l'activation de la règle.