Il est essentiel de maintenir la sécurité de votre infrastructure de gestion du SDDC. Par défaut, la passerelle de gestion bloque le trafic vers toutes les destinations du réseau de gestion à partir de toutes les sources.

Lors de la configuration de l'accès à l'infrastructure de gestion du SDDC, il est important de créer des règles de pare-feu de passerelle de gestion qui autorisent uniquement l'accès nécessaire au réseau de gestion du SDDC. Pour accéder à la passerelle de gestion, vous pouvez Configurer AWS Direct Connect entre votre SDDC et le centre de données sur site, Configurer une connexion VPN entre votre SDDC et le centre de données sur site ou effectuer les deux. Direct Connect, qui fournit une connectivité privée entre votre entreprise et le SDDC, peut être utilisé seul ou avec un VPN IPsec pour chiffrer le trafic.

Si vous ne pouvez pas utiliser Direct Connect, Passerelle de transit gérée par VMware, ou un VPN, vous pouvez accéder à l'instance de vCenter Server du SDDC directement via Internet à l'aide du DNS public et de l'adresse IP publique de l'instance de vCenter Server. Dans ce cas, vous devez créer des règles de pare-feu de passerelle de gestion qui empêchent les sources non approuvées d'accéder au réseau de gestion. Un VPN fournit une sécurité supplémentaire grâce au chiffrement et aux protocoles d'authentification.

Les règles de pare-feu de la passerelle de gestion spécifient les actions à effectuer sur le trafic réseau en fonction des adresses source et de destination, et du port de service. La source ou la destination doit être un groupe d'inventaire défini par le système. Pour plus d'informations sur l'affichage ou la modification des groupes d'inventaire, reportez-vous à la section Utilisation des groupes d'inventaire.
Important : La règle de pare-feu de passerelle de gestion par défaut refuse tout le trafic. Vous devez donc créer au moins une règle de pare-feu de passerelle de gestion définie par l'utilisateur pour fournir l'accès au dispositif vCenter Server Appliance et à d'autres machines virtuelles et dispositifs de gestion. Pour fournir une sécurité appropriée lors de l'accès à la passerelle de gestion sur l'Internet public, configurez une règle de pare-feu de passerelle de gestion qui autorise le trafic uniquement à partir d'adresses IP que vous possédez ou que vous approuvez, et limitez toujours les plages d'adresses IP sources, internes et externes, au plus petit ensemble possible. Par exemple, une entreprise qui accède à Internet à partir d'une adresse dans le bloc CIDR 93.184.216.34/30 doit créer une règle de pare-feu de passerelle de gestion qui autorise uniquement le trafic avec un CIDR de Sources 93.184.216.34/30 pour accéder aux destinations de gestion, comme celles affichées dans Exemples de règles de pare-feu de passerelle de gestion. À partir de SDDC version 1.22, vous ne pouvez pas publier une règle de pare-feu de passerelle de gestion qui autorise le trafic à partir de Sources qui inclut Toutes ou 0.0.0.0/0. Consultez l'article  84154 de la base de connaissances VMware pour plus d'informations sur la fourniture d'un accès sécurisé à votre infrastructure de gestion SDDC.
Il existe deux types de règles de pare-feu :
  • Les règles de pare-feu prédéfinies sont créées et gérées par VMware Cloud on AWS. Vous ne pouvez pas modifier ou réorganiser ces règles. Il existe une règle de pare-feu de passerelle de gestion prédéfinie :
    Tableau 1. Règles de pare-feu de passerelle de gestion prédéfinies
    Nom Sources Destinations Services Action
    Tout refuser par défaut Tous Tous Tous Annuler
    Comme cette règle fonctionne en mode de refus par défaut, seul le trafic explicitement autorisé par les règles définies par le client est autorisé.
  • Les règles de pare-feu définies par le client sont traitées dans l'ordre que vous spécifiez et sont toujours traitées avant les règles prédéfinies. Ces règles nécessitent que la source ou la destination soit un groupe défini par le système, et la liste des ports et services disponibles est limitée et gérée par VMware. Lorsque Sources est un groupe défini par le système, Services doit être Toutes. En outre, comme ces règles doivent avoir une action Autoriser action, l'ordre des règles n'est généralement pas important.

Procédure

  1. Connectez-vous à VMware Cloud Services à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur AFFICHER LES DÉTAILS.
  3. Cliquez sur OUVRIR NSX MANAGER et connectez-vous avec le Compte d'utilisateur Admin NSX Manager affiché sur la page Paramètres du SDDC. Reportez-vous à la section Administration du réseau SDDC avec NSX Manager.
    Vous pouvez également utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour ce workflow.
  4. Sur la carte Pare-feu de passerelle, cliquez sur Passerelle de gestion, puis cliquez sur AJOUTER UNE RÈGLE et donnez un Nom à la nouvelle règle.
  5. Entrez les paramètres de la nouvelle règle.
    Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour Sources et Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur la valeur du paramètre et cliquez sur l'icône en forme de crayon ( icône en forme de crayon) pour ouvrir un éditeur spécifique au paramètre.
    Option Description
    Sources
    Entrez n'importe quelle combinaison d'adresses sources (blocs CIDR ou noms de groupe de gestion).
    Important :

    Bien qu'il soit possible de sélectionner Toutes comme adresse source dans une règle de pare-feu, vous ne pouvez pas utiliser Toutes ou le caractère générique 0.0.0.0/0 comme adresse source lorsque la destination est vCenter. Cela peut permettre des attaques sur votre instance de vCenter Server et risque de compromettre votre SDDC.

    Sélectionnez Groupes définis par le système et sélectionnez l'une des options de source suivantes :

    • ESXi pour autoriser le trafic depuis les hôtes ESXi de votre SDDC.
    • NSX Manager pour autoriser le trafic du dispositif NSX de votre SDDC.
    • vCenter pour autoriser le trafic provenant de votre SDDCvCenter Server.
    • Autres services intégrés activés dans le SDDC.

    Sélectionnez Groupes définis par l'utilisateur pour utiliser un groupe de gestion que vous avez défini. Reportez-vous à la section Utilisation des groupes d'inventaire.

    Destinations

    Sélectionnez Tous pour autoriser le trafic vers n'importe quelle adresse ou plage d'adresses de destination.

    Sélectionnez Groupes définis par système et sélectionnez l'une des options de destination suivantes :
    • ESXi pour autoriser le trafic vers la gestion ESXi de votre SDDC.
    • NSX Manager pour autoriser le trafic vers dispositif NSX de votre SDDC.
    • vCenter pour autoriser le trafic vers votre SDDCvCenter Server.
    • Autres services intégrés activés dans le SDDC.
    Services

    Sélectionnez les types de services auxquels la règle s'applique. La liste des types de services dépend de vos choix pour les Sources et les Destinations.

    Action La seule action disponible pour la nouvelle règle de pare-feu d'une passerelle de gestion est Autoriser.
    La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
  6. Cliquez sur PUBLIER pour créer la règle.

    Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée dans les entrées de journal générées par la règle.

    Les règles de pare-feu sont appliquées de haut en bas. Étant donné qu'il y existe une règle Abandonner par défaut en bas et que les règles du dessus sont toujours des règles Autoriser, l'ordre des règles de pare-feu de passerelle de gestion n'a aucun impact sur le flux de trafic.

Exemple : Créer une règle de pare-feu de passerelle de gestion

Pour créer une règle de pare-feu de passerelle de gestion qui active le trafic vMotion des hôtes ESXi sur site vers les hôtes ESXi dans le SDDC :
  1. Créez un groupe d'inventaire de gestion contenant les hôtes ESXi sur site que vous souhaitez activer pour vMotion sur le SDDC.
  2. Créez une règle de passerelle de gestion avec des hôtes ESXi sources et des hôtes ESXi sur site de destination.
  3. Créez une autre règle de passerelle de gestion avec un groupe d'hôtes ESXi sur site source et un hôte ESXi de destination avec un service vMotion.

Que faire ensuite

Vous pouvez afficher les Statistiques d'accès à la règle et les Statistiques de flux pour toute règle autre que la règle Tout refuser par défaut.

  • Cliquez sur l'icône d'engrenage icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware VMware Aria Operations for Logs. Reportez-vous à Utilisation de VMware Aria Operations for Logs dans Guide des opérations de VMware Cloud on AWS.

  • Cliquez sur l'icône de graphique icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
    Tableau 2. Statistiques d'accès à la règle
    Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
    Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
    Tableau 3. Statistiques de flux
    Nombre de paquets Flux total de paquets via cette règle.
    Nombre d'octets Flux total d'octets via cette règle.
    Les statistiques commencent à s'accumuler dès l'activation de la règle.