Il est essentiel de maintenir la sécurité de votre infrastructure de gestion du SDDC. Par défaut, la passerelle de gestion bloque le trafic vers toutes les destinations du réseau de gestion à partir de toutes les sources. Vous devez ajouter des règles de pare-feu de passerelle de gestion pour autoriser le trafic sécurisé à partir de sources fiables.

Lors de la configuration de l'accès à l'infrastructure de gestion du SDDC, il est essentiel d'évaluer les options de connectivité disponibles, de configurer celles dont vous avez besoin et de créer des règles de pare-feu de passerelle de gestion qui empêchent tout accès non autorisé au réseau de gestion SDDC.
Les règles de pare-feu de la passerelle de gestion définissent les actions à effectuer sur le trafic réseau depuis une source spécifiée vers une destination spécifiée. La source ou la destination doit être un groupe d’inventaire défini par le système. Consultez Ajouter un groupe de gestion pour plus d'informations sur l'affichage ou la modification des groupes d'inventaire.
Important : Si vous devez accéder à la passerelle de gestion sur l'Internet public, il est essentiel de configurer une règle de pare-feu de passerelle de gestion qui autorise uniquement le trafic à partir d'adresses IP que vous possédez ou auxquelles vous faites confiance. Par exemple, une entreprise qui accède à Internet à partir d'une adresse dans le bloc CIDR 93.184.216.34/30 doit créer une règle de pare-feu de passerelle de gestion qui autorise uniquement le trafic avec un CIDR de Sources 93.184.216.34/30 pour accéder aux systèmes de gestion, notamment vCenter Server, ESXi et NSX-T. Ne configurez jamais une règle de pare-feu de passerelle de gestion pour autoriser le trafic provenant d'une adresse Tout. Consultez l'article  84154 de la base de connaissances VMware pour plus d'informations sur la fourniture d'un accès sécurisé à votre infrastructure de gestion SDDC.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Dans l'onglet Mise en réseau et sécurité, cliquez sur Pare-feu de la passerelle.
  3. Sur la carte Pare-feu de passerelle, cliquez sur Passerelle de gestion, puis cliquez sur AJOUTER UNE RÈGLE et donnez un Nom à la nouvelle règle.
  4. Entrez les paramètres de la nouvelle règle.
    Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour les Sources et les Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur la valeur du paramètre et cliquez sur l'icône en forme de crayon ( ) pour ouvrir un éditeur spécifique au paramètre.
    Option Description
    Sources
    Sélectionnez Tous pour autoriser le trafic à partir de n'importe quelle adresse ou plage d'adresses source.
    Important :

    Bien que vous puissiez sélectionner Tout comme adresse source dans une règle de pare-feu, l'utilisation de Tout comme adresse source dans cette règle de pare-feu peut permettre des attaques sur votre instance de vCenter Server et peut compromettre votre SDDC. Il est préférable de configurer cette règle de pare-feu pour autoriser l'accès uniquement à partir d'adresses sources fiables. Reportez-vous à l'article 84154 de la base de connaissances VMware.

    Sélectionnez Groupes définis par le système et sélectionnez l'une des options de source suivantes :

    • ESXi pour autoriser le trafic depuis les hôtes ESXi de votre SDDC.
    • NSX Manager pour autoriser le trafic depuis le dispositif de gestion NSX-T de votre SDDC.
    • vCenter pour autoriser le trafic provenant de votre SDDCvCenter Server.

    Sélectionnez Groupes définis par l'utilisateur pour utiliser un groupe de gestion que vous avez défini. Reportez-vous à la section Ajouter un groupe de gestion.

    Destinations

    Sélectionnez Tous pour autoriser le trafic vers n'importe quelle adresse ou plage d'adresses de destination.

    Sélectionnez Groupes définis par système et sélectionnez l'une des options de destination suivantes :
    • ESXi pour autoriser le trafic vers la gestion ESXi de votre SDDC.
    • NSX Manager pour autoriser le trafic vers NSX-T de votre SDDC.
    • vCenter pour autoriser le trafic vers votre SDDCvCenter Server.
    Services

    Sélectionnez les types de services auxquels la règle s'applique. La liste des types de services dépend de vos choix pour les Sources et les Destinations.

    Action La seule action disponible pour la nouvelle règle de pare-feu d'une passerelle de gestion est Autoriser.
    La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
  5. Cliquez sur PUBLIER pour créer la règle.

    Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée dans les entrées de journal générées par la règle.

    Les règles de pare-feu sont appliquées de haut en bas. Étant donné qu'il y existe une règle Abandonner par défaut en bas et que les règles du dessus sont toujours des règles Autoriser, l'ordre des règles de pare-feu de passerelle de gestion n'a aucun impact sur le flux de trafic.

Exemple : Créer une règle de pare-feu de passerelle de gestion

Pour créer une règle de pare-feu de passerelle de gestion qui active le trafic vMotion des hôtes ESXi sur site vers les hôtes ESXi dans le SDDC :
  1. Créez un groupe d'inventaire de gestion contenant les hôtes ESXi sur site que vous souhaitez activer pour vMotion sur le SDDC.
  2. Créez une règle de passerelle de gestion avec des hôtes ESXi sources et des hôtes ESXi sur site de destination.
  3. Créez une autre règle de passerelle de gestion avec un groupe d'hôtes ESXi sur site source et un hôte ESXi de destination avec un service vMotion.

Que faire ensuite

Vous pouvez effectuer n'importe laquelle ou la totalité de ces actions facultatives avec une règle de pare-feu existante.

  • Cliquez sur l'icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware vRealize Log Insight Cloud. Reportez-vous à Utilisation de vRealize Log Insight Cloud dans Guide des opérations de VMware Cloud on AWS.

  • Cliquez sur l'icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
    Tableau 1. Statistiques d'accès à la règle
    Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
    Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
    Tableau 2. Statistiques de flux
    Nombre de paquets Flux total de paquets via cette règle.
    Nombre d'octets Flux total d'octets via cette règle.
    Les statistiques commencent à s'accumuler dès l'activation de la règle.