Il mantenimento della sicurezza e della protezione dell'infrastruttura di gestione SDDC è essenziale. Per impostazione predefinita, il gateway di gestione blocca il traffico verso ogni destinazione della rete di gestione da tutte le origini.

Quando si configura l'accesso all'infrastruttura di gestione dell'SDDC, è importante creare regole del firewall del gateway di gestione che consentano solo l'accesso necessario alla rete di gestione dell'SDDC. Per accedere al gateway di gestione, è possibile Configurazione di AWS Direct Connect tra SDDC e il data center locale, Configurazione di una connessione VPN tra l'SDDC e il data center locale o eseguire entrambe le operazioni. Direct Connect, che fornisce la connettività privata tra l'azienda e l'SDDC, può essere utilizzato da solo o in combinazione con una VPN IPSec per crittografare il traffico.

Se non è possibile utilizzare Direct Connect, VMware Managed Transit Gateway, oppure una VPN, è possibile accedere al vCenter Server dell'SDDC direttamente tramite Internet utilizzando il DNS pubblico e l'IP pubblico di vCenter Server. In questo caso, è necessario creare regole del firewall del gateway di gestione che impediscano a origini non attendibili di accedere alla rete di gestione. Una VPN offre ulteriore sicurezza tramite i protocolli di crittografia e autenticazione.

Le regole del firewall del gateway di gestione specificano le azioni da eseguire per il traffico di rete in base agli indirizzi di origine e destinazione e alla porta del servizio. L'origine o la destinazione devono essere un gruppo inventario definito dal sistema. Vedere Utilizzo dei gruppi di inventario per informazioni sulla visualizzazione o la modifica dei gruppi di inventario.
Importante: Poiché la regola predefinita del firewall del gateway di gestione nega tutto il traffico, è necessario creare almeno una regola del firewall del gateway di gestione definita dall'utente per fornire l'accesso a vCenter Server Appliance e ad altre macchine virtuali e appliance di gestione. per fornire la sicurezza appropriata quando si accede al gateway di gestione tramite Internet pubblico, configurare una regola del firewall del gateway di gestione che consenta il traffico solo da indirizzi IP di cui si è proprietari o che si considerano attendibili e limitare sempre gli intervalli di IP di origine, interni ed esterni, al set più piccolo possibile. Ad esempio, un'azienda che accede a Internet da un indirizzo nel blocco CIDR 93.184.216.34/30 deve creare una regola del firewall del gateway di gestione che consenta solo il traffico con CIDR di Origini 93.184.216.34/30 per accedere alle destinazioni di gestione come quelle indicate in Esempio di regole del firewall del Gateway di gestione. A partire dalla versione SDDC 1.22, non è possibile pubblicare una regola del firewall del gateway di gestione che consenta il traffico da Origini che include Qualsiasi o 0.0.0.0/0. Vedere l'articolo Knowledge Base di VMware 84154 per ottenere ulteriori informazioni su come fornire un accesso sicuro all'infrastruttura di gestione dell'SDDC.
Esistono due tipi di regole del firewall:
  • Le regole del firewall predefinite vengono create e gestite da VMware Cloud on AWS. Non è possibile modificare o riordinare queste regole. È disponibile una regola del firewall del gateway di gestione predefinita:
    Tabella 1. Regole del firewall del gateway di gestione predefinite
    Nome Fonti Destinazioni Servizi Azione
    Nega tutto predefinito Qualsiasi Qualsiasi Qualsiasi Elimina
    Poiché questa regola funziona in modalità nega predefinita, è consentito solo il traffico esplicitamente consentito dalle regole definite dal cliente.
  • Le regole del firewall definite dal cliente vengono elaborate nell'ordine specificato e sempre prima delle regole predefinite. Queste regole richiedono che l'origine o la destinazione sia un gruppo definito dal sistema e che l'elenco delle porte e dei servizi disponibili sia un elenco limitato gestito da VMware. Quando Origini è un gruppo definito dal sistema, Servizi deve essere Qualsiasi. E poiché queste regole devono avere un'azione Consenti, l'ordine delle regole è in genere non importante.

Procedura

  1. Accedere a VMware Cloud Services all'indirizzo https://vmc.vmware.com.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Fare clic su APRI NSX MANAGER e accedere con l'Account utente amministratore di NSX Manager visualizzato nella pagina Impostazioni dell'SDDC. Vedere Amministrazione della rete dell'SDDC con NSX Manager.
    Per questo workflow, è inoltre possibile utilizzare la scheda Rete e sicurezza della Console di VMware Cloud.
  4. Nella scheda Firewall del gateway fare clic su Gateway di gestione, quindi fare clic su AGGIUNGI REGOLA e assegnare un Nome alla nuova regola.
  5. Immettere i parametri per la nuova regola.
    I parametri vengono inizializzati con i loro valori predefiniti (ad esempio, Qualsiasi per Origini e Destinazioni). Per modificare un parametro, spostare il cursore del mouse sul valore del parametro e fare clic sull'icona a forma di matita ( Icona a forma di matita) per aprire un editor specifico del parametro.
    Opzione Descrizione
    Fonti
    Immettere una combinazione qualsiasi di indirizzi di origine (blocchi CIDR o nomi di gruppi di gestione).
    Importante:

    Anche se è possibile selezionare Qualsiasi come indirizzo di origine in una regola del firewall, non è possibile utilizzare Qualsiasi o il carattere jolly 0.0.0.0/0 come indirizzo di origine quando la destinazione è vCenter. Questa operazione può infatti consentire attacchi in vCenter Server e compromettere l'SDDC.

    Selezionare Gruppi definiti dal sistema e selezionare una delle seguenti opzioni di origine:

    • ESXi per consentire il traffico dagli host dell'SDDC ESXi.
    • NSX Manager per consentire il traffico dall'appliance NSX dell'SDDC.
    • vCenter per consentire il traffico dall'SDDC. vCenter Server.
    • Altri servizi integrati abilitati in SDDC.

    Selezionare Gruppi definiti dall'utente per utilizzare un gruppo di gestione definito dall'utente. Vedere Utilizzo dei gruppi di inventario.

    Destinazioni

    Selezionare Qualsiasi per consentire il traffico verso qualsiasi indirizzo o intervallo di indirizzi di destinazione.

    Selezionare Gruppi definiti dal sistema e selezionare una delle seguenti opzioni di destinazione:
    • ESXi per consentire il traffico verso la gestione dell'SDDC ESXi.
    • NSX Manager per consentire il traffico verso l'appliance NSX dell'SDDC.
    • vCenter per consentire il traffico verso l'SDDC vCenter Server.
    • Altri servizi integrati abilitati in SDDC.
    Servizi

    Selezionare i tipi di servizio a cui applicare la regola. L'elenco dei tipi di servizio dipende dalle scelte in riferimento alle opzioni Origini e Destinazioni.

    Azione L'unica azione disponibile per una nuova regola del firewall del gateway di gestione è Consenti.
    La nuova regola è abilitata per impostazione predefinita. Far scorrere l'interruttore verso sinistra per disabilitarla.
  6. Fare clic su PUBBLICA per creare la regola.

    Il sistema assegna alla nuova regola un valore intero ID utilizzato nelle voci di registro generate dalla regola.

    Le regole del firewall vengono applicate nell'ordine dall'alto verso il basso. Poiché in basso è presente una regola Rilascia predefinita e le regole precedenti sono sempre regole Consenti, l'ordine delle regole del firewall del gateway di gestione non esercita alcun impatto sul flusso di traffico.

Esempio: Creazione di una regola del firewall del gateway di gestione

Per creare una regola del firewall del gateway di gestione che abilita il traffico di vMotion dagli host ESXi locali agli host ESXi nell'SDDC:
  1. Creare un gruppo di inventario di gestione che contenga gli host ESXi locali che si desidera abilitare per vMotion nell'SDDC.
  2. Creare una regola del gateway di gestione con ESXi di origine e host ESXi locali di destinazione.
  3. Creare un'altra regola del gateway di gestione con gruppo di host ESXi locale di origine e ESXi di destinazione con un servizio vMotion.

Operazioni successive

È possibile visualizzare Statistiche riscontri regola e Statistiche flusso per qualsiasi regola diversa dalla regola predefinita Nega tutto.

  • Fare clic sull'icona a forma di ingranaggio icona a forma di ingranaggio per visualizzare o modificare le impostazioni di registrazione delle regole. Le voci di registro vengono inviate al servizio VMware VMware Aria Operations for Logs. Consultare Utilizzo di VMware Aria Operations for Logs in Guida al funzionamento di VMware Cloud on AWS.

  • Fare clic sull'icona del grafico icona del grafico per visualizzare le statistiche relative a flusso e riscontri regola per la regola.
    Tabella 2. Statistiche riscontri regola
    Indice popolarità Numero di volte in cui la regola è stata attivata nelle ultime 24 ore.
    Conteggio riscontri Numero di volte in cui la regola è stata attivata dal momento della sua creazione.
    Tabella 3. Statistiche flusso
    Conteggio pacchetti Flusso totale di pacchetti tramite questa regola.
    Conteggio byte Flusso totale di byte tramite questa regola.
    Le statistiche iniziano a essere raccolte non appena la regola viene abilitata.