Il mantenimento della sicurezza e della protezione dell'infrastruttura di gestione SDDC è essenziale. Per impostazione predefinita, il gateway di gestione blocca il traffico verso ogni destinazione della rete di gestione da tutte le origini. È necessario aggiungere regole firewall del gateway di gestione per consentire la protezione del traffico a partire da origini attendibili.

Quando si configura l'accesso all'infrastruttura di gestione dell'SDDC è essenziale valutare le opzioni di connettività disponibili, configurare quelle necessarie e creare regole firewall del gateway di gestione che impediscano l'accesso non autorizzato alla rete di gestione SDDC.
  • Configurazione di AWS Direct Connect tra SDDC e il data center locale

    Questa opzione fornisce la connettività dedicata tra l'azienda e l'SDDC e può essere utilizzata in combinazione con una VPN IPsec per crittografare il traffico.

  • Configurazione di una connessione VPN tra l'SDDC e il data center locale

    Questa opzione offre connettività crittografata tra l'azienda e l'SDDC.

  • Se non è possibile utilizzare Direct Connect o una VPN, si può accedere alla rete di gestione SDDC su Internet pubblico e fare affidarsi alle regole del firewall del gateway di gestione per impedire l'accesso eseguito da origini non attendibili. Questa opzione può essere adeguata per alcuni casi d'uso, ma è intrinsecamente meno sicura rispetto alle altre.

Le regole del firewall del gateway di gestione specificano le azioni da eseguire per il traffico di rete da un'origine specificata verso una destinazione specificata. L'origine o la destinazione devono essere un gruppo inventario definito dal sistema. Vedere Aggiunta di un gruppo di gestione per informazioni sulla visualizzazione o la modifica dei gruppi di inventario.
Importante: Se è necessario accedere al gateway di gestione tramite Internet pubblico, è fondamentale configurare una regola del firewall del gateway di gestione che consenta il traffico solo da indirizzi IP di proprietà dell'utente o ritenuti attendibili. Ad esempio, un'azienda che accede a Internet da un indirizzo nel blocco CIDR 93.184.216.34/30 deve creare una regola del firewall del gateway di gestione che consenta esclusivamente il traffico con Origini CIDR di 93.184.216.34/30 per accedere ai sistemi di gestione che comprendono vCenter Server, ESXi e NSX-T. Non configurare mai una regola del firewall del gateway di gestione per consentire il traffico proveniente da un indirizzo Qualsiasi. Vedere l'articolo Knowledge Base di VMware 84154 per ottenere ulteriori informazioni su come fornire un accesso sicuro all'infrastruttura di gestione dell'SDDC.

Procedura

  1. Effettuare l'accesso alla Console VMC su https://vmc.vmware.com.
  2. Nella scheda Rete e sicurezza, fare clic su Firewall del gateway.
  3. Nella scheda Firewall del gateway fare clic su Gateway di gestione, quindi fare clic su AGGIUNGI REGOLA e assegnare un Nome alla nuova regola.
  4. Immettere i parametri per la nuova regola.
    I parametri vengono inizializzati con i valori predefiniti (ad esempio, Tutti per Origini e Destinazioni). Per modificare un parametro, spostare il cursore del mouse sul valore del parametro e fare clic sull'icona a forma di matita ( ) per aprire un editor specifico del parametro.
    Opzione Descrizione
    Fonti
    Selezionare Qualsiasi per consentire il traffico da qualsiasi indirizzo o intervallo di indirizzi di origine.
    Importante:

    Anche se è possibile selezionare Qualsiasi come indirizzo di origine in una regola del firewall, l'utilizzo di Qualsiasi come indirizzo di origine in questa regola del firewall può abilitare gli attacchi a vCenter Server e compromettere eventualmente l'SDDC. È consigliabile configurare questa regola del firewall per consentire l'accesso solo da indirizzi di origine attendibili. Vedere l'articolo 84154 della Knowledge Base di VMware.

    Selezionare Gruppi definiti dal sistema e selezionare una delle seguenti opzioni di origine:

    • ESXi per consentire il traffico dagli host dell'SDDC ESXi.
    • NSX Manager per consentire il traffico dall'appliance di NSX-T Manager dell'SDDC.
    • vCenter per consentire il traffico dall'SDDC. vCenter Server.

    Selezionare Gruppi definiti dall'utente per utilizzare un gruppo di gestione definito dall'utente. Vedere Aggiunta di un gruppo di gestione.

    Destinazioni

    Selezionare Qualsiasi per consentire il traffico verso qualsiasi indirizzo o intervallo di indirizzi di destinazione.

    Selezionare Gruppi definiti dal sistema e selezionare una delle seguenti opzioni di destinazione:
    • ESXi per consentire il traffico verso la gestione dell'SDDC ESXi .
    • NSX Manager per consentire il traffico verso NSX-T di SDDC.
    • vCenter per consentire il traffico verso l'SDDC. vCenter Server.
    Servizi

    Selezionare i tipi di servizio a cui applicare la regola. L'elenco dei tipi di servizio dipende dalle scelte in riferimento alle opzioni Origini e Destinazioni.

    Azione L'unica azione disponibile per una nuova regola del firewall del gateway di gestione è Consenti.
    La nuova regola è abilitata per impostazione predefinita. Far scorrere l'interruttore verso sinistra per disabilitarla.
  5. Fare clic su PUBBLICA per creare la regola.

    Il sistema assegna alla nuova regola un valore intero ID utilizzato nelle voci di registro generate dalla regola.

    Le regole del firewall vengono applicate nell'ordine dall'alto verso il basso. Poiché in basso è presente una regola Rilascia predefinita e le regole precedenti sono sempre regole Consenti, l'ordine delle regole del firewall del gateway di gestione non esercita alcun impatto sul flusso di traffico.

Esempio: Creazione di una regola del firewall del gateway di gestione

Per creare una regola del firewall del gateway di gestione che abilita il traffico di vMotion dagli host ESXi locali agli host ESXi nell'SDDC:
  1. Creare un gruppo di inventario di gestione che contenga gli host ESXi locali che si desidera abilitare per vMotion nell'SDDC.
  2. Creare una regola del gateway di gestione con ESXi di origine e host ESXi locali di destinazione.
  3. Creare un'altra regola del gateway di gestione con gruppo di host ESXi locale di origine e ESXi di destinazione con un servizio vMotion.

Operazioni successive

È possibile eseguire una qualsiasi oppure tutte queste azioni facoltative con una regola del firewall esistente.

  • Fare clic sull'icona dell'ingranaggio per visualizzare o modificare le impostazioni di registrazione delle regole. Le voci di registro vengono inviate al servizio vRealize Log Insight Cloud di VMware. Consultare Utilizzo di vRealize Log Insight Cloud in Guida al funzionamento di VMware Cloud on AWS.

  • Fare clic sull'icona del grafico per visualizzare le statistiche relative a flusso e riscontri regola per la regola.
    Tabella 1. Statistiche riscontri regola
    Indice popolarità Numero di volte in cui la regola è stata attivata nelle ultime 24 ore.
    Conteggio riscontri Numero di volte in cui la regola è stata attivata dal momento della sua creazione.
    Tabella 2. Statistiche flusso
    Conteggio pacchetti Flusso totale di pacchetti tramite questa regola.
    Conteggio byte Flusso totale di byte tramite questa regola.
    Le statistiche iniziano a essere raccolte non appena la regola viene abilitata.