Per impostazione predefinita, il gateway di elaborazione blocca il traffico in entrata e in uscita dalla rete di elaborazione dell'SDDC. Aggiungere le regole del firewall del gateway di elaborazione per autorizzare il traffico come necessario.

Le regole del firewall per il gateway di elaborazione predefinito e tutti i gateway di livello 1 aggiuntivi creati specificano le azioni da eseguire per il traffico di rete da un'origine specificata a una destinazione e servizio specificati. Le azioni possono essere:
  • consenti (consente il traffico corrispondente)
  • elimina (elimina il traffico corrispondente senza avvisare)
  • rifiuta (elimina il traffico corrispondente e invia una notifica all'origine)
Le regole possono essere applicate alle interfacce di rete fisiche selezionate in un elenco o tramite l'opzione generica Tutti gli uplink, che fa riferimento a tutto il traffico in uscita dal gateway e diretto all' interfaccia VPC, all'interfaccia Internet o all'interfaccia Intranet (Direct Connect).
Nota: Una regola del firewall applicata a Tutti gli uplink non si applica alla Interfaccia del tunnel VPN (VTI), che è un'interfaccia virtuale e non un uplink fisico. La Interfaccia del tunnel VPN deve essere chiaramente specificata nel parametro Si applica a di qualsiasi regola firewall che gestisce le comunicazioni della macchina virtuale del carico di lavoro su una VPN basata su route.

Tutto il traffico che tenta di passare attraverso il firewall viene valutato tramite le regole nell'ordine indicato nella tabella delle regole. Al traffico che soddisfa la prima regola viene applicata l'azione corrispondente (consenti, elimina o rifiuta) e la valutazione viene interrotta. Il traffico che non soddisfa la prima regola viene passato alle regole successive. Quando il traffico soddisfa una regola, viene consentito, eliminato o rifiutato in base a quanto specificato dall'azione della regola e la valutazione viene interrotta. Il traffico che non soddisfa alcuna regola definita dal cliente viene gestito da una regola predefinita.

Esistono due tipi di regole del firewall:
  • Le regole del firewall predefinite vengono create da VMware Cloud on AWS. Sono disponibili due regole del firewall del gateway di elaborazione predefinite:
    Tabella 1. Regole del firewall del gateway di elaborazione predefinite
    Nome Fonti Destinazioni Servizi Si applica a Azione
    Regola VTI predefinita Qualsiasi Qualsiasi Qualsiasi Interfaccia tunnel VPN Elimina*
    Regola uplink predefinita Qualsiasi Qualsiasi Qualsiasi Tutti gli uplink Elimina
    *La Regola VTI predefinita elimina tutto il traffico VPN basato su route (tramite l'interfaccia del tunnel virtuale) in modo da consentire alle macchine virtuali del carico di lavoro di comunicare tramite una VPN basata su route, modificare questa regola impostandola su Consenti per consentire il traffico o spostarlo in una posizione più bassa nella gerarchia delle regole, dopo le regole più permissive. Non è possibile modificare o riordinare la Regola uplink predefinita.
  • Le regole del firewall definite dal cliente vengono elaborate nell'ordine specificato e vengono sempre elaborate prima della Regola uplink predefinita.

Prerequisiti

Le regole del firewall del gateway di elaborazione richiedono gruppi di inventario che vengono denominati in base ai valori di origine e destinazione. Vedere Utilizzo dei gruppi di inventario.

Procedura

  1. Accedere a VMware Cloud Services all'indirizzo https://vmc.vmware.com.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Fare clic su APRI NSX MANAGER e accedere con l'Account utente amministratore di NSX Manager visualizzato nella pagina Impostazioni dell'SDDC. Vedere Amministrazione della rete dell'SDDC con NSX Manager.
    Per questo workflow, è inoltre possibile utilizzare la scheda Rete e sicurezza della Console di VMware Cloud.
  4. Nella pagina Firewall del gateway fare clic su Gateway di elaborazione.
  5. Per aggiungere una regola, fai clic su AGGIUNGI REGOLA e assegna alla nuova regola un Nome.
  6. Immettere i parametri per la nuova regola.
    I parametri vengono inizializzati con i valori predefiniti (ad esempio, Tutti per Origini e Destinazioni). Per modificare un parametro, spostare il cursore del mouse sul valore del parametro e fare clic sull'icona a forma di matita ( Icona a forma di matita) per aprire un editor specifico del parametro.
    Opzione Descrizione
    Fonti Fare clic su Qualsiasi nella colonna Origini e selezionare un gruppo di inventario per il traffico di rete di origine oppure fare clic su AGGIUNGI GRUPPO per creare un nuovo gruppo di inventario definito dall'utente da utilizzare per questa regola. Fare clic su SALVA.
    Destinazioni Fare clic su Qualsiasi nella colonna Destinazioni e selezionare un gruppo di inventario per il traffico di rete di destinazione oppure fare clic su AGGIUNGI GRUPPO per creare un nuovo gruppo di inventario definito dall'utente da utilizzare per questa regola. Fare clic su SALVA.
    Servizi Fare clic su Qualsiasi nella colonna Servizi e selezionare un servizio nell'elenco oppure fare clic su AGGIUNGI SERVIZIO per creare un nuovo servizio definito dall'utente da utilizzare per questa regola. Fare clic su SALVA.
    Si applica a Definire il tipo di traffico a cui si applica la regola:
    • Selezionare Interfaccia del tunnel VPN se si desidera che la regola venga applicata al traffico tramite la VPN basata su route.
    • Selezionare Interfaccia VPC se si desidera che la regola venga applicata al traffico sulla connessione VPC AWS collegata.
    • Selezionare Interfaccia Internet se si desidera che la regola venga applicata al traffico sul gateway Internet SDDC, incluso il traffico sulle VPN basate su criteri che utilizzano l'endpoint dell'IP pubblico.
    • Selezionare Interfaccia Intranet se si desidera che la regola consenta il traffico su AWS Direct Connect, VMware Transit Connect e VPN basate su criteri che utilizzano l'IP privato.
    • Selezionare Tutti gli uplink se si desidera che la regola venga applicata a Interfaccia VPC, a Interfaccia Internet e a Interfaccia Intranet, ma non a Interfaccia tunnel VPN.
      Nota: La Interfaccia del tunnel VPN non è classificata come uplink.
    Azione
    • Selezionare Consenti per consentire il passaggio di tutto il traffico L3 attraverso il firewall.
    • Selezionare Rimuovi per rimuovere i pacchetti che corrispondono a Origini, Destinazioni e Servizi specifici. Si tratta di un'azione invisibile all'utente che non viene notificata ai sistemi di origine e di destinazione. A causa della rimozione del pacchetto, la connessione viene ritentata finché non viene raggiunta la soglia massima di tentativi consentita.
    • Selezionare Rifiuta per rifiutare i pacchetti che corrispondono a Origini, Destinazioni e Servizi specifici. Questa azione restituisce al mittente un "messaggio che indica che la destinazione è irraggiungibile". Per i pacchetti TCP, la risposta include un messaggio RST TCP. Per UDP, ICMP e altri protocolli, la risposta include un codice "non consentito a livello amministrativo" (9 o 10). Quando non è possibile stabilire la connessione al mittente viene inviata immediatamente una notifica (e non vengono eseguiti altri tentativi).
    La nuova regola è abilitata per impostazione predefinita. Far scorrere l'interruttore verso sinistra per disabilitarla.
  7. Fare clic su PUBBLICA per creare la regola.

    Il sistema assegna alla nuova regola un valore intero ID utilizzato nelle voci di registro generate dalla regola.

Operazioni successive

È possibile eseguire una qualsiasi oppure tutte queste azioni facoltative con una regola del firewall esistente.

  • Fare clic sull'icona a forma di ingranaggio icona a forma di ingranaggio per visualizzare o modificare le impostazioni di registrazione delle regole. Le voci di registro vengono inviate al servizio VMware VMware Aria Operations for Logs. Consultare Utilizzo di VMware Aria Operations for Logs in Guida al funzionamento di VMware Cloud on AWS.

  • Fare clic sull'icona del grafico icona del grafico per visualizzare le statistiche relative a flusso e riscontri regola per la regola.
    Tabella 2. Statistiche riscontri regola
    Indice popolarità Numero di volte in cui la regola è stata attivata nelle ultime 24 ore.
    Conteggio riscontri Numero di volte in cui la regola è stata attivata dal momento della sua creazione.
    Tabella 3. Statistiche flusso
    Conteggio pacchetti Flusso totale di pacchetti tramite questa regola.
    Conteggio byte Flusso totale di byte tramite questa regola.
    Le statistiche iniziano a essere raccolte non appena la regola viene abilitata.
  • Riordinare le regole del firewall.

    Una regola creata dal pulsante AGGIUNGI NUOVA REGOLA viene posizionata in cima all'elenco delle regole. Le regole del firewall vengono applicate nell'ordine dall'alto verso il basso. Per modificare la posizione di una regola nell'elenco, selezionarla e trascinarla in una nuova posizione. Fare clic su PUBBLICA per pubblicare la modifica.