È necessario creare regole del firewall per il gateway di elaborazione di ciascun SDDC del gruppo. Senza tali regole, i carichi di lavoro in esecuzione sui membri del gruppo non possono utilizzare VMware Transit Connect per comunicare tra loro.

Poiché tutti i membri di un gruppo di SDDC sono di proprietà della stessa organizzazione VMware Cloud on AWS, il traffico di rete tra i membri del gruppo può essere gestito in modo sicuro come traffico Est-Ovest, piuttosto che Nord-Sud, il quale può avere un'origine o una destinazione esterna. Tuttavia, poiché le regole del firewall predefinite di un gateway di elaborazione SDDC rifiutano il traffico esterno, è necessario creare regole del firewall che consentano al traffico di passare attraverso il gateway di elaborazione di ogni SDDC del gruppo (attualmente, non è necessario che i gruppi di SDDC instradino il traffico di rete attraverso i gateway di gestione dei membri).

VMware Cloud on AWS definisce un set di gruppi di inventario da utilizzare nelle regole del firewall del gateway di elaborazione che forniscono un controllo di alto livello sul traffico tra i membri del gruppo. Tali gruppi contengono i prefissi (blocchi CIDR) per le route acquisite su VMware Transit Connect e tutti i gateway di transito AWS di proprietà del proprietario dell'account AWS dell'SDDC.
Prefissi TGW del cliente di Transit Connect
Route acquisite dai gateway di transito AWS di proprietà del cliente.
Prefissi DGW di Transit Connect
Route apprese dal Direct Connect Gateway del gruppo.
Prefissi VPC nativi di Transit Connect
Route acquisite dai VPC allegati del gruppo.
Altri prefissi SDDC di Transit Connect
Route acquisite da altri SDDC del gruppo.
I prefissi in ciascuno di questi gruppi vengono aggiunti, rimossi e aggiornati automaticamente durante le modifiche dell'appartenenza ai gruppi e l'acquisizione di nuove route.

Per ulteriori informazioni, vedere Aggiungere o modificare regole del firewall del gateway di elaborazione nella documentazione Servizi di rete e sicurezza di VMware Cloud on AWS.

Procedura

  1. Nella scheda Rete e sicurezza, fare clic su Firewall del gateway.
  2. Definire i gruppi di inventario come necessario, per fornire origini e destinazioni per il traffico del carico di lavoro.
    I gruppi di inventario definiti dal sistema sono utili per creare connettività di alto livello tra i membri del gruppo e i VPC allegati. Se è necessario creare regole del firewall più dettagliate da applicare a singoli segmenti di carico di lavoro negli SDDC dei membri, è necessario creare gruppi di inventario che definiscano tali segmenti, come illustrato nell'esempio seguente.
  3. Nella scheda Firewall del gateway fare clic su Elabora gateway, quindi fare clic su AGGIUNGI REGOLA.
    I gruppi di inventario definiti dal sistema, e ai gruppi di elaborazione definiti dall'utente, sono disponibili come opzioni negli elenchi a discesa Fonti e Destinazioni. Per abilitare la connettività senza limitazioni del gruppo, è possibile aggiungere una regola come questa, che consente il traffico in entrata verso questo SDDC da altri membri del gruppo.
    Nome Fonti Destinazioni Servizi Si applica a Azione
    In entrata da altri SDDC Altri prefissi SDDC di Transit Connect Qualsiasi Qualsiasi Interfaccia Direct Connect Consenti
    Se sono stati creati gruppi di inventario con i blocchi CIDR dei segmenti del carico di lavoro locale, è possibile utilizzarli per creare regole con una precedenza più alta che applichino controlli più dettagliati su questo traffico.

Esempio: Regole del firewall CGW con gruppi di inventario definiti dall'utente per consentire il traffico del carico di lavoro tra i membri del gruppo

Creare i gruppi
Nella scheda Gruppi fare clic su GRUPPI DI ELABORAZIONE, quindi fare clic su AGGIUNGI GRUPPO e creare tre gruppi. È possibile utilizzare tutti i nomi desiderati per i gruppi. Quelli mostrati qui sono solo degli esempi.
  • Un gruppo denominato Carichi di lavoro locali, che include prefissi di segmento per i segmenti del carico di lavoro dell'SDDC.
  • Un gruppo denominato Carichi di lavoro peer, che include prefissi di segmenti per i segmenti di carico di lavoro di altri SDDC del gruppo.
  • Un gruppo denominato Peer SDDC vCenter, che include l'indirizzo IP privato del vCenter in ciascun SDDC del gruppo.

Per ciascun gruppo, fare clic su Imposta membri per aprire il tool Seleziona membri. Qui è possibile fare clic su AGGIUNGI CRITERI e immettere gli Indirizzi IP o gli Indirizzi MAC dei membri del gruppo. È inoltre possibile fare clic su AZIONI > importa per importare tali valori da un file.

Creare le regole
Come illustrato in Passaggio 3, aprire la scheda Firewall del gateway, fare clic su Elabora gateway seguito da AGGIUNGI REGOLA per creare nuove regole che utilizzino i gruppi di inventario creati per le rispettive Fonti e Destinazioni. È possibile utilizzare tutti i nomi desiderati per le regole. Quelli mostrati qui sono solo degli esempi.
Nome Fonti Destinazioni Servizi
Da carico di lavoro locale a carico di lavoro peer Carichi di lavoro locali Carichi di lavoro peer Come necessario per il traffico in uscita dai carichi di lavoro locali ai carichi di lavoro di altri membri del gruppo
Da carico di lavoro peer a carico di lavoro locale Carichi di lavoro peer Carichi di lavoro locali Come necessario per il traffico in uscita verso i carichi di lavoro locali dai carichi di lavoro di altri membri del gruppo
Tutte le regole che regolano il traffico dei membri del gruppo di SDDC tramite il firewall del gateway di elaborazione devono essere applicate a Tutti gli uplink e avere unazione di Consenti.