Quando un VPC NSX viene realizzato correttamente, il sistema crea regole del firewall nord-sud ed est-ovest predefinite per gestire il comportamento del firewall predefinito per i carichi di lavoro in VPC NSX.

Panoramica

Le regole del firewall N-S sono regole centralizzate che si applicano al traffico in entrata e in uscita in VPC NSX.

Le regole del firewall E-O sono regole distribuite che si applicano ai carichi di lavoro in esecuzione in VPC NSX.

Le regole del firewall in un VPC NSX si applicano solo alle macchine virtuali nel VPC. Ovvero le macchine virtuali connesse alle subnet in VPC NSX. Le regole del firewall in un VPC NSX non influiscono sui carichi di lavoro esterni a VPC.

Nelle sottosezioni seguenti, il termine "licenza di base" si riferisce a una delle due licenze seguenti:

  • Rete di NSX per VMware Cloud Foundation
  • Licenza della soluzione per VCF
Firewall est-ovest

La licenza base autorizza il sistema solo all'utilizzo delle funzionalità di rete. Non è possibile configurare la funzionalità di sicurezza del firewall est-ovest in un VPC NSX. Per aggiungere o modificare le regole del firewall E-O in un VPC NSX, è necessario applicare una licenza di sicurezza appropriata nel sistema.

Se non viene applicata una licenza di sicurezza, le regole del firewall E-O predefinite create dal sistema non vengono attivate in VPC NSX. Le regole E-O predefinite esistono in VPC NSX, ma sono inattive in VPC NSX. Non è possibile modificare le regole E-O predefinite e nemmeno attivarle in VPC NSX.

Firewall nord-sud

La licenza base autorizza il sistema ad aggiungere o modificare solo le regole del firewall N-S stateless in un VPC NSX. Per aggiungere o modificare le regole del firewall N-S stateful e le regole del firewall N-S stateless in un VPC NSX, è necessario applicare una licenza di sicurezza appropriata nel sistema.

Il criterio del firewall N-S predefinito in un VPC NSX è un criterio stateful. Quando una licenza di sicurezza non viene applicata nel sistema, è possibile modificare solo l'azione della regola del firewall N-S predefinita. Nella regola predefinita non sono consentite altre modifiche. Non è possibile modificare lo stato del criterio del firewall N-S predefinito da stateful a stateless.

Regole del firewall est-ovest predefinite in un VPC NSX

Per ogni VPC NSX aggiunto nel progetto, il sistema crea un criterio del firewall E-O predefinito nel VPC NSX. La convenzione di denominazione seguente viene utilizzata per identificare il criterio del firewall E-O predefinito in un VPC NSX:

PROJECT-<Nome_Progetto> VPC-<Nome_VPC>-default-layer3-section

Project_Name e VPC_Name vengono sostituiti con i valori effettivi nel sistema.

Ad esempio, la schermata seguente mostra le regole del firewall E-O predefinito in un VPC NSX.


Questa immagine è descritta nel testo circostante.

Tutte e tre le regole predefinite del firewall E-O in un VPC NSX hanno l'opzione Si applica a impostata su DFW. Anche se l'opzione Si applica a è impostata su DFW, le regole del firewall vengono applicate solo sulle macchine virtuali del carico di lavoro connesse alle subnet nel VPC NSX. Le macchine virtuali del carico di lavoro che si trovano all'esterno del VPC NSX non sono interessate da queste regole del firewall. Se necessario, gli utenti VPC possono impostare Si applica a come Gruppi e selezionare solo i gruppi creati nel VPC NSX.

Cerchiamo di comprendere il significato delle tre regole E-O predefinite, come visualizzato in questa schermata:
  • La regola 1030 consente tutto il traffico in uscita dalle subnet in VPC NSX. La destinazione del traffico in uscita può essere un carico di lavoro all'interno del VPC NSX o all'esterno del VPC. Se necessario, è possibile modificare questa regola predefinita.
  • La regola 1031 consente tutto il traffico DHCP. Se necessario, è possibile modificare questa regola predefinita.
  • La regola 1032 elimina tutto il traffico che non corrisponde alle due regole precedenti. Questa regola indica implicitamente che tutto il traffico in entrata verso il VPC NSX viene eliminato, per impostazione predefinita. È possibile modificare solo l'azione della regola di questa regola predefinita. Tutti gli altri campi di questa regola non sono modificabili.

Regola predefinita del firewall nord-sud in un VPC NSX

Per ogni VPC NSX aggiunto nel progetto, il sistema crea un criterio del firewall N-S predefinito nel VPC NSX. Ad esempio, la schermata seguente mostra il criterio N-S predefinito in un VPC NSX, che è un criterio stateful. Contiene solo una singola regola del firewall.


Questa immagine è descritta nel testo circostante.

Per impostazione predefinita, la regola consente tutto il traffico attraverso il firewall N-S VPC. È possibile modificare solo l'azione della regola di questa regola predefinita. Tutti gli altri campi di questa regola non sono modificabili.

Come indicato in precedenza nella sezione Panoramica della presente documentazione, la licenza di base autorizza il sistema ad aggiungere o modificare solo regole del firewall N-S stateless in un VPC NSX. Per aggiungere o modificare le regole del firewall N-S stateful e le regole del firewall N-S stateless in un VPC NSX, è necessario applicare una licenza di sicurezza appropriata nel sistema.

Comunicazione all'interno di un VPC NSX

Per impostazione predefinita, il traffico est-ovest tra i carichi di lavoro all'interno di un VPC NSX è consentito.

Ad esempio, il diagramma seguente mostra tre macchine virtuali del carico di lavoro in un VPC NSX. Per impostazione predefinita, la macchina virtuale 1 nella subnet pubblica può comunicare con la macchina virtuale 2 nella subnet privata in entrambe le direzioni.

Per impostazione predefinita, le macchine virtuali in subnet isolate non possono comunicare con le macchine virtuali che si trovano in subnet private o pubbliche. Tuttavia, in questo diagramma la macchina virtuale 2 nella subnet privata è connessa anche alla subnet isolata. Pertanto, la macchina virtuale 2 nella subnet privata può comunicare con la macchina virtuale 3 nella subnet isolata in entrambe le direzioni.


Il diagramma è descritto nel testo circostante.

Comunicazione in uscita da un VPC NSX

Come indicato in precedenza in questo argomento, tutto il traffico in uscita da un VPC NSX è consentito per impostazione predefinita.

I carichi di lavoro connessi a subnet pubbliche possono inviare pacchetti al di fuori di VPC NSX indipendentemente dal fatto che l'opzione Servizi N-S sia attivata o disattivata per VPC NSX. Ai carichi di lavoro nelle subnet pubbliche vengono assegnati indirizzi IP dai blocchi IPv4 esterni di VPC NSX. Gli indirizzi IP esterni sono raggiungibili all'esterno di VPC NSX.

I carichi di lavoro connessi alle subnet private possono inviare pacchetti al di fuori di VPC NSX solo quando vengono soddisfatte le condizioni seguenti:

  • L'opzione Servizi N-S è attivata per VPC NSX.
  • L'opzione NAT in uscita predefinita è attivata per VPC NSX.

Quando l'opzione NAT in uscita predefinita è attivata, viene creata una regola SNAT predefinita per VPC NSX per consentire il routing del traffico dai carichi di lavoro nella subnet privata all'esterno di VPC NSX. Analogamente, se questa opzione è disattivata, la regola SNAT predefinita non viene creata e il traffico proveniente dalle subnet private non può essere instradato all'esterno di VPC NSX.

Ad esempio, il diagramma seguente mostra un VPC NSX in cui l'opzione NAT in uscita predefinita è disattivata. Il traffico dalla macchina virtuale 1 nella subnet pubblica può passare direttamente all'utente 1.1.1.1, che si trova all'esterno di VPC NSX. Tuttavia, il traffico in uscita dalla macchina virtuale 2 nella subnet privata è bloccato.


Il diagramma è descritto nel testo circostante.

Il diagramma seguente mostra un VPC NSX in cui è attivata l'opzione NAT in uscita predefinita. In questo caso, il sistema configura automaticamente una regola SNAT predefinita nel firewall N-S del VPC. L'indirizzo IP della macchina virtuale 2 nella subnet privata viene convertito in un IP esterno, che viene allocato dal sistema dal blocco IPv4 esterno. La macchina virtuale 2 nella subnet privata può ora inviare traffico all'utente 1.1.1.1 che si trova all'esterno di VPC NSX. La macchina virtuale 1 nella subnet pubblica può continuare a inviare il traffico all'esterno di VPC NSX senza passare attraverso NAT nel firewall N-S di VPC.


Il diagramma è descritto nel testo circostante.

Comunicazione in ingresso in un VPC NSX

Come indicato in precedenza in questo argomento, la regola E-O predefinita (regola 1035) elimina tutto il traffico in entrata verso VPC NSX.

Il traffico in entrata verso VPC NSX può essere uno dei seguenti:
  • Traffico proveniente da carichi di lavoro in esecuzione in altri VPC di NSX che si trovano nello stesso progetto o in un progetto diverso.
  • Traffico proveniente dai carichi di lavoro in esecuzione in qualsiasi rete all'interno del data center.
  • Traffico proveniente da Internet.

Ad esempio, il diagramma seguente mostra che il traffico dall'utente 1.1.1.1, connesso a un gateway di livello 0/VRF, non riesce a raggiungere la macchina virtuale 1 nella subnet pubblica e la macchina virtuale 2 nella subnet privata.


Il diagramma è descritto nel testo circostante.

Per abilitare il traffico in entrata dall'esterno di VPC NSX affinché possa raggiungere i carichi di lavoro nelle subnet pubbliche, sarà necessario aggiungere un criterio del firewall E-O personalizzato o modificare la regola E-O nel criterio del firewall predefinito di VPC NSX. Si tenga presente che per impostazione predefinita la regola N-S predefinita in VPC NSX consente tutto il traffico attraverso il firewall N-S di VPC.

Nota: È consigliabile che gli utenti di VPC aggiungano regole del firewall N-S personalizzate nei loro VPC NSX per limitare il traffico in entrata solo a porte specifiche in base ai loro requisiti di sicurezza.

Per consentire al traffico in entrata dall'esterno di VPC NSX di raggiungere i carichi di lavoro nelle subnet private, eseguire i passaggi seguenti:

  1. Assicurarsi che l'opzione Servizi N-S sia attivata per VPC NSX.
  2. Aggiungere una regola NAT con azione riflessiva o azione DNAT in VPC NSX.

    Nella regola NAT, allocare un indirizzo IPv4 valido dal blocco IPv4 esterno in modo che il sistema possa mappare l'indirizzo IP della macchina virtuale nella subnet privata a questo indirizzo IPv4 esterno. Ad esempio, se si sta creando una regola NAT con azione riflessiva, specificare l'indirizzo IPv4 esterno nella casella di testo IP convertito della definizione della regola. L'indirizzo IPv4 deve appartenere al blocco IPv4 esterno di VPC NSX e deve essere disponibile per l'allocazione. In caso contrario, viene visualizzato un messaggio di errore. Attualmente, nella casella di testo IP convertito è supportato solo un singolo indirizzo IPv4. Un blocco CIDR non è supportato.

    Eseguire questo passaggio per abilitare il traffico in ingresso per ogni macchina virtuale del carico di lavoro collegata alla subnet privata. Ad esempio, se alla subnet privata sono collegate quattro macchine virtuali del carico di lavoro, creare quattro regole NAT separate.

  3. Aggiungere un criterio del firewall E-O personalizzato o modificare la regola E-O nel criterio del firewall predefinito di VPC NSX per consentire al traffico di raggiungere i carichi di lavoro nelle subnet private.

Dopo aver completato questi passaggi, tutto il traffico in entrata è ora consentito nei carichi di lavoro delle subnet private. Come indicato nella sottosezione precedente, è consigliabile che gli utenti di VPC aggiungano regole del firewall N-S personalizzate nei loro VPC NSX per limitare il traffico in entrata a porte specifiche in base ai loro requisiti di sicurezza.

Ad esempio, il diagramma seguente mostra che il traffico dall'utente 1.1.1.1, connesso a un gateway di livello 0/VRF, passa attraverso NAT nel firewall N-S VPC e quindi raggiunge la macchina virtuale 2 nella subnet privata.

In questo esempio, la configurazione della regola NAT è la seguente:

  • IP di origine: 10.5.0.5 (indirizzo IP privato della macchina virtuale 2)
  • IP convertito: 5.5.100.100 (indirizzo IP dal blocco di indirizzi IPv4 esterno allocato alla macchina virtuale 2)
  • Azione: riflessiva

Il diagramma è descritto nel testo circostante.