維護 SDDC 管理基礎結構的安全性至關重要。依預設,管理閘道會封鎖從所有來源到所有管理網路目的地的流量。

設定對 SDDC 管理基礎結構的存取時,請務必建立僅允許對 SDDC 管理網路進行必要存取的管理閘道防火牆規則。若要存取管理閘道,可以在 SDDC 和內部部署資料中心之間設定 AWS Direct Connect設定 SDDC 和內部部署資料中心之間的 VPN 連線或同時執行這兩項動作。Direct Connect (在企業和 SDDC 之間提供私人連線) 可以單獨使用,也可與 IPsec VPN 結合使用以對流量進行加密。

如果無法使用 Direct Connect、VMware Managed Transit Gateway或 VPN,則可以使用公用 DNS 和 vCenter Server 公用 IP 直接透過網際網路存取 SDDC vCenter Server。如果執行此動作,則必須建立管理閘道防火牆規則,以防止不受信任的來源存取管理網路。VPN 透過加密和驗證通訊協定提供了額外的安全性。

管理閘道防火牆規則根據來源位址和目的地位址以及服務連接埠指定要對網路流量執行的動作。來源或目的地必須為系統定義的詳細目錄群組。如需檢視或修改詳細目錄群組的相關資訊,請參閱 使用詳細目錄群組
重要: 預設管理閘道防火牆規則會拒絕所有流量,因此必須至少建立一個使用者定義的管理閘道防火牆規則,以便能夠存取 vCenter Server Appliance 以及其他管理虛擬機器和應用裝置。若要在透過公用網際網路存取管理閘道時提供適當的安全性,請設定管理閘道防火牆規則,該規則僅允許來自您擁有或信任的 IP 位址的流量,並始終將來源 IP 範圍 (包括內部和外部 IP) 限制為盡可能小的 IP 集。例如,如果企業從 CIDR 區塊 93.184.216.34/30 中的位址存取網際網路,則應建立管理閘道防火牆規則,以僅允許具有 來源 CIDR 93.184.216.34/30 的流量存取管理目的地,如 管理閘道防火牆規則範例中所示。從 SDDC 版本 1.22 開始,無法發佈允許來自 來源 (包括 任何或 0.0.0.0/0) 的流量的管理閘道防火牆規則。如需有關提供對 SDDC 管理基礎結構的安全存取的詳細資訊,請參閱 VMware 知識庫文章 84154
有兩種類型的防火牆規則:
  • 預先定義的防火牆規則由 VMware Cloud on AWS 建立和管理。您無法修改或重新排序這些規則。有一個預先定義的管理閘道防火牆規則:
    表 1. 預先定義的管理閘道防火牆規則
    名稱 來源 目的地 服務 動作
    預設全部拒絕 任何 任何 任何 捨棄
    由於此規則在預設拒絕模式下運作,因此僅允許客戶定義的規則明確允許的流量。
  • 客戶定義的防火牆規則按照您指定的順序進行處理,並且始終在預先定義的規則之前進行處理。這些規則要求來源或目的地是系統定義的群組,並且可用連接埠和服務清單是由 VMware 管理的有限清單。當來源是系統定義的群組時,服務必須為任何。由於這些規則必須具有允許動作,因此規則順序通常不重要。

程序

  1. 登入 VMware Cloud Services,網址為 https://vmc.vmware.com
  2. 按一下詳細目錄 > SDDC,然後挑選一個 SDDC 卡並按一下檢視詳細資料
  3. 按一下開啟 NSX Manager,然後使用 SDDC 設定頁面上顯示的 NSX Manager 管理員使用者帳戶登入。請參閱使用 NSX Manager 的 SDDC 網路管理
    也可以使用 VMware Cloud 主控台網路與安全性索引標籤執行此工作流程。
  4. 閘道防火牆卡上,按一下管理閘道,然後按一下新增規則,並為新規則提供名稱
  5. 輸入新規則的參數。
    參數會初始化為其預設值 (例如, 來源目的地任何)。若要編輯參數,請將滑鼠游標移到參數值上,然後按一下鉛筆圖示 ( 鉛筆圖示) 以開啟參數特定的編輯器。
    選項 說明
    來源
    輸入來源位址的任意組合 (CIDR 區塊或管理群組名稱)。
    重要:

    雖然可以在防火牆規則中選取任何作為來源位址,但在目的地為 vCenter 時,不能使用任何或萬用字元 0.0.0.0/0 作為來源位址。如果這樣做,可能會使 vCenter Server 遭受攻擊,並可能導致 SDDC 遭到破壞。

    選取系統定義的群組,然後選取下列其中一個來源選項:

    • ESXi,允許 SDDC 的 ESXi 主機的輸出流量。
    • NSX Manager,允許 SDDC 的 NSX 應用裝置的輸出流量。
    • vCenter,允許 SDDC 的 vCenter Server 的輸出流量。
    • 在 SDDC 中啟用的其他整合式服務。

    選取使用者定義的群組,以使用您已定義的管理群組。請參閱使用詳細目錄群組
    目的地

    選取任何以允許任何目的地位址或位址範圍的輸入流量。

    選取 系統定義的群組,然後選取下列其中一個目的地選項:
    • ESXi,允許 SDDC 的 ESXi 管理的輸入流量。
    • NSX Manager,允許 SDDC 的 NSX 應用裝置的輸入流量
    • vCenter,允許 SDDC 的 vCenter Server 的輸入流量。
    • 在 SDDC 中啟用的其他整合式服務。
    服務

    選取規則套用至的服務類型。服務類型的清單取決於您選擇的是來源還是目的地
    動作 新管理閘道防火牆規則的唯一可用動作為允許
    新規則預設為啟用。將切換開關向左滑可將其停用。
  6. 按一下發佈以建立規則。

    系統會為新規則提供整數識別碼值,該值將用於規則所產生的記錄項目。

    依序自上而下套用防火牆規則。由於底部的預設捨棄規則,且上面的規則始終為允許規則,管理閘道防火牆規則順序對流量沒有影響。

範例: 建立管理閘道防火牆規則

若要建立允許從內部部署 ESXi 主機到 SDDC 中的 ESXi 主機的 vMotion 流量的管理閘道防火牆規則:
  1. 建立管理詳細目錄群組,其中包含要為運用 vMotion 移轉到 SDDC 啟用的內部部署 ESXi 主機。
  2. 針對來源 ESXi 和目的地內部部署 ESXi 主機建立管理閘道規則。
  3. 透過 vMotion 服務,針對來源內部部署 ESXi 主機群組和目的地 ESXi 建立另一個管理閘道規則。

下一步

可以檢視除「預設全部拒絕」規則之外的任何其他規則的規則命中數統計資料流量統計資料

  • 按一下齒輪圖示 (cog 圖示),以檢視或修改規則記錄設定。記錄項目會傳送至 VMware VMware Aria Operations for Logs 服務。請參閱VMware Cloud on AWS 作業指南中的使用 VMware Aria Operations for Logs

  • 按一下圖形圖示 圖形圖示,以檢視規則的生效規則數和流量統計資料。
    表 2. 生效規則統計資料
    熱門度索引 在過去 24 小時內觸發規則的次數。
    叫用次數 自規則建立以來觸發規則的次數。
    表 3. 流量統計資料
    封包計數 流經此規則的封包總計。
    位元組計數 流經此規則的位元組總計。
    啟用此規則後,統計資料即會開始累積。