依預設,計算閘道會阻止進出 SDDC 計算網路的流量。可以視需要新增計算閘道防火牆規則以允許流量。

預設計算閘道和您建立的任何其他第 1 層閘道的防火牆規則指定了對從指定來源到指定目的地和服務的網路流量執行的動作。動作可以是以下項之一:
  • 允許 (允許符合的流量)
  • 捨棄 (以無訊息方式捨棄符合的流量)
  • 拒絕 (捨棄符合的流量並通知來源)
規則可以套用至從實體網路介面清單中選擇的介面,也可以套用至通用規格 所有上行,即套用至離開閘道並進入 VPC 介面、網際網路介面 或內部網路 (Direct Connect) 介面的所有流量。
備註: 套用至 所有上行的防火牆規則不會套用至 VPN 通道介面 (VTI),VTI 是一個虛擬介面,而不是實體上行。在任何透過路由型 VPN 管理工作負載虛擬機器通訊的防火牆規則的 套用至參數中,必須明確指定 VPN 通道介面

嘗試通過防火牆的所有流量按規則資料表中所顯示的順序由規則進行評估。與第一個規則相符的流量遵循其動作 (允許、捨棄或拒絕),且評估停止。與第一個規則不相符的流量會傳遞到後續規則。符合相符規則時,將根據規則動作指定的方式允許、捨棄或拒絕流量,並停止進一步的規則評估。與客戶定義的任何規則都不相符的流量由預設規則處理。

有兩種類型的防火牆規則:
  • 預先定義的防火牆規則由 VMware Cloud on AWS 建立。有兩個預先定義的計算閘道防火牆規則:
    表 1. 預先定義的計算閘道防火牆規則
    名稱 來源 目的地 服務 套用至 動作
    預設 VTI 規則 任何 任何 任何 VPN 通道介面 捨棄 *
    預設上行規則 任何 任何 任何 所有上行 捨棄
    * 預設 VTI 規則捨棄所有路由型 VPN 流量 (透過虛擬通道介面),因此,若要使工作負載虛擬機器能夠透過路由型 VPN 進行通訊,請將此規則修改為允許流量或將其移至規則階層中的較低位置 (即放在更寬鬆的規則之後)。無法修改或重新排序預設上行規則
  • 客戶定義的防火牆規則按照您指定的順序進行處理,並且始終在預設上行規則之前進行處理。

必要條件

計算閘道防火牆規則需要來源和目的地值的具名詳細目錄群組。請參閱使用詳細目錄群組

程序

  1. 登入 VMware Cloud Services,網址為 https://vmc.vmware.com
  2. 按一下詳細目錄 > SDDC,然後挑選一個 SDDC 卡並按一下檢視詳細資料
  3. 按一下開啟 NSX Manager,然後使用 SDDC 設定頁面上顯示的 NSX Manager 管理員使用者帳戶登入。請參閱使用 NSX Manager 的 SDDC 網路管理
    也可以使用 VMware Cloud 主控台網路與安全性索引標籤執行此工作流程。
  4. 閘道防火牆頁面上,按一下計算閘道
  5. 若要新增規則,請按一下新增規則,並為新規則提供名稱
  6. 輸入新規則的參數。
    參數會初始化為其預設值 (例如, 來源目的地全部)。若要編輯參數,請將滑鼠游標移到參數值上,然後按一下鉛筆圖示 ( 鉛筆圖示) 以開啟參數特定的編輯器。
    選項 說明
    來源 按一下來源資料行中的任何,並為來源網路流量選取詳細目錄群組,或按一下新增群組以建立新的使用者定義的詳細目錄群組來用於此規則。按一下儲存
    目的地 按一下目的地資料行中的任何,並為目的地網路流量選取詳細目錄群組,或按一下新增群組以建立新的使用者定義的詳細目錄群組來用於此規則。按一下儲存
    服務 服務資料行中按一下任何,然後從清單中選取一個服務,或按一下新增服務以建立新的使用者定義服務以用於此規則。按一下儲存
    套用至 定義將套用規則的流量類型:
    • 如果要將規則套用至透過路由型 VPN 的流量,則選取 VPN 通道介面
    • 如果要將規則套用至透過連結的 AWS VPC 連線的流量,則選取 VPC 介面
    • 如果要將規則套用至透過 SDDC 的網際網路閘道傳輸的流量 (包括透過使用公用 IP 端點的原則型 VPN 傳輸的流量),請選取網際網路介面
    • 如果您希望規則允許透過 AWS Direct Connect、VMware Transit Connect使用私人 IP 的原則型 VPN 傳輸的流量,請選取內部網路介面
    • 如果要將規則套用至 VPC 介面網際網路介面內部網路介面,但不套用至 VPN 通道介面,則選取所有上行
      備註: VPN 通道介面並未歸類為上行。
    動作
    • 選取允許以允許所有 L3 流量通過防火牆。
    • 選取捨棄,以捨棄符合任何指定的來源目的地服務的封包。這是一種無訊息動作,並不會傳送通知給來源或目的地系統。捨棄封包會導致重試連線,直到達到重試臨界值為止。
    • 選取拒絕,以拒絕符合任何指定的來源目的地服務的封包。此動作會向寄件者傳回「無法連線到目的地的訊息」。對於 TCP 封包,回應包括 TCP RST 訊息。針對 UDP、ICMP 和其他通訊協定,回應包括「以系統管理方式禁止」程式碼 (9 或 10)。如果無法建立連線,會立即通知寄件者 (無需重試)。
    新規則預設為啟用。將切換開關向左滑可將其停用。
  7. 按一下發佈以建立規則。

    系統會為新規則提供整數識別碼值,該值將用於規則所產生的記錄項目。

下一步

您可以使用現有的防火牆規則來接受任何或所有的選用動作。

  • 按一下齒輪圖示 (cog 圖示),以檢視或修改規則記錄設定。記錄項目會傳送至 VMware VMware Aria Operations for Logs 服務。請參閱VMware Cloud on AWS 作業指南中的使用 VMware Aria Operations for Logs

  • 按一下圖形圖示 圖形圖示,以檢視規則的生效規則數和流量統計資料。
    表 2. 生效規則統計資料
    熱門度索引 在過去 24 小時內觸發規則的次數。
    叫用次數 自規則建立以來觸發規則的次數。
    表 3. 流量統計資料
    封包計數 流經此規則的封包總計。
    位元組計數 流經此規則的位元組總計。
    啟用此規則後,統計資料即會開始累積。
  • 重新排序防火牆規則。

    透過新增規則按鈕建立的規則,將置於規則清單頂部。依序自上而下套用防火牆規則。若要變更清單中規則的位置,請選取該規則並將其拖曳到新位置。按一下發佈以發佈變更。