必須為群組中每個 SDDC 的計算閘道建立防火牆規則。如果沒有這些規則,則在群組成員上執行的工作負載將無法使用 VMware Transit Connect 相互通訊。

由於 SDDC 群組的所有成員都屬於同一個 VMware Cloud on AWS 組織,因此,群組成員之間的網路流量可以被安全地視為東西向流量,而不是可能具有外部來源或目的地的南北向流量。但是,由於 SDDC 計算閘道的預設防火牆規則會拒絕外部流量,因此您需要建立允許流量通過群組中每個 SDDC 的計算閘道的防火牆規則。(SDDC 群組目前不需要透過成員的管理閘道路由網路流量。)

VMware Cloud on AWS 會定義一組旨在計算閘道防火牆規則中使用的詳細目錄群組,以對群組成員之間的流量提供高層級的控制。這些群組包含透過 VMware Transit Connect 獲知的路由的首碼 (CIDR 區塊) 以及 SDDC 的 AWS 帳戶擁有者擁有的任何 AWS Transit Gateway。
Transit Connect 客戶 TGW 首碼
從客戶擁有的 AWS Transit Gateway 中獲知的路由。
Transit Connect DGW 首碼
從群組的 Direct Connect Gateway 獲知的路由。
Transit Connect 原生 VPC 首碼
從群組的連結 VPC 獲知的路由。
Transit Connect 其他 SDDC 首碼
從群組中的其他 SDDC 獲知的路由。
在群組成員資格變更和獲知新路由時,會自動新增、移除和更新其中每個群組中的首碼。

如需詳細資訊,請參閱〈新增或修改計算閘道防火牆規則〉〈使用詳細目錄群組〉

程序

  1. 使用〈新增或修改計算閘道防火牆規則〉中定義的工作流程建立所需的詳細目錄群組和計算閘道防火牆規則。
    系統定義的詳細目錄群組有助於在群組成員和連結的 VPC 之間建立高層級連線。如果您需要建立要套用至成員 SDDC 中個別工作負載區段的更為精細的防火牆規則,則需要建立定義這些區段的詳細目錄群組,如以下範例所示。
  2. 按一下閘道防火牆 > 計算閘道,然後按一下新增規則
    系統定義的詳細目錄群組以及您定義的任何計算群組,均可作為 來源目的地頁面中的選項使用。若要支援無限制的群組連線,您可以新增此類規則,以允許從其他群組成員到此 SDDC 的輸入流量。
    名稱 來源 目的地 服務 套用至 動作
    來自其他 SDDC 的輸入 Transit Connect 其他 SDDC 首碼 任何 任何 Direct Connect 介面 允許
    如果您已使用本機工作負載區段的 CIDR 區塊建立詳細目錄群組,則可以使用這些群組以較高優先順序建立規則,以便對此流量套用更為精細的控制。

範例: 具有使用者定義的詳細目錄群組的 CGW 防火牆規則,以允許群組成員之間的工作負載流量

這些範例顯示了如何使用 NSX Manager 建立詳細目錄群組和防火牆規則。也可以使用 VMware Cloud 主控台網路與安全性索引標籤執行此工作流程。請參閱使用 NSX Manager 的 SDDC 網路管理

建立群組
在 NSX Manager 中,按一下 詳細目錄 > 計算群組,然後按一下 新增組並建立三個群組。可以對群組使用任意名稱。此處顯示的名稱只是範例。
  • 名為本機工作負載的群組,包括 SDDC 自身工作負載區段的區段首碼。
  • 名為對等工作負載的群組,包括群組中其他 SDDC 的工作負載區段的區段首碼。
  • 名為對等 SDDC vCenter 的群組,包括群組中每個 SDDC 之 vCenter 的私人 IP 位址。

對於每個群組,按一下計算成員欄中的設定,開啟設定成員工具。在此工具中,您可以按一下新增準則,然後輸入群組成員的 IP 位址 MAC 位址。也可以按一下動作 > 匯入,以從檔案匯入這些值。

建立規則
步驟 2 中所示,開啟 閘道防火牆卡,按一下 計算閘道,然後按一下 新增規則,以建立使用為其 來源目的地建立之詳細目錄群組的新規則。可以對規則使用任意名稱。此處顯示的名稱只是範例。
名稱 來源 目的地 服務
本機工作負載至對等工作負載 本機工作負載 對等工作負載 根據從本機工作負載至其他群組成員中的工作負載的輸出流量所需
對等工作負載至本機工作負載 對等工作負載 本機工作負載 根據從其他群組成員中的工作負載至本機工作負載的輸入流量所需
管理通過計算閘道防火牆的 SDDC 群組成員流量的所有規則應套用至 所有上行並且動作設為 允許