必須為群組中每個 SDDC 的計算閘道建立防火牆規則。如果沒有這些規則,則在群組成員上執行的工作負載將無法使用 VMware Transit Connect 相互通訊。
由於 SDDC 群組的所有成員都屬於同一個 VMware Cloud on AWS 組織,因此,群組成員之間的網路流量可以被安全地視為東西向流量,而不是可能具有外部來源或目的地的南北向流量。但是,由於 SDDC 計算閘道的預設防火牆規則會拒絕外部流量,因此您需要建立允許流量通過群組中每個 SDDC 的計算閘道的防火牆規則。(SDDC 群組目前不需要透過成員的管理閘道路由網路流量。)
VMware Cloud on AWS 會定義一組旨在計算閘道防火牆規則中使用的詳細目錄群組,以對群組成員之間的流量提供高層級的控制。這些群組包含透過
VMware Transit Connect 獲知的路由的首碼 (CIDR 區塊) 以及 SDDC 的 AWS 帳戶擁有者擁有的任何 AWS Transit Gateway。
在群組成員資格變更和獲知新路由時,會自動新增、移除和更新其中每個群組中的首碼。
如需詳細資訊,請參閱〈新增或修改計算閘道防火牆規則〉和〈使用詳細目錄群組〉。
程序
範例: 具有使用者定義的詳細目錄群組的 CGW 防火牆規則,以允許群組成員之間的工作負載流量
這些範例顯示了如何使用 NSX Manager 建立詳細目錄群組和防火牆規則。也可以使用 VMware Cloud 主控台的網路與安全性索引標籤執行此工作流程。請參閱使用 NSX Manager 的 SDDC 網路管理。
- 建立群組
-
在 NSX Manager 中,按一下 新增組並建立三個群組。可以對群組使用任意名稱。此處顯示的名稱只是範例。,然後按一下
- 名為本機工作負載的群組,包括 SDDC 自身工作負載區段的區段首碼。
- 名為對等工作負載的群組,包括群組中其他 SDDC 的工作負載區段的區段首碼。
- 名為對等 SDDC vCenter 的群組,包括群組中每個 SDDC 之 vCenter 的私人 IP 位址。
對於每個群組,按一下計算成員欄中的設定,開啟設定成員工具。在此工具中,您可以按一下新增準則,然後輸入群組成員的 IP 位址或 MAC 位址。也可以按一下 ,以從檔案匯入這些值。
- 建立規則
-
如 步驟 2 中所示,開啟 閘道防火牆卡,按一下 計算閘道,然後按一下 新增規則,以建立使用為其 來源和 目的地建立之詳細目錄群組的新規則。可以對規則使用任意名稱。此處顯示的名稱只是範例。
名稱 來源 目的地 服務 本機工作負載至對等工作負載 本機工作負載 對等工作負載 根據從本機工作負載至其他群組成員中的工作負載的輸出流量所需 對等工作負載至本機工作負載 對等工作負載 本機工作負載 根據從其他群組成員中的工作負載至本機工作負載的輸入流量所需