必須為群組中每個 SDDC 的計算閘道建立防火牆規則。如果沒有這些規則,則在群組成員上執行的工作負載將無法使用 VMware Transit Connect 相互通訊。
由於 SDDC 群組的所有成員都屬於同一個 VMware Cloud on AWS 組織,因此,群組成員之間的網路流量可以被安全地視為東西向流量,而不是可能具有外部來源或目的地的南北向流量。但是,由於 SDDC 計算閘道的預設防火牆規則會拒絕外部流量,因此您需要建立允許流量通過群組中每個 SDDC 的計算閘道的防火牆規則。(SDDC 群組目前不需要透過成員的管理閘道路由網路流量。)
系統會定義一組旨在計算閘道防火牆規則中使用的詳細目錄群組,以對群組成員之間的流量提供高層級的控制。這些群組包含透過
VMware Transit Connect 獲知的路由的首碼 (CIDR 區塊)。
- 部署群組 DGW 首碼
- 從群組的 Direct Connect Gateway 獲知的路由。
- 部署群組原生 VPC 首碼
- 從群組的連結 VPC 獲知的路由。
- 部署群組其他 SDDC 首碼
- 從群組中的其他 SDDC 獲知的路由。
如需詳細資訊,請參閱《VMware Cloud on AWS 網路與安全性》說明文件中的〈新增或修改計算閘道防火牆規則〉。
程序
範例: 具有使用者定義的詳細目錄群組的 CGW 防火牆規則,以允許群組成員之間的工作負載流量
- 建立群組
-
在 群組卡上,按一下 計算群組,然後按一下 新增群組並建立三個群組。可以對群組使用任意名稱。此處顯示的名稱只是範例。
- 名為本機工作負載的群組,包括 SDDC 自身工作負載區段的區段首碼。
- 名為對等工作負載的群組,包括群組中其他 SDDC 的工作負載區段的區段首碼。
- 名為對等 SDDC vCenter 的群組,包括群組中每個 SDDC 之 vCenter 的私人 IP 位址。
對於每個群組,按一下設定成員以開啟選取成員工具。在此工具中,您可以按一下新增準則,然後輸入群組成員的 IP 位址或 MAC 位址。也可以按一下 ,以從檔案匯入這些值。
- 建立規則
-
如 步驟 3 中所示,開啟 閘道防火牆卡,按一下 計算閘道,然後按一下 新增規則,以建立使用為其 來源和 目的地建立之詳細目錄群組的新規則。可以對規則使用任意名稱。此處顯示的名稱只是範例。
名稱 來源 目的地 服務 本機工作負載至對等工作負載 本機工作負載 對等工作負載 根據從本機工作負載至其他群組成員中的工作負載的輸出流量所需 對等工作負載至本機工作負載 對等工作負載 本機工作負載 根據從其他群組成員中的工作負載至本機工作負載的輸入流量所需