依預設,管理閘道會封鎖從所有來源到所有目的地的流量。可以視需要新增管理閘道防火牆規則以允許流量。

管理閘道防火牆規則會指定針對從指定來源到指定目的地的網路流量,要採取的動作。來源和目的地可以定義為任何或系統定義或使用者定義的詳細目錄群組的成員,但來源或目的地必須是系統定義的。如需檢視或修改詳細目錄群組的相關資訊,請參閱新增管理群組

程序

  1. 登入 VMC 主控台,網址為 https://vmc.vmware.com
  2. 網路與安全性索引標籤上,按一下閘道防火牆
  3. 閘道防火牆卡上,按一下管理閘道,然後按一下新增規則,並為新規則提供名稱
  4. 輸入新規則的參數。
    參數會初始化為其預設值 (例如, 來源目的地全部)。若要編輯參數,請將滑鼠游標移到參數值上,然後按一下鉛筆圖示 ( ) 以開啟參數特定的編輯器。
    選項 說明
    來源

    選取任何以允許任何來源位址或位址範圍的輸出流量。

    選取系統定義的群組,然後選取下列其中一個來源選項:

    • ESXi,允許 SDDC 的 ESXi 主機的輸出流量。
    • NSX Manager,允許 SDDC 的 NSX-T Manager 應用裝置的輸出流量。
    • vCenter,允許 SDDC 的 vCenter Server 的輸出流量。

    選取使用者定義的群組,以使用您已定義的管理群組。請參閱新增管理群組

    目的地

    選取任何以允許任何目的地位址或位址範圍的輸入流量。

    選取 系統定義的群組,然後選取下列其中一個目的地選項:
    • ESXi,允許 SDDC 的 ESXi 管理的輸入流量。
    • NSX Manager,允許 SDDC 的 NSX-T 的輸入流量。
    • vCenter,允許 SDDC 的 vCenter Server 的輸入流量。
    服務

    選取規則套用至的服務類型。服務類型的清單取決於您選擇的是來源還是目的地

    動作 新管理閘道防火牆規則的唯一可用動作為允許
    新規則預設為啟用。將切換開關向左滑可將其停用。
  5. 按一下發佈以建立規則。

    系統會為新規則提供整數識別碼值,該值將用於規則所產生的記錄項目。

    依序自上而下套用防火牆規則。由於底部的預設捨棄規則,且上面的規則始終為允許規則,管理閘道防火牆規則順序對流量沒有影響。

範例: 建立管理閘道防火牆規則

若要建立允許從內部部署 ESXi 主機到 SDDC 中的 ESXi 主機的 vMotion 流量的管理閘道防火牆規則:
  1. 建立管理詳細目錄群組,其中包含要為運用 vMotion 移轉到 SDDC 啟用的內部部署 ESXi 主機。
  2. 針對來源 ESXi 和目的地內部部署 ESXi 主機建立管理閘道規則。
  3. 透過 vMotion 服務,針對來源內部部署 ESXi 主機群組和目的地 ESXi 建立另一個管理閘道規則。

後續步驟

您可以使用現有的防火牆規則來接受任何或所有的選用動作。

  • 按一下齒輪圖示 ,以檢視或修改規則記錄設定。記錄項目會傳送至 VMware vRealize Log Insight Cloud Service。請參閱VMware Cloud on AWS 作業指南中的使用 vRealize Log Insight Cloud

  • 按一下圖形圖示 ,以檢視規則的生效規則數和流量統計資料。
    表 1. 生效規則統計資料
    熱門度索引 在過去 24 小時內觸發規則的次數。
    叫用次數 自規則建立以來觸發規則的次數。
    表 2. 流量統計資料
    封包計數 流經此規則的封包總計。
    位元組計數 流經此規則的位元組總計。
    啟用此規則後,統計資料即會開始累積。