本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
VMware服务的管理网段,如ESXi管理地址段、vCenter管理网段、vMotion、vSAN等网段挂在NSX的T1 MGW逻辑路由器下,并由管理网关防火墙进行网络安全防护。默认情况下,除了创建VMware服务实例时绑定的VPC专有网络及管理组件ProxyVM代理ECS外,阻止从所有其它源到所有管理网络的目标的流量。
管理网关防火墙规则根据源地址和目标地址以及服务端口指定的网络流量执行操作。源或目标必须是系统定义的清单组。有关清单组的详细内容,请参见NSX组和服务管理。
NSX管理网关防火墙默认有两种预定义的防火墙规则:
阿里云定义的防火墙规则
名称
源
目标
服务
操作
说明
NSX_Outbound_Rule
NSX Manager
任意
任意
允许
允许NSX Manager访问阿里云管理组件,比如DNS、NTP等。
ESXi Outbound Rule
ESXi
任意
任意
允许
允许ESXi访问阿里云管理组件,比如DNS、NTP等。
vCenter Outbound Rule
vCenter
任意
任意
允许
允许vCenter访问阿里云管理组件,比如DNS、NTP等。
ali-vpc-access_Do-not-delete-it_Created-by-ACVS
ali-vpc-group_Do-not-delete-it_Created-by-ACVS
ESXi
vCenter
NSX Manager
HTTPS
ICMP Echo Request
允许
允许VMware服务实例绑定的VPC专有网络访问vCenter、NSX Manager、ESXi管理组件。
警告不允许用户删除以上管理网关防火墙规则,否则将会影响VMware服务实例的正常运行,以及VMware服务实例绑定的VPC专有网络不能问题管理组件等情况。
VMware定义的防火墙规则
名称
源
目标
服务
操作
说明
默认全部拒绝
任意
任意
任意
丢弃
不允许修改
由于此规则在默认拒绝模式下运行,因此仅允许客户创建的防火墙规则明确允许的流量。
除了以上二种预定义的防火墙规则,用户可以创建自己的防火墙规则,允许第三方解决方案访问VMware管理组件。关于用户自定义防火墙规则注意事项如下:
用户创建的防火墙规则总是优先于VMware预定义的防火墙规则进行处理。
防火墙规则的源或目标是系统定义的组,并且可用端口和服务列表是由VMware管理的预定义列表。
当源是系统定义的组时,服务必须为任意。
防火墙规则的操作只能允许,因此规则的顺序不重要。
操作过程
使用cloud_admin账户登录NSX Manager控制台。
选择安全->网关防火墙->管理网关,然后单击添加规则并为新规则提供名称。
输入新规则的参数。
参数将初始化为其默认值(例如,源和目标会初始化为任意)。要编辑参数,请将鼠标光标移至参数值上方,然后单击铅笔图标以打开参数特定的编辑器。
选项
描述
源
输入源地址的任意组合(CIDR地址段或管理组名称)。
重要说明:
虽然可以在防火墙规则中选择任意作为源地址,但在目标为vCenter时,不建议使用任意或通配符 0.0.0.0/0 作为源地址。如果这样做,可能会使vCenter Server遭受攻击,并可能导致您的 SDDC 受到威胁。
选择系统定义的组,然后选择以下其中一个:
ESXi,以允许来自 SDDC 的ESXi主机的流量。
NSX Manager,以允许来自 SDDC 的NSX设备的流量。
vCenter,以允许来自 SDDC 的vCenter Server的流量。
在 SDDC 中启用的其他集成服务。
选择用户定义的组,以使用您定义的管理组。请参见NSX组和服务管理。
目标
选择任意以允许流入任意目标地址或地址范围的流量。
选择系统定义的组,然后选择以下目标选项之一:
ESXi,以允许流入 SDDC 的ESXi管理的流量。
NSX Manager,以允许流向 SDDC 的NSX设备的流量。
vCenter,以允许流入 SDDC 的vCenter Server的流量。
在 SDDC 中启用的其他集成服务。
服务
选择规则应用到的服务类型。服务类型列表取决于所选择的源和目标。
操作
对用户自定义网关防火墙规则唯一可用的操作是允许。
新规则会默认处于启用状态。将开关滑到左侧可将其禁用。
说明SDDC表示软件定义的数据中心,在这里代指VMware服务实例的VMware环境。
单击发布以创建规则。
系统会为新规则提供一个整数ID值,该值在规则生成的日志条目中使用。
防火墙规则将按从上到下的顺序应用。由于默认的丢弃规则位于底部,上面的规则始终为允许规则,因此管理网关防火墙规则顺序对流量没有影响。
- 本页导读 (0)