redes y seguridad de vmware cloud on aws - vmware cloud on … · que tenga la infraestructura de...
TRANSCRIPT
Redes y seguridad de VMware Cloud on AWS7 de enero de 2020
VMware Cloud on AWS
Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:
https://docs.vmware.com/es/
Si tiene comentarios relacionados con esta documentación, envíelos a:
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es
Copyright © 2017-2020 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 2
Contenido
Acerca de las redes y la seguridad de VMware Cloud on AWS 5
1 Conceptos de redes de NSX-T 6Funciones compatibles con NSX-T 10
2 Configurar redes y seguridad de VMware Cloud on AWS mediante NSX-T 11Asignar funciones de servicio de NSX a miembros de la organización 12
Configurar VMware Cloud on AWS para utilizar AWS Direct Connect 13
Configurar una conexión AWS Direct Connect 14
Crear una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDC14
Crear una interfaz virtual pública para acceder a los servicios de AWS 17
Configurar las interfaces de vMotion para su uso con Direct Connect 17
Configurar una conexión VPN entre el SDDC y el centro de datos local 18
Crear una VPN basada en rutas 19
Crear una VPN basada en directivas 22
Ver estadísticas y estado del túnel VPN 25
Referencia de la configuración de VPN de IPsec 26
Configurar redes y seguridad de puerta de enlace de administración 27
Configurar la dirección de resolución de FQDN en vCenter Server 28
Establecer la dirección de resolución de FQDN de HCX 28
Agregar o modificar reglas de firewall de puerta de enlace de administración 29
Configurar redes y seguridad de puerta de enlace de cómputo 32
Crear o modificar un segmento de red 33
Configurar una VPN de capa 2 y un segmento de red extendida 35
Agregar o modificar reglas de firewall de puerta de enlace de cómputo 38
Agregar o modificar reglas de firewall distribuido 41
Configurar servicios DNS 46
Configurar la retransmisión DHCP de puerta de enlace de cálculo 48
Trabajar con grupos de inventario 48
Agregar un grupo de administración 49
Agregar o modificar un grupo de cálculo 49
Agregar un servicio personalizado 51
Ver inventario de máquinas virtuales 52
Administrar conexiones de carga de trabajo 52
Asociar una máquina virtual a una máquina virtual de carga de trabajo o separarla de ella desde un segmento de red de cómputo 52
Solicitar o liberar una dirección IP pública 53
VMware, Inc. 3
Crear o modificar reglas de NAT 54
Crear reglas de firewall para administrar el tráfico entre las redes de cálculo y de administración55
3 Configurar las funciones de supervisión y solución de problemas 58Configurar IPFIX 58
Configurar reflejos de puerto 59
Ver información de la instancia de VPC conectada 61
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 4
Acerca de las redes y la seguridad de VMware Cloud on AWS
En la guía Redes y seguridad de VMware Cloud on AWS, encontrará información sobre cómo configurar las redes y la seguridad de NSX-T para VMware Cloud on AWS.
Audiencia previstaEsta información va dirigida a usuarios que quieran utilizar VMware Cloud on AWS para crear un SDDC que tenga la infraestructura de redes y seguridad necesaria para migrar las cargas de trabajo fuera del entorno y ejecutarlas de manera segura en la nube. La información está escrita para lectores que ya utilizaron vSphere en un entorno local y están familiarizados con los fundamentos de las redes IP que utilizan NSX-T u otra solución de conexión de red. No se requieren amplios conocimientos sobre vSphere o Amazon Web Services.
Para obtener explicaciones detalladas de cómo VMware Cloud on AWS utiliza las redes NSX-T, consulte el libro electrónico de VMware Press VMware Cloud on AWS: Redes y seguridad de NSX.
VMware, Inc. 5
Conceptos de redes de NSX-T 1VMware Cloud on AWS utiliza NSX-T para crear y administrar redes de SDDC internas y proporcionar endpoints para las conexiones de VPN desde la infraestructura de red local.
Conectarse al SDDCPara conectar el centro de datos local al SDDC de VMware Cloud on AWS, puede crear una VPN que use Internet pública, crear una VPN que use AWS Direct Connect o solo usar AWS Direct Connect.
Figura 1-1. Conexiones de SDDC con el centro de datos local
172.16.10.0/24
10.10.10.0/24
192.168.10.0/24
172.16.20.0/24
10.10.10.0/24
192.168.10.0/24
172.16.10.0/24
10.10.10.0/24
192.168.10.0/24
172.16.20.0/24
10.10.10.0/24
192.168.10.0/24
VPN de capa 3
VPN de capa 2
HCX
BGP (VPN de capa 3 opcional)
VPN de capa 2
HCX
Internet pública
AWS Direct Connect
VPN de capa 3/BGP
VPN de capa 2 de NSX
HCX
Centro de datos VMware Cloud on AWSInterconexión
VPN de capa 3 (Layer 3, L3)
Una VPN de capa 3 proporciona una red de administración que conecta el centro de datos local al SDDC. Estas VPN de IPsec pueden estar basadas en rutas o en directivas. Puede crear hasta dieciséis VPN de cada tipo mediante cualquier enrutador local que admita la configuración que se muestra en Referencia de la configuración de VPN de IPsec. Una VPN de Capa 3 puede conectar el centro de datos local al SDDC a través de Internet pública o de AWS Direct Connect.
VPN de capa 2 (Layer 2, L2)
Una VPN de Capa 2 proporciona una red extendida, o ampliada, con un espacio de direcciones IP único que abarca el centro de datos local y el
VMware, Inc. 6
SDDC, y permite la migración en caliente o en frío de cargas de trabajo locales al SDDC. Solo se puede crear un túnel L2VPN en un SDDC. El extremo local del túnel requiere NSX. Si aún no está utilizando NSX en el centro de datos local, puede descargar un dispositivo de NSX Edge independiente para proporcionar la funcionalidad necesaria. Una VPN de Capa 2 puede conectar el centro de datos local al SDDC a través de Internet pública o de AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect es un servicio de AWS que permite establecer una conexión de alta velocidad y baja latencia entre el centro de datos local y los servicios de AWS. Al configurar AWS Direct Connect, las VPN pueden utilizarlo en lugar de enrutar el tráfico a través de Internet pública. Debido a que Direct Connect implementa el enrutamiento de protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP), el uso de una L3VPN para la red de administración es opcional cuando se configura Direct Connect. El tráfico a través de Direct Connect no está cifrado. Si desea cifrar ese tráfico, configure la VPN de Capa 3 para que utilice Direct Connect.
VMware HCX VMware HCX, una solución de movilidad de aplicaciones en varias nubes, se proporciona de forma gratuita para todos los SDDC y facilita la migración de máquinas virtuales de carga de trabajo desde y hacia el centro de datos local hasta el SDDC. Para obtener más información sobre la instalación, la configuración y el uso de HCX, consulte Lista de comprobación de la migración híbrida con HCX.
Topología de la red de SDDCAl crear un SDDC, este incluye una red de administración y una red de cálculo. El bloque CIDR de la red de administración debe especificarse al crear el SDDC y no puede modificarse. La red de administración tiene dos subredes:
Subred del dispositivo Una subred del rango de CIDR que especificó para la subred de administración al crear el SDDC. Esta subred la utilizan los dispositivos de vCenter, NSX y HCX en el SDDC. Cuando se agregan servicios basados en dispositivos, como SRM, al SDDC, también se conectan a esta subred.
Subred de infraestructura
Una subred del rango de CIDR que especificó para la subred de administración al crear el SDDC. Los hosts ESXi utilizan esta subred en el SDDC.
La red de recursos informáticos incluye un número arbitrario de segmentos lógicos para las máquinas virtuales de carga de trabajo. En una configuración de inicio de SDDC de host único, se crea una red de cálculo con un solo segmento enrutado. En las configuraciones de SDDC que tengan más hosts, tendrá que crear segmentos de red de cálculo para satisfacer sus necesidades. Consulte Valores máximos de configuración para VMware Cloud on AWS si necesita saber los límites que se aplican.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 7
Una red de SDDC tiene dos niveles teóricos:
n El nivel 0 lo proporciona un dispositivo de NSX Edge.
n El nivel 1 lo proporcionan dos firewalls de NSX Edge (la puerta de enlace de administración y la puerta de enlace de cómputo).
Figura 1-2. Topología de la red de SDDC
Internet
Instalacionesdel cliente
BGP
BGP
VGWIGW
BGP Interfaz deDirect Connect
Interfazde VPC
Interfazde Internet
VPC de cliente vinculado
Subred de SDDC Tabla derutaprincipal
xENI
CGW(nivel 1)
MGW(nivel 1)
Nivel 0
vCenter
Enrutadordistribuido Puerta de enlace
predeterminada
Segmento de redde cálculo enrutada
DFW
DFW
Segmento de redde cálculo enrutada
Subred de dispositivo
HCXMgr/IX/L2C
SRM/vSR
NSX ControllerNSXManager
Edge0/1
Subred de infraestructura
HostsESXi
DFW
AWSDirect
Connect(DX)
Interfaz de túnel VPN
Dispositivo de NSX Edge
Todo el tráfico que se produce entre las redes locales y las redes del SDDC pasa a través de este dispositivo. Se aplican reglas de firewall de puerta de enlace de cómputo, las cuales controlan el acceso a las máquinas virtuales de carga de trabajo, en sus interfaces de vínculo superior.
Puerta de enlace de administración
La MGW es un firewall de NSX Edge que proporciona conectividad de red de norte a sur a vCenter Server y a otros dispositivos de administración
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 8
(Management Gateway, MGW)
que se ejecutan en el SDDC. La dirección IP a través de Internet de la MGW se asigna automáticamente desde el grupo de direcciones IP públicas de AWS cuando crea el SDDC. Consulte Implementar un SDDC desde la consola de VMC para obtener más información sobre cómo especificar este rango de direcciones. Si no especifica un rango al crear el SDDC, el sistema utilizará el valor predeterminado 10.2.0.0/16.
Puerta de enlace de cómputo (Compute Gateway, CGW)
La CGW es un firewall de NSX Edge que proporciona conectividad de red de norte a sur a las máquinas virtuales que se ejecutan en el SDDC. En un SDDC de un solo nodo, VMware Cloud on AWS crea un segmento de red lógico predeterminado (bloque CIDR 192.168.1.0/24) para proporcionar redes para estas máquinas virtuales. Puede crear más redes lógicas en la pestaña Redes y seguridad.
Enrutamiento entre el SDDC y la instancia de VPC conectadaImportante Todas las subredes del SDDC y aquellas subredes de VPC en las que los servicios o las instancias de AWS se comuniquen con el SDDC deben asociarse con la tabla de rutas principal de la instancia de VPC conectada. No se admite el uso de una tabla de rutas personalizada o el reemplazo de la tabla de rutas principal.
Al crear un SDDC, se conecta la ENI de la instancia de VPC que pertenece a la cuenta de AWS especificada al dispositivo de NSX Edge del SDDC. Esa instancia de VPC pasa a ser la instancia de VPC conectada; la conexión admite el tráfico de red entre las máquinas virtuales del SDDC y las instancias y los servicios nativos de AWS en dicha instancia conectada. La tabla de rutas principal de la instancia de VPC conectada incluye todas las subredes de VPC, así como todas las subredes del SDDC (segmento de red NSX-T). Cuando se crean o se eliminan segmentos de red enrutada en la red de carga de trabajo, la tabla de rutas principal se actualiza automáticamente. Cuando el dispositivo de NSX Edge en el SDDC se traslada a otro host, ya sea para recuperarse frente a un error o durante el mantenimiento del SDDC, la tabla de rutas principal se actualiza y refleja la ENI que utiliza el nuevo host NSX Edge. Si reemplazó la tabla de rutas principal o utiliza una tabla de rutas personalizada, se producirá un error en la actualización y ya no podrá enrutarse el tráfico de red entre las redes del SDDC y la instancia de VPC conectada.
Para obtener más información, consulte Ver información de la instancia de VPC conectada.
Direcciones de red reservadasEl rango de direcciones completo 100.64.0.0/10 (reservado para NAT de nivel de operador según RFC 6598) está reservado por VMware Cloud on AWS para uso interno. No se puede acceder a ninguna red remota (local) de ese rango de direcciones desde cargas de trabajo en el SDDC, y no se puede utilizar ninguna dirección que esté en ese rango dentro del SDDC.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 9
Compatibilidad con multidifusión en redes del SDDCEn las redes del SDDC, el tráfico de multidifusión de Capa 2 se considera tráfico de difusión en el segmento de red donde se origina el tráfico. Por lo tanto, no se enruta más allá de ese segmento. No se admiten funciones de optimización del tráfico de multidifusión de Capa 2, como la indagación de IGMP. La multidifusión de Capa 3 (como la multidifusión independiente de protocolo) no se admite en VMware Cloud on AWS.
Este capítulo incluye los siguientes temas:
n Funciones compatibles con NSX-T
Funciones compatibles con NSX-TLos SDDC respaldados por NSX-T admiten una amplia gama de soluciones de redes y seguridad.
Tabla 1-1. Funciones compatibles con NSX-T.
Función o solución NSX-T
VPN de IPsec basada en directivas Sí
VPN de IPsec basada en rutas Sí
Direct Connect para todo el tráfico Sí
VPN de capa 2 Sí
Firewall de Edge Sí
Redes lógicas, DHCP, DNS, NAT Sí
Firewall distribuido Sí
IPFIX, reflejo del puerto Sí
Administración de dispositivos y acceso ESXi a y desde la red superpuesta y AWS VPC
Sí
Varios clústeres Sí
Varios clústeres ampliados de zona de disponibilidad Sí
Migración con vMotion bidireccional Sí
VMware Site Recovery Sí
VMware Hybrid Cloud Extension Sí
Horizon Sí
Soluciones de terceros: partners de almacenamiento Sí
Soluciones de segundos: vRA, vROps Sí
Valores máximos de configuración de NSX-TLos valores máximos de configuración de NSX-T ahora se incluyen en Valores máximos de VMware Cloud on AWS.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 10
Configurar redes y seguridad de VMware Cloud on AWS mediante NSX-T 2Siga este flujo de trabajo para configurar redes y seguridad de NSX-T en el SDDC.
Procedimiento
1 Asignar funciones de servicio de NSX a miembros de la organización
Conceda a los usuarios de la organización la función de servicio de administrador de NSX para que puedan ver y configurar funciones en la pestaña Redes y seguridad.
2 Configurar VMware Cloud on AWS para utilizar AWS Direct Connect
El uso de AWS Direct Connect es opcional. Si el tráfico entre la red local y las cargas de trabajo del SDDC requiere velocidades mayores y una latencia menor que las que puede alcanzar con una conexión a través de Internet pública, configure VMware Cloud on AWS para que use AWS Direct Connect.
3 Configurar una conexión VPN entre el SDDC y el centro de datos local
Configure una VPN para proporcionar una conexión segura al SDDC a través de lnternet pública o AWS Direct Connect. Se admiten VPN basadas en rutas y basadas en directivas. Ambos tipos de VPN se pueden conectar al SDDC a través de Internet. Una VPN basada en rutas también puede conectarse al SDDC a través de AWS Direct Connect.
4 Configurar redes y seguridad de puerta de enlace de administración
La red de administración y la puerta de enlace de administración están preconfiguradas en gran medida en el SDDC, pero igualmente será necesario configurar el acceso a servicios de red de administración, como vCenter y HCX, y crear reglas de firewall de puerta de enlace de administración para permitir el tráfico entre la red de administración y otras redes, incluidas las redes locales y de otro tipo del SDDC.
5 Configurar redes y seguridad de puerta de enlace de cómputo
Las redes de puerta de enlace de cómputo incluyen una red de cálculo con uno o varios segmentos, y las configuraciones de DNS, DHCP y seguridad (firewall de puerta de enlace y firewall distribuido) que administran el tráfico de red de máquinas virtuales de carga de trabajo. También puede incluir una VPN de capa 2 y una red extendida que proporcione un único dominio de difusión que abarque la red local y la red de carga de trabajo del SDDC.
VMware, Inc. 11
6 Trabajar con grupos de inventario
Utilice el inventario de redes y seguridad de VMware Cloud on AWS para crear grupos de máquinas virtuales y servicios de red que se pueden utilizar al crear reglas de firewall.
7 Administrar conexiones de carga de trabajo
Las máquinas virtuales de carga de trabajo se conectan a Internet de forma predeterminada. Las reglas NAT y las reglas de firewall distribuido permiten ejercer un control detallado sobre estas conexiones.
Asignar funciones de servicio de NSX a miembros de la organizaciónConceda a los usuarios de la organización la función de servicio de administrador de NSX para que puedan ver y configurar funciones en la pestaña Redes y seguridad.
Las funciones de organización especifican los privilegios que tiene un miembro de la organización sobre los activos de esta. Las funciones de servicio especifican los privilegios que tiene un miembro de la organización cuando accede a VMware Cloud Services que utiliza la organización. Un usuario con privilegios de propietario de la organización puede asignar y cambiar todas las funciones de servicio, por lo que las funciones restrictivas, como Administrador (eliminación restringida) o Auditor de NSX Cloud deben asignarse junto con la función de miembro de la organización para evitar modificaciones.
Un usuario debe cerrar sesión y volver a iniciarla para que una nueva función de servicio se aplique.
Requisitos previos
Debe ser propietario de una organización para asignar una función a un miembro de la organización.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Haga clic en el icono de servicios y seleccione Administración de identidad y acceso.
3 Seleccione un usuario y haga clic en Editar funciones.
4 Seleccione un nombre de función del control desplegable Asignar funciones de organización.
Las siguientes funciones están disponibles:
Propietario de organización
Esta función tiene todos los derechos para administrar miembros y activos de la organización.
Miembro de la organización
Esta función tiene derechos para acceder a los activos de la organización.
5 Seleccione el nombre del servicio VMware Cloud on AWS en Asignar funciones de servicio.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 12
6 Seleccione una función de servicio NSX para asignar.
Las siguientes funciones de servicio NSX están disponibles:
Auditor de NSX Cloud Esta función puede ver los eventos y la configuración del servicio NSX, pero no puede realizar ningún cambio en el servicio.
Administrador de NSX Cloud
Esta función puede realizar todas las tareas relacionadas con la implementación y la administración del servicio NSX.
Nota Cuando se asignan varias funciones de servicio a un usuario de la organización, se conceden permisos para la función más permisiva. Por ejemplo, a un miembro de la organización que tenga las funciones Administrador de NSX Cloud y Auditor de NSX Cloud se le conceden todos los permisos de Administrador de NSX Cloud, que incluyen aquellos que se conceden a la función Auditor de NSX Cloud.
7 Haga clic en GUARDAR para guardar los cambios.
Pasos siguientes
Asegúrese de que los usuarios cuyas funciones hayan cambiado cierren la sesión y vuelvan a iniciarla para que los cambios surtan efecto.
Configurar VMware Cloud on AWS para utilizar AWS Direct ConnectEl uso de AWS Direct Connect es opcional. Si el tráfico entre la red local y las cargas de trabajo del SDDC requiere velocidades mayores y una latencia menor que las que puede alcanzar con una conexión a través de Internet pública, configure VMware Cloud on AWS para que use AWS Direct Connect.
AWS Direct Connect (DX) proporciona una conexión de red dedicada entre la infraestructura de red local y una interfaz virtual (Virtual Interface, VIF) en la VPC de AWS. DX admite dos tipos de interfaces virtuales:
n Una VIF privada que permite acceder a AWS Virtual Private Cloud (VPC).
n Una VIF pública que permite acceder a servicios como Amazon EC2 y S3.
Configure DX en una VIF privada para transportar el tráfico de carga de trabajo y administración, incluido VPN y vMotion, entre el centro de datos local y la instancia de VPC conectada. Configure DX en una VIF pública si necesita conectarse a los endpoints públicos de AWS, como EC2 y S3. Puede enrutar el tráfico de VPN sobre cualquier tipo de VIF para proporcionar seguridad de datos adicional.
VIF privadas y públicasSe puede usar una conexión de DX en una VIF privada para todo el tráfico entre el centro de datos local y el SDDC. Esta finaliza en la instancia conectada de Amazon VPC y proporciona un espacio de direcciones IP privadas; además, utiliza BGP para anunciar rutas en el SDDC y conocer las rutas en el centro de datos local.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 13
Una conexión de DX a través de una VIF pública se suele utilizar solo para el tráfico entre el centro de datos local y los servicios de AWS públicos, a los que no se puede acceder mediante una VIF privada. Esta finaliza en el nivel de región de AWS de la región ocupada por la instancia de Amazon VPC conectada y utiliza BGP para anunciar las rutas globales de AWS.
Especificar una unidad transmisible máxima (MTU) mayorLa MTU predeterminada para todas las redes del SDDC es de 1500 bytes. Cuando cree la VIF, puede habilitar DX a través de una VIF privada o pública para que use una MTU mayor. Si hace esto, también tendrá que abrir la página Configuración global de la pestaña Redes y seguridad y establecer un valor mayor para Valor de MTU de intranet. El valor que establezca debe ser menor o igual que el valor de MTU más pequeño para todas las interfaces virtuales de DX. En la práctica, esto significa que debe establecer todas las VIF en el mismo valor de MTU (el valor predeterminado es 1500, o gigante, en 9001), ya que las VIF que no admiten una MTU gigante limitan de forma efectiva todas las conexiones de DX a una MTU de 1500.
Nota Con el fin de dejar espacio para los encabezados de encapsulación de virtualización de red genérica (Generic Network Virtualization Encapsulation, Geneve), la MTU de intranet del SDDC se limita a 8.900 bytes para evitar la fragmentación de paquetes en la VIF.
La MTU gigante se aplica solo a conexiones de DX. Cualquier VPN, tanto si se conecta a través de DX o no, utiliza una MTU de 1500, independientemente de otras opciones. También debe comprobar que la MTU de interfaz de máquinas virtuales de carga de trabajo que utilizan la conexión de DX esté configurada con un valor que coincida con el Valor de MTU de intranet. De lo contrario, las máquinas virtuales de carga de trabajo no podrán aprovechar la MTU más grande.
Configurar una conexión AWS Direct ConnectPara configurar una conexión AWS Direct Connect, deberá hacer un pedido a través de la consola de AWS.
Para obtener información sobre cómo solicitar una conexión AWS Direct Connect, consulte Introducción a AWS Direct Connect.
Requisitos previos
Solicite el acceso a Direct Connect en una región donde VMware Cloud on AWS esté disponible.
Pasos siguientes
Una vez establecida la conexión AWS Direct Connect, cree una interfaz virtual privada para conectarse al SDDC de VMware Cloud on AWS.
Crear una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDCLa conexión de DX requiere una interfaz virtual privada para permitir que la usen vMotion, la administración de ESXi, el dispositivo de administración y el tráfico de carga de trabajo.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 14
Cree una interfaz virtual para cada vínculo de Direct Connect que desee establecer con el SDDC. Por ejemplo, si desea crear dos vínculos de Direct Connect con fines de redundancia, cree dos interfaces virtuales. Consulte Valores máximos de configuración para VMware Cloud on AWS para conocer los límites sobre la cantidad de segmentos que admite cada VIF privada.
Requisitos previos
n Asegúrese de cumplir con los requisitos previos para las interfaces virtuales que se describen en Requisitos previos para interfaces virtuales.
Procedimiento
1 Inicie sesión en la consola de AWS y complete el procedimiento de creación de una interfaz virtual privada alojada en Crear una interfaz virtual alojada.
Si utiliza una conexión alojada, trabaje con su socio de AWS para crear la VIF en una cuenta de AWS que posea y, a continuación, vaya al paso 2 de este procedimiento. Si utiliza una conexión dedicada o una VIF alojada, realice estos pasos primero.
a Para el campo Propietario de interfaz, use la cuenta que se muestra en el campo Identificador de cuenta de AWS de la página Direct Connect de la pestaña Redes y seguridad.
b Seleccione Generar IP del mismo nivel automáticamente y Generar clave de BGP automáticamente.
c (opcional) Habilite MTU gigantes.
La MTU predeterminada para todas las redes del SDDC es de 1500 bytes. Para habilitar el tráfico de DX a esta VIF privada y poder utilizar una MTU mayor, seleccione Habilitar en MTU gigante (tamaño de MTU 9001). Una vez que se haya creado la VIF, también tendrá que abrir la página Configuración global de la pestaña Redes y seguridad y establecer un valor mayor para MTU en Vínculo superior de la intranet.
Cuando la interfaz se cree, la consola de AWS informa de que está lista para su aceptación.
2 En Consola de VMC, seleccione Redes y seguridad > Direct Connect y acepte la interfaz virtual haciendo clic en ASOCIAR.
Antes de que se acepte, se puede ver una nueva VIF en todos los SDDC de la organización. Después de aceptar la VIF, esta ya no podrá verse en cualquier otro SDDC.
La sesión de BGP pueden tardar hasta 10 minutos en activarse. Cuando la conexión esté lista, el campo Estado se muestra como Asociado y Estado de BGP como Activo.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 15
3 (opcional) Configurar una VPN basada en rutas como copia de seguridad para Direct Connect
En la configuración predeterminada, el tráfico en cualquier ruta anunciada a través de BGP por DX y VPN y una VPN basada en rutas utiliza la VPN de forma predeterminada. Para que una ruta anunciada por VPN y DX utilice DX de forma predeterminada y conmutación por error a la VPN cuando DX no esté disponible, seleccione Redes y seguridad > Direct Connect y establezca el conmutador Usar VPN como copia de seguridad para Direct Connect como Habilitado.
Nota Esta configuración requiere una VPN basada en rutas. No se puede usar una VPN basada en directivas como copia de seguridad para Direct Connect.
El sistema requiere un minuto aproximadamente para actualizar la preferencia de enrutamiento. Cuando la operación se completa, las rutas anunciadas por DX y VPN se establecen de forma predeterminada en la conexión de DX, usando la VPN solamente cuando DX no está disponible.
Resultados
Se muestra una lista de Rutas de BGP anunciadas y Rutas de BGP conocidas a medida que las rutas
se anuncian y se conocen. Haga clic en el icono de actualización para actualizar estas listas. Todas las subredes enrutadas del SDDC se anuncian como rutas BGP, junto con este subconjunto de subredes de red de administración:
n La subred 1 incluye las rutas utilizadas por las interfaces de enrutador y los archivos VMK de host ESXi.
n La subred 2 incluye las rutas utilizadas en la compatibilidad con múltiples zonas de disponibilidad y en la integración de AWS.
n La subred 3 incluye las máquinas virtuales de administración.
Las redes ampliadas y desconectadas no se anuncian.
Los bloques CIDR reales anunciados dependen del bloque CIDR de la subred de administración. En la siguiente tabla, se muestran los bloques CIDR de estas rutas en un SDDC que utiliza el CIDR de red de administración predeterminado de 10.2.0.0 en tamaños de bloque de /16, /20 y /22.
Tabla 2-1. Rutas anunciadas para un CIDR de MGW predeterminada de 10.2.0.0
CIDR de MGW Subred 1 Subred 2 Subred 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 16
Pasos siguientes
Asegúrese de que las interfaces de vMotion estén configuradas para utilizar Direct Connect. Consulte Configurar las interfaces de vMotion para su uso con Direct Connect.
Crear una interfaz virtual pública para acceder a los servicios de AWSSi las máquinas virtuales de carga de trabajo necesitan acceder a instancias y servicios de AWS EC2, como S3 a través de una conexión de DX, configure en su VPC una interfaz virtual pública para ese tráfico.
En una configuración típica, el tráfico entre el centro de datos local y el SDDC se transmite a través de una VIF privada. Cuando necesite acceder a los servicios de AWS desde el SDDC, use Direct Connect con una VIF pública. Puede configurar grupos de seguridad de AWS para administrar el tráfico entre las máquinas virtuales y los servicios de AWS en el SDDC.
Requisitos previos
n Asegúrese de cumplir con los requisitos previos para las interfaces virtuales que se describen en Requisitos previos para interfaces virtuales.
Procedimiento
1 Inicie sesión en la consola de AWS y complete los pasos descritos en Crear una interfaz virtual alojada para crear una interfaz virtual pública alojada.
a En el campo Propietario de interfaz, seleccione Mi cuenta de AWS.
b Rellene los campos IP del mismo nivel del enrutador e IP del mismo nivel del enrutador de Amazon.
c Seleccione Generar clave de BGP automáticamente e indique las rutas locales que desea anunciar en el componente principal de AWS en Prefijos que se desea anunciar.
Cuando la interfaz se cree, la consola de AWS informa de que está lista para su aceptación.
2 En Consola de VMC, seleccione Redes y seguridad > Direct Connect y acepte la interfaz virtual haciendo clic en ASOCIAR.
Configurar las interfaces de vMotion para su uso con Direct ConnectSi utiliza una conexión de Direct Connect entre el centro de datos local y el SDDC en la nube, debe configurar las interfaces de vMotion para que los hosts locales enruten el tráfico de vMotion a través de la conexión de Direct Connect.
Requisitos previos
Configure Direct Connect y cree una interfaz virtual privada.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 17
Procedimiento
1 Seleccione uno de los siguientes métodos para configurar la interfaz de vMotion en cada host del entorno local.
Opción Descripción
Anular la puerta de enlace predeterminada (funciona solo para los hosts de vSphere 6.5)
En cada host, edite el adaptador de VMkernel utilizado para el tráfico de vMotion y seleccione la opción para anular la puerta de enlace predeterminada. Introduzca una dirección IP en la subred de vMotion local que puede enrutar tráfico en el lado local de la conexión de Direct Connect. Consulte Editar la configuración del adaptador de VMkernel.
Configurar la pila de TCP/IP de vMotion
En cada host:
a Quite los adaptadores de VMkernel de vMotion existentes.
b Cree un nuevo adaptador de VMkernel y seleccione la pila de TCP/IP de vMotion. Consulte Colocar el tráfico de vMotion en la pila de TCP/IP de vMotion de un host ESXi.
c Edite la pila de TCP/IP de vMotion del host para cambiar el enrutamiento de modo que se pueda utilizar una dirección IP en la subred de vMotion local con capacidad para enrutar el tráfico en el lado local de la conexión de Direct Connect. Consulte Cambiar la configuración de una pila de TCP/IP en un host.
2 (opcional) Pruebe la conectividad entre un host local y un host del SDDC en la nube mediante
vmkping.
Consulte https://kb.vmware.com/s/article/1003728 para obtener más información.
Configurar una conexión VPN entre el SDDC y el centro de datos localConfigure una VPN para proporcionar una conexión segura al SDDC a través de lnternet pública o AWS Direct Connect. Se admiten VPN basadas en rutas y basadas en directivas. Ambos tipos de VPN se pueden conectar al SDDC a través de Internet. Una VPN basada en rutas también puede conectarse al SDDC a través de AWS Direct Connect.
n Crear una VPN basada en rutas
Una VPN basada en rutas crea una interfaz de túnel IPsec y enruta el tráfico a través de ella, según lo establecido en la tabla de enrutamiento de SDDC. Una VPN basada en rutas proporciona un acceso resistente y seguro a varias subredes. Cuando se utiliza una VPN basada en rutas, se agregan nuevas rutas automáticamente cuando se crean redes nuevas.
n Crear una VPN basada en directivas
Una VPN basada en directivas crea un túnel IPsec y una directiva que especifica su uso por parte del tráfico. Cuando se utiliza una VPN basada en directivas, es necesario actualizar las tablas de enrutamiento en ambos extremos de la red cuando se agregan nuevas rutas.
n Ver estadísticas y estado del túnel VPN
La Consola de VMC proporciona el estado y las estadísticas de las VPN de IPSec y los segmentos de L2VPN.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 18
n Referencia de la configuración de VPN de IPsec
El extremo local de cualquier VPN de IPsec se debe configurar para que coincida con la configuración especificada para el extremo de SDDC de dicha VPN.
Crear una VPN basada en rutasUna VPN basada en rutas crea una interfaz de túnel IPsec y enruta el tráfico a través de ella, según lo establecido en la tabla de enrutamiento de SDDC. Una VPN basada en rutas proporciona un acceso resistente y seguro a varias subredes. Cuando se utiliza una VPN basada en rutas, se agregan nuevas rutas automáticamente cuando se crean redes nuevas.
VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o L2VPN) a una dirección IP pública remota dada.
Las VPN basadas en rutas en el SDDC de VMware Cloud on AWS utilizan un protocolo IPsec para proteger el tráfico y el protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP) para detectar y propagar las rutas a medida que se crean redes nuevas. Para crear una VPN basada en rutas, configure la información de BGP de los endpoints locales (SDDC) y remotos y, a continuación, especifique los parámetros de seguridad de túnel del extremo del SDDC del túnel.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Haga clic en Redes y seguridad > VPN > Basada en ruta.
3 (opcional) Cambie el número de sistema autónomo (Autonomous System Number, ASN) local predeterminado.
De forma predeterminada, todas las VPN basadas en rutas del SDDC son ASN 65000. Si el ASN remoto de cualquier conexión de VPN configurada también tiene este valor, haga clic en EDITAR ASN LOCAL, introduzca un valor nuevo en el rango de 64521 a 65535 y haga clic en APLICAR.
4 Haga clic en AGREGAR VPN y asigne un Nombre a la nueva VPN.
5 Seleccione una Dirección IP local del menú desplegable.
n Si configuró Direct Connect de AWS en este SDDC y desea que la VPN lo use, seleccione la dirección IP privada. Consulte Crear una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDC. Tenga en cuenta que el tráfico de VPN a través de Direct Connect se limita a la MTU predeterminada de 1500 bytes, incluso si el vínculo admite una MTU superior.
n Seleccione una dirección IP pública si desea que la VPN se conecte a través de Internet.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 19
6 En IP pública remota, introduzca la dirección IP del endpoint de VPN local.
Se trata de la dirección del dispositivo que inicia o responde a las solicitudes de IPsec para esta VPN. Esta dirección debe cumplir los siguientes requisitos:
n No debe estar en uso para otra VPN. VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o L2VPN) a una dirección IP pública remota dada.
n Se debe poder acceder a ella a través de Internet si especificó una dirección IP pública en Paso 5.
n Se debe poder acceder a ella a través de Direct Connect en una VIF privada si se especificó una dirección IP privada en Paso 5.
Las reglas de firewall de puerta de enlace predeterminadas permiten el tráfico entrante y saliente a través de la conexión VPN, pero se deben crear otras reglas de firewall para administrar el tráfico a través del túnel VPN.
7 En Longitud de prefijo/IP local de BGP, introduzca la dirección IP (en formato CIDR) del túnel VPN local.
Elija una red cuyo tamaño sea /30 a partir de la subred 169.254.0.0/16. La segunda y la tercera IP en este rango se configuran como las interfaces de túnel VPN (VPN Tunnel Interface, VTI) remotas y locales. Por ejemplo, en el bloque CIDR 169.254.111.0/30 (rango de direcciones 169.254.111.0-169.254.111.3), la interfaz local (SDDC) es 169.254.111.2/30 y la interfaz remota es 169.254.111.1/30.
Nota Las siguientes redes están reservadas para uso interno. La red que especificó en Longitud de prefijo/IP local de BGP no debe superponerse a ninguna de ellas.
n 169.254.0.2/28
n 169.254.10.1/24
n 169.254.11.1/24
n 169.254.12.1/24
n 169.254.13.1/24
n 169.254.101.253/30
n 100.64.0.0/10 (reservada para NAT de nivel de operador según RFC 6598)
Si no puede utilizar una red de la subred 169.254.0.0/16 (porque exista un conflicto con una red existente), debe crear una regla de firewall que permita el tráfico desde el servicio BGP a la subred que seleccione aquí. Consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 20
8 En IP remota de BGP, introduzca la dirección de la interfaz BGP de la puerta de enlace de VPN local.
Esta dirección debe ser una IP de host válida en la subred definida por la longitud de prefijo e IP que proporcionó en Paso 7, y debe ser distinta de la IP local de BGP.
9 En ASN remoto de BGP, introduzca el ASN de la puerta de enlace de VPN local.
10 Configure los Parámetros de túnel avanzados.
Opción Descripción
Cifrado de túnel Seleccione un cifrado de asociación de seguridad (Security Association, SA) de fase 2 que sea compatible con la puerta de enlace de VPN local.
Algoritmo de resumen de túnel Seleccione un algoritmo de resumen de fase 2 que sea compatible con la puerta de enlace de VPN local.
Nota Si especifica un cifrado basado en GCM en Cifrado de túnel, establezca Algoritmo de resumen de túnel en Ninguno. La función de resumen es fundamental en el cifrado de GCM.
Confidencialidad directa total Habilite o deshabilite esta opción para que coincida con la configuración de la puerta de enlace de VPN local. Habilitar la confidencialidad directa total evita que se descifren las sesiones (anteriores) registradas si la clave privada se ve comprometida en algún momento.
Clave compartida previamente Introduzca la cadena de clave compartida previamente.
La longitud de clave máxima es de 128 caracteres. Esta clave debe ser idéntica en ambos extremos del túnel VPN.
IP privada remota Deje este campo en blanco para utilizar la IP pública remota como el identificador remoto para la negociación de IKE. Si la puerta de enlace de VPN local está detrás de un dispositivo NAT o utiliza una dirección IP diferente para su identificador local, debe introducir esa dirección IP aquí.
Cifrado de IKE Seleccione un cifrado (IKE) de fase 1 que sea compatible con la puerta de enlace de VPN local.
Algoritmo de resumen de IKE Seleccione un algoritmo de resumen de fase 1 que sea compatible con la puerta de enlace de VPN local. La práctica recomendada consiste en utilizar el mismo algoritmo en Algoritmo de resumen de IKE y en Algoritmo de resumen de túnel.
Nota Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2 .
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 21
Opción Descripción
Tipo de IKE n Especifique IKE V1 para iniciar y aceptar el protocolo IKEv1.
n Especifique IKE V2 para iniciar y aceptar el protocolo IKEv2. Deberá usar IKEv2 si especificó un Algoritmo de resumen de IKE basado en GCM.
n Especifique IKE FLEX para aceptar IKEv1 o IKEv2 y, a continuación, inicie con IKEv2. Si se produce un error en el inicio con IKEv2, IKE FLEX no revertirá a IKEv1.
Diffie-Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
11 (opcional) En Parámetros de BGP avanzados, introduzca un Secreto de BGP que coincida con el
que utiliza la puerta de enlace local.
12 (opcional) Etiquete la VPN.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
13 Haga clic en GUARDAR.
Resultados
El proceso de creación de la VPN puede tardar unos minutos. Cuando la VPN basada en rutas pasa a estar disponible, se muestran el estado del túnel y el estado de la sesión de BGP. Las siguientes acciones están disponibles para ayudarle a solucionar problemas y a configurar el extremo local de la VPN:
n Haga clic en DESCARGAR CONFIGURACIÓN para descargar un archivo que contiene detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de esta VPN.
n Haga clic en VER ESTADÍSTICAS para ver las estadísticas de tráfico de paquetes de esta VPN. Consulte Ver estadísticas y estado del túnel VPN.
n Haga clic en VER RUTAS para abrir una pantalla de rutas anunciadas y conocidas por esta VPN.
n Haga clic en DESCARGAR RUTAS para descargar una lista de rutas anunciadas o rutas aprendidas en formato CSV.
Pasos siguientes
Cree o actualice las reglas de firewall según corresponda. Para permitir el tráfico a través de la VPN basada en rutas, especifique Interfaz de túnel VPN en el campo Se aplica a. La opción Todos los vínculos superiores no incluye el túnel VPN enrutado.
Crear una VPN basada en directivasUna VPN basada en directivas crea un túnel IPsec y una directiva que especifica su uso por parte del tráfico. Cuando se utiliza una VPN basada en directivas, es necesario actualizar las tablas de enrutamiento en ambos extremos de la red cuando se agregan nuevas rutas.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 22
Las VPN basadas en directivas del SDDC de VMware Cloud on AWS utilizan un protocolo IPsec para proteger el tráfico. Para crear una VPN basada en directivas, configure el endpoint local (SDDC) y, a continuación, configure el endpoint remoto correspondiente. Dado que cada VPN basada en directivas debe crear una nueva asociación de seguridad de IPsec en cada red, cuando se cree una nueva VPN basada en directivas, los administradores deben actualizar la información de enrutamiento tanto de forma local como en el SDDC. Una VPN basada en directivas puede ser una opción adecuada cuando solo hay unas pocas redes en cada extremo de la VPN, o si el hardware de red local no es compatible con BGP (cuyo uso es obligatorio en las VPN basadas en rutas).
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > VPN > Basada en directiva.
3 Haga clic en AGREGAR VPN y asigne un Nombre a la nueva VPN.
4 Seleccione una Dirección IP local del menú desplegable.
n Si configuró Direct Connect de AWS en este SDDC y desea que la VPN lo use, seleccione la dirección IP privada. Consulte Crear una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDC. Tenga en cuenta que el tráfico de VPN a través de Direct Connect se limita a la MTU predeterminada de 1500 bytes, incluso si el vínculo admite una MTU superior.
n Seleccione una dirección IP pública si desea que la VPN se conecte a través de Internet.
5 Introduzca la IP pública remota de la puerta de enlace local.
La dirección no debe estar en uso para otra VPN. VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o L2VPN) a una dirección IP pública remota dada. A esta dirección se debe poder acceder a través de Internet si especificó una dirección IP pública en Paso 4. Si especificó una dirección IP privada, debe poder accederse a ella mediante Direct Connect en una VIF privada. Las reglas de firewall de puerta de enlace predeterminadas permiten el tráfico entrante y saliente a través de la conexión VPN, pero se deben crear otras reglas de firewall para administrar el tráfico a través del túnel VPN.
6 (opcional) Si la puerta de enlace local está detrás de un dispositivo NAT, introduzca la dirección de puerta de enlace como IP privada remota.
Esta dirección IP debe coincidir con la identidad local (identificador de IKE) enviada por la puerta de enlace de VPN local. Si este campo está vacío, se usará el campo IP pública remota para que coincida con la identidad local de la puerta de enlace de VPN local.
7 Especifique las Redes remotas a las que esta VPN se puede conectar.
Esta lista debe incluir todas las redes definidas como locales por la puerta de enlace de VPN local. Introduzca cada red en formato CIDR, separando los distintos bloques CIDR con comas.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 23
8 Especifique las Redes locales a las que esta VPN se puede conectar.
Esta lista incluye todas las redes de cálculo enrutadas en el SDDC, así como la red de administración completa y la subred del dispositivo (que es un subconjunto de la red de administración que incluye vCenter y otros dispositivos de administración, pero no los hosts ESXi). También incluye la red DNS de CGW, una dirección IP única que se utiliza para obtener las solicitudes reenviadas por el servicio DNS de CGW.
9 Configure los Parámetros de túnel avanzados.
Opción Descripción
Cifrado de túnel Seleccione un cifrado de asociación de seguridad (Security Association, SA) de fase 2 que sea compatible con la puerta de enlace de VPN local.
Algoritmo de resumen de túnel Seleccione un algoritmo de resumen de fase 2 que sea compatible con la puerta de enlace de VPN local.
Nota Si especifica un cifrado basado en GCM en Cifrado de túnel, establezca Algoritmo de resumen de túnel en Ninguno. La función de resumen es fundamental en el cifrado de GCM.
Confidencialidad directa total Habilite o deshabilite esta opción para que coincida con la configuración de la puerta de enlace de VPN local. Habilitar la confidencialidad directa total evita que se descifren las sesiones (anteriores) registradas si la clave privada se ve comprometida en algún momento.
Cifrado de IKE Seleccione un cifrado (IKE) de fase 1 que sea compatible con la puerta de enlace de VPN local.
Algoritmo de resumen de IKE Seleccione un algoritmo de resumen de fase 1 que sea compatible con la puerta de enlace de VPN local. La práctica recomendada consiste en utilizar el mismo algoritmo en Algoritmo de resumen de IKE y en Algoritmo de resumen de túnel.
Nota Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2 .
Tipo de IKE n Especifique IKE V1 para iniciar y aceptar el protocolo IKEv1.
n Especifique IKE V2 para iniciar y aceptar el protocolo IKEv2. Deberá usar IKEv2 si especificó un Algoritmo de resumen de IKE basado en GCM.
n Especifique IKE FLEX para aceptar IKEv1 o IKEv2 y, a continuación, inicie con IKEv2. Si se produce un error en el inicio con IKEv2, IKE FLEX no revertirá a IKEv1.
Diffie-Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
Clave compartida previamente Introduzca una clave previamente compartida que usen ambos extremos del túnel para autenticarse entre sí.
Esta cadena tiene una longitud máxima de 128 caracteres.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 24
10 (opcional) Etiquete la VPN.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
11 Haga clic en GUARDAR.
Resultados
El proceso de creación de la VPN puede tardar unos minutos. Cuando la VPN basada en directivas pasa a estar disponible, las siguientes acciones están disponibles para ayudarle a solucionar problemas y a configurar el extremo local de la VPN:
n Haga clic en DESCARGAR CONFIGURACIÓN para descargar un archivo que contiene detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de esta VPN.
n Haga clic en VER ESTADÍSTICAS para ver las estadísticas de tráfico de paquetes de esta VPN. Consulte Ver estadísticas y estado del túnel VPN.
Pasos siguientes
Cree o actualice las reglas de firewall según corresponda. Para permitir el tráfico a través de la VPN basada en directivas, especifique Interfaz de Internet en el campo Se aplica a.
Ver estadísticas y estado del túnel VPNLa Consola de VMC proporciona el estado y las estadísticas de las VPN de IPSec y los segmentos de L2VPN.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Haga clic en Redes y seguridad > VPN.
3 Haga clic en VPN BASADA EN RUTA, VPN BASADA EN DIRECTIVA o VPN DE CAPA 2 para enumerar las VPN del tipo seleccionado.
Realice una de las siguientes acciones:
n Haga clic en el icono de información para mostrar un mensaje de estado que proporcione más información sobre el canal (negociación de IKE Fase 1) y el estado del túnel.
n Expanda una fila de VPN para mostrar los detalles de la VPN y, a continuación, haga clic en VER ESTADÍSTICAS para mostrar las estadísticas de tráfico. Puede recuperar estados y estadísticas globales de todos los túneles o del túnel utilizado por la VPN seleccionada (0.0.0.0/0). Al ver las estadísticas globales, puede hacer clic en Ver más en la columna Estadísticas para ver una lista de estadísticas de errores.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 25
n Haga clic en el icono de actualización ( ) para actualizar las estadísticas del túnel. Todas las estadísticas de VPN se vuelven a establecer como 0 cuando el túnel se deshabilita o se vuelve a habilitar.
Pasos siguientes
Para obtener más información sobre cómo solucionar problemas de conexión VPN, consulte Solución de problemas de redes privadas virtuales (VPN) en la documentación de NSX Data Center for vSphere y en la Guía de solución de problemas de NSX-T Data Center.
Referencia de la configuración de VPN de IPsecEl extremo local de cualquier VPN de IPsec se debe configurar para que coincida con la configuración especificada para el extremo de SDDC de dicha VPN.
La información recogida en las siguientes tablas resume la configuración de VPN de IPsec de SDDC disponible. Algunas de estas opciones son configurables, mientras que otras son estáticas. Utilice esta información para comprobar si su solución de VPN local se puede configurar para que sea la misma que la del SDDC. Elija una solución de VPN local que admita todas las configuraciones estáticas y alguna de las opciones configurables que aparecen en estas tablas.
Configuración de Intercambio de claves por red (Internet Key Exchange, IKE) de la fase 1Tabla 2-2. Opciones de IKE de fase 1 configurables
Atributo Valores permitidos Valor recomendado
Protocolo IKEv1, IKEv2, IKE FLEX IKEv2
Algoritmo de cifrado AES (128, 256), AES-GCM (128, 192, 256)
AES GCM
Algoritmo de resumen de túnel/IKE SHA-1, SHA-2 SHA-2
Diffie-Hellman Grupos de DH 2, 5, 14-16 Grupos de DH 14-16
Tabla 2-3. Opciones de IKE de fase 1 estáticas
Atributo Valor
Modo ISAKMP Modo principal (deshabilitar el modo agresivo)
Duración de asociación de seguridad ISAKMP/IKE 86.400 segundos (24 horas)
Modo de IPsec Túnel
Autenticación de IKE Clave precompartida
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 26
Configuración de IKE de fase 2Tabla 2-4. Opciones de IKE de fase 2 configurables
Atributo Valores permitidos Valor recomendado
Algoritmo de cifrado AES-256, AES-GCM, AES AES-GCM
Confidencialidad directa total (Perfect Forward Secrecy, PFS)
Habilitada, deshabilitada Habilitada
Diffie-Hellman Grupos de DH 2, 5, 14-16 Grupos de DH 14-16
Tabla 2-5. Opciones de IKE de fase 2 estáticas
Atributo Valor
Algoritmo de hash SHA-1
Modo de túnel Carga de seguridad encapsuladora (Encapsulating Security Payload, ESP)
Vida útil de asociación de seguridad 3.600 segundos (una hora)
Configuración de VPN de IPsec localHaga clic en DESCARGAR CONFIGURACIÓN en la página de estado de cualquier VPN para descargar un archivo que contenga los detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de la VPN.
Nota No configure un tiempo de espera de inactividad en el lado local de una VPN (por ejemplo, la opción Tiempo de espera de inactividad de sesión de NSX). Los tiempos de espera inactivos en el lado local pueden hacer que la VPN se desconecte a intervalos.
Los archivos de configuración de ejemplo para varios dispositivos de endpoint populares están disponibles en VMware {code}.
n Firewall de Palo Alto Networks
Configurar redes y seguridad de puerta de enlace de administraciónLa red de administración y la puerta de enlace de administración están preconfiguradas en gran medida en el SDDC, pero igualmente será necesario configurar el acceso a servicios de red de administración, como vCenter y HCX, y crear reglas de firewall de puerta de enlace de administración para permitir el tráfico entre la red de administración y otras redes, incluidas las redes locales y de otro tipo del SDDC.
Procedimiento
1 Configurar la dirección de resolución de FQDN en vCenter Server
Es posible conectarse a la instancia de vCenter Server del SDDC con una dirección IP pública o privada. Una dirección IP privada se puede resolver desde una VPN de SDDC. Una dirección IP pública se puede resolver desde Internet.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 27
2 Establecer la dirección de resolución de FQDN de HCX
Es posible conectarse a la instancia de HCX con una dirección IP pública o privada. Una dirección IP privada se puede resolver desde una VPN de SDDC. Una dirección IP pública se puede resolver desde Internet.
3 Agregar o modificar reglas de firewall de puerta de enlace de administración
De forma predeterminada, la puerta de enlace de administración bloquea el tráfico a todos los destinos de todos los orígenes. Agregue reglas de firewall de puerta de enlace de administración para permitir el tráfico según sea necesario.
Configurar la dirección de resolución de FQDN en vCenter ServerEs posible conectarse a la instancia de vCenter Server del SDDC con una dirección IP pública o privada. Una dirección IP privada se puede resolver desde una VPN de SDDC. Una dirección IP pública se puede resolver desde Internet.
Requisitos previos
Para poder acceder a la instancia de vCenter Server del SDDC en una dirección IP privada, primero debe configurar una VPN que conecte el SDDC con el centro de datos local. Consulte Crear una VPN basada en rutas o Crear una VPN basada en directivas.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Desplácese hasta la pestaña Configuración del SDDC.
3 Expanda FQDN de vCenter y haga clic en Editar.
4 En Dirección de resolución, seleccione la dirección IP pública o la dirección IP privada, y haga clic en GUARDAR.
Establecer la dirección de resolución de FQDN de HCXEs posible conectarse a la instancia de HCX con una dirección IP pública o privada. Una dirección IP privada se puede resolver desde una VPN de SDDC. Una dirección IP pública se puede resolver desde Internet.
Requisitos previos
Para poder acceder a la instancia de HCX en una dirección IP privada, primero debe configurar una VPN que conecte el SDDC con el centro de datos local. Consulte Crear una VPN basada en rutas o Crear una VPN basada en directivas.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Desplácese hasta la pestaña Configuración del SDDC.
3 Expanda FQDN de HCX y haga clic en Editar.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 28
4 En Dirección de resolución, seleccione la dirección IP pública o la dirección IP privada, y haga clic en GUARDAR.
Agregar o modificar reglas de firewall de puerta de enlace de administraciónDe forma predeterminada, la puerta de enlace de administración bloquea el tráfico a todos los destinos de todos los orígenes. Agregue reglas de firewall de puerta de enlace de administración para permitir el tráfico según sea necesario.
Las reglas de firewall de puerta de enlace de administración especifican las acciones que deben realizarse en cuanto al tráfico de red que proviene de un origen determinado y se dirige a un destino especificado. Los orígenes y los destinos pueden definirse en Cualquiera o como miembros de un grupo de inventario definido por el sistema o definido por el usuario. Consulte Agregar un grupo de administración para obtener información sobre cómo ver o modificar grupos de inventario.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 En la pestaña Redes y seguridad, haga clic en Firewall de puerta de enlace.
3 En la tarjeta Firewall de puerta de enlace, haga clic en Puerta de enlace de administración y, a continuación, en AGREGAR REGLA y asigne un nombre a la nueva regla.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 29
4 Introduzca los parámetros de la nueva regla.
Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga
clic en el icono de lápiz ( ) para abrir un editor específico del parámetro.
Opción Descripción
Orígenes Seleccione Cualquiera para permitir el tráfico desde cualquier dirección o rango de direcciones de origen.
Seleccione Grupos definidos por el sistema y seleccione una de las siguientes opciones de origen:
n ESXi para permitir el tráfico desde los hosts ESXi del SDDC.
n NSX Manager para permitir el tráfico desde el dispositivo de NSX-T Manager del SDDC.
n vCenter para permitir el tráfico desde la instancia de vCenter Server del SDDC.
Seleccione Grupos definidos por el usuario para utilizar un grupo de administración que haya definido. Consulte Agregar un grupo de administración.
Destinos Seleccione Cualquiera para permitir el tráfico a cualquier dirección o rango de direcciones de destino.
Seleccione Grupos definidos por el sistema y seleccione una de las siguientes opciones de destino:
n ESXi, para permitir el tráfico a la instancia de administración de ESXi del SDDC.
n NSX Manager, para permitir el tráfico a NSX-T en el SDDC.
n vCenter para permitir el tráfico dirigido a la instancia de vCenter Server del SDDC.
Servicios Seleccione los tipos de servicio a los que se aplica la regla. La lista de tipos de servicio depende de las elecciones que se hagan para Orígenes y Destinos.
Acción La única acción disponible para una nueva regla de firewall de puerta de enlace de administración es Permitir.
La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
5 Haga clic en PUBLICAR para crear la regla.
Las reglas de firewall se aplican en orden descendente. Debido a que se muestra una regla Quitar predeterminada en la parte inferior y las reglas superiores siempre son de tipo Permitir, el orden de las reglas de firewall de puerta de enlace de administración no tiene ningún impacto sobre el flujo de tráfico.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 30
Ejemplo: Crear una regla de firewall de puerta de enlace de administraciónPara crear una regla de firewall de puerta de enlace de administración que permita el tráfico de vMotion desde los hosts ESXi locales hacia los hosts ESXi en el SDDC, haga lo siguiente:
1 Cree un grupo de inventario de administración que contenga los hosts ESXi locales que desea habilitar para vMotion en el SDDC.
2 Cree una regla de puerta de enlace de administración con los hosts ESXi de origen y los hosts ESXi de destino locales.
3 Cree otra regla de puerta de enlace de administración con el grupo de hosts ESXi de origen locales y ESXi de destino con un servicio vMotion.
Pasos siguientes
Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.
n Haga clic en el icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware vRealize Log Insight Cloud. Consulte Usar vRealize Log Insight Cloud en la Guía de operaciones de VMware Cloud on AWS.
n Haga clic en el icono de gráfico para ver las estadísticas de la regla, incluido lo siguiente:
Índice de popularidad Número de veces que se activó la regla en las últimas 24 horas.
Recuento de aciertos Número de veces que se activó la regla desde que se creó.
Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.
Ejemplo de reglas de firewall de puerta de enlace de administraciónAlgunas configuraciones de regla de firewall frecuentes incluyen abrir el acceso a vSphere Client desde Internet, permitir el acceso a vCenter Server a través del túnel VPN de administración y permitir el acceso a la consola remota.
Reglas de firewall más utilizadas
En la siguiente tabla, se muestra la configuración de Servicio, Origen y Destino de las reglas de firewall más utilizadas.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 31
Tabla 2-6. Reglas de firewall más utilizadas
Casos de uso Servicio Origen Destino
Proporcionar acceso a vCenter Server desde Internet.
Uso para acceso general a vSphere Client así como para la supervisión de vCenter Server.
HTTPS Dirección IP pública vCenter
Proporcionar acceso a vCenter Server a través del túnel VPN.
Requerido para la VPN de puerta de enlace de administración, Hybrid Linked Mode y la biblioteca de contenido.
HTTPS Dirección IP o bloque CIDR desde un centro de datos local
vCenter
Proporcionar acceso desde la instancia de vCenter Server en la nube a los servicios locales, como Active Directory, Platform Services Controller y la biblioteca de contenido.
Cualquiera vCenter Dirección IP o bloque CIDR desde un centro de datos local
Aprovisionamiento de operaciones relacionadas con el tráfico de copia de archivo de red, como la migración en frío, la clonación desde máquinas virtuales locales, la migración de instantáneas, la replicación, etc.
Aprovisionamiento Dirección IP o bloque CIDR, ya sea de carácter público o de un centro de datos local conectado mediante un túnel VPN
Administración de ESXi
Acceso a la consola remota de VMRC
Requerido para vRealize Automation.
Consola remota Dirección IP o bloque CIDR, ya sea de carácter público o de un centro de datos local conectado mediante un túnel VPN
Administración de ESXi
Tráfico de vMotion a través de VPN.
Cualquiera Administración de ESXi Dirección IP o bloque CIDR desde un centro de datos local
Configurar redes y seguridad de puerta de enlace de cómputoLas redes de puerta de enlace de cómputo incluyen una red de cálculo con uno o varios segmentos, y las configuraciones de DNS, DHCP y seguridad (firewall de puerta de enlace y firewall distribuido) que administran el tráfico de red de máquinas virtuales de carga de trabajo. También puede incluir una VPN
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 32
de capa 2 y una red extendida que proporcione un único dominio de difusión que abarque la red local y la red de carga de trabajo del SDDC.
Procedimiento
1 Crear o modificar un segmento de red
Los segmentos de red son redes lógicas que las máquinas virtuales de carga de trabajo utilizan en la red de cálculo del SDDC.
2 Configurar una VPN de capa 2 y un segmento de red extendida
Puede usar una red privada virtual de capa 2 (L2VPN) de VMware Cloud on AWS para extender la red local a una o varias redes basadas en VLAN en el SDDC. Esta red extendida es una sola subred con un único dominio de difusión. Puede utilizarla para migrar máquinas virtuales hacia el SDDC en la nube y desde este sin tener que cambiar sus direcciones IP.
3 Agregar o modificar reglas de firewall de puerta de enlace de cómputo
De forma predeterminada, la puerta de enlace de cómputo bloquea el tráfico a todos los vínculos superiores. Agregue reglas de firewall de puerta de enlace de cómputo para permitir el tráfico según sea necesario.
4 Agregar o modificar reglas de firewall distribuido
Las reglas de firewall distribuido se aplican en el nivel de la máquina virtual y controlan el tráfico de este a oeste dentro del SDDC.
5 Configurar servicios DNS
Los servicios de reenvío de DNS de VMware Cloud on AWS se ejecutan en zonas de DNS y permiten que las máquinas virtuales resuelvan nombres de dominio completos en direcciones IP mediante el reenvío de sus consultas a un servidor DNS.
6 Configurar la retransmisión DHCP de puerta de enlace de cálculo
En la configuración predeterminada, un servidor local se encarga de las solicitudes DHCP de las máquinas virtuales de carga de trabajo en todos los segmentos enrutados. Si tiene un servidor DHCP externo que administra las direcciones IP en las redes de carga de trabajo, puede configurar la puerta de enlace de cálculo para reenviar las solicitudes DHCP a ese servidor.
Crear o modificar un segmento de redLos segmentos de red son redes lógicas que las máquinas virtuales de carga de trabajo utilizan en la red de cálculo del SDDC.
VMware Cloud on AWS admite tres tipos de segmentos de redes lógicas: enrutadas, extendidas y desconectadas.
n Un segmento de red enrutada (el tipo de segmento predeterminado) tiene conectividad con otras redes lógicas en el SDDC y, a través del firewall de SDDC, con redes externas.
n Un segmento de red extendida amplía un túnel L2VPN existente, lo que proporciona un solo espacio de direcciones IP que abarca el SDDC y una red local.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 33
n Un segmento de red desconectada no tiene vínculo superior y proporciona una red aislada a la que solo pueden acceder las máquinas virtuales conectadas a ella. Los segmentos desconectados se crean cuando HCX los necesita (consulte Introducción a VMware HCX). También puede crearlos por su cuenta y convertirlos en otros tipos de segmentos.
Consulte Valores máximos de configuración para VMware Cloud on AWS a fin de conocer los límites de los segmentos por SDDC y las conexiones de red por segmento.
Se crea un SDDC de inicio de host único con un solo segmento de red enrutada denominado sddc-cgw-network-1. Esta red utiliza el bloque CIDR 192.168.1.0/24, a menos que se produzca un conflicto con el bloque CIDR elegido para la red de administración de SDDC. Los SDDC de varios hosts se crean sin un segmento de red predeterminado, por lo que debe crear al menos un segmento para las máquinas virtuales de carga de trabajo.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Haga clic en Redes y seguridad > Segmentos.
Para modificar la configuración de un segmento existente, haga clic en el botón de puntos suspensivos y seleccione Editar. Para crear un nuevo segmento, haga clic en AGREGAR SEGMENTO y otorgue un nombre al nuevo segmento.
3 Especifique un valor para Tipo de segmento y rellene los parámetros de configuración necesarios.
Los requisitos de los parámetros dependen del tipo de segmento
Tabla 2-7. Parámetros de configuración de segmentos enrutados
Parámetro Valor
Identificador de túnel VPN N/D para tipos de segmentos enrutados o desconectados.
Longitud de la IP/el prefijo de la puerta de enlace Especifique un bloque CIDR para el segmento. El bloque no debe superponerse a la red de administración ni a ninguna de las subredes de la instancia conectada de Amazon VPC.
DHCP Deshabilitado de forma predeterminada. Seleccione Habilitado para habilitar los servicios nativos DHCP de NSX para las máquinas virtuales de este segmento. Especifique un rango de direcciones IP de DHCP y un sufijo DNS para el segmento. Las máquinas virtuales que se conectan al segmento obtienen sus direcciones IP del servidor DHCP especificado y su FQDN tiene el sufijo DNS especificado.
Nota Si habilita servicios nativos DHCP de NSX en un segmento de red de cálculo, no podrá habilitar la retransmisión de DHCP para la puerta de enlace de cómputo. Consulte Configurar la retransmisión DHCP de puerta de enlace de cálculo.
Rango de direcciones IP de DHCP Si DHCP está Habilitado, especifique un rango de direcciones IP de DHCP para las máquinas virtuales asociadas al segmento.
Nombre de dominio Si DHCP está Habilitado, especifique un FQDN que se asignará a las máquinas virtuales asociadas al segmento.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 34
Tabla 2-8. Parámetros de configuración de segmentos extendidos
Parámetro Valor
Identificador de túnel VPN Especifique el identificador de túnel de un túnel de L2VPN existente. N/D para tipos de segmentos enrutados o desconectados. Si aún no creó una L2VPN, consulte Configurar un túnel VPN de capa 2 en el SDDC.
Longitud de la IP/el prefijo de la puerta de enlace N/D para segmentos extendidos.
DHCP N/D para segmentos extendidos.
Rango de direcciones IP de DHCP N/D para segmentos extendidos.
Nombre de dominio N/D para segmentos extendidos.
Tabla 2-9. Parámetros de configuración de segmentos desconectados
Parámetro Valor
Identificador de túnel VPN N/D para tipos de segmentos enrutados o desconectados.
Longitud de la IP/el prefijo de la puerta de enlace Especifique un bloque CIDR para el segmento. El bloque no debe superponerse a la red de administración ni a ninguna de las subredes de la instancia conectada de Amazon VPC.
DHCP N/D para segmentos desconectados.
Rango de direcciones IP de DHCP N/D para segmentos desconectados.
Nombre de dominio N/D para segmentos desconectados.
4 Haga clic en GUARDAR para crear o actualizar el segmento.
El sistema crea el segmento solicitado. Esta operación puede demorar hasta 15 segundos en completarse. Cuando la opción Estado del segmento pasa a Activo, el segmento está listo para su
uso. Si la opción Estado es Desactivado, puede hacer clic en el icono de información para obtener más información sobre la causa del problema.
Configurar una VPN de capa 2 y un segmento de red extendidaPuede usar una red privada virtual de capa 2 (L2VPN) de VMware Cloud on AWS para extender la red local a una o varias redes basadas en VLAN en el SDDC. Esta red extendida es una sola subred con un único dominio de difusión. Puede utilizarla para migrar máquinas virtuales hacia el SDDC en la nube y desde este sin tener que cambiar sus direcciones IP.
Además de la migración de centros de datos, puede utilizar una red L2VPN extendida para la recuperación ante desastres, o para acceder dinámicamente a recursos informáticos en la nube según sea necesario (lo que se suele denominar "cloud bursting").
Una L2VPN puede extenderse a un máximo de 100 redes locales. VMware Cloud on AWS utiliza NSX-T para proporcionar el servidor L2VPN en el SDDC en la nube. Las funciones del cliente de L2VPN pueden ser proporcionadas por una instancia independiente de NSX Edge que descargue e implemente en el centro de datos local.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 35
La función L2VPN de VMware Cloud on AWS admite la extensión de redes VLAN. La conexión de L2VPN con el servidor de NSX-T utiliza un túnel IPsec. La red L2VPN extendida se utiliza para extender redes de máquina virtual y solo transporta tráfico de carga de trabajo. Es independiente de las redes de VMkernel utilizadas para el tráfico de migración (administración de ESXi o vMotion), las cuales emplean una VPN de IPsec independiente o una conexión Direct Connect.
Importante No puede activar un túnel L2VPN hasta que configure el servidor y el cliente de L2VPN, y cree una red extendida que especifique el identificador de túnel que asignó al cliente.
Procedimiento
1 Configurar un túnel VPN de capa 2 en el SDDC
Especifique una dirección IP local (AWS) local, una dirección IP pública (local) remota y una dirección IP privada remota para crear el extremo de SDDC del túnel VPN de capa 2.
2 Configurar un segmento extendido para la VPN de capa 2
Las redes extendidas necesitan una red privada virtual de capa 2 (Layer 2 Virtual Private Network, L2VPN), la cual proporciona un túnel de comunicaciones seguro entre una red local y una en el SDDC en la nube.
3 Descargar y configurar NSX Edge autónomo
El extremo local de L2VPN requiere un dispositivo de NSX Edge independiente de configuración especial que se conoce como instancia autónoma de Edge. Debe descargar, instalar y configurar este dispositivo y las redes de vSphere locales relacionadas para poder crear una VPN de Capa 2.
Configurar un túnel VPN de capa 2 en el SDDCEspecifique una dirección IP local (AWS) local, una dirección IP pública (local) remota y una dirección IP privada remota para crear el extremo de SDDC del túnel VPN de capa 2.
VMware Cloud on AWS admite un solo túnel VPN de capa 2 entre la instalación local y el SDDC.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > VPN > Capa 2.
3 Haga clic en AGREGAR TÚNEL VPN.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 36
4 Configure los parámetros de la VPN.
Opción Descripción
Dirección IP local n Seleccione la dirección IP privada si configuró AWS Direct Connect para este SDDC y desea que la VPN lo use. Consulte Crear una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDC.
n Seleccione la dirección IP pública si desea que la VPN se conecte al SDDC a través de Internet.
IP pública remota Introduzca la dirección IP pública remota de la puerta de enlace de VPN de Capa 2 local. Para una VPN de Capa 2, siempre es el dispositivo de NSX Edge independiente (consulte Descargar y configurar NSX Edge autónomo).
IP privada remota Introduzca la dirección IP privada remota si la puerta de enlace local está configurada detrás de NAT.
5 (opcional) Etiquete la VPN.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
6 (opcional) Agregue una descripción.
7 Haga clic en GUARDAR.
Dependiendo del entorno del SDDC, es posible que el proceso de creación de la VPN de capa 2 tarde unos minutos. Cuando el túnel VPN de capa 2 esté disponible, el estado cambia a Activo.
Configurar un segmento extendido para la VPN de capa 2Las redes extendidas necesitan una red privada virtual de capa 2 (Layer 2 Virtual Private Network, L2VPN), la cual proporciona un túnel de comunicaciones seguro entre una red local y una en el SDDC en la nube.
Cada extremo de este túnel tiene un identificador. Cuando el identificador de túnel coincide en el SDDC en la nube y el lado local del túnel, las dos redes forman parte del mismo dominio de difusión. Las redes extendidas utilizan una puerta de enlace local como puerta de enlace predeterminada. Otros servicios de red, como DHCP y DNS, también se proporcionan de forma local.
Puede cambiar una red lógica de enrutada a extendida o de extendida a enrutada. Por ejemplo, puede configurar una red lógica como extendida para permitir la migración de las máquinas virtuales desde el centro de datos local al SDDC en la nube. Una vez completada la migración, puede cambiar la red a enrutada para permitir que las máquinas virtuales utilicen los servicios de red de VMware Cloud on AWS.
Requisitos previos
Confirme que hay un túnel VPN de capa 2 disponible. Consulte Configurar un túnel VPN de capa 2 en el SDDC.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 37
2 Siga el procedimiento que se detalla en Crear o modificar un segmento de red para crear un segmento extendido enlazado al identificador de túnel del túnel L2VPN.
3 Haga clic en GUARDAR.
4 Haga clic en DESCARGAR CONFIGURACIÓN para descargar un archivo que contenga el código del mismo nivel y otra información que necesitará al configurar el entorno local de la configuración de VPN del lado remoto.
5 Haga clic en DESCARGA DE INSTANCIA DE EDGE INDEPENDIENTE REMOTA para descargar una imagen de Edge independiente de NSX en formato OVF que debe instalar y configurar como el lado del cliente de VPN de Capa 2. Consulte Descargar y configurar NSX Edge autónomo.
Descargar y configurar NSX Edge autónomoEl extremo local de L2VPN requiere un dispositivo de NSX Edge independiente de configuración especial que se conoce como instancia autónoma de Edge. Debe descargar, instalar y configurar este dispositivo y las redes de vSphere locales relacionadas para poder crear una VPN de Capa 2.
Para poder crear una VPN de Capa 2, debe descargar y configurar un dispositivo de NSX Edge independiente. Vea Configurar un segmento ampliado de VPN de Capa 2. No puede utilizar la instancia local de NSX-T Edge como el lado del cliente de una L2VPN que se conecta al SDDC.
Procedimiento
1 Descargue la instancia de NSX Edge independiente.
En la página L2VPN, haga clic en DESCARGA DE INSTANCIA AUTÓNOMA DE EDGE para descargar la instancia de NSX-T Edge independiente y autónoma como archivo OVF.
2 Consulte Agregar una instancia autónoma de Edge como cliente de L2VPN en la guía de administración de NSX-T Data Center para obtener información sobre cómo instalar y configurar la instancia autónoma de Edge en la instancia local de vCenter Server.
Agregar o modificar reglas de firewall de puerta de enlace de cómputoDe forma predeterminada, la puerta de enlace de cómputo bloquea el tráfico a todos los vínculos superiores. Agregue reglas de firewall de puerta de enlace de cómputo para permitir el tráfico según sea necesario.
Las reglas de firewall de puerta de enlace de cómputo especifican las acciones que deben realizarse en cuanto al tráfico de red que proviene de un origen determinado y se dirige a un destino especificado. Las acciones pueden implicar permitir (permitir el tráfico) o quitar (quitar todos los paquetes que coinciden con el origen y el destino especificados). El origen y el destino pueden elegirse entre una lista de interfaces de red física, o bien a partir de una especificación genérica de Todos los vínculos superiores que se refiere a todo el tráfico saliente de la puerta de enlace hacia la interfaz de VPC, la interfaz de Internet o la interfaz de Direct Connect. Una regla de firewall que se aplica a Todos los vínculos superiores no rige para la Interfaz de túnel VPN (VPN Tunnel Interface, VTI), que es una interfaz virtual y no un vínculo superior físico. La Interfaz de túnel VPN debe especificarse explícitamente en el
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 38
parámetro Se aplica a de cualquier regla de firewall que administre la comunicación de la máquina virtual de carga de trabajo mediante una VPN basada en rutas. La puerta de enlace de cómputo incluye una Regla de VTI predeterminada que quita todo el tráfico hacia la VTI. Para permitir que las máquinas virtuales de carga de trabajo se comuniquen mediante la VTI, modifique esta regla o bájela a una clasificación inferior en la jerarquía de reglas, de modo que la precedan reglas más permisivas.
Todo el tráfico que intenta atravesar el firewall se somete a las reglas en el orden en el que figuran en la tabla de reglas, comenzando por el principio. Un paquete permitido por la primera regla pasa a la segunda regla y así sucesivamente por las reglas que siguen hasta que el paquete se descarta, se rechaza o alcanza la regla predeterminada, la cual permite todo el tráfico.
Requisitos previos
Las reglas de firewall de puerta de enlace de cómputo requieren grupos de inventario con nombre para los valores de Origen y Destino. Consulte Agregar o modificar un grupo de cálculo.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 En la pestaña Redes y seguridad, haga clic en Firewall de puerta de enlace.
3 En la página FIREWALL DE PUERTA DE ENLACE, haga clic en Puerta de enlace de cómputo.
4 Para agregar una regla, haga clic en AGREGAR REGLA y asígnele un nombre.
5 Introduzca los parámetros de la nueva regla.
Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga
clic en el icono de lápiz ( ) para abrir un editor específico del parámetro.
Opción Descripción
Orígenes Haga clic en Cualquiera en la columna Orígenes y seleccione un grupo de inventario para el tráfico de red de origen, o haga clic en AGREGAR GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
Destinos Haga clic en Cualquiera en la columna Destinos y seleccione un grupo de inventario para el tráfico de red de destino, o bien haga clic en CREAR NUEVO GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
Servicios Haga clic en Cualquiera en la columna Servicios y seleccione un servicio de la lista. Haga clic en GUARDAR.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 39
Opción Descripción
Se aplica a Defina el tipo de tráfico al que se aplica la regla:
n Seleccione Interfaz de túnel VPN si desea que la regla se aplique al tráfico a través de la VPN basada en rutas.
n Seleccione Interfaz de VPC si desea que la regla se aplique al tráfico a través de la conexión de AWS VPC vinculada.
n Seleccione Interfaz de Internet si desea que la regla se aplique al tráfico a través de Internet, incluido el tráfico a través de VPN basadas en directivas con IP pública.
n Seleccione Interfaz de Direct Connect si desea que la regla permita el tráfico a través de AWS Direct Connect (VIF privada), incluidas las VPN basadas en directivas con IP privada.
n Seleccione Todos los vínculos superiores si desea que la regla se aplique a Interfaz de VPC, Interfaz de Internet e Interfaz de Direct Connect, pero no a Interfaz de túnel VPN.
Nota La opción Interfaz de túnel VPN no se clasifica como un vínculo superior.
Acción n Seleccione Permitir para permitir que todo el tráfico de capa 2 y capa 3 pase a través del firewall.
n Seleccione Quitar para quitar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Se trata de una acción silenciosa que no envía notificaciones a los sistemas de origen ni de destino. Cuando un paquete se descarta, hace que la conexión se reintente hasta que se alcance el umbral de reintentos.
n Seleccione Rechazar para rechazar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Esta acción devuelve un "mensaje de destino inaccesible" al remitente. En el caso de los paquetes TCP, la respuesta incluye un mensaje RST de TCP. Para UDP, ICMP y otros protocolos, la respuesta incluye un código "prohibido de forma administrativa" (9 o 10). Cuando no se puede establecer la conexión, el remitente recibe una notificación de forma inmediata (sin ningún reintento).
La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
6 Haga clic en PUBLICAR para crear la regla.
Pasos siguientes
Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.
n Haga clic en el icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware vRealize Log Insight Cloud. Consulte Usar vRealize Log Insight Cloud en la Guía de operaciones de VMware Cloud on AWS.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 40
n Haga clic en el icono de gráfico para ver las estadísticas de la regla, incluido lo siguiente:
Índice de popularidad Número de veces que se activó la regla en las últimas 24 horas.
Recuento de aciertos Número de veces que se activó la regla desde que se creó.
Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.
n Reordene las reglas de firewall.
Una regla creada desde el botón AGREGAR NUEVA REGLA se coloca al principio de la lista de reglas. Las reglas de firewall se aplican en orden descendente. Para cambiar la posición de una regla en la lista, selecciónela y arrástrela a una nueva posición. Haga clic en PUBLICAR para publicar el cambio.
Agregar o modificar reglas de firewall distribuidoLas reglas de firewall distribuido se aplican en el nivel de la máquina virtual y controlan el tráfico de este a oeste dentro del SDDC.
Todo el tráfico que intenta atravesar el firewall distribuido se somete a las reglas en el orden en el que figuran en la tabla de reglas, comenzando por el principio. Un paquete permitido por la primera regla pasa a la segunda regla y así sucesivamente por las reglas que siguen hasta que el paquete se descarta, se rechaza o alcanza la regla predeterminada, la cual permite todo el tráfico.
Las reglas de firewall distribuido se agrupan en directivas. Las directivas están organizadas por categoría. Cada categoría tiene una prioridad de evaluación. Las reglas de una categoría con mayor prioridad se evalúan antes que las reglas en categoría de menor prioridad.
Tabla 2-10. Categorías de reglas de firewall distribuido
Prioridad de evaluación de categoría Nombre de la categoría Descripción
1 Ethernet Se aplica a todo el tráfico de red del SDDC
2 Emergencia Se usa para las reglas de cuarentena y permitir
3 Infraestructura Define el acceso a servicios compartidos. Reglas globales: AD, DNS, NTP, DHCP, copia de seguridad, servidores de administración
4 Entorno Reglas entre zonas: reglas de producción frente a desarrollo y entre unidades de negocio
5 Aplicación Reglas entre aplicaciones, niveles de aplicaciones o reglas entre micro servicios
Consulte Terminología de seguridad en la Guía de administración de NSX-T Data Center para obtener más información sobre la terminología de firewall distribuido.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 41
Requisitos previos
Las reglas de Firewall distribuido requieren grupos de inventario como orígenes y destinos, y deben aplicarse a un servicio, que puede ser uno predefinido o personalizado que se defina para el SDDC. Puede crear estos grupos y servicios durante la creación de una regla, pero puede acelerar el proceso si se encarga de alguna de antemano. Consulte Agregar o modificar un grupo de cálculo y Agregar un servicio personalizado.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > Firewall distribuido.
Haga clic en REGLAS ESPECÍFICAS DE CATEGORÍA y seleccione una categoría para ver y modificar las directivas y las reglas de esa categoría, o haga clic en TODAS LAS REGLAS para ver (pero no modificar) las reglas de todas las directivas y categorías.
3 (opcional) Cambie la estrategia de conectividad predeterminada.
De forma predeterminada, el firewall distribuido incluye una regla Permitir implícita para todo el tráfico. Esta regla, que no aparece en ninguna lista de reglas, se evalúa después de todas las demás reglas y permite que el tráfico que no coincide con una regla anterior pase a través del firewall. Haga
clic en el icono de estrategia de conectividad ( ) para ver una lista de estrategias disponibles. Para cambiar la estrategia actual, seleccione otra y haga clic en GUARDAR. Consulte Seleccionar una estrategia de conectividad predeterminada en la Guía de administración de NSX-T Data Center para obtener más información sobre estrategias de conectividad disponibles.
4 Para agregar una directiva en la parte superior de la lista, haga clic en AGREGAR DIRECTIVA y asígnele un nombre.
Para agregar una directiva antes o después de una directiva existente, haga clic en el botón de puntos suspensivos verticales situado al principio de la fila de la directiva para abrir el menú de configuración de directivas y, a continuación, haga clic en Agregar directiva arriba o Agregar directiva debajo.
De forma predeterminada, se aplica una nueva directiva al firewall distribuido (Distributed Firewall, DFW), pero se pueden especificar uno o varios grupos de inventario para que se aplique a estos en su lugar. El valor SE APLICA A de la directiva se propaga a todas las reglas de esta.
5 Para agregar una regla, seleccione una directiva, haga clic en AGREGAR NUEVA REGLA y asigne un nombre a la regla.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 42
6 Introduzca los parámetros de la nueva regla.
Los parámetros se inicializan en los valores predeterminados (por ejemplo, Todos para Orígenes y Destinos). Para editar un parámetro, mueva el cursor del mouse sobre el valor del parámetro y haga
clic en el icono de lápiz ( ) para abrir un editor específico del parámetro.
Opción Descripción
Orígenes Haga clic en Cualquiera en la columna Orígenes y seleccione un grupo de inventario para el tráfico de red de origen, o haga clic en AGREGAR GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
Destinos Haga clic en Cualquiera en la columna Destinos y seleccione un grupo de inventario para el tráfico de red de destino, o bien haga clic en CREAR NUEVO GRUPO para crear un nuevo grupo de inventario definido por el usuario y utilizarlo para esta regla. Haga clic en GUARDAR.
Servicios Haga clic en Cualquiera en la columna Servicios y seleccione un servicio de la lista. Haga clic en GUARDAR.
Se aplica a La regla hereda su valor SE APLICA A de la directiva que la contiene.
Acción n Seleccione Permitir para permitir que todo el tráfico de capa 2 y capa 3 pase a través del firewall.
n Seleccione Quitar para quitar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Se trata de una acción silenciosa que no envía notificaciones a los sistemas de origen ni de destino. Cuando un paquete se descarta, hace que la conexión se reintente hasta que se alcance el umbral de reintentos.
n Seleccione Rechazar para rechazar paquetes que coincidan con cualquier valor especificado en Orígenes, Destinos y Servicios. Esta acción devuelve un "mensaje de destino inaccesible" al remitente. En el caso de los paquetes TCP, la respuesta incluye un mensaje RST de TCP. Para UDP, ICMP y otros protocolos, la respuesta incluye un código "prohibido de forma administrativa" (9 o 10). Cuando no se puede establecer la conexión, el remitente recibe una notificación de forma inmediata (sin ningún reintento).
La nueva regla está habilitada de forma predeterminada. Deslice el alternador a la izquierda para deshabilitarla.
7 Haga clic en PUBLICAR para crear la regla.
Pasos siguientes
Puede realizar cualquiera o todas estas acciones opcionales con una regla de firewall existente.
n Haga clic en el icono de engranaje para ver o modificar la configuración de registro de reglas. Las entradas de registro se envían al servicio de VMware vRealize Log Insight Cloud. Consulte Usar vRealize Log Insight Cloud en la Guía de operaciones de VMware Cloud on AWS.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 43
n Haga clic en el icono de gráfico para ver las estadísticas de la regla, incluido lo siguiente:
Índice de popularidad Número de veces que se activó la regla en las últimas 24 horas.
Recuento de aciertos Número de veces que se activó la regla desde que se creó.
Las estadísticas comienzan a acumularse tan pronto como se habilita la regla.
n Reordene las reglas de firewall.
Una regla creada desde el botón AGREGAR NUEVA REGLA se coloca al principio de la lista de reglas de la directiva. Las reglas de firewall de cada directiva se aplican en orden descendente. Para cambiar la posición de una regla en la lista, selecciónela y arrástrela a una nueva posición. Haga clic en PUBLICAR para publicar el cambio.
Administrar reglas de firewall distribuidoEl tráfico que intenta pasar a través del firewall se somete a las reglas en el orden que se muestra en la opción TODAS LAS REGLAS.
El orden de las reglas de firewall distribuido de la lista TODAS LAS REGLAS es la unión de la lista ordenada de directivas y la lista ordenada de reglas de cada directiva. Las reglas y secciones de firewall distribuido de una sección se pueden reordenar. También se puede editar una configuración de firewall distribuido existente, así como eliminar o clonar una regla o sección de firewall.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > Firewall distribuido.
3 (opcional) Modificar configuración de directivas
Haga clic en el botón de puntos suspensivos verticales al principio de la fila de la directiva para realizar acciones masivas, lo que afectará a todas las reglas de la directiva.
4 (opcional) Reordene las directivas.
Una directiva creada mediante el botón AGREGAR DIRECTIVA se coloca al principio de la lista de directivas. Las reglas de firewall de cada directiva se aplican en orden de directiva descendente. Para cambiar la posición de una directiva (y todas las reglas que contiene) en la lista, selecciónela y arrástrela a una nueva posición. Haga clic en PUBLICAR para publicar el cambio.
5 (opcional) Clone o copie una regla.
Haga clic en el botón de puntos suspensivos verticales al principio de la fila de la regla.
n Clonar regla para hacer una copia de la regla en esta directiva.
n Copiar regla para hacer una copia de la regla que puede agregar a otra directiva.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 44
6 (opcional) Agregue o elimine una regla.
Haga clic en el botón de puntos suspensivos verticales al principio de la fila de la regla.
n Agregar regla para agregar una regla en esta directiva.
n Eliminar regla para eliminar la regla de esta directiva.
7 (opcional) Guarde o vea las configuraciones.
Las configuraciones de firewall distribuido son similares a la función Borradores de firewall de la instancia local de NSX-T. Haga clic en ACCIONES > Configuraciones > Ver para ver una lista de configuraciones guardadas. Haga clic en ACCIONES > Configuraciones > Guardar para guardar la configuración actual. De forma predeterminada, las configuraciones se guardan automáticamente. Haga clic en ACCIONES > Configuración > Configuración general para deshabilitar Guardar borradores automáticamente.
Administrar la lista de exclusión de firewall distribuidoLa lista de exclusión de Firewall distribuido permite especificar grupos de inventario para excluirlos de la cobertura de firewall distribuido. El tráfico de red de este a oeste hacia y desde miembros de grupos excluidos está exento de reglas de firewall distribuido que, de otro modo, se aplicarían.
La lista de exclusión de firewall distribuido permite que las reglas de firewall distribuido puedan tener en cuenta grupos de inventario específicos. De forma predeterminada, las máquinas virtuales y los dispositivos de administración, como vCenter, NSX Manager y NSX Controller, están en la lista de exclusión. Puede editar la lista para agregar o eliminar entradas.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > Firewall distribuido.
3 Haga clic en ACCIONES > Configuración > Lista de exclusión para mostrar la página Administrar lista de exclusión.
n Para agregar un grupo existente a la lista de exclusión, haga clic en AGREGAR GRUPO y seleccione un Nombre de grupo existente.
n Para crear un grupo desde Administrar lista de exclusión, escriba un nombre para el grupo en el campo Nombre de grupo y, a continuación, haga clic en Establecer miembros para abrir la página de creación de grupo de inventario. Consulte Agregar o modificar un grupo de cálculo para obtener más información sobre cómo usar esta página.
n Para eliminar un grupo de la lista, haga clic en el botón de puntos suspensivos verticales al principio de la fila de grupos y, a continuación, haga clic en Eliminar.
4 Haga clic en APLICAR para guardar los cambios.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 45
Configurar servicios DNSLos servicios de reenvío de DNS de VMware Cloud on AWS se ejecutan en zonas de DNS y permiten que las máquinas virtuales resuelvan nombres de dominio completos en direcciones IP mediante el reenvío de sus consultas a un servidor DNS.
El SDDC incluye zonas de DNS predeterminadas para la puerta de enlace de administración y de cálculo. Cada zona incluye un servicio de reenvío de DNS preconfigurado. Utilice la pestaña Servicios de DNS en la página Servicios de DNS para deshabilitar, habilitar o actualizar algunas propiedades de los servicios de reenvío de DNS para las zonas predeterminadas. Para crear zonas de DNS adicionales o configurar propiedades adicionales de reenviadores DNS en cualquier zona, utilice la pestaña Zonas de DNS.
Para obtener más información sobre las opciones de configuración de DNS para VMware Cloud on AWS, consulte Estrategias de DNS para VMware Cloud on AWS.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > DNS.
3 Haga clic en Servicios de DNS para abrir la pestaña Servicios de DNS.
4 Puede ver, pero no editar, todos los parámetros del reenviador DNS de puerta de enlace de administración y la mayoría de los parámetros del reenviador DNS de puerta de enlace de cómputo. Haga clic en el botón de puntos suspensivos verticales y, a continuación, en Editar para modificar los parámetros del servicio DNS en zonas de DNS adicionales que cree.
Parámetro Descripción
Nombre El nombre de este servicio DNS. No se puede modificar para el reenviador DNS de puerta de enlace de administración y de cálculo.
IP del servicio DNS Dirección IP del servicio DNS al que se deben reenviar las solicitudes de DNS de puerta de enlace de cómputo. No se puede modificar para el reenviador DNS de puerta de enlace de administración y de cálculo.
Zona de DNS predeterminada Especifique el FQDN de la zona de DNS predeterminada. No se puede modificar para el reenviador DNS de puerta de enlace de administración y de cálculo.
Zonas de FQDN Opcional. Especifique uno o varios FQDN para habilitar el reenvío de DNS. Un reenviador DNS está asociado a una zona de DNS predeterminada y a hasta 5 zonas de DNS de FQDN. Cuando se recibe una consulta de DNS, el reenviador DNS compara el nombre de dominio en la consulta con los nombres de dominio de las zonas de DNS de FQDN. Si se encuentra una coincidencia, la consulta se reenvía a los servidores DNS especificados en la zona de DNS de FQDN. Si no se encuentra ninguna coincidencia, la consulta se reenvía a los servidores DNS especificados en la zona de DNS predeterminada.
Nivel de registro De forma predeterminada, se registran los eventos en el nivel de información. Puede elegir un nivel diferente para registrar clases de eventos adicionales.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 46
Parámetro Descripción
Estado de administración El servicio está habilitado de forma predeterminada. Alterne para deshabilitar.
Etiquetas Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
5 Haga clic en GUARDAR.
Agregar una zona de DNSCada zona de DNS de la red del SDDC representa una parte del espacio de nombres de DNS que administra usted mismo.
Las zonas de DNS en el SDDC se dividen en dos categorías:
n Zonas predeterminadas, donde los servidores escuchan las consultas de DNS de todas las máquinas virtuales del SDDC en una subred de la zona.
n Zonas de FQDN, donde los servidores escuchan las solicitudes de DNS reenviadas desde una zona predeterminada.
Las puertas de enlace de cálculo y administración se configuran con una sola zona de DNS predeterminada. Puede agregar hasta cuatro zonas más de cualquier tipo para ofrecer la flexibilidad de tener varios subdominios y servidores DNS. Consulte Agregar una zona de DNS en la Guía de administración de NSX-T Data Center para obtener más información sobre cómo NSX-T implementa zonas de DNS.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Haga clic en Redes y seguridad > DNS y abra la pestaña Zonas de DNS.
3 Para agregar una zona predeterminada, seleccione AGREGAR ZONA DE DNS > Agregar zona predeterminada
a Introduzca un nombre y, si lo desea, una descripción. Utilice este Nombre si crea reglas de firewall de DNS que se aplican al tráfico en esta zona.
b Introduzca las direcciones IP de hasta tres servidores DNS. Todos los servidores DNS que especifique deben estar configurados de forma idéntica.
c (opcional) Introduzca una dirección IP en el campo IP de origen.
4 Para agregar una zona de FQDN, seleccione AGREGAR ZONA DE DNS > Agregar zona de FQDN
a Introduzca un nombre y, si lo desea, una descripción. Utilice este Nombre si crea reglas de firewall de DNS que se aplican al tráfico en esta zona.
b Introduzca un FQDN para el dominio. Debe ser un nombre de dominio completo, como ejemplo.com.
c Introduzca la dirección IP de hasta tres servidores DNS.
d (opcional) Introduzca una dirección IP en el campo IP de origen.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 47
5 (opcional) Etiquete la zona de DNS.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
6 Haga clic en GUARDAR.
Configurar la retransmisión DHCP de puerta de enlace de cálculoEn la configuración predeterminada, un servidor local se encarga de las solicitudes DHCP de las máquinas virtuales de carga de trabajo en todos los segmentos enrutados. Si tiene un servidor DHCP externo que administra las direcciones IP en las redes de carga de trabajo, puede configurar la puerta de enlace de cálculo para reenviar las solicitudes DHCP a ese servidor.
Las organizaciones que deseen utilizar una solución existente de administración de direcciones IP (IP Address Management, IPAM) para las máquinas virtuales de carga de trabajo del SDDC pueden utilizar la función de retransmisión de DHCP de NSX-T para especificar el servidor y asociarlo a la puerta de enlace de cálculo. Para obtener más información sobre cómo NSX-T implementa la retransmisión DHCP, consulte Configurar retransmisión DHCP en la documentación de NSX for vSphere.
Nota La retransmisión DHCP no se puede configurar si la puerta de enlace de cálculo incluye segmentos que proporcionan sus propios servicios DHCP.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > DHCP.
3 Haga clic en CONFIGURAR RETRANSMISIÓN DHCP.
Rellene el nombre y la dirección IP del servidor DHCP y, a continuación, haga clic en Asociar para asociar el servidor a la puerta de enlace de cálculo.
Trabajar con grupos de inventarioUtilice el inventario de redes y seguridad de VMware Cloud on AWS para crear grupos de máquinas virtuales y servicios de red que se pueden utilizar al crear reglas de firewall.
Comúnmente, las reglas de firewall se aplican a un grupo de máquinas virtuales que tienen ciertas características comunes, entre las que se incluyen:
n nombres que siguen una convención de nomenclatura (como Win* para máquinas virtuales de Windows o Photon* para máquinas virtuales de Photon)
n direcciones IP dentro de un rango específico o bloque CIDR
n etiquetas
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 48
También se pueden aplicar a servicios de red, que se distinguen por características como el tipo de servicio y el protocolo de red. La función Inventario de redes y seguridad de VMware Cloud on AWS simplifica el proceso de creación de grupos de máquinas virtuales que tengan necesidades similares para la protección del firewall. También permite agregar nuevos servicios de red a la lista de servicios integrada, para que dichos servicios se puedan incluir en las reglas de firewall.
VMware Cloud on AWS crea grupos de administración y un inventario de servicios en todos los SDDC nuevos. También mantiene una lista de las máquinas virtuales de carga de trabajo y sus etiquetas. Puede agregar o modificar sus propios grupos de inventario de máquinas virtuales de administración o de cálculo.
Agregar un grupo de administraciónLos grupos de inventario de administración contienen componentes de infraestructura de SDDC. Utilice estos grupos en las reglas de firewall de puerta de enlace de administración.
Los grupos de inventario de administración predefinidos se crean automáticamente para componentes de la infraestructura del SDDC, como vCenter y NSX Manager. No se puede modificar un grupo de administración predefinido, pero se pueden crear grupos de inventario de administración adicionales especificando los bloques CIDR a los que están conectados los miembros del grupo.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 En la pestaña Redes y seguridad, haga clic en Inventario > Grupos.
3 En la tarjeta Grupos, haga clic en GRUPOS DE ADMINISTRACIÓN, a continuación, haga clic en AGREGAR GRUPO y asigne al grupo un nombre y una descripción opcional.
4 Haga clic en Establecer miembros para abrir la página Seleccionar miembros.
Introduzca una o varias direcciones IP de máquinas virtuales de administración en formato CIDR.
5 (opcional) Etiquete el grupo.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
6 Haga clic en GUARDAR para crear el grupo.
Pasos siguientes
Para poder modificar o eliminar cualquier grupo de administración que haya creado, haga clic en el botón de puntos suspensivos verticales y seleccione Editar o Eliminar.
Agregar o modificar un grupo de cálculoLos grupos de inventario de cálculo clasifican las máquinas virtuales de cálculo mediante criterios como nombres, direcciones IP y etiquetas.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 49
Debido a que los grupos de inventario de cálculo están compuestos de las máquinas virtuales de cálculo que se implementan en los segmentos de red de cálculo, VMware Cloud on AWS no puede crearlos por usted. Deberá crearlos usted mismo antes de que pueda desarrollar reglas de firewall de puerta de enlace de cómputo.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 En la pestaña Redes y seguridad, haga clic en Inventario > Grupos.
3 En la tarjeta Grupos, haga clic en GRUPOS DE CÁLCULO y en AGREGAR GRUPO, y asigne al grupo un nombre y una descripción opcional en los campos Nombre y Descripción, respectivamente.
Para modificar un grupo existente, selecciónelo y haga clic en el botón de puntos suspensivos al principio de la fila de grupos.
4 Haga clic en Establecer miembros para abrir la página Seleccionar miembros.
Los grupos de administración contienen máquinas virtuales en la red de administración. Los miembros del grupo de administración deben especificarse mediante dirección IP. Los grupos de cálculo contienen máquinas virtuales u objetos de red, como segmentos de la red de cálculo. Existen varias formas de designar la membresía en un grupo de cálculo.
Opción Descripción
Criterios de pertenencia Haga clic en AGREGAR CRITERIOS y utilice los controles desplegables para especificar uno o varios criterios con el formato de las siguientes tuplas:
Tipo de objeto, Propiedad, Condición, Valor
Por ejemplo, considere un grupo con estos criterios:
Virtual Machine Name Contains db_
Este grupo incluye máquinas virtuales cuyos nombres contienen la cadena db_ en el grupo. Asimismo, puede crear grupos de puertos de segmentos, conjuntos de direcciones IP o segmentos de red etiquetados especificando una etiqueta o utilizando lo siguiente:
Segment Tag Equals testbeds
Esto permite incluir segmentos de red que tengan la etiqueta testbeds.
Se incluirán en el grupo los objetos que coinciden con todos los criterios seleccionados.
Miembros Seleccione una categoría de membresía en la lista desplegable Seleccionar categoría y, a continuación, escoja los miembros de la lista.
Dirección IP/MAC Introduzca una dirección IP, direcciones MAC, un bloque CIDR o un rango de direcciones IP con el formato ip-ip (por ejemplo, 192.168.1.1-192.168.1.100).
5 (opcional) Etiquete el grupo.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 50
6 Haga clic en GUARDAR para crear el grupo.
Pasos siguientes
Para revisar los miembros del grupo, seleccione un grupo y haga clic en Ver miembros para revisar la lista de miembros del grupo y poder ver los miembros del grupo y los criterios de membresía. Haga clic en Donde se utiliza para obtener una lista de reglas de firewall que incluyen el grupo.
Agregar un servicio personalizadoLas reglas de firewall a menudo se aplican a tráfico desde un servicio de red. Un nuevo SDDC incluye entradas de inventario para la mayoría de los tipos de servicios de red comunes, pero se pueden agregar servicios personalizados si es necesario.
Al crear una regla de firewall, puede especificar que se aplique al tráfico de red proveniente de uno o varios de los servicios definidos en el inventario Servicios del SDDC. La lista predeterminada incluye servicios de VMware, como la consola remota y el aprovisionamiento, servicios estándar como IKE, ICMP y TCP, y muchos servicios de terceros bien conocidos. Para agregar servicios a esta lista, seleccione valores, generalmente puertos y protocolos, de una lista de tipos de servicio y propiedades de servicio adicionales.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 En la pestaña Redes y seguridad, haga clic en Inventario > Servicios.
La tarjeta Servicios enumera los servicios predefinidos.
3 Haga clic en AGREGAR NUEVO SERVICIO y, en Nombre, asigne un nombre al nuevo servicio.
4 Haga clic en Configurar entradas de servicio para abrir la página Configurar entradas de servicio.
5 En la página Configurar entradas de servicio, haga clic en AGREGAR NUEVA ENTRADA DE SERVICIO.
Para ver la lista de servicios conocidos, utilice los controles desplegables para desplazarse por las listas Tipo de servicio y Propiedades adicionales. Para agregar un servicio, seleccione una opción para Tipo de servicio en el menú desplegable y especifique un valor para Propiedades adicionales, como los puertos de origen o de destino del servicio y, a continuación, haga clic en APLICAR.
6 (opcional) En Descripción, proporcione una descripción del servicio y etiquételo.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
7 Haga clic en GUARDAR para crear la definición del servicio.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 51
Ver inventario de máquinas virtualesVMware Cloud on AWS mantiene un inventario de máquinas virtuales de carga de trabajo en el SDDC. Las máquinas virtuales se enumeran por nombre y número de etiquetas.
El inventario de máquinas virtuales se genera automáticamente. Puede editar las etiquetas asignadas a una máquina virtual en esta lista, pero no puede agregar ni eliminar máquinas virtuales. El sistema hace que las máquinas virtuales se creen y se destruyan automáticamente.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 En la pestaña Redes y seguridad, haga clic en Inventario > Máquinas virtuales.
Si una máquina virtual tiene etiquetas, el número de etiquetas se muestra en la columna Etiquetas. Haga clic en el número para ver las etiquetas. Para agregar o eliminar etiquetas de máquina virtual, haga clic en los puntos suspensivos verticales al principio de la fila de la máquina virtual y seleccione
Editar para mostrar el editor de etiquetas. Haga clic en el icono para agregar más etiquetas.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
Administrar conexiones de carga de trabajoLas máquinas virtuales de carga de trabajo se conectan a Internet de forma predeterminada. Las reglas NAT y las reglas de firewall distribuido permiten ejercer un control detallado sobre estas conexiones.
Asociar una máquina virtual a una máquina virtual de carga de trabajo o separarla de ella desde un segmento de red de cómputoPuede utilizar vSphere Web Client para administrar la asociación de máquinas virtuales de carga de trabajo a segmentos de red de cómputo.
Requisitos previos
La red de cómputo del SDDC debe contar con un segmento como mínimo. Consulte Crear o modificar un segmento de red.
Procedimiento
1 Inicie sesión en la instancia de vSphere Client del SDDC.
2 Seleccione Menú > Listas de inventario globales.
3 Seleccione Redes lógicas.
4 En el menú desplegable vCenter Server, seleccione la instancia de vCenter Server que administra la red lógica que desea utilizar.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 52
5 Haga clic junto al nombre de red lógica para seleccionarla.
6 Determine si desea asociar o separar las máquinas virtuales.
n Haga clic en Asociar máquina virtual para asociar las máquinas virtuales con la red seleccionada.
n Haga clic en Separar máquina virtual para separar las máquinas virtuales de la red seleccionada.
7 Seleccione las máquinas virtuales que desea asociar o separar, haga clic en >> para moverlas a la columna Objetos seleccionados y haga clic en Siguiente.
8 Para cada máquina virtual, seleccione la NIC virtual que desea asociar y haga clic en Siguiente.
9 Haga clic en Finalizar.
Solicitar o liberar una dirección IP públicaPuede solicitar las direcciones IP públicas que asignará a las máquinas virtuales de carga de trabajo para permitir el acceso a estas máquinas virtuales desde Internet. VMware Cloud on AWS aprovisiona la dirección IP desde AWS.
Como práctica recomendada, libere las direcciones IP públicas que no estén en uso.
Requisitos previos
Confirme que la máquina virtual tiene asignada una dirección IP estática de su red lógica.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > Direcciones IP públicas.
3 Para solicitar una nueva dirección IP pública, haga clic en SOLICITAR NUEVA IP.
También puede introducir sus notas sobre la solicitud.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 53
4 Para liberar una dirección IP pública existente que ya no necesite, haga clic en el botón de puntos suspensivos y en Liberar IP.
Las solicitudes para liberar una dirección IP pública arrojan error si la dirección la está usando una regla de NAT.
5 Haga clic en GUARDAR.
Después de unos minutos, se aprovisiona una nueva dirección IP pública.
Pasos siguientes
Después de aprovisionar la dirección IP pública, configure NAT para redirigir el tráfico desde la dirección IP pública a la dirección IP interna de una máquina virtual en el SDDC. Consulte Crear o modificar reglas de NAT.
Crear o modificar reglas de NATLa traducción de direcciones de red (Network Address Translation, NAT) asigna direcciones IP internas de la red de cálculo a direcciones expuestas en la Internet pública. Para crear una regla de NAT, proporcione la dirección interna y el número de puerto de una máquina virtual o servicio de carga de trabajo, y una dirección IP pública y número de puerto que haya obtenido del sistema.
Las reglas de NAT deben ejecutarse en la interfaz de Internet del SDDC, ya que es donde se exponen las direcciones públicas de las máquinas virtuales de carga de trabajo. Las reglas de firewall, que examinan los orígenes y los destinos de los paquetes, se ejecutan en la puerta de enlace de cómputo y procesan el tráfico después de que una regla de NAT aplicable lo ha transformado. Al crear una regla de NAT, puede especificar si las direcciones IP internas o externas y el número de puerto de una máquina virtual se expondrán a reglas de firewall que afectan al tráfico de red hacia y desde dicha máquina virtual.
Importante El tráfico entrante a la dirección IP pública del SDDC siempre se procesa mediante las reglas de NAT que crea. El tráfico saliente (los paquetes de respuesta de las máquinas virtuales de carga de trabajo del SDDC) se enruta a lo largo de las rutas anunciadas y se procesa mediante las reglas de NAT cuando la ruta predeterminada de la red del SDDC atraviesa la interfaz de Internet del SDDC. Pero si la ruta predeterminada pasa por una conexión VPN o Direct Connect (por ejemplo, si se anuncia 0.0.0.0/0 a través de BGP o existe una VPN basada en directivas con una red remota de 0.0.0.0/0), las reglas de NAT se ejecutan para el tráfico entrante pero no para el tráfico saliente, con lo que se crea una ruta asimétrica que impide que se pueda acceder a la máquina virtual en su dirección IP pública. Cuando la ruta predeterminada se anuncia desde el entorno local, debe configurar reglas de NAT en la red local mediante la conexión a Internet local y las direcciones IP públicas.
Requisitos previos
n La máquina virtual debe estar conectada a un segmento de red de cálculo. Puede crear reglas de NAT para máquinas virtuales que tengan direcciones estáticas o dinámicas (DHCP), pero tenga en cuenta que las reglas de NAT para máquinas virtuales que utilizan la asignación de direcciones DHCP se pueden invalidar cuando a la máquina virtual se le asigna una dirección interna que ya no coincide con la especificada en la regla.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 54
n Debe solicitar una dirección IP pública para la máquina virtual. Consulte Solicitar o liberar una dirección IP pública.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > NAT.
3 Haga clic en AGREGAR REGLA DE NAT y asigne un nombre a la regla.
4 Introduzca los parámetros de la regla de NAT.
Opción Descripción
Dirección IP pública Se rellena con la dirección IP pública aprovisionada de la máquina virtual.
Servicio Seleccione una de las siguientes opciones.
n Seleccione Todo el tráfico para crear una regla que se aplique a todo el tráfico.
n Seleccione uno de los servicios listados para crear una regla que se aplique solo al tráfico que utiliza ese protocolo y ese puerto.
Puerto público Si especificó Servicio en Todo el tráfico, el puerto público predeterminado será Cualquiera.
Si seleccionó un Servicio determinado, entonces, la regla se aplica al puerto público asignado para ese servicio.
IP interna Introduzca la dirección IP interna de la máquina virtual.
Puerto interno Si especificó Servicio en Todo el tráfico, el puerto interno predeterminado será Cualquiera.
Si seleccionó un Servicio determinado, entonces, la regla se aplica al puerto público asignado para ese servicio.
Firewall Especifique el modo en que el tráfico sujeto a esta regla de NAT se expondrá a las reglas de firewall. De forma predeterminada, las reglas de firewall coinciden con la combinación de IP interna y Puerto interno. Seleccione Coincidir con dirección externa para que las reglas de firewall coincidan con la combinación de IP externa y Puerto externo.
5 (opcional) Alterne Registro para registrar acciones de regla.
6 La nueva regla está habilitada de forma predeterminada. Desactive Habilitar para deshabilitarla.
7 Haga clic en GUARDAR para crear la regla.
Se crea la regla y se indica que el valor para Estado es Activo.
Crear reglas de firewall para administrar el tráfico entre las redes de cálculo y de administraciónEn la configuración predeterminada, las reglas de firewall impiden que las máquinas virtuales en la red de cálculo accedan a las máquinas virtuales en la red de administración. Para permitir que máquinas virtuales de carga de trabajo individuales accedan a máquinas virtuales de administración, cree grupos
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 55
de inventario de carga de trabajo y administración, y cree reglas de firewall de puerta de enlace de administración que hagan referencia a esos grupos.
Procedimiento
1 Cree grupos de inventario de carga de trabajo: uno para la red de administración y otro para la máquina virtual de carga de trabajo que desee que tenga acceso al grupo.
En la pestaña Redes y seguridad, haga clic en Grupos en la categoría Inventario y, a continuación, haga clic en Grupos de carga de trabajo. Crear dos grupos de carga de trabajo:
n Haga clic en AGREGAR GRUPO y cree un grupo con un Tipo de miembro de dirección IP y el bloque CIDR de la red de administración. Haga clic en GUARDAR para crear el grupo.
n Haga clic en AGREGAR GRUPO y cree un grupo con un Tipo de miembro de máquina virtual y una máquina virtual miembro del inventario de vSphere. Haga clic en GUARDAR para crear el grupo.
2 Cree un grupo de inventario de administración para representar la red de administración a la que desea acceder desde el grupo de carga de trabajo.
En la pestaña Redes y seguridad, haga clic en Grupos en la categoría Inventario y, a continuación, haga clic en Grupos de administración. Haga clic en AGREGAR GRUPO y cree un grupo con un Tipo de miembro de dirección IP y el bloque CIDR de la red de administración. Haga clic en GUARDAR para crear el grupo.
3 Cree una regla de firewall de puerta de enlace de cálculo que permita el tráfico saliente a la red de administración.
Consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo para obtener información sobre la creación de reglas de firewall de puerta de enlace de cálculo. Suponiendo que las máquinas virtuales de carga de trabajo solo necesiten acceder a vSphere y PowerCLI/OVFtool en máquinas virtuales de administración, la regla solo necesita permitir el acceso en el puerto 443.
Tabla 2-11. Regla de puerta de enlace de cálculo para permitir el tráfico saliente a ESXi y vCenter
Nombre Origen Destino Servicios Acción Se aplica a
Saliente a red de administración en puerto 443
IP privada de máquina virtual de carga de trabajo
Red de administración de VMC
HTTPS Permitir Todos los vínculos superiores
4 Cree una regla de firewall de puerta de enlace de administración que permita el tráfico entrante a vCenter Server y ESXi.
Consulte Agregar o modificar reglas de firewall de puerta de enlace de administración para obtener información sobre la creación de reglas de firewall de puerta de enlace de administración. Suponiendo que las máquinas virtuales de carga de trabajo solo necesiten acceder a vSphere, PowerCLI u OVFtool en vCenter y ESXi, la regla solo necesita permitir el acceso en el puerto 443.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 56
Tabla 2-12. Regla de puerta de enlace de administración para permitir el tráfico entrante a ESXi y vCenter
Nombre Origen Destino Servicios Acción
Entrante a puerto ESXi 443
IP privada de máquina virtual de carga de trabajo
ESXi HTTPS (TCP 443) Permitir
Entrante a puerto vCenter 443
IP privada de máquina virtual de carga de trabajo
vCenter HTTPS (TCP 443) Permitir
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 57
Configurar las funciones de supervisión y solución de problemas 3Utilice la funcionalidad de reflejo del puerto e IPFIX que NSX-T proporciona para supervisar las redes de SDDC y solucionar problemas de seguridad al respecto.
Los hosts ESXi del SDDC tienen acceso a la red superpuesta de forma predeterminada, lo que les permite comunicarse con las aplicaciones de solución de problemas y de supervisión implementadas como cargas de trabajo de máquina virtual en el SDDC. Sin embargo, el firewall debe estar configurado para permitir el tráfico entre los hosts ESXi y el segmento lógico al que las máquinas virtuales están conectadas.
n Configurar IPFIX
El protocolo IPFIX (Internet Protocol Flow Information Export) es un estándar de formato y exportación de la información del flujo de red para solucionar problemas, realizar labores de auditoría o recopilar información de análisis.
n Configurar reflejos de puerto
El reflejo del puerto permite replicar y redirigir todo el tráfico proveniente de un origen. El tráfico reflejado se envía encapsulado por un túnel GRE (encapsulación de enrutamiento genérico) hacia un recopilador, de forma que toda la información de paquete original se conserva mientras se atraviesa la red hacia un destino remoto.
n Ver información de la instancia de VPC conectada
La instancia de Amazon VPC conectada contiene el SDDC y todas sus redes. La información sobre esta VPC (a saber, las ENI activas, la subred de VPC y el identificador de VPC) está disponible en la pestaña Redes y seguridad.
Configurar IPFIXEl protocolo IPFIX (Internet Protocol Flow Information Export) es un estándar de formato y exportación de la información del flujo de red para solucionar problemas, realizar labores de auditoría o recopilar información de análisis.
Puede configurar la supervisión de flujos en un segmento lógico. Todos los flujos de las máquinas virtuales conectadas a ese segmento lógico se capturan y envían al recopilador de IPFIX. Los nombres de recopiladores se especifican como un parámetro para cada perfil de conmutador de IPFIX.
VMware, Inc. 58
Requisitos previos
Confirme que hay un segmento lógico configurado. Consulte Crear o modificar un segmento de red.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > IPFIX.
3 Para agregar un nuevo recopilador, haga clic en RECOPILADORES > AGREGAR NUEVO RECOPILADOR y coloque un nombre al recopilador.
Introduzca el puerto y la dirección IP del recopilador. El puerto UDP predeterminado es 4739. Se puede agregar un máximo de cuatro recopiladores de IPFIX.
4 Haga clic en GUARDAR para crear el recopilador.
5 Haga clic en PERFILES DE IPFIX DE CONMUTADOR para crear o editar un perfil de IPFIX de conmutador.
Consulte Configurar perfiles de IPFIX de conmutador en la Guía de administración de NSX-T Data Center para obtener más información sobre los parámetros del perfil de IPFIX de conmutador de NSX-T.
6 (opcional) Etiquete el perfil.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
7 Haga clic en GUARDAR para crear el perfil.
Pasos siguientes
Haga clic en el botón de puntos suspensivos junto al perfil de IPFIX de conmutador y haga clic en Editar para realizar cambios de configuración.
Configurar reflejos de puertoEl reflejo del puerto permite replicar y redirigir todo el tráfico proveniente de un origen. El tráfico reflejado se envía encapsulado por un túnel GRE (encapsulación de enrutamiento genérico) hacia un recopilador, de forma que toda la información de paquete original se conserva mientras se atraviesa la red hacia un destino remoto.
El reflejo del puerto se utiliza en las siguientes situaciones:
n Solución de problemas: analiza el tráfico para detectar intrusiones y errores de depuración y de diagnóstico en una red.
n Cumplimiento y supervisión: reenvía todo el tráfico supervisado a un dispositivo de red para analizarlo y corregirlo.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 59
El reflejo del puerto incluye un grupo de origen donde los datos se supervisan y un grupo de destino en el que se copian los datos recopilados. Los criterios de pertenencia del grupo de origen requieren que las máquinas virtuales se agrupen en función de la carga de trabajo (como grupo web o grupo de aplicaciones), mientras que los criterios de pertenencia del grupo de destino requieren que las máquinas virtuales se agrupen según las direcciones IP.
El reflejo del puerto tiene un punto de cumplimiento en el que se pueden aplicar reglas de directiva al entorno del SDDC.
La dirección del tráfico de reflejo del puerto puede ser de entrada, de salida o bidireccional.
n El tráfico de entrada es el tráfico de red saliente desde la máquina virtual hacia la red lógica.
n El tráfico de salida es el tráfico de red entrante desde la red lógica hacia la máquina virtual.
n El tráfico bidireccional es el tráfico de ida y vuelta desde la máquina virtual hacia la red lógica y viceversa. Esta es la opción predeterminada.
Consulte Agregar perfil de reflejo del puerto en la Guía de administración de NSX-T Data Center para obtener más información sobre el reflejo del puerto con NSX-T.
Requisitos previos
Confirme que hay disponibles grupos de carga de trabajo con los criterios de pertenencia de máquina virtual y dirección IP. Consulte Agregar o modificar un grupo de cálculo.
Procedimiento
1 Inicie sesión en Consola de VMC en https://vmc.vmware.com.
2 Seleccione Redes y seguridad > Reflejo del puerto.
3 En la página Reflejo del puerto, haga clic en AGREGAR PERFIL y asigne al perfil un nombre y una descripción opcional.
4 Especifique los parámetros del perfil.
Parámetro Descripción
Dirección Seleccione una dirección del tráfico en la lista desplegable.
Longitud del ajuste Especifique la cantidad de bytes que se capturarán de un paquete.
Origen Los orígenes pueden incluir segmentos, puertos de segmentos, grupos de máquinas virtuales y vNIC de grupos.
Destino Los destinos son grupos de hasta 3 direcciones IP. Puede utilizar grupos de inventario existentes o crear otros nuevos desde la página Establecer destino.
Tipo de encapsulación Debe ser GRE.
Clave GRE Un valor que identifica una determinada secuencia de datos GRE. Consulte RFC 6245.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 60
5 (opcional) Etiquete el perfil de reflejo del puerto.
Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.
6 Haga clic en GUARDAR para guardar la sesión.
Pasos siguientes
Haga clic en el botón de puntos suspensivos junto al perfil de reflejo del puerto y seleccione Editar para realizar cambios de configuración.
Ver información de la instancia de VPC conectadaLa instancia de Amazon VPC conectada contiene el SDDC y todas sus redes. La información sobre esta VPC (a saber, las ENI activas, la subred de VPC y el identificador de VPC) está disponible en la pestaña Redes y seguridad.
Haga clic en VPC conectada en la categoría Sistema de la pestaña Redes y seguridad para abrir la página Amazon VPC conectada, donde encontrará la siguiente información:
Identificador de cuenta de AWS
Identificador de cuenta de AWS que especificó al crear el SDDC.
Identificador de VPC Identificador de AWS de esta instancia de VPC.
Subred de VPC Identificador de AWS de la subred de VPC que especificó al crear el SDDC.
Interfaz de red activa Identificador de la ENI que VMC usa en esta instancia de VPC.
Nombres de las funciones IAM
Nombres de las funciones de administración de acceso e identidad de AWS definidas en esta instancia de VPC. Consulte Funciones y permisos de AWS en la Guía de operaciones de VMware Cloud on AWS.
Nombres de pila de CloudFormation
Nombre de la pila de AWS CloudFormation utilizada para crear el SDDC.
Acceso al servicio Lista de los servicios de AWS habilitados en esta instancia de VPC.
Redes y seguridad de VMware Cloud on AWS
VMware, Inc. 61