Tworzenie reguł Firewall – Atman VMware Cloud

Utworzona maszyna wirtualna domyślnie podlega domyślnej regule Firewall, blokującej ruch North-South. Należy utworzyć regułę SNAT (poprzedni punkt) oraz regułę firewall, aby umożliwić maszynie wirtualnej dostęp do sieci publicznej.

1. Z poziomu routera T1 należy przejść do zakładki Firewall. Domyślnie dostępna jest reguła Any <-> Any z akcją DROP.
   
2. Reguły Firewall tworzone są w oparciu o 2 obiekty:
   1. IP Sets – zakresy IP lub pojedyncze adresy IP, które mogą być używane jako Source lub Destination dla reguły.
   2. Static Group – wskazanie sieci wirtualnej, które pozwala na zaaplikowanie reguły do wszystkich maszyn wirtualnych powiązanych z tą siecią.
      Należy przejść do zakładki Security \ Static Groups aby utworzyć powiązanie maszyn wirtualnych z wykorzystywaną siecią Routed, wybrać przycisk NEW, wpisać nazwę Static Group i zatwierdzić przyciskiem SAVE.
      
3. Wybrać utworzoną Static Group i wybrać opcję Manage Members, aby dodać sieć zawierającą maszyny wirtualne, które mają podlegać regule Firewall.
   
4. Zaznaczamy sieć, z której maszyny mają zostać objęte regułą i wybieramy SAVE
   
   
5. Wybierając opcję Associated VMs możemy podejrzeć, jakie maszyny powiązane są z utworzoną Static Group.
   
6. W przypadku chęci wykorzystania IP Set wybrać opcję Security \ IP Set i przycisk NEW. Następnie podać nazwę oraz adres IP lub zakres lub CIDR, które mają być wykorzystywane w tym IP Set, a kolejno w regule Firewall.
   
7. Po utworzeniu Static Group lub IP Set przejść do zakładki Firewall i wybrać opcję Edit Rules. Następnie wybrać w kolejnym oknie opcję NEW ON TOP, która utworzy wpis dla nowej reguły Firewall.
   
8. Wpisać nazwę reguły oraz przy pomocy opcji ołówka wybrać:
   1. jaki typ ruchu ma być dozwolony w ramach reguły (Application)
      
   2. źródło jako utworzoną Static Group
      
   3. cel jako Any dla dostępu do sieci publicznej oraz typ akcji na ALLOW.
      
9. Maszyna wirtualna ma już możliwość ruchu ICMP do sieci publicznej, np. do 8.8.8.8.
   
   Niestety maszyna nie ma możliwości rozwiązywania nazw w sieci publicznej.
   
10. Należy edytować wcześniej dodaną regułę używając przycisk ołówka.
    
11. Wybrać opcję edycji sekcji Applications dla utworzonej reguły.
    
12. Wybrać typ ruchu DNS i zatwierdzić regułę firewall.
    
13. Maszyna wirtualna będzie miała możliwość rozwiązywania nazw w oparciu o DNS w sieci publicznej (8.8.8.8).