LogoLogo
HI GIO User Guide VN
HI GIO User Guide VN
  • Trung tâm trợ giúp HI GIO Cloud
    • HI GIO Cloud Website
    • HI GIO Cloud Sales Portfolio
  • COMPUTE
    • 1. Thao tác với VM
      • Tạo máy ảo mới từ ISO
      • Tạo máy ảo mới từ Template
      • Cài đặt VMware Tools cho máy ảo
      • Xem VM
      • Thực hiện các thao tác nguồn trên máy ảo
      • Chỉnh sửa các thuộc tính của máy ảo mới
      • Tạo VM's Template
      • Buộc thay đổi mật khẩu root/administrator
      • ​Xóa đĩa an toàn trong hệ điều hành Windows
    • 2. Thao tác với vAPP
      • Tạo vAPP
      • Cấu hình thứ tự khởi động và tắt máy của VM trong vApp
    • 3. HI GIO Auto Scale
    • 4. HI GIO API
      • API tạo VM từ Template
      • API cấu hình lại Disk của VM
      • API cấu hình lại Network của VM
      • API đăng nhập bằng Token
      • API cấu hình lại Memory của VM
      • API cấu hình lại CPU của VM
      • API bật/tắt nguồn VM
    • 5. HI GIO KMS Service
    • 6. Encryption Management Service
  • HI GIO S3 STORAGE
    • Đăng nhập vào HI GIO S3 Storage Portal
    • Cách lấy S3 Key
    • Mount HI GIO S3 Storage vào Windows
    • Quản lý Bucket
      • Cách tạo Bucket mới
      • Cài đặt Public hoặc Private ACL cho Bucket
      • Versioning
      • Lifecycle Rule
      • Bucket Policy
    • Quản lý Tệp, Thư mục
      • Tạo thư mục
      • Tải lên thư mục/tệp
      • Tải xuống thư mục/tệp
      • Lấy liên kết tải xuống của tệp
      • Quản lý phiên bản tệp
    • Kết nối dịch vụ S3 với Veeam Backup
      • Kết nối HI GIO S3 với Veeam Backup
    • Sao lưu dữ liệu từ NAS lên dịch vụ HI GIO S3
      • Sao lưu dữ liệu từ Synology NAS với ClouSync
      • Sao lưu dữ liệu từ Synology NAS với Hyper Backup
    • Mã hóa dữ liệu S3 – SSE-C và SSE-S3
  • BACK-UP AS A SERVICE
    • 1. HI GIO BaaS
      • BaaS Support Matrix
      • Cài đặt Veeam Agent cho Linux
      • Cài đặt Veeam Agent cho Windows
      • Cập nhật Veeam Service Provider Console Management Agent v.7 & Backup Agent v.6
      • Tạo backup job trên hệ điều hành Linux qua Veeam agent console
      • Tạo backup job trên hệ điều hành Windows qua Veeam agent console
      • Tạo backup job cho Linux qua Portal
      • Tạo backup job cho Windows qua Portal
      • Khôi phục Linux VM trên HIGIO Cloud qua tệp Media (ISO file)
      • Khôi phục Windows VM trên HI GIO Cloud qua tệp Media (ISO file)
      • Cách cấu hình nhận cảnh báo từ BaaS
      • Workaround
        • Cài đặt Veeam Agent cho CentOS 9 Stream
        • Cài đặt Veeam Agent cho CentOS 8 Stream
        • Cài đặt Veeam Agent cho RHEL 9.2
    • 2. HI GIO Backup
      • Khôi phục toàn bộ VM qua cổng vCD
      • Instant Recovery
    • 3. HI GIO M365 BaaS
  • HI GIO DRaaS
    • Cách Cài Đặt vCDA Trên On-Premises appliance
    • Cách Sử Dụng vCDA trên On-Premises
    • Stretching layer 2 networks cho HI GIO's DRaaS
      • Chuẩn bị cấu hình
      • Triển khai NSX Autonomous Edge (on-premises site).
      • Đăng ký và cấu hình mạng của NSX Autonomous Edge tại site on-premises.
      • Tạo L2 VPN server session (HI GIO site).
      • Tạo L2 VPN - Client session (on-premises site)
      • (Tùy chọn) Triển khai NSX Autonomous Edge thứ hai ở chế độ HA (on-premises site).
    • KỊCH BẢN FAILOVER
      • ENVIRONMENT
      • FAILOVER
        • Bước 1: Tạo protection job (từ site On-Premises).
        • Bước 2: Cấu hình Network Settings cho On-Premises to Cloud Replications
        • Bước 3P: - Partial failover VMs (VM - APP1) từ on-premise site to HI GIO site.
        • Bước 3F: - Full failover vAPP1 (VM - APP1 & VM - DB1) từ on-premise site to HI GIO
        • Bước 4: Sao chép ngược (reverse replication) của máy ảo từ site HI GIO Cloud về On-Premises.
        • Bước 5: Di chuyển các máy ảo từ site HI GIO Cloud về On-Premises.
        • Bước 6: Tái bảo vệ các máy ảo từ On-Premises đến HI GIO Cloud.
        • FAQs
  • NETWORK
    • 1. Làm việc với mạng (Network)
      • Quản lý Organization VDC Networks
      • Tạo NAT Rules trên Edge Gateway
      • Sử dụng Edge Gateway Firewall
      • Sử dụng Distributed Firewall trong Data Center Group
    • 2. VPN
      • IPSec parameters
      • IPSec VPN
      • Hướng dẫn cấu hình IPSec Remote Access VPN Clients trên Windows
    • 3. Load Balancer
      • Import SSL Certificate
      • Tạo Pool trong Load Balancing
      • Tạo Virtual Service (VS) trên Load Balancing
      • Mở Firewall Rule để Public Service ra Internet
      • Giám sát Traffic Analytics
      • Cách sử dụng WAF trên HI GIO Portal
  • MANAGEMENT
    • 1. IAM Portal
      • Kích hoạt tài khoản HI GIO - IAM
      • HI GIO Portal – Tenant User Guide
      • Cài Đặt Thời Gian Hết Hạn Mật Khẩu
      • Cài đặt Passkey
      • Giám sát Máy Ảo HI GIO
      • Cảnh Báo Giám Sát HI GIO - Kênh Thông Báo qua Email
      • Cảnh Báo Giám Sát HI GIO - Kênh Thông Báo qua Telegram
    • 2. Tạo Catalog
  • HI GIO Kubernetes
    • 1. Các bước tạo Kubernetes Cluster trên HI GIO Portal
    • 2. Cách thay đổi kích thước Kubernetes Cluster trên HI GIO Portal
    • 3. Mở rộng dung lượng đĩa cho các node trong Kubernetes Cluster trên HI GIO Portal
    • 4. Cách nâng cấp Kubernetes Cluster trên HI GIO Portal
    • 5. Triển khai ứng dụng demo với persistence volume và public app qua ingress controller
    • 6. Cách cấu hình autoscale Kubernetes Cluster trên HI GIO Portal
Powered by GitBook
On this page
  • Tổng quan
  • Quy trình
Export as PDF
  1. NETWORK
  2. 1. Làm việc với mạng (Network)

Sử dụng Distributed Firewall trong Data Center Group

PreviousSử dụng Edge Gateway FirewallNext2. VPN

Last updated 4 months ago

Tổng quan

HI GIO hỗ trợ dịch vụ distributed firewall cho data center group. Bạn tạo một chính sách bảo mật mặc định áp dụng cho data center group.

Chính sách này có thể kiểm tra mọi gói tin và khung tin đến và đi từ VM, bất kể cấu trúc mạng. Việc kiểm tra gói tin được thực hiện ở mức vNIC (network interface ảo) của VM, cho phép áp dụng các danh sách kiểm soát truy cập (ACL) gần nhất với nguồn.

Quy trình

TĐể tạo các quy tắc distributed firewall và thêm chúng vào data center group, bạn cần định nghĩa một số đối tượng sau:

Name: Tên của quy tắc.

Source: IP Sets\Dynamic Groups\Static Group (1.1, 1.2, 1.3, 1.4)

Destination: IP Sets\Dynamic Groups\Static Group (1.1, 1.2, 1.3, 1.4)

Application: Chọn ứng dụng với cổng để áp dụng quy tắc (1.5)

Action: Allow\Reject\Drop

IP Protocol: IPv4/IPv6 hoặc cả hai

  • Thêm một IP Set vào Data Center Group

Thêm một IP Set vào Data Center Group: IP Sets là các nhóm địa chỉ IP và mạng mà các quy tắc distributed firewall áp dụng (cho Source và Destination). Việc kết hợp nhiều đối tượng vào IP Sets giúp giảm số lượng quy tắc distributed firewall cần tạo ra.

Bước 1: Trong thanh điều hướng trên cùng, nhấp vào Networking và sau đó nhấp vào Data Center Groups

Bước 2: Nhấp vào tên data center group

Bước 3: Under SecurityDưới Security, nhấp vào IP Sets.

Bước 4: Click Nhấp vào New.

Bước 5: Nhập một Name có ý nghĩa và Description cho IP Sets.

Bước 6: Nhập một địa chỉ IPv4, địa chỉ IPv6 hoặc dải địa chỉ theo định dạng CIDR và nhấp vào Add.

Bước 7: Để sửa đổi một địa chỉ IP hoặc dải địa chỉ hiện tại, nhấp vào Modify và chỉnh sửa giá trị.

Bước 8: Nhấp vào Save để xác nhận.

  • Tạo một Static Security Group

Static Security Groups là các mạng data center group mà các quy tắc distributed firewall áp dụng (cho Source và Destination). Việc nhóm các mạng lại giúp giảm số lượng quy tắc distributed firewall cần tạo ra.

Bước 1: Trong thanh điều hướng trên cùng, nhấp vào Networking và sau đó nhấp vào tab Data Center Groups.

Bước 2: Nhấp vào tên data center group.

Bước 3: Dưới Security, nhấp vào Static Groups.

Bước 4: Nhấp vào New.

Bước 5: Nhập Name và Description cho static group và nhấp vào Save.

Static security group sẽ xuất hiện trong danh sách.

Bước 6: Chọn static security group mới tạo và nhấp Manage Members.

Bước 7: Chọn các mạng data center group mà bạn muốn thêm vào static security group >> Save.

  • Gán Security Tags cho VM:

Các security tags bạn tạo và gán cho các máy ảo giúp bạn xác định các quy tắc edge gateway và distributed firewall.

Bước 1: Trong thanh điều hướng trên cùng, nhấp vào Networking.

Bước 2: Nhấp vào Security Tags.

Bước 3: Nhấp vào Add Tag.

Bước 4: Nhập tên tag.

Bước 5: Từ danh sách các máy ảo trong tổ chức, chọn những máy cần gán tag mới tạo.

Bước 6: Nhấp Save.

  • Tạo Dynamic Security Group:

Bạn có thể xác định dynamic security groups của các máy ảo dựa trên các tiêu chí cụ thể (VM Name hoặc Tag Name) để áp dụng các quy tắc distributed firewall.

Bước 1:Trong thanh điều hướng trên cùng, nhấp vào Networking và sau đó nhấp vào tab Data Center Groups.

Bước 2: Nhấp vào tên data center group.

Bước 3: Dưới Security, nhấp vào Dynamic Groups.

Bước 4: Nhấp New.

Bước 5: Nhập tên và mô tả cho dynamic security group.

Bước 6:Để tạo Criterion cho việc thêm vào nhóm, thêm tối đa bốn quy tắc áp dụng cho VM Name hoặc VM security tag.

  • VM Name: quy tắc áp dụng cho tên VM chứa hoặc bắt đầu với một từ mà bạn chỉ định.

  • VM tag: quy tắc áp dụng cho tag VM có giá trị bằng, chứa, bắt đầu hoặc kết thúc với từ mà bạn chỉ định.

Tôi đã tạo 02 quy tắc

  • VM Name: Bắt đầu với “demo”

  • VM Tag: Bằng “non-prd” (mà bạn đã tạo trong 1.3)

Bước 7: Nhấp Save.

  • Thêm Custom Application Port Profile:

Bạn có thể sử dụng các application port profiles đã cấu hình sẵn hoặc tùy chỉnh để tạo các quy tắc distributed firewall.

Các application port profiles bao gồm một sự kết hợp của giao thức và cổng hoặc một nhóm cổng được sử dụng cho dịch vụ firewall.

Bước 1: Trong thanh điều hướng trên cùng, nhấp vào Networking và sau đó nhấp vào tab Data Center Groups.

Bước 2: Nhấp vào tên data center group.

Bước 3: Dưới Security, nhấp vào Application Port Profiles.

Bước 4: Trong phần Custom Applications, nhấp vào New.

Bước 5: Nhập tên và mô tả cho application port profile.

Bước 6: Từ menu thả xuống Protocol, chọn giao thức: TCP, UDP, ICMPv4, ICMPv6.

Bước 7: Nhập một cổng, hoặc một dãy các cổng, cách nhau bằng dấu phẩy, và nhấp Save.

Chúng ta đã có các đối tượng được định nghĩa sẵn trong phần trước. Sau đây là cách tạo các quy tắc distributed firewall:

  1. Trong thanh điều hướng trên cùng, nhấp vào Networking và sau đó nhấp vào tab Data Center Groups.

2. Nhấp vào tên data center group.

3. Nhấp vào tab Distributed Firewall bên trái.

4. Nhấp Edit Rules.

5. Để thêm một quy tắc firewall, nhấp vào New on Top.

LƯU Ý: Mỗi phiên lưu lượng mạng sẽ được kiểm tra theo quy tắc đầu tiên trong bảng firewall trước khi tiếp tục qua các quy tắc tiếp theo trong bảng. Quy tắc đầu tiên trong bảng mà khớp với các tham số lưu lượng sẽ được thực thi.

6. Cấu hình quy tắc:

Name: [Tên của quy tắc]

State: [Kích hoạt hoặc tắt quy tắc bằng công tắc]

Applications: Chọn các hồ sơ mặc định hoặc các hồ sơ tùy chỉnh đã tạo trong 1.5.

Context: (Tùy chọn) Chọn hồ sơ ngữ cảnh cho quy tắc.

Source: Chọn Any hoặc đối tượng đã tạo trong 1.1, 1.2, 1.3, 1.4.

Destination: Chọn Any hoặc đối tượng đã tạo trong 1.1, 1.2, 1.3, 1.4.

Action: Allow\Reject\Drop

IP Protocol: IPv4/IPv6 hoặc cả hai.

Logging: [Kích hoạt hoặc tắt bằng công tắc] Kích hoạt để có nhật ký các phép dịch địa chỉ được thực hiện bởi quy tắc này.

7. Nhấp Save.

Không xóa các quy tắc có tên bắt đầu bằng HIGIO (nếu có).