在默认配置中,防火墙规则会阻止计算网络上的虚拟机访问管理网络上的虚拟机。要允许单个工作负载虚拟机访问管理虚拟机,请创建工作负载和管理清单组,然后创建引用它们的管理网关防火墙规则。
过程
- 登录到 VMware Cloud Services (https://vmc.vmware.com)。
- 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息。
- 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理。
也可以使用 VMware Cloud 控制台的 网络与安全选项卡执行此工作流。
- 创建计算清单组:一个用于管理网络,另一个用于要访问的工作负载虚拟机。
在 清单页面中,单击 组 > 计算组,然后创建两个组:
- 单击添加组 > 设置成员,然后打开 IP 地址页面,单击输入 IP 地址,并键入管理网络的 CIDR 块。单击应用,然后单击保存以创建组。
- 单击添加组 > 设置成员,然后单击成员资格标准 > 添加标准,并在 vSphere 清单中指定虚拟机。单击应用,然后单击保存以创建组。
- 创建管理组,其中包括要从计算组访问的管理网络。
在 清单页面上,单击 组 > 管理组。在 选择成员页面上,单击 输入 IP 地址,然后键入管理网络的 CIDR 块。单击 应用,然后单击 保存以创建组。
- 创建一个允许 vCenter Server 和 ESXi 的入站流量的管理网关防火墙规则。
有关创建管理网关防火墙规则的信息,请参见 添加或修改管理网关防火墙规则。假设您的工作负载虚拟机只需要访问 vSphere、PowerCLI 或 OVFtool,则该规则需要只允许在端口 443 上进行访问。
表 1. 允许到 ESXi 和 vCenter 的入站流量的管理网关规则 名称 源 目标 服务 操作 ESXi 的入站流量 工作负载虚拟机专用 IP ESXi HTTPS (TCP 443) 允许 vCenter 专用 IP 的入站流量 工作负载虚拟机专用 IP vCenter 专用 IP HTTPS (TCP 443) 允许 vCenter 公用 IP 的入站流量 具有已通过 NAT 转换的 IP 的工作负载虚拟机 vCenter 公用 IP HTTPS (TCP 443) 允许