在默认配置中,防火墙规则会阻止计算网络上的虚拟机访问管理网络上的虚拟机。要允许单个工作负载虚拟机访问管理虚拟机,请创建工作负载和管理清单组,然后创建引用它们的管理网关防火墙规则。

过程

  1. 创建工作负载清单组:一个用于管理网络,另一个用于要访问的工作负载虚拟机。
    网络与安全选项卡上,单击 清单类别中的 ,然后单击 工作负载组。创建两个工作负载组:
    • 单击添加组,并创建一个成员类型为 IP 地址且包含管理网络 CIDR 块的组。单击保存以创建组。
    • 单击添加组,创建一个成员类型为虚拟机且包含 vSphere 清单中的虚拟机的组。单击保存以创建组。
  2. 创建管理清单组,以表示要从工作负载组访问的管理网络。
    网络与安全选项卡上,单击 清单类别中的 ,然后单击 管理组。单击 添加组,并创建一个 成员类型为 IP 地址且包含管理网络 CIDR 块的组。单击 保存以创建组。
  3. 创建一个允许流向管理网络的出站流量的计算网关防火墙规则。
    有关创建计算网关防火墙规则的信息,请参见 添加或修改计算网关防火墙规则。假设您的工作负载虚拟机只需要访问管理虚拟机上的 vSphere 和 PowerCLI/OVFtool,则该规则只需要允许在端口 443 上进行访问。
    表 1. 允许到 ESXi 和 vCenter 的出站流量的计算网关规则
    名称 目标 服务 操作 已应用于
    到端口 443 上的管理网络的出站流量 工作负载虚拟机专用 IP VMC 管理网络 HTTPS 允许 所有上行链路
  4. 创建一个允许到 vCenter server 和 ESXi 的入站流量的管理网关防火墙规则。
    有关创建管理网关防火墙规则的信息,请参见 添加或修改管理网关防火墙规则。假设您的工作负载虚拟机只需要访问 vCenter 和 ESXi 上的 vSphere、PowerCLI 或 OVFtool,则该规则只需要允许在端口 443 上进行访问。
    表 2. 允许到 ESXi 和 vCenter 的入站流量的管理网关规则
    名称 目标 服务 操作
    到 ESXi 端口 443 的入站流量 工作负载虚拟机专用 IP ESXi HTTPS (TCP 443) 允许
    到 vCenter 端口 443 的入站流量 工作负载虚拟机专用 IP vCenter HTTPS (TCP 443) 允许