要在使用 VMware NSX-T® 的 SDDC 环境中启用 VMware Site Recovery,必须在内部部署数据中心和管理网关之间创建防火墙规则。初始配置防火墙规则后,可以根据需要添加、编辑或删除任何规则。

此图显示您处于工作流的步骤 6。步骤 6 将为 VMware Site Recovery 设置防火墙规则。

前提条件

  • 确认您已在 SDDC 上激活 VMware Site Recovery

过程

  1. 登录到 VMware Cloud on AWS 控制台 (https://vmc.vmware.com)。
  2. 选择网络和安全 > 网关防火墙 > 管理网关
  3. 单击添加新规则
  4. 输入管理网关规则参数。
    管理网关控制传入和传出 SDDC 的管理流量。
    选项 描述
    名称 输入规则的描述性名称。
    单击 设置源,然后输入或选择以下选项之一:
    • 选择任意,允许从任何源地址或地址范围传出的流量。
      重要说明: 尽管您可以选择 任意作为防火墙规则中的源地址,但使用 任意作为此防火墙规则中的源地址可能会对 SDDC 造成攻击,并且可能会导致 SDDC 受到危害。最佳做法是将此防火墙规则配置为仅允许从受信任的源地址进行访问。请参见 VMware 知识库文章 84154
    • 选择系统定义的组,然后选择以下源选项之一。
      • vCenter,允许从 SDDC vCenter Server 传出的流量。
      • Site Recovery Manager,允许从 SDDC Site Recovery Manager 传出的流量。
      • vSphere Replication,允许从 SDDC vSphere Replication 传出的流量。
    • 选择用户定义的组以输入远程网络的名称和 CIDR IP 范围。
    目标
    单击 设置目标,然后输入或选择以下选项之一:
    • 选择任意,允许传入任何目标地址或地址范围的流量。
    • 选择系统定义的组,然后选择以下目标选项之一。
      • vCenter,允许传入 SDDC vCenter Server 的流量。
      • Site Recovery Manager,允许传入 SDDC Site Recovery Manager 的流量。
      • vSphere Replication,允许传入 SDDC vSphere Replication 的流量。
    • 选择用户定义的组以输入远程网络的名称和 CIDR IP 范围。
    服务

    选择一个要应用此规则的服务。

    • HTTPS (TCP 443) 适用于 vCenter ServervSphere Replication 作为目标的情况。
    • VMware Site Recovery SRM 仅适用于 Site Recovery Manager 作为目标的情况。
    • VMware Site Recovery vSphere Replication 仅适用于 vSphere Replication 作为目标的情况。
    操作 可用于管理网关防火墙规则的唯一操作是允许
  5. 重复上述步骤,为 VMware Site Recovery 应用以下防火墙规则。
    名称 目标 服务 操作
    远程 SRM 到 vCenter Server 包括远程 Site Recovery Manager IP 地址的“用户定义的组”。 vCenter HTTPS (TCP 443) 允许
    远程 VR 到 vCenter Server 包括远程 vSphere Replication IP 地址的“用户定义的组”。 vCenter HTTPS (TCP 443) 允许
    远程网络到 SRM(SRM Server 管理) 包括远程 Site Recovery ManagervSphere Replication IP 地址的“用户定义的组”。 Site Recovery Manager VMware Site Recovery SRM 允许
    远程网络到 VR(虚拟机复制) 包括远程 ESXi 主机 IP 地址的“用户定义的组”。 vSphere Replication VMware Site Recovery vSphere Replication 允许
    远程网络到 VR(VR 服务器管理) 包括远程 Site Recovery ManagervSphere Replication IP 地址的“用户定义的组”。 vSphere Replication VMware Site Recovery vSphere Replication 允许
    远程网络到 VR(UI 和 API) 包括远程浏览器 IP 地址的用户定义的组。 vSphere Replication VMware Site Recovery vSphere Replication 允许
    SRM (HTTPS) 到远程网络 Site Recovery Manager “任意”或包括远程 Platform Services ControllervCenter Server IP 地址的“用户定义的组”。 任意 允许
    VR (HTTPS) 到远程网络 vSphere Replication “任意”或包括远程 Platform Services ControllervCenter Server IP 地址的“用户定义的组”。 任意 允许
    SRM(SRM Server 管理)到远程网络 Site Recovery Manager “任意”或包括远程 Site Recovery Manager IP 地址的“用户定义的组”。 任意 允许
    VR(SRM Server 管理)到远程网络 vSphere Replication “任意”或包括远程 Site Recovery Manager IP 地址的“用户定义的组”。 任意 允许
    ESXi(虚拟机复制)到远程网络 ESXi “任意”或包括远程 vSphere Replication IP 地址(vSphere Replication 设备和任何 vSphere Replication 设备附加模块组合)的“用户定义的组”。 任意 允许
    SRM(VR 服务器管理)到远程网络 Site Recovery Manager “任意”或包括远程 vSphere Replication IP 地址的“用户定义的组”。 任意 允许
    VR(VR 服务器管理)到远程网络 vSphere Replication “任意”或包括远程 vSphere Replication IP 地址的“用户定义的组”。 任意 允许
  6. 单击发布

结果

防火墙规则创建后,会显示在“管理网关 Edge 防火墙”列表中。