要在使用 VMware NSX® Data Center for vSphere® 的 SDDC 环境中启用 VMware Site Recovery,必须在内部部署数据中心和管理网关之间创建防火墙规则。可以使用防火墙规则加速器执行此操作,也可以手动执行。

前提条件

确认您已在 SDDC 上激活 VMware Site Recovery

过程

  1. 登录到 VMC 控制台 https://vmc.vmware.com
  2. 在“SDDC”卡上,单击查看详细信息
  3. 选择网络 > 管理网关 > 防火墙规则
  4. 单击添加规则
  5. 输入管理网关规则参数。
    管理网关控制传入和传出 SDDC 的管理流量。
    选项 描述
    规则名称

    输入规则的描述性名称。

    操作

    可用于管理网关防火墙规则的唯一操作是允许

    输入或选择以下选项之一作为源:

    • vCenter,允许从 SDDC vCenter Server 传出的流量。
    • Site Recovery Manager,允许从 SDDC Site Recovery Manager 传出的流量。
    • vSphere Replication,允许从 SDDC vSphere Replication 传出的流量。
    • ESXi,允许从 ESXi 主机传出的流量。
    • 远程网络的 CIDR。
    • 远程 ESXi 主机的 IP 地址,允许该主机到 SDDC 的流量。
    • 远程 Site Recovery Manager 设备的 IP 地址,允许该设备到 SDDC 的流量。
    • 远程 vSphere Replication 设备的 IP 地址,允许该设备到 SDDC 的流量。
    • 远程 vCenter Server Appliance 的 IP 地址,允许该设备到 SDDC 的流量。
    目标

    选择以下选项之一:

    • vCenter,允许传入 SDDC vCenter Server 的流量。
    • Site Recovery Manager,允许传入 SDDC Site Recovery Manager 的流量。
    • vSphere Replication,允许传入 SDDC vSphere Replication 的流量。
    • 远程网络的 CIRD,允许 SDDC 到该网络的流量。
    • 远程 ESXi 主机的 IP 地址,允许 SDDC 到该主机的流量。
    • 远程 Site Recovery Manager 设备的 IP 地址,允许 SDDC 到该设备的流量。
    • 远程 vSphere Replication 设备的 IP 地址,允许 SDDC 到该设备的流量。
    • 远程 vCenter Server Appliance 的 IP 地址,允许 SDDC 到该设备的流量。
    服务
    选择一个要应用此规则的服务。
    • HTTPS (TCP 443) 适用于 vCenter ServervSphere Replication 作为目标的情况。
    • SRM Server 管理 (TCP 9086) 仅适用于 Site Recovery Manager 作为目标的情况。
    • VR 服务器管理 (TCP 8043) 仅适用于 vSphere Replication 作为目标的情况。
    • 虚拟机复制(TCP 31031、44046)仅适用于 vSphere Replication 作为目标的情况。
    端口

    选定服务用于通信的端口。

  6. 重复上述步骤,应用 VMware Site Recovery 的以下入站和出站防火墙规则:
    表 1. VMware Site Recovery 的入站防火墙规则
    规则名称 操作 目标 服务 端口
    远程 Site Recovery ManagervCenter Server 允许 远程 Site Recovery Manager IP vCenter Server HTTPS (TCP 443) 443
    远程 vSphere ReplicationvCenter Server 允许 远程 vSphere Replication IP vCenter Server HTTPS (TCP 443) 443
    远程 Site Recovery Manager Site Recovery Manager 允许 远程 Site Recovery Manager IP Site Recovery Manager SRM Server 管理 (TCP 9086) 9086
    远程 vSphere Replication Site Recovery Manager 允许 远程 vSphere Replication IP Site Recovery Manager SRM Server 管理 (TCP 9086) 9086
    远程 ESXivSphere Replication 允许 远程 ESXi 主机 IP 或 ESXi 主机 CIDR 地址范围 vSphere Replication 虚拟机复制(TCP 31031、44046) 31031、44046
    远程 vSphere ReplicationvSphere Replication 允许 远程 vSphere Replication IP vSphere Replication VR 服务器管理 (TCP 8043) 8043
    远程 Site Recovery ManagervSphere Replication 允许 远程 Site Recovery Manager IP vSphere Replication VR 服务器管理 (TCP 8043) 8043
    远程用户浏览器到 vSphere Replication 允许 浏览器的子网 CIDR 或 IP 地址 vSphere Replication HTTPS (TCP 443) 443
    表 2. VMware Site Recovery 的出站防火墙规则
    规则名称 操作 目标 服务 端口
    Site Recovery Manager 到远程 vCenter Server 允许 Site Recovery Manager Platform Services Controller 和 vCenter Server IP HTTPS (TCP 443) 443
    vSphere Replication 到远程 vCenter Server 允许 vSphere Replication Platform Services Controller 和 vCenter Server IP HTTPS (TCP 443) 443
    Site Recovery Manager 到远程 Site Recovery Manager 允许 Site Recovery Manager 远程 Site Recovery Manager IP SRM Server 管理 (TCP 9086) 9086
    vSphere Replication 到远程 Site Recovery Manager 允许 vSphere Replication 远程 Site Recovery Manager IP SRM Server 管理 (TCP 9086) 9086
    ESXi 到远程 vSphere Replication 允许 ESXi 远程 vSphere Replication IP 地址(vSphere Replication 设备和任何 vSphere Replication 设备附加模块组合) 虚拟机复制(TCP 31031、44046) 31031、44046
    Site Recovery Manager 到远程 vSphere Replication 允许 Site Recovery Manager 远程 vSphere Replication IP VR 服务器管理 (TCP 8043) 8043
    vSphere Replication 到远程 vSphere Replication 允许 vSphere Replication 远程 vSphere Replication IP VR 服务器管理 (TCP 8043) 8043
    注: 如果内部部署 vCenter ServerPlatform Services Controller 实例位于不同的设备上,必须为其创建单独的规则。

结果

防火墙规则创建后,会显示在“管理网关 Edge 防火墙”列表中。可以根据需要编辑或删除任何规则。