在创建 VMware Cloud on AWS 云帐户之前,必须先创建网络连接并配置规则,以支持在 vCenter 中的 SDDC 与 vRealize Automation 中的 VMware Cloud on AWS 云帐户之间进行通信。

要支持 vRealize AutomationVMware Cloud on AWS SDDC 之间的通信,请配置所需的连接和规则。配置所需的网关访问和防火墙规则后,可以继续创建 VMware Cloud on AWS 云帐户的过程。

为了方便在 vCenter 中的现有 VMware Cloud on AWS 主机 SDDC 与 vRealize Automation Cloud Assembly 中的 VMware Cloud on AWS 云帐户之间建立所需连接,您必须使用 VPN 或类似的网络连接方式提供网络连接并添加防火墙规则。

VMC 管理员必须使用 VMware Cloud on AWS SDDC 控制台配置支持访问所需端口和协议的管理规则和防火墙规则。

为了方便在 vCenter 中的现有 VMware Cloud on AWS 主机 SDDC 与 vRealize Automation 中的 VMware Cloud on AWS 云帐户之间建立所需连接,您必须使用 VPN 或类似的网络连接方式在这两个元素之间提供网络连接。

  1. 通过公用 Internet 或 AWS Direct Connect 配置 VPN 连接。

    有关配置与内部部署数据中心的 VPN 连接以及为 VMware Cloud on AWS 配置 AWS Direct Connect 的信息,请参见 VMware Cloud on AWS 文档中的《VMware Cloud on AWS 网络和安全》

  2. 确认 vCenter Server FQDN 可在管理网络上的专用 IP 地址处解析。

    有关设置 vCenter Server FQDN 解析地址的信息,请参见 VMware Cloud on AWS 文档中的《VMware Cloud on AWS 网络和安全》

  3. 配置所需的防火墙规则。
    您必须在 VMware Cloud on AWS SDDC 控制台中配置管理网关防火墙规则,以支持通信。这些规则必须位于 管理网关防火墙规则区域中。通过使用 SDDC 控制台中 网络和安全选项卡上的选项创建防火墙规则。
    • 将使用 HTTPS (TCP 443) 服务的 ESXi 网络流量限制到 vRealize Automation 设备/服务器或 vRealize Automation 负载均衡器 VIP 的已发现 IP 地址。
    • 将使用 ICMP(全部 ICMP)、SSO (TCP 7444) 和 HTTPS (TCP 443) 服务的 vCenter 网络流量限制到 vRealize Automation 设备/服务器或 vRealize Automation 负载均衡器 VIP 的已发现 IP 地址。
    • 将使用 HTTPS (TCP 443) 服务的 NSX-T Manager 网络流量限制到 vRealize Automation 设备/服务器或 vRealize Automation 负载均衡器 VIP 的已发现 IP 地址。

    下表汇总了所需的防火墙规则。

    表 1. 必需的管理网关防火墙规则摘要
    名称 目标 服务
    vCenter 内部部署数据中心的 CIDR 块 vCenter 任意(所有流量)
    vCenter 任意 vCenter ICMP(所有 ICMP)
    NSX-T Manager 内部部署数据中心的 CIDR 块 NSX-T Manager 任意(所有流量)
    内部部署到 ESXi ping 内部部署数据中心的 CIDR 块 仅 ESXi 管理 ICMP(所有 ICMP)
    内部部署到 ESXi 远程控制台和置备 内部部署数据中心的 CIDR 块 仅 ESXi 管理 TCP 902
    内部部署到 SDDC 虚拟机 内部部署数据中心的 CIDR 块 SDDC 逻辑网络的 CIDR 块 任意(所有流量)
    SDDC 虚拟机到内部部署 SDDC 逻辑网络的 CIDR 块 内部部署数据中心的 CIDR 块 任意(所有流量)

    有关相关信息,请参见 VMware Cloud on AWS 文档中的《VMware Cloud on AWS 网络和安全》《VMware Cloud on AWS 操作指南》