在创建 VMware Cloud on AWS 云帐户之前,必须先创建网络连接并配置规则,以支持在 vCenter 中的 SDDC 与 vRealize Automation 中的 VMware Cloud on AWS 云帐户之间进行通信。
要支持 vRealize Automation 与 VMware Cloud on AWS SDDC 之间的通信,请配置所需的连接和规则。配置所需的网关访问和防火墙规则后,可以继续创建 VMware Cloud on AWS 云帐户的过程。
为了方便在 vCenter 中的现有 VMware Cloud on AWS 主机 SDDC 与 vRealize Automation Cloud Assembly 中的 VMware Cloud on AWS 云帐户之间建立所需连接,您必须使用 VPN 或类似的网络连接方式提供网络连接并添加防火墙规则。
VMC 管理员必须使用 VMware Cloud on AWS SDDC 控制台配置支持访问所需端口和协议的管理规则和防火墙规则。
为了方便在 vCenter 中的现有 VMware Cloud on AWS 主机 SDDC 与 vRealize Automation 中的 VMware Cloud on AWS 云帐户之间建立所需连接,您必须使用 VPN 或类似的网络连接方式在这两个元素之间提供网络连接。
- 通过公用 Internet 或 AWS Direct Connect 配置 VPN 连接。
有关配置与内部部署数据中心的 VPN 连接以及为 VMware Cloud on AWS 配置 AWS Direct Connect 的信息,请参见 VMware Cloud on AWS 文档中的《VMware Cloud on AWS 网络和安全》。
- 确认 vCenter Server FQDN 可在管理网络上的专用 IP 地址处解析。
有关设置 vCenter Server FQDN 解析地址的信息,请参见 VMware Cloud on AWS 文档中的《VMware Cloud on AWS 网络和安全》。
- 配置所需的防火墙规则。
您必须在 VMware Cloud on AWS SDDC 控制台中配置管理网关防火墙规则,以支持通信。这些规则必须位于 管理网关防火墙规则区域中。通过使用 SDDC 控制台中 网络和安全选项卡上的选项创建防火墙规则。
- 将使用 HTTPS (TCP 443) 服务的 ESXi 网络流量限制到 vRealize Automation 设备/服务器或 vRealize Automation 负载均衡器 VIP 的已发现 IP 地址。
- 将使用 ICMP(全部 ICMP)、SSO (TCP 7444) 和 HTTPS (TCP 443) 服务的 vCenter 网络流量限制到 vRealize Automation 设备/服务器或 vRealize Automation 负载均衡器 VIP 的已发现 IP 地址。
- 将使用 HTTPS (TCP 443) 服务的 NSX-T Manager 网络流量限制到 vRealize Automation 设备/服务器或 vRealize Automation 负载均衡器 VIP 的已发现 IP 地址。
下表汇总了所需的防火墙规则。
表 1. 必需的管理网关防火墙规则摘要 名称 源 目标 服务 vCenter 内部部署数据中心的 CIDR 块 vCenter 任意(所有流量) vCenter 任意 vCenter ICMP(所有 ICMP) NSX-T Manager 内部部署数据中心的 CIDR 块 NSX-T Manager 任意(所有流量) 内部部署到 ESXi ping 内部部署数据中心的 CIDR 块 仅 ESXi 管理 ICMP(所有 ICMP) 内部部署到 ESXi 远程控制台和置备 内部部署数据中心的 CIDR 块 仅 ESXi 管理 TCP 902 内部部署到 SDDC 虚拟机 内部部署数据中心的 CIDR 块 SDDC 逻辑网络的 CIDR 块 任意(所有流量) SDDC 虚拟机到内部部署 SDDC 逻辑网络的 CIDR 块 内部部署数据中心的 CIDR 块 任意(所有流量) 有关相关信息,请参见 VMware Cloud on AWS 文档中的《VMware Cloud on AWS 网络和安全》和《VMware Cloud on AWS 操作指南》。