In der Standardkonfiguration verhindern Firewallregeln, dass VMs im Computing-Netzwerk auf VMs im Verwaltungsnetzwerk zugreifen. Um einzelnen Workload-VMs den Zugriff auf Verwaltungs-VMs zu ermöglichen, erstellen Sie Arbeitslast- und Verwaltungs-Bestandslistengruppen und erstellen Sie dann Verwaltungs-Gateway-Firewallregeln, die auf sie verweisen.

Prozedur

  1. Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
  2. Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
  3. Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der SDDC-Seite Einstellungen angezeigt wird. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
    Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden.
  4. Erstellen Sie Computing-Bestandslistengruppen: eine für das Verwaltungsnetzwerk und eine für die Arbeitslast-VM, die darauf zugreifen soll.
    Klicken Sie auf der Seite Bestandsliste auf Gruppen > Computing-Gruppen und erstellen Sie zwei Gruppen:
    • Klicken Sie auf GRUPPE HINZUFÜGEN > Mitglieder festlegen öffnen Sie dann die Seite IP-Adressen, klicken Sie auf IP-Adresse eingeben und geben Sie den CIDR-Block des Verwaltungsnetzwerks ein. Klicken Sie auf ANWENDEN und SPEICHERN, um die Gruppe zu erstellen.
    • Klicken Sie auf GRUPPE HINZUFÜGEN > Mitglieder festlegen, klicken Sie dann auf Mitgliedschaft-Kriterien > KRITERIEN HINZUFÜGEN und geben Sie eine Virtuelle Maschine in Ihrer vSphere-Bestandsliste an. Klicken Sie auf ANWENDEN und SPEICHERN, um die Gruppe zu erstellen.
  5. Erstellen Sie eine Verwaltungsgruppe, die das Verwaltungsnetzwerk enthält, auf das Sie über die Computing-Gruppe zugreifen möchten.
    Klicken Sie auf der Seite Bestandsliste auf Gruppen > Verwaltungsgruppen. Klicken Sie auf der Seite Mitglieder auswählen auf IP-Adresse eingeben und geben Sie den CIDR-Block des Verwaltungsnetzwerks ein. Klicken Sie auf ANWENDEN und SPEICHERN, um die Gruppe zu erstellen.
  6. Erstellen Sie eine Verwaltungs-Gateway-Firewallregel, die eingehenden Datenverkehr zu vCenter Server und ESXi zulässt.
    Informationen zum Erstellen von Firewallregeln für das Verwaltungs-Gateway finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Verwaltungs-Gateway. Wenn Ihre Arbeitslast-VMs nur auf vSphere, PowerCLI oder OVFtool zugreifen müssen, muss die Regel nur den Zugriff an Port 443 zulassen.
    Tabelle 1. Verwaltungs-Gateway-Regel, um eingehenden Datenverkehr zu ESXi und vCenter zuzulassen
    Name Quelle Ziel Dienste Aktion
    Eingehend an ESXi Private IP-Adresse der Arbeitslast-VM ESXi HTTPS (TCP 443) Zulassen
    Eingehend an private vCenter-IP Private IP-Adresse der Arbeitslast-VM Private vCenter-IP HTTPS (TCP 443) Zulassen
    Eingehend an öffentliche vCenter-IP Arbeitslast-VM mit per NAT übersetzter IP Öffentliche vCenter-IP HTTPS (TCP 443) Zulassen