In der Standardkonfiguration verhindern Firewallregeln, dass VMs im Computing-Netzwerk auf VMs im Verwaltungsnetzwerk zugreifen. Um einzelnen Workload-VMs den Zugriff auf Verwaltungs-VMs zu ermöglichen, erstellen Sie Arbeitslast- und Verwaltungs-Bestandslistengruppen und erstellen Sie dann Verwaltungs-Gateway-Firewallregeln, die auf sie verweisen.

Prozedur

  1. Erstellen Sie Arbeitslast-Bestandslistengruppen: eine für das Verwaltungsnetzwerk und eine für die Arbeitslast-VM, die darauf zugreifen soll.
    Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gruppen in der Kategorie Bestandsliste und klicken Sie dann auf Arbeitslastgruppen. Erstellen Sie zwei Arbeitslastgruppen:
    • Klicken Sie auf GRUPPE HINZUFÜGEN und erstellen Sie eine Gruppe mit einem Mitgliedstyp IP-Adresse und dem CIDR-Block des Verwaltungsnetzwerks. Klicken Sie auf SPEICHERN, um die Gruppe zu erstellen.
    • Klicken Sie auf GRUPPE HINZUFÜGEN und erstellen Sie eine Gruppe mit einem Mitgliedstyp Virtuelle Maschine und einer Mitglieds-VM aus Ihrer vSphere-Bestandsliste. Klicken Sie auf SPEICHERN, um die Gruppe zu erstellen.
  2. Erstellen Sie eine Verwaltungs-Bestandslistengruppe, um das Verwaltungsnetzwerk darzustellen, auf das Sie über die Arbeitslastgruppe zugreifen möchten.
    Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gruppen in der Kategorie Bestandsliste und klicken Sie dann auf Verwaltungsgruppen. Klicken Sie auf GRUPPE HINZUFÜGEN und erstellen Sie eine Gruppe mit einer IP-Adresse als Mitgliedstyp und dem CIDR-Block des Verwaltungsnetzwerks. Klicken Sie auf SPEICHERN, um die Gruppe zu erstellen.
  3. Erstellen Sie eine Verwaltungs-Gateway-Firewallregel, die eingehenden Datenverkehr zum vCenter Server und ESXi zulässt.
    Informationen zum Erstellen von Firewallregeln für das Verwaltungs-Gateway finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Verwaltungs-Gateway. Wenn Ihre Arbeitslast-VMs nur auf vSphere, PowerCLI oder OVFtool auf vCenter und ESXi zugreifen müssen, muss die Regel nur den Zugriff an Port 443 zulassen.
    Tabelle 1. Verwaltungs-Gateway-Regel, um eingehenden Datenverkehr zu ESXi und vCenter zuzulassen
    Name Quelle Ziel Dienste Aktion
    Eingehend an ESXi Private IP-Adresse der Arbeitslast-VM ESXi HTTPS (TCP 443) Zulassen
    Eingehend an private vCenter-IP Private IP-Adresse der Arbeitslast-VM Private vCenter-IP HTTPS (TCP 443) Zulassen
    Eingehend an öffentliche vCenter-IP Arbeitslast-VM mit per NAT übersetzter IP Öffentliche vCenter-IP HTTPS (TCP 443) Zulassen