In der Standardkonfiguration verhindern Firewallregeln, dass VMs im Computing-Netzwerk auf VMs im Verwaltungsnetzwerk zugreifen. Um einzelnen Workload-VMs den Zugriff auf Verwaltungs-VMs zu ermöglichen, erstellen Sie Arbeitslast- und Verwaltungs-Bestandslistengruppen und erstellen Sie dann Verwaltungs-Gateway-Firewallregeln, die auf sie verweisen.

Prozedur

  1. Erstellen Sie Arbeitslast-Bestandslistengruppen: eine für das Verwaltungsnetzwerk und eine für die Arbeitslast-VM, die darauf zugreifen soll.
    Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gruppen in der Kategorie Bestandsliste und klicken Sie dann auf Arbeitslastgruppen. Erstellen Sie zwei Arbeitslastgruppen:
    • Klicken Sie auf GRUPPE HINZUFÜGEN und erstellen Sie eine Gruppe mit einem Mitgliedstyp IP-Adresse und dem CIDR-Block des Verwaltungsnetzwerks. Klicken Sie auf SPEICHERN, um die Gruppe zu erstellen.
    • Klicken Sie auf GRUPPE HINZUFÜGEN und erstellen Sie eine Gruppe mit einem Mitgliedstyp Virtuelle Maschine und einer Mitglieds-VM aus Ihrer vSphere-Bestandsliste. Klicken Sie auf SPEICHERN, um die Gruppe zu erstellen.
  2. Erstellen Sie eine Verwaltungs-Bestandslistengruppe, um das Verwaltungsnetzwerk darzustellen, auf das Sie über die Arbeitslastgruppe zugreifen möchten.
    Klicken Sie auf der Registerkarte Netzwerk und Sicherheit auf Gruppen in der Kategorie Bestandsliste und klicken Sie dann auf Verwaltungsgruppen. Klicken Sie auf GRUPPE HINZUFÜGEN und erstellen Sie eine Gruppe mit einer IP-Adresse als Mitgliedstyp und dem CIDR-Block des Verwaltungsnetzwerks. Klicken Sie auf SPEICHERN, um die Gruppe zu erstellen.
  3. Erstellen Sie eine Computing-Gateway-Firewallregel, die ausgehenden Datenverkehr zum Verwaltungsnetzwerk zulässt.
    Informationen zum Erstellen von Firewallregeln für Computing-Gateways finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway. Wenn Ihre Arbeitslast-VMs nur auf vSphere und PowerCLI/OVFtool auf Verwaltungs-VMs zugreifen müssen, muss die Regel nur den Zugriff an Port 443 zulassen.
    Tabelle 1. Computing-Gateway-Regel, um ausgehenden Datenverkehr zu ESXi und vCenter zuzulassen
    Name Quelle Ziel Dienste Aktion Angewendet auf
    Ausgehend zu Verwaltungsnetzwerk an Port 443 Private IP-Adresse der Arbeitslast-VM VMC-Verwaltungsnetzwerk HTTPS Zulassen Alle Uplinks
  4. Erstellen Sie eine Verwaltungs-Gateway-Firewallregel, die eingehenden Datenverkehr zum vCenter Server und ESXi zulässt.
    Informationen zum Erstellen von Firewallregeln für das Verwaltungs-Gateway finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Verwaltungs-Gateway. Wenn Ihre Arbeitslast-VMs nur auf vSphere, PowerCLI oder OVFtool auf vCenter und ESXi zugreifen müssen, muss die Regel nur den Zugriff an Port 443 zulassen.
    Tabelle 2. Verwaltungs-Gateway-Regel, um eingehenden Datenverkehr zu ESXi und vCenter zuzulassen
    Name Quelle Ziel Dienste Aktion
    Eingehend an ESXi-Port 443 Private IP-Adresse der Arbeitslast-VM ESXi HTTPS (TCP 443) Zulassen
    Eingehend an vCenter-Port 443 Private IP-Adresse der Arbeitslast-VM vCenter HTTPS (TCP 443) Zulassen