Zum Aktivieren von VMware Site Recovery in Ihrer SDDC-Umgebung, in der VMware NSX-T® verwendet wird, müssen Sie Firewallregeln zwischen Ihrem Datencenter und dem Verwaltungs-Gateway erstellen. Nach der anfänglichen Konfiguration der Firewallregeln können Sie nach Bedarf Regeln hinzufügen, bearbeiten oder löschen.
Voraussetzungen
- Stellen Sie sicher, dass Sie VMware Site Recovery im SDDC konfiguriert haben.
Prozedur
- Melden Sie sich unter https://vmc.vmware.com bei der VMware Cloud on AWS-Konsole an.
- Wählen Sie Netzwerk und Sicherheit > Gateway-Firewall > Verwaltungs-Gateway aus.
- Klicken Sie auf Neue Regel hinzufügen.
- Geben Sie die Regelparameter für das Verwaltungs-Gateway ein.
Das Verwaltungs-Gateway steuert den im SDDC ein- und ausgehenden Verwaltungsdatenverkehr.
Option Beschreibung Name Geben Sie einen beschreibenden Namen für die Regel ein. Quelle Klicken Sie auf Quelle festlegen und wählen Sie eine der folgenden Optionen aus:- Wählen Sie Beliebig aus, um Datenverkehr von einer beliebigen Quelladresse oder einem beliebigen Quelladressenbereich zuzulassen.
Wichtig: Obwohl Sie Beliebig als Quelladresse in einer Firewallregel auswählen können, kann die Verwendung von Beliebig als Quelladresse in dieser Firewallregel Angriffe auf Ihr SDDC ermöglichen und zu einer Gefährdung Ihres SDDC führen. Es hat sich bewährt, diese Firewallregel so zu konfigurieren, dass nur von vertrauenswürdigen Quelladressen aus zugegriffen werden kann. Weitere Informationen hierzu finden Sie im VMware-Knowledgebase-Artikel 84154.
- Wählen Sie Systemdefinierte Gruppen und dann eine der folgenden Quelloptionen aus.
- vCenter, um Datenverkehr von vCenter Server in Ihrem SDDC zuzulassen.
- Site Recovery Manager, um Datenverkehr von Site Recovery Manager in Ihrem SDDC zuzulassen.
- vSphere Replication, um Datenverkehr von vSphere Replication in Ihrem SDDC zuzulassen.
- Wählen Sie Benutzerdefinierte Gruppen aus, um den Namen und den CIDR-IP-Bereich eines Remotenetzwerks einzugeben.
Ziel Klicken Sie auf Ziel festlegen und geben Sie eine der folgenden Optionen ein bzw. wählen Sie eine der folgenden Optionen aus:- Wählen Sie Beliebig aus, um Datenverkehr zu einer beliebigen Zieladresse oder einem beliebigen Zieladressenbereich zuzulassen.
- Wählen Sie Systemdefinierte Gruppen und dann eine der folgenden Zieloptionen aus.
- vCenter, um Datenverkehr zu vCenter Server in Ihrem SDDC zuzulassen.
- Site Recovery Manager, um Datenverkehr zu Site Recovery Manager in Ihrem SDDC zuzulassen.
- vSphere Replication, um Datenverkehr zu vSphere Replication in Ihrem SDDC zuzulassen.
- Wählen Sie Benutzerdefinierte Gruppen aus, um den Namen und den CIDR-IP-Bereich eines Remotenetzwerks einzugeben.
Dienst Wählen Sie einen der Dienste aus, auf die die Regel angewendet werden soll.
- HTTPS (TCP 443) gilt für vCenter Server und vSphere Replication als Ziele.
- VMware Site Recovery SRM gilt nur für Site Recovery Manager als Ziel.
- VMware Site Recovery vSphere Replication gilt nur für vSphere Replication als Ziel.
Aktion Die einzige verfügbare Aktion für Verwaltungs-Gateway-Firewallregeln ist Zulassen. - Wählen Sie Beliebig aus, um Datenverkehr von einer beliebigen Quelladresse oder einem beliebigen Quelladressenbereich zuzulassen.
- Wiederholen Sie den vorherigen Schritt, um die folgenden Firewallregeln für VMware Site Recovery anzuwenden.
Name Quelle Ziel Dienst Aktion Remote-SRM zu vCenter Server „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager-IP-Adresse enthalten sein muss. vCenter HTTPS (TCP 443) Zulassen Remote-VR zu vCenter Server „Benutzerdefinierte Gruppe“, wobei die Remote-vSphere Replication-IP-Adresse enthalten sein muss. vCenter HTTPS (TCP 443) Zulassen Remotenetzwerk zu SRM (SRM-Serververwaltung) „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager- und -vSphere Replication-IP-Adressen enthalten sein müssen. Site Recovery Manager VMware Site Recovery SRM Zulassen Remotenetzwerk zu VR (VM-Replizierung) „Benutzerdefinierte Gruppe“, wobei die IP-Adressen des ESXi-Remotehosts enthalten sein müssen. vSphere Replication VMware Site Recovery vSphere Replication Zulassen Remotenetzwerk zu VR (VR-Serververwaltung) „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager- und -vSphere Replication-IP-Adressen enthalten sein müssen. vSphere Replication VMware Site Recovery vSphere Replication Zulassen Remotenetzwerk zu VR (UI und API) „Benutzerdefinierte Gruppe“, wobei die Remote-Browser-IP-Adresse enthalten sein muss. vSphere Replication VMware Site Recovery vSphere Replication Zulassen SRM (HTTPS) zu Remotenetzwerk Site Recovery Manager „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-Platform Services Controller- und -vCenter Server-IP-Adresse enthalten sein müssen. Beliebig Zulassen VR (HTTPS) zu Remotenetzwerk vSphere Replication „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-Platform Services Controller- und -vCenter Server-IP-Adresse enthalten sein müssen. Alle Zulassen SRM (SRM-Serververwaltung) zu Remotenetzwerk Site Recovery Manager „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager-IP-Adresse enthalten sein muss. Alle Zulassen VR (SRM-Serververwaltung) zu Remotenetzwerk vSphere Replication „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager-IP-Adresse enthalten sein muss. Alle Zulassen ESXi (VM-Replizierung) zu Remotenetzwerk ESXi „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-vSphere Replication-IP-Adressen (Kombination aus vSphere Replication-Appliance und beliebigen Add-On-vSphere Replication-Appliances) enthalten sein müssen. Alle Zulassen SRM (VR-Serververwaltung) zu Remotenetzwerk Site Recovery Manager „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-vSphere Replication-IP-Adresse enthalten sein muss. Alle Zulassen VR (VR-Serververwaltung) zu Remotenetzwerk vSphere Replication „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-vSphere Replication-IP-Adresse enthalten sein muss. Alle Zulassen - Klicken Sie auf Veröffentlichen.
- Wiederholen Sie den Vorgang für das zweite VMware Cloud on AWS-SDDC.
Ergebnisse
Die Firewallregeln werden in der Liste der Edge-Firewalls des Verwaltungs-Gateways angezeigt.