Zum Aktivieren von VMware Site Recovery in Ihrer SDDC-Umgebung, in der VMware NSX-T® verwendet wird, müssen Sie Firewallregeln zwischen Ihrem lokalen Datencenter und dem Verwaltungs-Gateway erstellen. Nach der anfänglichen Konfiguration der Firewallregeln können Sie nach Bedarf Regeln hinzufügen, bearbeiten oder löschen.

Diagramm, das zeigt, dass Sie sich in Schritt 6 des Workflows befinden. In Schritt 6 werden die Firewallregeln für VMware Site Recovery festgelegt.

Voraussetzungen

  • Stellen Sie sicher, dass Sie VMware Site Recovery im SDDC konfiguriert haben.

Prozedur

  1. Melden Sie sich unter https://vmc.vmware.com bei der VMware Cloud on AWS-Konsole an.
  2. Wählen Sie Netzwerk und Sicherheit > Gateway-Firewall > Verwaltungs-Gateway aus.
  3. Klicken Sie auf Neue Regel hinzufügen.
  4. Geben Sie die Regelparameter für das Verwaltungs-Gateway ein.
    Das Verwaltungs-Gateway steuert den im SDDC ein- und ausgehenden Verwaltungsdatenverkehr.
    Option Beschreibung
    Name Geben Sie einen beschreibenden Namen für die Regel ein.
    Quelle
    Klicken Sie auf Quelle festlegen und wählen Sie eine der folgenden Optionen aus:
    • Wählen Sie Beliebig aus, um Datenverkehr von einer beliebigen Quelladresse oder einem beliebigen Quelladressenbereich zuzulassen.
      Wichtig: Obwohl Sie Beliebig als Quelladresse in einer Firewallregel auswählen können, kann die Verwendung von Beliebig als Quelladresse in dieser Firewallregel Angriffe auf Ihr SDDC ermöglichen und zu einer Gefährdung Ihres SDDC führen. Es hat sich bewährt, diese Firewallregel so zu konfigurieren, dass nur von vertrauenswürdigen Quelladressen aus zugegriffen werden kann. Weitere Informationen hierzu finden Sie im VMware-Knowledgebase-Artikel 84154.
    • Wählen Sie Systemdefinierte Gruppen und dann eine der folgenden Quelloptionen aus.
      • vCenter, um Datenverkehr von vCenter Server in Ihrem SDDC zuzulassen.
      • Site Recovery Manager, um Datenverkehr von Site Recovery Manager in Ihrem SDDC zuzulassen.
      • vSphere Replication, um Datenverkehr von vSphere Replication in Ihrem SDDC zuzulassen.
    • Wählen Sie Benutzerdefinierte Gruppen aus, um den Namen und den CIDR-IP-Bereich eines Remotenetzwerks einzugeben.
    Ziel
    Klicken Sie auf Ziel festlegen und geben Sie eine der folgenden Optionen ein bzw. wählen Sie eine der folgenden Optionen aus:
    • Wählen Sie Beliebig aus, um Datenverkehr zu einer beliebigen Zieladresse oder einem beliebigen Zieladressenbereich zuzulassen.
    • Wählen Sie Systemdefinierte Gruppen und dann eine der folgenden Zieloptionen aus.
      • vCenter, um Datenverkehr zu vCenter Server in Ihrem SDDC zuzulassen.
      • Site Recovery Manager, um Datenverkehr zu Site Recovery Manager in Ihrem SDDC zuzulassen.
      • vSphere Replication, um Datenverkehr zu vSphere Replication in Ihrem SDDC zuzulassen.
    • Wählen Sie Benutzerdefinierte Gruppen aus, um den Namen und den CIDR-IP-Bereich eines Remotenetzwerks einzugeben.
    Dienst

    Wählen Sie einen der Dienste aus, auf die die Regel angewendet werden soll.

    • HTTPS (TCP 443) gilt für vCenter Server und vSphere Replication als Ziele.
    • VMware Site Recovery SRM gilt nur für Site Recovery Manager als Ziel.
    • VMware Site Recovery vSphere Replication gilt nur für vSphere Replication als Ziel.
    Aktion Die einzige verfügbare Aktion für Verwaltungs-Gateway-Firewallregeln ist Zulassen.
  5. Wiederholen Sie den vorherigen Schritt, um die folgenden Firewallregeln für VMware Site Recovery anzuwenden.
    Name Quelle Ziel Dienst Aktion
    Remote-SRM zu vCenter Server „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager-IP-Adresse enthalten sein muss. vCenter HTTPS (TCP 443) Zulassen
    Remote-VR zu vCenter Server „Benutzerdefinierte Gruppe“, wobei die Remote-vSphere Replication-IP-Adresse enthalten sein muss. vCenter HTTPS (TCP 443) Zulassen
    Remotenetzwerk zu SRM (SRM-Serververwaltung) „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager- und -vSphere Replication-IP-Adressen enthalten sein müssen. Site Recovery Manager VMware Site Recovery SRM Zulassen
    Remotenetzwerk zu VR (VM-Replizierung) „Benutzerdefinierte Gruppe“, wobei die IP-Adressen des ESXi-Remotehosts enthalten sein müssen. vSphere Replication VMware Site Recovery vSphere Replication Zulassen
    Remotenetzwerk zu VR (VR-Serververwaltung) „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager- und -vSphere Replication-IP-Adressen enthalten sein müssen. vSphere Replication VMware Site Recovery vSphere Replication Zulassen
    Remotenetzwerk zu VR (UI und API) „Benutzerdefinierte Gruppe“, wobei die Remote-Browser-IP-Adresse enthalten sein muss. vSphere Replication VMware Site Recovery vSphere Replication Zulassen
    SRM (HTTPS) zu Remotenetzwerk Site Recovery Manager „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-Platform Services Controller- und -vCenter Server-IP-Adresse enthalten sein müssen. Alle Zulassen
    VR (HTTPS) zu Remotenetzwerk vSphere Replication „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-Platform Services Controller- und -vCenter Server-IP-Adresse enthalten sein müssen. Alle Zulassen
    SRM (SRM-Serververwaltung) zu Remotenetzwerk Site Recovery Manager „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager-IP-Adresse enthalten sein muss. Alle Zulassen
    VR (SRM-Serververwaltung) zu Remotenetzwerk vSphere Replication „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote- Site Recovery Manager-IP-Adresse enthalten sein muss. Alle Zulassen
    ESXi (VM-Replizierung) zu Remotenetzwerk ESXi „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-vSphere Replication-IP-Adressen (Kombination aus vSphere Replication-Appliance und beliebigen Add-On-vSphere Replication-Appliances) enthalten sein müssen. Beliebig Zulassen
    SRM (VR-Serververwaltung) zu Remotenetzwerk Site Recovery Manager „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-vSphere Replication-IP-Adresse enthalten sein muss. Beliebig Zulassen
    VR (VR-Serververwaltung) zu Remotenetzwerk vSphere Replication „Beliebig“ oder „Benutzerdefinierte Gruppe“, wobei die Remote-vSphere Replication-IP-Adresse enthalten sein muss. Beliebig Zulassen
  6. Klicken Sie auf Veröffentlichen.

Ergebnisse

Nachdem die Firewallregeln erstellt wurden, werden Sie in der Liste der Edge-Firewalls des Verwaltungs-Gateways angezeigt.