Si desea permitir el acceso a las interfaces de administración de Manager Service, las instancias de Replicator Service y Tunnel Service en VMware Cloud on AWS para realizar operaciones administrativas, como el reemplazo de certificados, configure después los ajustes de red del SDDC para el acceso adicional a estos tres tipos de interfaces de administración.

De forma predeterminada, el acceso limitado en VMware Cloud on AWS y las direcciones IP públicas de todos los dispositivos de nube de VMware Cloud Director Availability se deben permitir explícitamente para realizar operaciones administrativas.

Los dispositivos de VMware Cloud Director Availability en VMware Cloud on AWS proporcionan tres tipos de interfaces de administración para realizar tareas administrativas, como el reemplazo de certificados y otras. Si desea permitir estas interfaces de administración al configurar las reglas NAT necesarias, defínalas de forma explícita, ya que las tres interfaces utilizan internamente puertos HTTPS no estándar. Estos tres servicios, junto con las siguientes tres reglas NAT y una regla de firewall, traducen y permiten el tráfico de red que llega a las direcciones IP públicas de los dispositivos en el puerto externo 443/TCP:

  • Hacia Cloud Director Replication Management Appliance, internamente en el puerto 8044/TCP para la interfaz de administración de Manager Service.
  • Hacia todas las instancias de Replicator Appliance, internamente en el puerto 8043/TCP para las interfaces de administración de las instancias de Replicator Service.
  • Hacia Tunnel Appliance, internamente en el puerto 8047/TCP para la interfaz de administración de Tunnel Service.

Requisitos previos

Procedimiento

  1. En https://vmc.vmware.com, inicie sesión en VMware Cloud on AWS.
  2. Agregue tres nuevos servicios de SDDC de inventario para las interfaces de administración de Manager Service, Replicator Service y Tunnel Service.
    1. En la consola de VMC, en el panel izquierdo, haga clic en SDDC.
    2. En el SDDC, haga clic en Ver detalles y en la pestaña Redes y seguridad.
    3. En el panel izquierdo, en la sección Inventario, haga clic en Servicios.
      Repita los siguientes pasos tres veces:
      • Agregue un servicio de inventario para Manager Service de Cloud Director Replication Management Appliance.
      • Agregue otro servicio de inventario para Replicator Service de Replicator Appliance.
      • Agregue otro servicio de inventario para Tunnel Service de Tunnel Appliance.
    4. Si desea agregar un servicio de SDDC de inventario, haga clic en Agregar servicio.
    5. Introduzca un nombre y, opcionalmente, una descripción para cada servicio.
    6. Para cada servicio, en la columna Entradas de servicio, haga clic en el vínculo Establecer entradas de servicio.
    7. Para cada servicio, en la ventana Establecer entradas de servicio, en el menú desplegable Tipo seleccione Capa 3 y superior.
    8. Para cada servicio, en la pestaña Puerto-Protocolo, haga clic en Agregar entrada de servicio, introduzca los detalles de la columna correspondiente y haga clic en Aplicar.
      Opción Servicio de inventario de Manager Service Servicio de inventario de Replicator Service Servicio de inventario de Tunnel Service
      Nombre Introduzca un nombre para la entrada de servicio de la interfaz de administración de Cloud Director Replication Management ApplianceManager Service. Por ejemplo, introduzca VCDA-Manager-Service-Management. Introduzca un nombre para la entrada de servicio de la interfaz de administración de Replicator ApplianceReplicator Service. Por ejemplo, introduzca VCDA-Replicator-Service-Management. Introduzca un nombre para la entrada de servicio de la interfaz de administración de Tunnel ApplianceTunnel Service. Por ejemplo, introduzca VCDA-Tunnel-Service-Management.
      Tipo de servicio Seleccione TCP. Seleccione TCP. Seleccione TCP.
      Propiedades adicionales Deje en blanco el cuadro de texto Puertos de origen. Deje en blanco el cuadro de texto Puertos de origen. Deje en blanco el cuadro de texto Puertos de origen.
      Si desea acceder a la interfaz de administración de Manager Service en Cloud Director Replication Management Appliance en el cuadro de texto Puertos de destino, introduzca el puerto 8044. Si desea acceder a la interfaz de administración de Replicator Service en Replicator Appliance en el cuadro de texto Puertos de destino, introduzca el puerto 8043. Si desea acceder a la interfaz de administración de Tunnel Service en Tunnel Appliance en el cuadro de texto Puertos de destino, introduzca el puerto 8047.
    9. Si desea guardar cada servicio de inventario, haga clic en Guardar.
      En la página Servicios, se muestran los tres nuevos servicios:
      Nombre Entradas de servicio
      VCDA-Manager-Service-Management TCP (Source: Any | Destination: 8044)
      VCDA-Replicator-Service-Management TCP (Source: Any | Destination: 8043)
      VCDA-Tunnel-Service-Management TCP (Source: Any | Destination: 8047)
  3. Si desea utilizarlo más adelante en reglas NAT, solicite nuevas direcciones IP públicas de SDDC para cada uno de los tres tipos de interfaces de administración.
    • Solicite una dirección IP pública para acceder a la interfaz de administración de Manager Service en Cloud Director Replication Management Appliance.
    • Solicite varias direcciones IP públicas para acceder a la interfaz de administración de cada Replicator Service en las instancias de Replicator Appliance.
    • Solicite una dirección IP pública para acceder a la interfaz de administración de Tunnel Service en Tunnel Appliance.
    1. En la pestaña Redes y seguridad, en el panel izquierdo debajo de la sección Sistema, haga clic en IP públicas.
    2. Si desea solicitar una dirección IP pública para Manager Service, haga clic en Solicitar nueva IP, escriba una nota y haga clic en Guardar.
      Por ejemplo, como nota, introduzca VCDA-Manager-Public-Management-IP-address.
      Repita el siguiente paso para cada instancia de Replicator Service implementada en el SDDC:
    3. Si desea solicitar una dirección IP pública para cada Replicator Service, haga clic en Solicitar nueva IP, escriba una nota y haga clic en Guardar.
      Por ejemplo, introduzca VCDA-Replicator-Public-Management-IP-address. Si desea obtener más instancias de Replicator Service, introduzca VCDA-Replicator-X-Public-Management-IP-address, donde X marca cada instancia.
    4. Si desea solicitar una dirección IP pública para Tunnel Service, haga clic en Solicitar nueva IP, escriba una nota y haga clic en Guardar.
      Por ejemplo, como nota, introduzca VCDA-Tunnel-Public-Management-IP-address.
  4. Si desea reenviar el tráfico de red entrante a los puertos y los dispositivos de nube correctos, agregue nuevas reglas NAT.
    1. En la pestaña Redes y seguridad, en el panel izquierdo debajo de la sección Red, haga clic en NAT.
      Repita el siguiente paso tres veces:
      • Agregue una regla NAT para la interfaz de administración de Manager Service en Cloud Director Replication Management Appliance.
      • Agregue otra regla NAT para la interfaz de administración de Replicator Service en Replicator Appliance. Para cada instancia de Replicator Service adicional, agregue otra regla NAT.
      • Agregue otra regla NAT para la interfaz de administración de Tunnel Service en Tunnel Appliance.
    2. Si desea agregar una regla NAT, haga clic en Agregar una regla NAT, configure los siguientes ajustes y, a continuación, haga clic en Guardar.
      Opción NAT de Manager Service NAT de Replicator Service NAT de Tunnel Service
      Nombre Introduzca un nombre para la regla NAT de la interfaz de administración de Cloud Director Replication Management ApplianceManager Service. Por ejemplo, introduzca VCDA Replication Management NAT. Introduzca un nombre para la regla NAT de la interfaz de administración de Replicator ApplianceReplicator Service. Por ejemplo, introduzca VCDA Replicator NAT. Para más instancias de Replicator Service, en cada regla NAT, introduzca VCDA Replicator X NAT, donde X marca cada instancia. Introduzca un nombre para la regla NAT de la interfaz de administración de Tunnel ApplianceTunnel Service. Por ejemplo, introduzca VCDA Replication Management NAT.
      Dirección IP pública Seleccione VCDA-Manager-Public-Management-IP-address. Seleccione VCDA-Replicator-Public-Management-IP-address. Seleccione VCDA-Tunnel-Public-Management-IP-address.
      Servicio Seleccione el servicio de inventario para Cloud Director Replication Management ApplianceManager Service. Por ejemplo, seleccione VCDA-Manager-Service-Management. Seleccione el servicio de inventario para Replicator ApplianceReplicator Service. Por ejemplo, seleccione VCDA-Replicator-Service-Management. Seleccione el servicio de inventario para Tunnel ApplianceTunnel Service. Por ejemplo, seleccione VCDA-Tunnel-Service-Management.
      Puerto público Introduzca el puerto 443. Introduzca el puerto 443. Introduzca el puerto 443.
      IP interna Introduzca la private-IP-address de Cloud Director Replication Management Appliance. Introduzca todas las private-IP-addresses de las instancias de Replicator Appliance. Introduzca la private-IP-address de Tunnel Appliance.
      Puerto interno 8044 (no editable) 8043 (no editable) 8047 (no editable)
      Firewall Hacer coincidir con dirección interna Hacer coincidir con dirección interna Hacer coincidir con dirección interna
  5. Si desea permitir el acceso a las interfaces de administración de VMware Cloud Director Availability desde los orígenes de cómputo de confianza, agregue los tres nuevos servicios y destinos en la regla de firewall de cómputo entrante.
    La regla de cómputo VCDA Management from Trusted Compute Sources Rule se crea primero en Configurar la red de SDDC en VMware Cloud on AWS.
    1. En la pestaña Redes y seguridad, en el panel izquierdo debajo de la sección Seguridad, haga clic en Firewall de puerta de enlace.
    2. En la pestaña Puerta de enlace de cómputo, haga clic en la VCDA Manager from Trusted Compute Sources Rule ya creada.
    3. Configure la regla del firewall de cómputo y haga clic en Aplicar cuando se le solicite.
      Opción Regla de firewall de cómputo
      Nombre VCDA Management from Trusted Compute Sources Rule .
      Orígenes Trusted Compute Sources Group .
      Destinos Haga clic en Cualquiera. En la ventana Establecer destino, seleccione todos los grupos de cómputo de los dispositivos de VMware Cloud Director Availability y haga clic en Aplicar. Por ejemplo, seleccione los tres:
      • VCDA Manager Compute Group
      • VCDA Replicators Compute Group
      • VCDA Tunnel Compute Group
      Servicios Haga clic en Cualquiera. En la ventana Establecer servicios, selecciona los tres servicios de inventario recién creados además de VCDA-Cloud-Service-Management TCP (Source: Any | Destination: 8046). Por ejemplo, seleccione adicionalmente:
      • VCDA-Manager-Service-Management TCP (Source: Any | Destination: 8044)
      • VCDA-Replicator-Service-Management TCP (Source: Any | Destination: 8043)
      • VCDA-Tunnel-Service-Management TCP (Source: Any | Destination: 8047)
      Cuando se los selecciona, los cuatro servicios de la interfaz de administración ahora están presentes: Destination: 8046, Destination: 8044, Destination: 8043 y Destination: 8047.
      Aplicado a Todos los vínculos superiores
      Acción Permitir
    4. Después de modificar la regla de firewall de puerta de enlace de cómputo, haga clic en Publicar.
      La regla de firewall de cómputo permite el acceso a los cuatro tipos de interfaces de administración de todos los servicios de VMware Cloud Director Availability:
      • Cloud Service
      • Manager Service
      • Cada instancia de Replicator Service
      • Tunnel Service

Resultados

La configuración del SDDC en VMware Cloud on AWS está completa y lista para las operaciones administrativas de los servicios de VMware Cloud Director Availability.

Qué hacer a continuación

Ahora puede realizar tareas administrativas para cada servicio de VMware Cloud Director Availability. Si desea obtener más información, consulte la Administration Guide de la versión de VMware Cloud Director Availability implementada en el SDDC.