En la configuración predeterminada, las reglas de firewall impiden que las máquinas virtuales en la red de cálculo accedan a las máquinas virtuales en la red de administración. Para permitir que máquinas virtuales de carga de trabajo individuales accedan a máquinas virtuales de administración, cree grupos de inventario de carga de trabajo y administración, y cree reglas de firewall de puerta de enlace de administración que hagan referencia a esos grupos.

Procedimiento

  1. Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
  3. Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
    También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo.
  4. Cree grupos de inventario de cálculo: uno para la red de administración y otro para la máquina virtual de carga de trabajo que desee que tenga acceso al grupo.
    En la página Inventario, haga clic en Grupos > Grupos de cálculo y cree dos grupos:
    • Haga clic en AGREGAR GRUPO > Establecer miembros, después abra la página Direcciones IP, haga clic en Introducir dirección IP y escriba el bloque CIDR de la red de administración. Haga clic en APLICAR y después en GUARDAR para crear el grupo.
    • Haga clic en AGREGAR GRUPO > Establecer miembros, después haga clic en Criterios de pertenencia > AGREGAR CRITERIOS y especifique una Máquina virtual de su inventario de vSphere. Haga clic en APLICAR y después en GUARDAR para crear el grupo.
  5. Cree un grupo de administración que incluya la red de administración a la que desea acceder desde el grupo de cálculo.
    En la página Inventario, haga clic en Grupos > Grupos de administración. En la página Seleccionar miembros, haga clic en Introducir dirección IP y escriba el bloque CIDR de la red de administración. Haga clic en APLICAR y después en GUARDAR para crear el grupo.
  6. Cree una regla de firewall de puerta de enlace de administración que permita el tráfico entrante a vCenter Server y ESXi.
    Consulte Agregar o modificar reglas de firewall de puerta de enlace de administración para obtener información sobre la creación de reglas de firewall de puerta de enlace de administración. Suponiendo que las máquinas virtuales de carga de trabajo solo necesiten acceder a vSphere, PowerCLI u OVFtool, la regla solo necesita permitir el acceso en el puerto 443.
    Tabla 1. Regla de puerta de enlace de administración para permitir el tráfico entrante a ESXi y vCenter
    Nombre Origen Destino Servicios Acción
    Entrante a ESXi IP privada de máquina virtual de carga de trabajo ESXi HTTPS (TCP 443) Permitir
    Entrante a IP privada de vCenter IP privada de máquina virtual de carga de trabajo IP privada de vCenter HTTPS (TCP 443) Permitir
    Entrante a IP pública de vCenter Máquina virtual de carga de trabajo con IP con NAT IP pública de vCenter HTTPS (TCP 443) Permitir