En la configuración predeterminada, las reglas de firewall impiden que las máquinas virtuales en la red de cálculo accedan a las máquinas virtuales en la red de administración. Para permitir que máquinas virtuales de carga de trabajo individuales accedan a máquinas virtuales de administración, cree grupos de inventario de carga de trabajo y administración, y cree reglas de firewall de puerta de enlace de administración que hagan referencia a esos grupos.
Procedimiento
- Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
- Haga clic en , seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
- Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
También puede utilizar la pestaña
Redes y seguridad de la
Consola de VMware Cloud para este flujo de trabajo.
- Cree grupos de inventario de cálculo: uno para la red de administración y otro para la máquina virtual de carga de trabajo que desee que tenga acceso al grupo.
En la página
Inventario, haga clic en
y cree dos grupos:
- Haga clic en , después abra la página Direcciones IP, haga clic en Introducir dirección IP y escriba el bloque CIDR de la red de administración. Haga clic en APLICAR y después en GUARDAR para crear el grupo.
- Haga clic en , después haga clic en y especifique una Máquina virtual de su inventario de vSphere. Haga clic en APLICAR y después en GUARDAR para crear el grupo.
- Cree un grupo de administración que incluya la red de administración a la que desea acceder desde el grupo de cálculo.
En la página
Inventario, haga clic en
. En la página
Seleccionar miembros, haga clic en
Introducir dirección IP y escriba el bloque CIDR de la red de administración. Haga clic en
APLICAR y después en
GUARDAR para crear el grupo.
- Cree una regla de firewall de puerta de enlace de administración que permita el tráfico entrante a vCenter Server y ESXi.
Consulte
Agregar o modificar reglas de firewall de puerta de enlace de administración para obtener información sobre la creación de reglas de firewall de puerta de enlace de administración. Suponiendo que las máquinas virtuales de carga de trabajo solo necesiten acceder a vSphere, PowerCLI u OVFtool, la regla solo necesita permitir el acceso en el puerto 443.
Tabla 1.
Regla de puerta de enlace de administración para permitir el tráfico entrante a ESXi y vCenter
Nombre |
Origen |
Destino |
Servicios |
Acción |
Entrante a ESXi |
IP privada de máquina virtual de carga de trabajo |
ESXi |
HTTPS (TCP 443) |
Permitir |
Entrante a IP privada de vCenter |
IP privada de máquina virtual de carga de trabajo |
IP privada de vCenter |
HTTPS (TCP 443) |
Permitir |
Entrante a IP pública de vCenter |
Máquina virtual de carga de trabajo con IP con NAT |
IP pública de vCenter |
HTTPS (TCP 443) |
Permitir |